Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein

Maat: px
Weergave met pagina beginnen:

Download "Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein"

Transcriptie

1 Strategisch Informatiebeveiligingsbeleid Gemeenten IJsselstein, Montfoort en Nieuwegein Versie: 0.9 (definitief concept) Datum: 18 december 2012

2

3

4 Inhoudsopgave 1. MANAGEMENTSAMENVATTING INTRODUCTIE BELEIDSPRINCIPES INFORMATIEBEVEILIGING INFORMATIEBEVEILIGING Definitie van informatiebeveiliging Belang van informatiebeveiliging Reikwijdte van informatiebeveiliging Wettelijke verplichtingen rondom informatiebeveiliging De code voor informatiebeveiliging Samenwerken en de gevolgen voor informatiebeveiliging Informatiebeveiligingsbeleid en het informatiebeveiligingsplan INFORMATIEBEVEILIGINGSBELEID Organisatie van Informatiebeveiliging Het bestuur De directie De concerncontroller De informatiebeveiligingsfunctionaris (IBF) De procesverantwoordelijke Beheer van bedrijfsmiddelen Beveiliging van personeel Fysieke beveiliging en beveiliging van de omgeving Beheer van communicatie- en bedieningsprocessen Toegangsbeveiliging Verwerving, ontwikkeling en onderhoud van informatiesystemen Beheer van informatiebeveiligingsincidenten Bedrijfscontinuïteitbeheer Naleving CLASSIFICATIE VAN INFORMATIE, PROCESSEN EN SYSTEMEN Criteria voor het classificeren Baseline informatiebeveiliging pagina i

5 pagina ii

6 1. MANAGEMENTSAMENVATTING Noodzaak van informatiebeveiliging Informatie is een bedrijfsmiddel, dat net als andere belangrijke bedrijfsmiddelen waarde heeft voor de organisatie. Betrouwbare informatie is bijvoorbeeld van essentieel belang voor een kwalitatief hoogwaardige én efficiënte dienstverlening, en een belangrijke basisvoorwaarde voor een succesvolle samenwerking met externe partners. Maar ook burgers en bedrijven verwachten dat er zorgvuldig wordt omgegaan met privacygevoelige informatie. De gemeente heeft een belangrijke verantwoordelijkheid op dit gebied. Informatiebeveiliging Informatie kan in verschillende vormen bestaan: schriftelijk, gesproken, digitaal, et cetera. Welke vorm informatie ook heeft, zij dient altijd op een gepaste wijze te worden beschermd tegen al dan niet opzettelijk onheil. Informatiebeveiliging reikt dan ook verder dan alleen de geautomatiseerde informatiesystemen en de ICT- infrastructuur. Het hoort bij de verantwoordelijkheden van elke manager en medewerker. Bewustzijn is de belangrijkste beveiligingsmaatregel. Informatiebeveiliging maakt het mogelijk dat de juiste informatie op het juiste moment voor de juiste personen beschikbaar is. Om deze betrouwbaarheid te garanderen, is er diverse wet- en regelgeving op dit gebied. Daarnaast hanteert de gemeente de Code voor Informatiebeveiliging (NEN / ISO / IEC 27002:2007) als uitgangspunt en normenkader. Samenwerking met externe partijen De gemeente werkt in toenemende mate samen met partners in diverse ketens, gemeentelijke samenwerkingsvormen of besteedt taken uit. De gemeente blijft echter te allen tijde eindverantwoordelijk. Zij voert de regie over de dienstverlening. Reikwijdte Het strategisch informatiebeveiligingsbeleid is onderdeel van het informatiebeleid. Het beschrijft de ambitie van de gemeente op het gebied van de betrouwbaarheid van de informatievoorziening en wordt eens in de vier jaar herzien, of eerder wanneer daar aanleiding toe is. Het informatie- beveiligingsplan concretiseert dit strategisch beleid en beschrijft welke beveiligingsmaatregelen gekozen zijn en welke richtlijnen er gelden voor de implementatie ervan. Organisatie van de informatiebeveiliging Bij het uitvoeren informatiebeveiligingstaken worden verschillende rollen onderscheiden. Elke rol heeft specifieke verantwoordelijkheden met betrekking tot informatiebeveiliging. De proces- verantwoordelijke is binnen zijn of haar proces altijd verantwoordelijk en rapporteert onder andere binnen de Planning &Control- cyclus over de betrouwbaarheid van de informatievoorziening. Incidenten met betrekking tot informatiebeveiliging worden bijgehouden in het incidentenregister. pagina 1

