Het CIP Cyber Security Platform: samenwerking in uitvoering

Maat: px
Weergave met pagina beginnen:

Download "Het CIP Cyber Security Platform: samenwerking in uitvoering"

Transcriptie

1 CIP-post Het CIP Cyber Security Platform: samenwerking in uitvoering Mei 2014 nummer 5 in deze uitgave o.a. Het CIP Cyber Security Platform (CSP) werd in augustus vorig jaar opgericht. Sinds de kick off - bijeenkomst zijn er 3 inhoudelijke bijeenkomsten geweest. Het betrof tweemaal samenwerking op het terrein van SOC s (Security Operation Centers) en eenmaal het onderwerp crisismanagement. De bijeenkomsten worden gewaardeerd vanwege zowel de onderwerpen als de sprekers met verstand van zaken. Maar ook het interactieve element dat in alle bijeenkomsten wordt ingebracht en het faciliteren en ondersteunen van het bereiken van samenwerking wordt zeer op prijs gesteld. Voorts is het ook gewoon erg leuk om in de gelegenheid te worden gesteld met collega s uit het vakgebied van heel uiteenlopende organisaties, maar met eenzelfde interesse, van gedachten te kunnen wisselen, te netwerken en elkaar te helpen. Dat blijkt wel uit de levendige lunches en borrels waarbij het lastig is je los te rukken van je gesprekspartners vanwege het vervolg van het programma of de reis naar huis. Inmiddels is er een vaste kern van zo n 20 trouwe CSP-gangers afkomstig van onder andere SVB (Sociale Verzekeringsbank), RWS (Rijkswaterstaat), Uitvoering Werknemers Verzekeringen (UWV), Centrum Indicatiestelling Zorg (CiZ), het Centraal Administratie Kantoor (CAK), Dienst Justitiële Inrichtingen (DJI), Bureau Keteninformatisering Werk en Inkomen (BKWI) en het Zorginstituut Nederland (voormalig CVZ). Daarnaast zijn er zusterorganisaties zoals de Taskforce BID en NCSC die steeds hun inbreng leveren en het CSP komen ondersteunen. Dit gezelschap wordt aangevuld tot ongeveer 35 deelnemers per keer van andere overheidspartijen en kennispartners (o.a. Capgemini, HP en KPN). Zo ontstaat steeds een gevarieerd gezelschap van inhoudelijke experts op tactisch niveau. Lees verder op pagina 3 Wijnand Lodder, algemeen directeur SSC-I, ziet het CIP als kans tot concrete samenwerking. lees meer op pagina 4 Op weg naar meer eenheid en structuur in normenkaders in de informatiebeveiliging. lees meer op pagina 6 Secure Software Development: hoe kom ik in contact en in control? lees meer op pagina 8 en 9 PIA in de praktijk: wanneer is een assessment nu echt verplicht en hoe pak je dat aan? lees meer op pagina 17 Samenwerking is niet vanzelfsprekend: zet in op de factor mens om je doelstellingen te realiseren. lees meer op pagina 20 en 21

2 2 van de Rijks-BVA (Beveiligingsautoriteit) het verzoek Het CIP Cyber Security Platform: samenwerking in uitvoering (vervolg) 3 door Ad Reuijl Voorwoord COOL zeg, leren van de financiële sector! Ik zie de bonussen na 22 mei al binnenstromen op m n bankrekening! Nu nog even zorgen voor een goede rente; regelt de bank ook en ik ben eindelijk binnen! Kortom: ik ben erbij! Met deze woorden meldde Marlies van Eck van de Belastingdienst zich aan voor de voorjaarsconferentie. We moesten Marlies teleurstellen. Uit het vele dat er van de financiële sector te leren is, beperken wij ons tot het eigen vakgebied: de informatiebeveiliging en bescherming van de privacy. Gelukkig was dat voor haar geen hinderpaal om te komen. Ook een aantal kennispartners is aangehaakt. CIP heeft gekregen een trekkende rol te willen spelen bij een ISAC voor het rijk. Aangezien ons CSP het karakter heeft van zo n ISAC is er alles voor te zeggen dit te verbreden naar een ISAC-Rijk-functie. Gesprekken daarover vinden nu plaats. ISAC staat voor Information Sharing and Analysis Center. In een ISAC wordt in een vertrouwde omgeving gecommuniceerd over kwetsbaarheden en incidenten, met het doel elkaar te informeren en te helpen om snel tot oplossingen te komen. Op het gebied van Normatiek is er ook veel beweging. UWV en SVB hebben besloten over te gaan op de Baseline Informatiebeveiliging Rijk (BIR) en starten nu met de implementatie daarvan. ZBO s hebben in het verleden vaak hun eigen normenkaders ontwikkeld. In de meeste gevallen zijn die gestoeld op de Code voor Informatiebeveiliging, dezelfde grondslag als die van de BIR. De verschillen zijn daarmee te overzien. Aangezien overheidsorganisaties in ketens opereren, is het desalniettemin verstandig om te gaan bewegen naar een gemeenschappelijke baseline. In samenwerking met de Taskforce BID (Bestuur en Informatieveiligheid Dienstverlening) en het ministerie van BZK bevelen we dat dan ook krachtig aan voor ZBO s. Die BIR blijft trouwens wel in beweging. Onze omgeving verandert tenslotte ook voortdurend. Met die verandering wijzigen ook de uitdagingen. Zo is voor dit jaar nog een evaluatie van de BIR gepland. Het CIP heeft de ambitie om de verschillende onderdelen van de BIR nader uit te werken met behulp van de methodiek die ook gebruikt is voor de normenkaders van zowel Secure Software Development als de versie-2 van de NCSC-Webrichtlijnen. Deze CIP-Post gaat weer wat dieper in op de ontwikkelingen die ons bezighouden. Ik wens u veel leesplezier! Voor 2014 staat er het nodige op het programma voor het CSP: ISAC Het Directoraat-Generaal Organisatie en Bedrijfsvoering Rijk (DGOBR) heeft het CSP gevraagd samen met NCSC een trekkersrol te vervullen bij het oprichten van een ISAC Rijk. Information Sharing and Analysis Centers (ISAC s) zijn publiek-private samenwerkingsverbanden waarbij de deelnemers onderling informatie en ervaringen uitwisselen over cyber security. Deze samenwerkingsverbanden vallen onder het NCSC en er zijn al ISAC s voor bijvoorbeeld Energie, Banken en Zorg. Maar ze zijn er dus nog niet voor het Rijk. Gezamenlijk SOC Vanuit het CSP is een werkgroepje ontstaan van CAK, UWV, SVB, DJI, HP, Capgemini en TNO dat zich tot doel heeft gesteld om op de najaarsconferentie de eerste samenwerking op het terrein van SOC s te hebben gerealiseerd en een plan te hebben hoe dit uit te bouwen en anderen over te halen zich ook aan te sluiten. Kennis en kunde op het terrein van SOC s zijn schaars en daarnaast zijn veel overheidsorganisaties met elkaar verbonden in ketens, ook kunnen kosten worden bespaard door samen op te trekken. Dit initiatief zoekt aansluiting bij het onderzoek dat door de DGOBR is gedaan op dit vlak. Community Het CSP werkt hard aan het opbouwen van goede samenwerking. Om dat te ondersteunen zal de CIP- Communitysite Pleio meer en meer worden ingezet als middel om elkaar te kunnen vinden. We nodigen iedereen uit zijn profiel in te vullen en aan te geven over welke beveiligingsthema s je kennis wilt inbrengen en in welke informatie je geïnteresseerd bent. Samen alert blijven Het volgend inhoudelijk thema waar het CSP mee aan de slag wil is het elkaar waarschuwen in het geval van een (ernstig) beveiligingsincident. Daarvoor zal in de CSP- Community goed moeten worden uitgezocht wanneer zoiets nuttig is en hoe er dan naar elkaar zal worden gecommuniceerd. Mogelijk is dit een onderwerp dat goed past bij de plannen voor het Rijks ISAC. Kortom het is een boeiende omgeving waarin veel gebeurt en veel op stapel staat. Ben je nog geen lid van het CSP, wil je een keer komen kennismaken of gewoon op de hoogte gehouden worden van de bijeenkomsten en activiteiten? Laat het weten aan Inez de Fluiter.Mail naar of bel Over dat vakgebied gesproken: in de eerste maanden van dit jaar hebben zich enkele verheugende ontwikkelingen voorgedaan binnen de CIP-samenwerking. Zo konden we de methode Secure Software Development in een eerste versie uitbrengen en op het ibestuurscongres overhandigen aan Dion Kotteman, de nieuwe Rijks-CIO. In lunchsessies, in diverse presentaties en op de sites van een aantal kennispartners is dit verder onder de aandacht gebracht. De methode wordt goed ontvangen. Enkele organisaties zijn gestart met de implementatie. Het Cyber Security Platform (CSP) mag zich verheugen in een flinke belangstelling. Mensen van zo n 25 overheidsorganisaties tonen belangstelling en doen mee. Op 18 maart organiseerde het CSP een bijeenkomst over crisismanagement. Alle aspecten kwamen aan bod: uitrukken als de crisis is uitgebroken (Fox IT), praktijkervaringen van DUO (Dienst Uitvoering Onderwijs), tips van de Taskforce BID, hoe bereid ik mij goed voor op een crisis? (Secure Labs) en ook het interactieve ontbrak niet. Wat doe je als de inchecksystemen op Schiphol weigeren, er opstoppingen ontstaan juist als alle wereldleiders naar Den Haag komen voor een top? (door Capgemini).