7 Classificatie van informatie De drie kwaliteitsaspecten beschikbaarheid, vertrouwelijkheid en integriteit bepalen gezamenlijk de betrouwbaarheid van de informatievoorziening. Voor elk kwaliteitsattribuut hanteert de gemeente de classificatieniveaus normaal, hoog en zeer hoog. Het daadwerkelijk classificeren van de informatie, applicaties en processen is in het implementatieplan verder uitgewerkt. pagina 2

8 2. INTRODUCTIE Gemeenten zijn als eerste overheid het visitekaartje voor de gehele overheid en het eerste aanspreekpunt voor inwoners en bedrijven. De kwaliteit van de informatiehuishouding is in sterke mate bepalend voor de dienstverlening en behoorlijk bestuur. De informatiehuishouding voorziet in de beschikbaarheid van (1) de juiste informatie, (2) voor de juiste mensen, (3) op de juiste tijd en (4) in de juiste vorm en maakt zo effectieve besluitvorming en dienstverlening mogelijk. Informatiebeveiliging neemt in de informatiehuishouding een prominente positie in. Ze zorgt ervoor dat alle organisatorische, procedurele en technische beveiligingsmaatregelen geborgd zijn, zodat de continuïteit van de informatie en informatievoorziening zijn gegarandeerd en eventuele gevolgen van beveiligingsincidenten zijn beperkt. De urgentie om nu kordaat de informatiebeveiliging op te pakken is recentelijk duidelijk geworden door enkele landelijk in het nieuws gekomen beveiligingsincidenten bij overheden: in 2012 kwam bijvoorbeeld aan het licht dat DigiD- certificaten, waarmee burgers veilig zaken met de overheid moeten kunnen doen, gekraakt waren. In oktober van datzelfde jaar - omgedoopt tot lektober - zijn veel overheidssites vatbaar gebleken voor inbraak, toen beveiligingsexperts om de kwetsbaarheid van deze sites aan te tonen actief tot hacken overgingen. Zoals bovenstaande afbeelding laat zien, bestaat informatiebeveiliging niet in een vacuüm. In de maatschappelijke context zien we dat de communicatie tussen burgers, bedrijven en (gemeentelijke) overheid steeds vaker digitaal verloopt. Ook landelijke ontwikkelingen zoals decentralisaties, ketensamenwerking en veranderende wet- en regelgeving hebben grote invloed op de informatievoorziening van de gemeente. Ze leveren vele voordelen op in de (elektronische) dienstverlening, de transparantie van overheidsoptreden en de efficiëntie van de bedrijfsvoering. Tegelijkertijd vraagt dit een voortdurende aandacht voor de kwetsbaarheden in de informatievoorziening die met nieuwe manieren van werken gepaard kunnen gaan. Ontwikkelingen in de externe omgeving vragen om een flexibel meebewegen van de organisatie met alle veranderingen. Het gemeentelijk informatiebeleid en informatiebeleidsplan (beide vastgesteld door het College, respectievelijk de Raad) geleiden deze veranderingen op het gebied van de informatievoorziening voor de interne bedrijfsvoering. In deze sturing op de informatievoorziening vormt informatiebeveiliging een wezenlijk aspect. Het informatiebeveiligingsbeleid bestaat uit een sturend kader (het beleid zelf), een baseline (waarmee processen en systemen zijn te positioneren in een risicoclassificatie) en een beveiligingsplan (dat concrete maatregelen bevat die de komende jaren geëffectueerd moeten pagina 3

9 worden). De gemeenten Nieuwegein, Montfoort en IJsselstein hebben het informatiebeveiligingsbeleid gezamenlijk vormgegeven. Hiermee is harmonisatie op dit beleidsterrein bereikt, waarmee we ook in de toekomst kunnen samenwerken aan duurzame oplossingen in de informatiebeveiliging. pagina 4