3 Het is van enorm groot belang dat we elkaar vertellen wat we doen Wijnand Lodder, algemeen directeur Shared Service Center ICT (SSC-I) en Chief Technology Officer van de Dienst Justitiële Inrichtingen (DJI), vindt het CIP een zeer belangrijk netwerk. Het is een platform waar partijen elkaar kunnen vinden om samen zaken effectief aan te pakken. Dat begint met elkaar leren kennen en elkaar op de hoogte houden van waarmee je op het gebied van informatiebeveiliging bezig bent. SSC-I Het Shared Service Center ICT (SSC-I) is de ICTdienstverlener van de Dienst Justitiële Inrichtingen. SSC-I ontwikkelt, bouwt, implementeert en beheert ICT-werkplekken, applicaties en infrastructuur. Vanuit ervaring binnen het veiligheidsdomein van de rijksoverheid, is SSC-I gespecialiseerd in veilige, betrouwbare en innovatieve ICT-oplossingen. SSC-I is een gedegen organisatie, die goed kan omgaan met bestuurlijke, organisatorische en technologische dynamiek. Supply Board De Supply Board bestaat uit de leveranciers van generieke ICT-diensten binnen de Rijksoverheid. Wijnand Lodder maakt deel uit van de Supply Board die zich in opdracht van de CIO Rijk en de kwartiermaker CTO Rijk, en in het kader van de I-strategie overheid, bezighoudt met generieke rijksbrede ICT-thema s zoals beveiligen van informatie, de samenwerking met de markt en voorzieningen als de Rijkspas, gemeenschappelijke datacenters en de gesloten Rijkscloud. Wijnand is portefeuillehouder Enterprise Mobility Rijk en mede-portefeuillehouder Security. Meer grip op Security 4 5 Veiligheidsketen DJI vervult een rol binnen de veiligheidsketen en heeft daarom contact met Nationale Politie, Dienst Terugkeer en Vertrek (DT&V), Immigratie en Naturalisatie Dienst (IND) en Centraal Orgaan opvang Asielzoekers (COA). Automatisering is van belang in de gegevensuitwisseling tussen deze ketenpartners. Daarom haalt SSC-I in eerste instantie de banden aan met organisaties die qua bedrijfsproces goed aansluiten, zoals DT&V, de IND en het COA. Maar onlangs is in het kader van de Compacte Rijksdienst ook samen met RWS (Rijkswaterstaat) een rekencentrum geopend. Security is basisvoorwaarde Beveiliging is cruciaal. We kunnen het ons als overheid niet permitteren dat onze data gecompromitteerd raken of dat we door virussen belaagd worden, aldus Wijnand. Bovendien is security in mijn visie een basisvoorwaarde om professionele ICT-diensten te kunnen verlenen. Hij hoopt dat de overheid daarin steeds alerter en proactiever gaat worden. Daarom zou hij bijvoorbeeld ook gedeelde SOC (Security Operation Centre) activiteiten toejuichen. Het is goed om na te denken over gezamenlijke knooppunten zodat niet iedereen voor zichzelf alles hoeft in te richten en we ook van elkaars kennis gebruik kunnen maken. Wijnand is erg enthousiast over het CIP-netwerk en ziet het als een kans om concreter te gaan samenwerken in overheidsland. SSC-I is ISO gecertificeerd. Deze norm specificeert eisen voor het implementeren, onderhouden en verbeteren van beveiligingsmaatregelen. De ervaring die hiermee is opgedaan wil Wijnand graag delen met anderen. Vanuit zijn werk voor de Supply Board (zie kader) deelt hij graag informatie over de ontwikkelingen op het gebied van de Rijkswerkplek, een platform voor mobiele apparaten, een oplossing voor Bring Your Own Device en een veilige Rijkscloud. Het is van belang hierin samen op te trekken en het zou zonde zijn als iedereen het wiel voor zichzelf gaat uitvinden. Kortom een uitnodiging om contact met Wijnand Lodder op te nemen! Per mail of telefoon +31(0) Bijna alle grote organisaties maken gebruik van firewalls en voeren regelmatig penetratietesten uit. Desondanks heeft men onvoldoende vat op security, getuige de explosieve groei van incidenten. In de praktijk blijkt dat 75% van die incidenten hun oorzaak vinden in softwarefouten. Software Improvement Group (SIG) ontdekt veel van die softwarefouten in haar advieswerk en constateert dat opdrachtgevers het moeilijk vinden om goed af te stemmen met leveranciers over softwarebeveiliging. Hoe stel je eisen op maat? Hoe blijf je daarover in dialoog met de leverancier? Hoe toets je de softwarekwaliteit? Wat doe je met risico s die overblijven? Bij deze vragen helpt de onlangs door het CIP gelanceerde methode Grip op secure software development (SSD), waar SIG nauw bij betrokken is. Deze methode beschrijft hoe een opdrachtgever grip krijgt op het (laten) ontwikkelen van goed beveiligde software. SIG ziet in de praktijk dat de meeste leveranciers (of ontwikkelafdelingen) uit zichzelf geen security by design toepassen. Dat wordt beter als opdrachtgevers eisen stellen, maar ook dan kunnen leveranciers het laten liggen omdat, onder druk van de zaken waar ze wel op worden afgerekend, niet of nauwelijks inhoudelijk getoetst wordt. Het is dan wachten op een eventuele penetratietest om te zien welke lekken nog moeten worden gedicht. Van structurele security is dan geen sprake. Het is daarom belangrijk om reviews te doen, bij voorkeur vroeg in het ontwikkelproces: laat onafhankelijke experts naar ontwerp, broncode en bouwproces kijken om te zien of op de juiste plaatsen de juiste security best practices zijn doorgevoerd. Kantoor SIG Rembrandt-toren Amsterdam SIG heeft in samenwerking met universiteiten en met subsidie van Economische Zaken een unieke methode ontwikkeld die het beveiligingsniveau van software meet conform ISO Met die methode en speciale tools analyseren SIG-experts (ketens van) systemen om te zien of security goed is ingebouwd en de juiste voorzieningen zijn getroffen - kijkend naar wat daarover is vastgesteld door NCSC, OWASP, CWE/SANS en de BIR. Dit resulteert in meetbare security (1 tot 5 sterren), inzichtelijke risico s en een roadmap die stap voor stap de security verbetert. Bij het doorlichten van de software wordt ook gekeken naar de bouwkwaliteit van het systeem. Immers, naast aanvallen door hackers, vormen fouten door ontwikkelaars de belangrijkste bedreiging. Door software goed in elkaar te zetten wordt voorkomen dat onoplettendheid leidt tot een nieuwe kwetsbaarheid of een datalek. Pas als de bouwkwaliteit onder controle is wordt security houdbaar. Rob van der Veer, Senior Consultant bij SIG

4 6 Op weg naar één normbegrip: al het goede komt in drieën Makkelijker kunnen we het niet maken, handiger wel 7 Wiekram Tewarie heeft wortels in India. Niet zo gek dus dat hij het Hindoeïsme als inspiratiebron heeft gebruikt voor zijn visie op normenkaders. De Hindoeïstische Drieeenheid wordt gevormd door Brahma (schepper), Vishnoe (onderhouder) en Shiva (vernietiger). Oftewel het gaat hier om de oercyclus: geboorte, leven en dood. Al het goede komt in drieën en staat onderling met elkaar in verband. Van normen (best practices en baselines) moet je zeker geen religie maken, maar de hier geschetste cyclus is als principe goed toepasbaar gebleken voor ons begrip van normen. Oercyclus Normen zijn bedoeld om een situatie in de werkelijkheid te beoordelen en handreikingen te doen om die situatie gericht te verbeteren. Het is van belang de relatie tussen beleidsmaker (geboorte), professional/uitvoerder (leven) en auditor (beoordelen, wedergeboorte), oftewel beleid, uitvoering en control, hierin mee te nemen. Veel normenkaders zijn gefragmenteerd of niet geordend, of ze besteden alleen aandacht aan het beleid, of juist alleen aan de uitvoering of control. Daarmee zijn die kaders niet in evenwicht en haal je niet de informatie op die je moet ophalen. Je zult ook zien dat iedere auditor weer met een andere uitslag, als normenset, zal komen, omdat het geen consistent geheel is, aldus Wiekram. Maturity model Samen met de CIP-Domeingroep Normen is Wiekram bezig met een verbeterslag in het denken over normenkaders voor informatiebeveiliging. Kern is dat steeds de drie elementen meegenomen moeten worden bij elk onderwerp dat wordt onderzocht. Onderwerpen zijn bijvoorbeeld: netwerk, toegangsvoorzieningen, applicaties of primaire processen. Naast het goed toepassen van de drie invalshoeken wordt er ook een maturity model ontwikkeld. Je wilt immers niet alleen weten of je aan een bepaalde norm voldoet, maar ook op welk niveau je zit en wat voor jouw situatie het juiste niveau zou zijn, zodat je hierop (indien nodig) een groeiplan kunt zetten. Tijdens de verbouwing blijft de winkel open In dat verband lopen er op dit moment op initiatief van het CIP meerdere ontwikkeltrajecten om normenkaders om te vormen en te verbeteren. Het NCSC-normenkader voor DigiD werd opnieuw uitgeschreven en is nu onder regie van het NCSC in de reviewfase. Het normenkader voor Secure Software Development (SSD) is opgeleverd en is in implementatie bij UWV. Daarmee is al een aantal te onderzoeken elementen zoals toegangsvoorziening en netwerk (NCSC-kader) en applicaties (SSD-kader) op fundamentele wijze beschreven. Uiteraard is het werk hiermee niet af en zullen de kaders steeds bijgewerkt moeten worden naar aanleiding van de laatste ontwikkelingen. Denk bijvoorbeeld aan het gebruik van clouddiensten. Een volgende stap is ook om de algemene VIR/BIR-normenkaders op dezelfde manier een upgrade te geven. Het CIP hanteert hier de aanpak: tijdens de verbouwing blijft de winkel open. Want naast het uitvoeren van de desbetreffende ontwikkeltrajecten wordt er ook gewoon geïmplementeerd. Zo ondersteunt het CIP de implementatie van het SSD-normenkader bij het UWV en trekt het CIP samen op met de Taskforce BID (Bestuur en Informatieveiligheid Dienstverlening) bij het uitrollen van de BIR bij de ZBO s. Daarbij is het voornemen om voor departementen een kick-offdag aan te bieden t.b.v. de onder hen ressorterende ZBO s. Als alles volgens plan is verlopen, heeft de dag voor het ministerie van SZW met SVB en UWV plaatsgevonden op 19 mei. Nadat een aantal grootgebruikers al in 2012 door de molen ging, werd 2013 het jaar waarin overheidsland in brede zin te maken kreeg met verscherpte regelgeving omtrent het gebruik van de DigiD-koppeling. Audits werden verplicht gesteld en aan een reeks van normen moest worden voldaan, op straffe van afsluiting van DigiD. Van de 59 voorgestelde normen in de NCSC-Webrichtlijnen werden er uiteindelijk slechts 28 verplichtend voor de audits. Aanpassing van het normenkader Parallel aan deze operatie heeft het CIP in samenwerking met het NCSC een kwaliteitsslag ingezet. Daarbij zijn de normen op fundamentele wijze herschreven en uitgewerkt. Dit normenkader is bij het ter perse gaan van deze nieuwsbrief in externe review bij een aantal stakeholders (Logius, auditberoepsgroep Norea, etc). De nieuwe versie van het normenkader (ambitie is om die in te voeren voor de audits van 2015) zorgt voor meer duidelijkheid op het niveau van beleid, uitvoering en control. Daarnaast betekent het een stap op weg naar een meer eenduidig normbegrip door de dienstverleningsketens heen. Uiteindelijk is dat dan dienstbaar aan de vergroting van het vertrouwen van de afnemers in de (digitale) overheid. Ontwerper van de methode (SIVA genoemd) is Wiekram Tewarie. Als trekker van de CIP-domeingroep Normen is hij de motor van de ontwikkeling om normenkaders fundamenteler in te delen. Informatiebeveiliging meetbaar maken B-Able is als kennispartner actief in de domeingroep normen en kon vanuit de praktijk bijdragen aan de ontwikkeling. Mede door het testen van een praktijkcase bij de gemeente Etten-Leur (zie het KING-artikel: is er ook vanuit een praktische insteek gekeken naar het normenkader. Juist vanuit die praktijktoepassing werd duidelijk waar de knelpunten zaten en konden leereffecten worden meegenomen. B-Able heeft veel ervaring met de vertaling van theoretische kaders naar praktisch werkbare methoden en technieken. Doordat organisaties vaak beperkt in control zijn, kosten (verplichte) audits vaak veel tijd. Om een en ander beter op orde te krijgen heeft B-Able een applicatie ontwikkeld die methodisch auditen en verslagleggen afdwingt. Deze applicatie, genaamd SecuriMeter, zorgt enerzijds voor het inzichtelijk maken en meten van het niveau van informatiebeveiliging, anderzijds voor verslaglegging. Hiermee kan ook de actuele status van wet- en regelgeving inzichtelijk worden gemaakt. Niet alleen het huidige DigiD normenkader (inclusief de uitgevoerde audits) is hierin opgenomen, maar ook het nieuwe normenkader op basis van het SIVA-raamwerk. De SecuriMeter is tevens gebruikt voor het testen van dit nieuwe normenkader. Naast het DigiD-normenkader zijn ook de BIG, BIR, WIBA, GBA, BAG, VIRBI en Suwinet in de SecuriMeter opgenomen en is het mogelijk om uitbreidingen te doen met andere normenkaders. Denk bijvoorbeeld aan de Nederlandse Bank normen of ISO27001/2. Het uiteindelijke doel is om informatiebeveiliging in de keten ordentelijk te organiseren en te auditen. Dit dient op dusdanige wijze te geschieden dat het proces van zelfregulering consistent in de organisatie en binnen ketens wordt verankerd. Daarmee wordt bijgedragen aan de verhoging van de informatieveiligheid van de overheidsdienstverlening en - in het verlengde - aan het vertrouwen van de afnemer in die dienstverlening. Bij de implementaties van de BIR worden nu de normenkaders in de huidige vorm gehanteerd. Op het moment dat belangrijke onderdelen van de BIR in de nieuwe vorm gereed zijn, worden die aangeboden om mee te nemen. Ze kunnen dan gebruikt worden als nadere aanscherping en verduidelijking. Door de tijd heen ontwikkelt zich zo een geleidelijke beweging naar één begrip van normen binnen de overheid. Sjoerd Postuma Business Information Security Consultant bij B-Able

5 8 Grip op Secure Software Development: in contact en in control Wat is er mooier dan dat applicaties bij het ontwerp al veilig zijn. Des te eerder in het proces beveiligingseisen worden meegenomen des te beter. In samenwerking tussen het CIP en UWV is onder leiding van Ad Kint (Projectmanager CIP/UWV) en Marcel Koers (Senior Enterprise Architect CIP) een methode ontwikkeld die dit mogelijk maakt. De methode beslaat het complete voortbrengingsproces van software en is gestoeld op drie pijlers. 1. Contactmomenten In het traject van opdracht tot compleet product zijn er meerdere contactmomenten. Dan is er mogelijkheid tot waarnemen en desgewenst bijsturen. 2. Standaardiseren van beveiligingseisen Het standaardiseren van eisen zorgt ervoor dat deze niet bij ieder project of iedere release opnieuw vastgesteld hoeven te worden. 3. SSD-processen Het zorgen voor beschikbaarheid van middelen, menskracht en een visie op wat bereikt moet worden. Practitioners gezocht Om de droom van verspreiding van de SSD- methode te laten uitkomen heeft het SSD- team het plan opgevat om een Practitioner Board te gaan starten die regelmatig bij elkaar gaat komen om kennis te delen en toevoegingen en aanpassingen op de methode te verzamelen en door te voeren. Heb je hier interesse voor? Meld je dan aan! Eén taal, één normenset en één methode De droom van het SSD-team is het bereiken van één taal, één normenset en één methode in overheidsland. Veel overheidsorganisaties hebben immers dezelfde leveranciers en het gelijk trekken van normen kan veel efficiency voordelen opleveren. Daarnaast is dit ook een verbeterslag voor auditors. Het SSD- team organiseerde op 24 maart een bijeenkomst om enerzijds uitleg te geven over de methode en anderzijds kennis en ideeën uit te wisselen met belangstellenden van zoveel mogelijk overheidsorganisaties. Ruim 30 mensen waren naar het hoofdkantoor van UWV gekomen om aan deze sessie deel te nemen. Ook José Lazeroms was aanwezig namens het bestuur van het CIP en UWV. Het SSD- team had een enerverend en druk programma voorbereid. Rob van der Veer, van CIP kennispartner SIG (Software Improvement Group) nam het gezelschap om te beginnen mee in de spraakverwarring die er nogal eens ontstaat rondom beveiligingseisen aan software. De applicatieleverancier denkt dat de hostingleverancier het regelt, of andersom. Of begrippenkaders blijken niet op elkaar aan te sluiten. Danwel gaat de opdrachtgever ervan uit dat een pentest aan het eind toch meer dan voldoende is. In een interactief vervolg komen we erachter hoe de situatie, bij de organisaties die zijn vertegenwoordigd, er aan toe is. Wie heeft zijn kader op orde? Wie toetst er nu wat en wat zijn daar de belemmeringen bij? Met oranje en blauwe stemkaarten kunnen de aanwezigen aangeven of iets bij hen wel of niet geregeld is. Dit leidt tot goede interactie en een levendige discussie. het SSD-implementatieteam met sponsor José (bestuur CIP en UWV). Van links naar rechts: Arie Franke, Ad Kint, Marcel Koers, José Lazeroms, Rob van der Veer, Bas Weber en Patrick van Grevenbroek Daarna neemt Marcel Koers het stokje over en licht de methode nader toe. SSD kan helpen doordat het ondersteunt bij het maken van concrete afspraken. Het stimuleert het helder maken van de taakverdeling tussen klantorganisatie en leverancier. Daarnaast zet het aan tot prioriteren doordat wordt nagedacht over welke risico s wel of niet acceptabel zijn, en op welke risico s maatregelen moeten worden ingezet. Het geeft ook inzicht in welke partijen en/of afdelingen beter of slechter scoren. Tot slot helpt het kader bij het vaststellen van het volwassenheidsniveau en helpt het bij de groei naar een hoger niveau. Hier voegt Wiekram Tewarie nog aan toe dat deze methode zowel duidelijkheid schept over het beleid, de uitvoering als de controle op het toepassen van beveiligingseisen bij softwareontwikkeling. Trainingen Voor implementatie op de werkvloer is voor de SSDnormen een ICT security training en een Awareness training ontwikkeld. Deze zal op korte termijn beschikbaar gesteld worden. Neem voor meer informatie contact op met Ad Kint of Marcel Koers. Implementatie bij UWV: gewoon doen Tot slot leggen Ad Kint (Projectmanager), Bas Weber (teammanager functioneel ontwerp en beheer UWV), Arie Franke (leveranciersmanagement UWV) en Patrick van Grevenbroek (Testservicecenter UWV) uit hoe de implementatie van de SSD- methode bij UWV tot nu toe verloopt. Omdat UWV een complexe IV-keten heeft met 1200 medewerkers is ervoor gekozen om de implementatie te gaan aanzetten door met de leveranciers die de sofware bouwen concrete afspraken te maken. Dit is heel open ingestoken. Leveranciers hebben de mogelijkheid gekregen te reageren en feedback te geven op de af te spreken normen. Vervolgens is een datum vastgesteld vanaf wanneer er op de eisen getoetst zou gaan worden. Bas Weber vertelt hoe hij met zijn team van functioneel ontwerpers en beheerders gewoon aan de slag is gegaan om de methode te bespreken en hun contactpersonen bij de leveranciers te betrekken. Hij houdt de lijntjes kort, gaat aan de slag en stelt gaandeweg bij. Het Testservicecenter toetst of bij oplevering van de software aan de eisen is er voldaan en voert ook een aantal eigen testen uit. 9

6 10 Informatiebeveiliging bij de Rijksdienst Uitgangspunten en regelgeving De overheid beschikt over en bewerkt veel en gevoelige informatie van burgers en is net als andere organisaties kwetsbaar als het gaat om haar (digitale) dienstverlening. Dat is een reden om de informatiehuishouding en de beveiliging daarvan goed op orde te hebben. Daarvoor heeft de Rijksdienst sinds 1994 het (in 2007 geactualiseerde) Voorschrift Informatiebeveiliging Rijksdienst (VIR) tot haar beschikking. Het VIR regelt de verantwoordelijkheden voor informatiebeveiliging binnen de Rijksdienst en wijze waarop de rijksoverheid omgaat met de beveiliging van haar informatie. Belangrijke elementen zijn de verantwoordelijkheid van de lijnmanager en de verplichte risicoafweging die deze voor zijn processen en informatiesystemen moet uitvoeren. Naast het VIR is ook een Baseline Informatiebeveiliging Rijksdienst (BIR 2012) opgesteld ter vervanging van vijf rijksbrede normen en de baselines van de ministeries en hun uitvoeringsorganisaties. Op basis van een globale risicoanalyse is het basis- beveiligingsniveau vastgesteld waaraan elk systeem binnen de rijksoverheid moet voldoen. De BIR is gebaseerd op de ISO27001 en ISO27002, en geeft op een aantal plekken nadere invulling aan de ISO-normen. De BIR biedt bescherming voor het vertrouwelijkheidsniveau Departementaal vertrouwelijk en WBP risicoklasse 2, zodat de meeste informatiesystemen voldoende aan de BIR hebben. Quick Scan; is de BIR voor deze situatie voldoende? Nee Risicoanalyse Ja Optimaal BIR + Extra maatregelen Implementatie van de BIR De ministeries en de daaronder vallende uitvoeringsorganisaties hebben afgesproken per 1 januari 2014 de BIR te gaan implementeren. Het betreft een traject van zo n anderhalf a twee jaar. De ministeries zijn voor deze implementatie zelf verantwoordelijk. Wat hierbij helpt/heeft geholpen, is dat tijdens de totstandkoming van de BIR en gedurende het gehele implementatietraject er continu nauw contact plaats heeft gevonden met en tussen de ministeries. Denk hierbij bijvoorbeeld aan het uitwisselen van best practices. Om te toetsen of de ministeries daadwerkelijk stappen zetten bij de implementatie van de BIR worden dit jaar (en ook de volgende jaren) bij de ministeries audits uitgevoerd op vijf thema s uit de BIR. Gestart is met proefaudits bij een kerndepartement en een Shared Service Centrum. De audits staan dit jaar vooral in het teken van leren. Ook zal het instrument van peer reviews worden ingezet voor een enkel thema en enkele organisaties. De QuickScan BIR De Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) ontwikkelt samen met organisaties binnen de verschillende overheidslagen een gericht opleidingsaanbod en concrete verankeringsinstrumenten voor informatieveiligheid. Dit heeft als doel het, mede hierdoor, realiseren van een zichtbare én meetbare verandering binnen overheidsorganisaties als het gaat om risicobewust handelen en gericht sturen op informatieveiligheid. Dat zijn handige handvatten voor bestuur en topmanagement waarmee zij in staat zijn om te meten of de eigen organisatie in control is op het gebied van informatiebeveiliging. Eén van die handvatten is de QuickScan BIR (QS BIR), Afweging maatregelen (lijnmanager) Maatregelen BIR Acceptatie restrisico (lijnmanager) die het Directoraat-generaal Organisatie en Bedrijfsvoering Rijk (DGOBR) van het Ministerie van BZK en de Taskforce BID gezamenlijk hebben ontwikkeld. Het instrument is ontworpen op basis van ervaringen binnen de departementen van de rijksoverheid. De QSBIR kan ook bruikbaar gemaakt worden voor de andere overheidslagen. Doel van de Quickscan BIR Risicomanagement is bij de Rijksdienst het uitgangspunt van de informatiebeveiliging. Voor de meeste processen en hun informatiesystemen is het beveiligingsniveau van de BIR voldoende. Om dit snel en eenvoudig te kunnen vaststellen is de QuickScan BIR ontwikkeld. De Quickscan BIR stelt de manager in staat om in een sessie van hooguit twee uur, stapsgewijs tot een afgewogen en te verantwoorden oordeel te komen of de desbetreffende risico s voldoende door de BIR worden afgedekt. Vanuit het inzicht in de belangen van zijn of haar proces neemt de manager een beslissing of het beveiligingsniveau van de BIR voldoende is. Aansluiting met de IRAM risicoanalyse methodiek De QuickScan BIR heeft aansluiting met de binnen de rijksoverheid veel gebruikte IRAM risicomanagementmethodiek. IRAM is een risicoanalysemethode die kan worden toegepast voor processen en informatiestromen in een organisatie en voor signalering van beveiligingsrisico s in de voorfase van een ICT-ontwikkelingsproject. Blijkt uit de Quickscan, dat de BIR niet voldoende bescherming biedt en een diepgaandere risicoanalyse nodig is, dan kan met hergebruik van de verzamelde informatie worden overgestapt naar IRAM. Stappen voor risicoanalyse uit de BIR Momenteel werken DGOBR en de Taskforce met ervaringsdeskundigen uit de verschillende ministeries aan parametrisering van IRAM voor de Rijksdienst, zodat de beoordelingselementen/risico s beter aansluiten bij die van de Rijksdienst. Als voorbeeld: van dalende aandelenkoersen heeft de overheid geen last; wel bestaat het risico, dat een minister zich bij de Tweede Kamer moet verantwoorden. Bundeling van jarenlange ervaringen Door de bundeling van de jarenlange ervaringen van de departementen met soortgelijke instrumenten, heeft de overheid met de ontwikkeling van de QuickScan BIR straks één gemeenschappelijk toepasbaar instrument in handen. Het betreft een instrument dat een wezenlijke bijdrage levert aan de onderlinge afstemming van de beveiligingsniveaus binnen de overheid. Vragen? Voor vragen naar aanleiding van dit bericht, kunt u terecht bij Carl Adamse via of Fred van Noord via Mijn naam is Eric Nieuwland, getrouwd, vader van twee, en inmiddels opa van één. Na een studie informatica aan de UvA ben ik aan de slag gegaan binnen de IT. Eerst als onderzoeker, beheerder en ontwikkelaar, later ook als consultant en EDPauditor. Sinds maart 2006 werk ik voor Inspearit te Bilthoven (ook bekend van de Cibit academy). Wat mij in dit werk fascineert is dat we heel goed in staat zijn om steeds complexere systemen te bedenken en ontwikkelen, maar dat het maar mondjesmaat lukt om de betrouwbaarheid te verbeteren. Dat zie ik terug in de kwaliteit van programmatuur, beheer, beveiliging en informatie. Projecten waarin die aspecten een rol spelen hebben mijn voorkeur. Toen het CIP mij vroeg om mee te werken aan de domeingroep Normen, hoefde ik dan ook niet lang na te denken. Gelukkig laat dit werk zich goed combineren met mijn andere werkzaamheden, dus dat was snel geregeld. Mijn hoop is dat we in staat blijken iets neer te zetten wat voor managers en techneuten begrijpelijk is, wat bouwers en auditors op het goede spoor zet en wat daarmee de basis kan vormen voor een vertrouwde (digitale) samenwerking. 11

Jaarverslag 2013. Amsterdam, 10 januari 2014 Ad Reuijl

Jaarverslag 2013. Amsterdam, 10 januari 2014 Ad Reuijl Jaarverslag 2013 Amsterdam, 10 januari 2014 Ad Reuijl 1. Inhoud Jaarverslag 2013... 1 1. Inhoud... 2 2. Inleiding... 3 3. In 2013 opgeleverde en onderhanden producten... 3 4. Conferenties... 3 5. Overige

Nadere informatie

Grip op Secure Software Development

Grip op Secure Software Development Titel Grip op Secure Software Development De opdrachtgever aan het stuur Marcel Koers 27 mei 2014 Grip op Secure Software Development 1 CIP: Netwerkorganisatie Kennispartners Participanten Vaste kern DG

Nadere informatie

IB-Governance bij de Rijksdienst. Complex en goed geregeld

IB-Governance bij de Rijksdienst. Complex en goed geregeld IB-Governance bij de Rijksdienst Complex en goed geregeld Even voorstellen Carl Adamse Even voorstellen Frank Heijligers Bestaat de Rijksdienst Ministeriële verantwoordelijkheid Grondwet art. 44 lid 1

Nadere informatie

BrandID Centrum Informatiebeveiliging en Privacybescherming (CIP)

BrandID Centrum Informatiebeveiliging en Privacybescherming (CIP) VERANDEREN IS GEEN KUNST VERBETEREN WEL Een onderzoek onder de deelnemers aan de CIP Voorjaarsconferentie 2014 Renee van Beckhoven Inez de Fluiter BrandID Centrum Informatiebeveiliging en Privacybescherming

Nadere informatie

Grip op Secure Software Development de rol van de tester

Grip op Secure Software Development de rol van de tester Grip op Secure Software Development de rol van de tester Rob van der Veer / Arjan Janssen Testnet 14 oktober 2015 Even voorstellen.. Arjan Janssen Directeur P&O DKTP a.janssen@dktp.nl DKTP is gespecialiseerd

Nadere informatie

Praktisch omgaan met Privacy & Security en het Wbp

Praktisch omgaan met Privacy & Security en het Wbp 2-daagse praktijktraining Praktisch omgaan met Privacy & Security en het Wbp Programma Praktisch omgaan met Privacy & Security en het Wbp De training Praktisch omgaan met Privacy & Security en het Wbp

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development

Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development Veilige software door marktbrede samenwerking Ad Reuijl Sogeti 23 juni 2015 CIP: Centrum voor Informatiebeveiliging

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

BABVI/U201300696 Lbr. 13/057

BABVI/U201300696 Lbr. 13/057 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatiebeveiliging uw kenmerk ons kenmerk BABVI/U201300696 Lbr. 13/057 bijlage(n) datum 6 juni 2013 Samenvatting

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

makkelijke en toch veilige toegang

makkelijke en toch veilige toegang voor wie? makkelijke en toch veilige toegang Matthijs Claessen Nausikaä Efstratiades Eric Brouwer Beurs Overheid & ICT 2012 Graag makkelijk voor ons allemaal: 16,7 miljoen inwoners (burgers)! waarvan meer

Nadere informatie

Factsheet SECURITY CONSULTANCY Managed Services

Factsheet SECURITY CONSULTANCY Managed Services Factsheet SECURITY CONSULTANCY Managed Services SECURITY CONSULTANCY Managed Services We adviseren u over passende security-maatregelen voor uw digitale platform. Zo helpen we u incidenten als datadiefstal

Nadere informatie

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 Anita van Nieuwenborg Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 De IBD Gezamenlijk initiatief VNG en KING Opgericht vanuit behoefte van gemeenten aan coördinatie en ondersteuning

Nadere informatie

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042 Brief aan de leden T.a.v. het college en de raad 2 3 MEI 28H Vereniging van Nederlandse Gemeenten informatiecentrum tel. (070) 373 8393 uw kenmerk bījlage(n) betreft Voortgang Informatieveiligheid ons

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal INFORMATIEVEILIGHEID een uitdaging van ons allemaal PUBLIEKE DIENSTVERLENING & INFORMATIEVEILIGHEID noodzakelijke kennis of onnodige ballast? Informatieveiligheid een uitdaging van ons allemaal Start Publieke

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag > Retouradres Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Directoraat Generaal Bestuur en Koninkrijksrelaties Burgerschap en Informatiebeleid www.rijksoverheid.nl

Nadere informatie

Aanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner. sergej.katus@pmpartners.nl www.pmpartners.nl

Aanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner. sergej.katus@pmpartners.nl www.pmpartners.nl Aanscherping WBP Meldplicht datalekken Mr S.H. Katus, CIPM Partner sergej.katus@pmpartners.nl www.pmpartners.nl PMP in het kort Privacy Management Partners Het eerste DPO-bureau van Nederland Data Protection

Nadere informatie

Factsheet DATALEKKEN COMPLIANT Managed Services

Factsheet DATALEKKEN COMPLIANT Managed Services Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.

Nadere informatie

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015 De Meldplicht Datalekken mr. N. Falot 8 oktober 2015 Over Considerati Wij zijn het leidend juridisch adviesbureau gespecialiseerd in Privacy, ICT recht en Beleidsvraagstukken Uitgebreide ervaring met privacy

Nadere informatie

We helpen u security-incidenten te voorkomen

We helpen u security-incidenten te voorkomen Managed Services Managed Services We adviseren u over passende security-maatregelen voor uw digitale platform. Zo helpen we u incidenten als datadiefstal te voorkomen en behoeden we u voor imagoschade.

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst

Nadere informatie

Het sociale platform voor je organisatie

Het sociale platform voor je organisatie Het sociale platform voor je organisatie Laat de chaos achter je Tientallen CC tjes op een dag, maar nog steeds niet op de hoogte? Een dagelijkse zoektocht naar verdwenen documenten, specifieke informatie

Nadere informatie

Informatie over onze vereniging

Informatie over onze vereniging Informatie over onze vereniging Editie 2014 Uitgebreide en actuele informatie op www.cio-platform.nl CIO Platform Nederland, mei 2014 Informatie over onze vereniging - CIO Platform Nederland mei 2014 Inhoudsopgave

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Dé cloud bestaat niet. maakt cloud concreet

Dé cloud bestaat niet. maakt cloud concreet Dé cloud bestaat niet. maakt cloud concreet 1 Wilbert Teunissen wilbert.teunissen@sogeti.nl Cloud Cases Strategie De rol van Functioneel Beheer 2 Onderwerpen 1. Context? Hug 3. the Impact cloud! FB 2.

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Grip op. Secure Software Development

Grip op. Secure Software Development Titel Grip op Voorkom zwakheden in de software en daarmee 75 % incidenten Secure Software Development De opdrachtgever aan het stuur Lunchsessie 7 april 2014 Grip op Secure Software Development 1 Grip

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Ter info (AB) Afdeling: Team: Bedrijfsbureau Beh.door: Bos, M.G. Port.houder: DB, Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Memo Informatiebeveiliging Inleiding Met

Nadere informatie

Jaarverslag 2014 & outlook 2015

Jaarverslag 2014 & outlook 2015 Jaarverslag 2014 & outlook 2015 Amsterdam, 7 januari 2015 Ad Reuijl 1. INHOUD 1. Inhoud... 2 2. Highlights 2014... 3 3. Beschikbare producten pu. 31 december 2014... 4 4. Activiteiten i.k.v. Kennisdeling

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag www.rijksoverheid.nl www.facebook.com/minbzk www.twitter.com/minbzk Uw kenmerk 2016Z05065 Datum Betreft Beantwoording

Nadere informatie

Factsheet COOKIE COMPLIANT Managed Services

Factsheet COOKIE COMPLIANT Managed Services Factsheet COOKIE COMPLIANT Managed Services COOKIE COMPLIANT Managed Services Mirabeau helpt u de cookiewetgeving op de juiste manier te implementeren. Zo geven we uw online omgeving een betrouwbare uitstraling

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van

Nadere informatie

Privacy: Compliance en Governance Hoe kan privacy binnen de organisatie worden geoptimaliseerd?

Privacy: Compliance en Governance Hoe kan privacy binnen de organisatie worden geoptimaliseerd? Privacy: Compliance en Governance Hoe kan privacy binnen de organisatie worden geoptimaliseerd? Mei 2014 I. Privacy als risico voor uw organisatie Veel bedrijven verwerken persoonsgegevens om bepaalde

Nadere informatie

ECIB/U201501573 Lbr. 15/079

ECIB/U201501573 Lbr. 15/079 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 uw kenmerk bijlage(n) betreft Privacy: de Europese Algemene Verordening Gegevensbescherming & de Meldplicht Datalekken

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Henk Wesseling

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Henk Wesseling INFORMATIEVEILIGHEID een uitdaging van ons allemaal Henk Wesseling Wake Up Call http://www.youtube.com/watch?v=f7pyhn9ic9i&sns=em Leverancier gehacked Remote Bediening door een hacker Gemalen in Veere

Nadere informatie

ons kenmerk ECIB/U201600732 Lbr. 16/046

ons kenmerk ECIB/U201600732 Lbr. 16/046 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Ontwikkelingen informatieveiligheid Samenvatting uw kenmerk ons kenmerk ECIB/U201600732 Lbr. 16/046 bijlage(n)

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

Informatiebeveiliging gemeenten. KPN logische partner bij invoering en uitvoering

Informatiebeveiliging gemeenten. KPN logische partner bij invoering en uitvoering Informatiebeveiliging gemeenten KPN logische partner bij invoering en uitvoering 2 Informatiebeveiliging is en blijft een hot issue, want de digitalisering neemt nog steeds toe. Ook binnen gemeenten. Sinds

Nadere informatie

Privacy Impact Assessments: Wat is het, hoe doe je het en hoe pak je het aan?

Privacy Impact Assessments: Wat is het, hoe doe je het en hoe pak je het aan? Privacy Impact Assessments: Wat is het, hoe doe je het en hoe pak je het aan? Privacyvraagstukken als risico voor uw project De laatste jaren is er veel te doen rondom het onderwerp privacy. De onthullingen

Nadere informatie

BIR comply or explainprocedure

BIR comply or explainprocedure BIR comply or explainprocedure Datum: 7 januari 2014 Versie: 1.0 Inleiding In 2012 is de Baseline Informatiebeveiliging Rijksdienst (BIR) van kracht geworden. De Baseline gaat uit van een comply or explain

Nadere informatie

Training en workshops

Training en workshops Mirabeau Academy HACKING OWASP TOP 10 Training en workshops MIRABEAU ACADEMY AHEAD IN A DIGITAL WORLD Digitaal denken zit in onze code. We weten exact wat er online speelt. Sinds 2001 ontwikkelen we platformen

Nadere informatie

Privacy Impact Assessment

Privacy Impact Assessment Privacy Impact Assessment Privacy risico s en inschattingen Privacybescherming staat in toenemende mate in de belangstelling. Voor een groeiend aantal bedrijven is het zorgvuldig omgaan met persoonsgegevens

Nadere informatie

o n k Ö A fia* V/ \ ^ * f

o n k Ö A fia* V/ \ ^ * f - JAGT_P_U201300696.docx - 20130606_ledenbri... http://www.vng.nl/files/vng/brieven/2013/20130606_ledenbrief_inf.. o n k Ö A fia* V/ \ ^ * f 6 JUNI 2013 U,< v ~. ^. Vereniging van 1 Nederlandse Gemeenten

Nadere informatie

Het Sebyde aanbod. Secure By Design

Het Sebyde aanbod. Secure By Design Het Sebyde aanbod Secure By Design Ons aanbod Security Scan Secure Development Security Awareness Security Assessment 1. Security Scan > Scan van uw web applicatie(s) op kwetsbaarheden. Hiervoor gebruiken

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013 Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013 Wat en wie is Andarr? Wij zijn dé partner voor waardevaste ICT transities / migraties. Wij helpen organisaties om blijvend

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VERSLAG PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Verslag PIA Versienummer 1.0 Versiedatum April 2014

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag > Retouradres Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Directoraat Generaal Bestuur enkoninkrijksrelaties Turfmarkt 147 Den Haag www.facebook.com/minbzk

Nadere informatie

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van NORA-3. Het bevat doelen, de Ist en Soll situatie van het NORA katern beveiliging en als laatste sheet de producten die

Nadere informatie

College Tour Informatieveiligheidbeleid. 11 oktober 2013 DEN HAAG

College Tour Informatieveiligheidbeleid. 11 oktober 2013 DEN HAAG College Tour Informatieveiligheidbeleid 11 oktober 2013 DEN HAAG Vereniging van Nederlandse Gemeenten Agenda 1. Maatschappelijke vraagstukken Patrick van Domburg, Wethouder Gemeente Zoetermeer 2. Informatievoorzieningen

Nadere informatie

Veilig mobiel werken. Workshop VIAG 7 oktober 2013

Veilig mobiel werken. Workshop VIAG 7 oktober 2013 1 Veilig mobiel werken Workshop VIAG 7 oktober 2013 Stelling 1: 2 Heeft u inzicht in de opbrengsten van mobiel werken Ja, dit biedt veel toegevoegde waarde voor de organisatie Ja, dit biedt geen toegevoegde

Nadere informatie

Taskforce Informatiebeveiligingsbeleid.

Taskforce Informatiebeveiligingsbeleid. Taskforce Informatiebeveiligingsbeleid. Cursus 1 2015-2016 plus overnachting Aanleiding: Om het deskundigheidsniveau van instellingen te vergroten, zal een masterclass Privacy georganiseerd worden. Deze

Nadere informatie

De Compacte Rijksdienst

De Compacte Rijksdienst De Compacte Rijksdienst Veranderingen in het ITlandschap; wat betekent dat voor de markt? Leveranciersdag 1 november 2011 Jan Flippo DG Organisatie en Bedrijfsvoering Rijk Directie Informatievoorziening

Nadere informatie

! Samenvatting vergadering stuurgroep Operatie BRP van 27 maart 2014

! Samenvatting vergadering stuurgroep Operatie BRP van 27 maart 2014 Operatie BRP Jaargang 2014, nummer 3, 1 april 2014 Samenvatting vergadering stuurgroep Operatie BRP van 27 maart 2014 Onderwerpen waarover de stuurgroep heeft gesproken De stuurgroep heeft op 27 maart

Nadere informatie

Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u?

Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u? Nieuwe Privacywetgeving per 1-1-2016. Wat betekent dit voor u? Inleiding De Wet Bescherming Persoonsgegevens (WBP) is de Nederlandse wetgeving die sinds 2001 van kracht is voor het beschermen van de privacy

Nadere informatie

Digitale zelfbeschikking biedt uw burgers controle, overzicht en inzicht

Digitale zelfbeschikking biedt uw burgers controle, overzicht en inzicht Digitale zelfbeschikking biedt uw burgers controle, overzicht en inzicht Alstublieft, een cadeautje van uw gemeente! Maak gebruik van het Nieuwe Internet en geef uw burgers een eigen veilige plek in de

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Learn and Share bijeenkomst Informatieveiligheid, Rheden

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Learn and Share bijeenkomst Informatieveiligheid, Rheden INFORMATIEVEILIGHEID een uitdaging van ons allemaal Learn and Share bijeenkomst Informatieveiligheid, Rheden George van Heukelom Hackers bedienen containers in Antwerpen Remote bediening door een hacker

Nadere informatie

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2014 2015 26 643 Informatie- en communicatietechnologie (ICT) Nr. 333 LIJST VAN VRAGEN EN ANTWOORDEN Vastgesteld 7 november 2014 De vaste commissie voor

Nadere informatie

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP)

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Samenvatting De minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft in de Tweede Kamer toegezegd de broncode

Nadere informatie

Privacy aspecten van apps

Privacy aspecten van apps Privacy aspecten van apps mr. Peter van der Veen Senior juridisch adviseur e: vanderveen@considerati.com t : @pvdveee Over Considerati Considerati is een juridisch adviesbureau gespecialiseerd in ICT-recht

Nadere informatie

12 mei 2016. www.infotraining.nl. ééndaagse workshop. Nieuwe eisen omtrent databescherming! Ontdek alle ins & outs op deze praktijkgerichte workshop

12 mei 2016. www.infotraining.nl. ééndaagse workshop. Nieuwe eisen omtrent databescherming! Ontdek alle ins & outs op deze praktijkgerichte workshop ééndaagse workshop 12 mei 2016 POSTILLION HOTEL BUNNIK Nieuwe eisen omtrent databescherming! Ontdek alle ins & outs op deze praktijkgerichte workshop www.infotraining.nl Is uw databeleid gereed voor 2016?

Nadere informatie

NORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013

NORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013 NORA werkdocument Sessie 4 In stappen naar een BBO Baseline Beveiliging Overheid Bijgewerkte versie 10 april. 2013 katern Beveiliging Jaap van der Veen Agenda Sessie 4 1. Terugkoppeling afstemming met

Nadere informatie

Grip op uw bedrijfscontinuïteit

Grip op uw bedrijfscontinuïteit Grip op uw bedrijfscontinuïteit Hoe omgaan met risico s 1 Grip op uw bedrijfsdoelstellingen: risicomanagement Ondernemen is risico s nemen. Maar bedrijfsrisico s mogen ondernemen niet in de weg staan.

Nadere informatie

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015 Anita van Nieuwenborg Teamleider IBD Stand van zaken IBD Regiobijeenkomsten juni-juli 2015 Agenda IBD in de praktijk Terugblik Ontwikkelingen Leveranciersmanagement Meldplicht datalekken IBD producten-

Nadere informatie

Meer waarde creëren. Assetmanagement op maat

Meer waarde creëren. Assetmanagement op maat Meer waarde creëren Assetmanagement op maat Zo maken wij assetmanagement toepasbaar Met de toolbox Zeven bouwstenen van professioneel assetmanagement maken we de ISO55000 toepasbaar voor u. Belanghebbenden

Nadere informatie

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013. Anita van Nieuwenborg

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013. Anita van Nieuwenborg INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013 Anita van Nieuwenborg Agenda 1. De IBD 2. Doelen van de IBD 3. Dienstverlening van de IBD 4. Aansluiting bij de IBD 5. Vragen 2 1. De IBD

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe Leguit

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe Leguit INFORMATIEVEILIGHEID een uitdaging van ons allemaal Douwe Leguit Wake Up Call http://www.youtube.com/watch?v=f7pyhn9ic9i&sns=em Leverancier gehacked Onbereikbaarheid door DDoS aanvallen op websites Verlies

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen aangekondigd in de wetgeving met betrekking tot de privacy

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Werkboek Publieke Dienstverlening. Werken aan de totstandkoming

Werkboek Publieke Dienstverlening. Werken aan de totstandkoming Werkboek Publieke Dienstverlening Werken aan de totstandkoming December 2011 WERKEN AAN MET EEN DOEL VOOR OGEN ASPIRATIE EN INSPIRATIE SAMENWERKEN AAN ÉÉN GEZICHT NAAR BUITEN GEWAARDEERDE PUBLIEKE DIENSTVERLENING

Nadere informatie

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Contractmanagement Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Ministerie van BZK Kenmerk Uw kenmerk

Ministerie van BZK Kenmerk Uw kenmerk > Retouradres Postbus 20011 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Ministerie van BZK Turfmarkt 147 Den Haag Postbus 20011 2500 EA Den

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

Privacy management. Scope privacy Wet op de administratieve organisatie 07-10-15. Privacy. ü Meldplicht datalekken ü Uitbreiding boetebevoegdheden CBP

Privacy management. Scope privacy Wet op de administratieve organisatie 07-10-15. Privacy. ü Meldplicht datalekken ü Uitbreiding boetebevoegdheden CBP Privacy management ü Meldplicht datalekken ü Uitbreiding boetebevoegdheden CBP Mr S.H. Katus, CIPM Partner sergej.katus@pmpartners.nl www.pmpartners.nl Scope privacy Wet op de administratieve organisatie

Nadere informatie

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Toelichting op GAP-analyse Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

BABVI/U201200230 Lbr. 12/015

BABVI/U201200230 Lbr. 12/015 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8020 Betreft DigiD en ICT-beveiliging uw kenmerk ons kenmerk BABVI/U201200230 Lbr. 12/015 bijlage(n) 0 datum 07 februari

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Business Continuity Management conform ISO 22301

Business Continuity Management conform ISO 22301 Business Continuity Management conform ISO 22301 Onderzoek naar effecten op de prestaties van organisaties Business continuity management gaat over systematische aandacht voor de continuïteit van de onderneming,

Nadere informatie

Business case Digikoppeling

Business case Digikoppeling Business case Digikoppeling Versie 1.0 Datum 02/06/2014 Status Definitief Van toepassing op Digikoppeling versies: 1.0, 1.1, 2.0, 3.0 Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900

Nadere informatie

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Implementatie BIR Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Brochure HC&H Masterclasses

Brochure HC&H Masterclasses Brochure HC&H Masterclasses & Masterclass Informatiebeveiliging & Masterclass Proces en Informatiemanagement & Masterclass Klantgericht werken & Masterclass Functioneel Beheer & Masterclass Inkoop ICT

Nadere informatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie DIENST Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie Advies over en ondersteuning bij het initieel inrichten/optimaliseren

Nadere informatie

Ik ga het niet doen, en mijn mensen ook niet!

Ik ga het niet doen, en mijn mensen ook niet! Ik ga het niet doen, en mijn mensen ook niet! Wat zijn de belangrijkste eisen en uitdagen van jouw organisatie in de komende 6 maanden? Welke kritische succesfactoren worden er gesteld? Waar liggen de

Nadere informatie

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging Het ICT-Beveiligings- i assessment DigiD & Informatiebeveiliging De aanleiding 2011: Diginotar 2011: Lektober En ook: 2012: Dorifel 2012: Citadel 2013: DongIT Botnet De reactie vanuit VNG/KING Starting

Nadere informatie