10 3. BELEIDSPRINCIPES INFORMATIEBEVEILIGING De hieronder genoemde beleidsprincipes gelden als uitgangspunt bij het verder ontwikkelen van maatregelen, spelregels en afspraken rondom de informatiebeveiliging van de gemeente. De principes volgen in grote lijnen de beveiligingscategorieën uit de code voor informatiebeveiliging. Informatiebeveiliging zit in ons DNA (informatiebeveiligingsbeleid) De klassieke informatiebeveiligingsaanpak waarbij inperking van de mogelijkheden de boventoon voert, maakt plaats voor veilig faciliteren. Informatiebeveiliging is op een natuurlijke manier ingebed in de activiteiten van de organisatie en het handelen van de medewerkers. Aansluiten op bestaande standaarden (informatiebeveiligingsbeleid) Waar mogelijk wordt bij de realisatie van de informatiebeveiliging gebruik gemaakt van (landelijke) standaarden of veelgebruikte, bewezen oplossingen. Informatiebeveiliging is van iedereen (personeel) Informatiebeveiliging is een integraal onderdeel van het proces en hoort bij de taken en verantwoordelijkheden van elke manager en medewerker. Bewustzijn en zorgvuldig handelen zijn de belangrijkste beveiligingsmaatregelen. De gemeente blijft eindverantwoordelijk (computer- en netwerkbeheer) De gemeente voert de regie over de dienstverlening. Met alle samenwerkingspartners maakt de gemeente afspraken over de beschikbaarheid, de integriteit en de vertrouwelijkheid van de onderlinge informatiestromen. Samenwerkingspartners die zich niet kunnen of willen conformeren aan het normenkader kunnen niet aansluiten op de basisinfrastructuur van de gemeente. Incidenten worden gemeld (beheer van informatiebeveiligingsincidenten) Elk incident op het gebied van informatiebeveiliging wordt ten minste gemeld aan de procesverantwoordelijke. Deze rapporteert over de incidenten in de Planning &Control cyclus. Het incidentenregister wordt gebruikt om trends te signaleren en dient als input bij de revisie van het beveiligingsplan. Privacy en vertrouwelijke informatie (naleving) De medewerkers van de gemeente gaan integer om met privacygevoelige gegevens en vertrouwelijke informatie. Persoonsgegevens worden adequaat beveiligd. Dit wordt periodiek getoetst. Wettelijke verplichtingen en auteursrechtelijk beschermd materiaal (naleving) De gemeente draagt er zorg voor dat medewerkers op de hoogte zijn van de informatie- beveiligingsaspecten binnen hun proces(sen) en dat de gemeente niet in strijd met wet- en regelgeving handelt. Auteursrechtelijk beschermd materiaal wordt niet gekopieerd zonder toestemming van de eigenaar. Dit geldt ook voor programmatuur; voor alle aanwezige software (en gebruikers) zijn geldige licenties beschikbaar. pagina 5

11 pagina 6

12 4. INFORMATIEBEVEILIGING Informatie is een bedrijfsmiddel, dat net als andere belangrijke bedrijfsmiddelen waarde heeft voor de organisatie. Informatie kan in verschillende vormen bestaan. Denk aan schriftelijke informatie, gesproken informatie, digitaal vastgelegde informatie, et cetera. Welke vorm informatie ook heeft, zij dient altijd op een geschikte wijze te worden beschermd tegen al dan niet opzettelijk onheil. 4.1 Definitie van informatiebeveiliging Informatiebeveiliging maakt het mogelijk dat de juiste informatie op het juiste moment voor de juiste personen beschikbaar is. De gemeente hanteert de volgende definitie voor informatiebeveiliging: het treffen en onderhouden van een samenhangend pakket maatregelen om de betrouwbaarheid van de informatievoorziening te waarborgen. De term betrouwbaarheid bestaat uit drie kwaliteitsaspecten beschikbaarheid, vertrouwelijkheid en integriteit die als volgt worden gedefinieerd: beschikbaarheid gaat over de mate waarin informatie op de juiste momenten beschikbaar is; vertrouwelijkheid gaat over de mate waarin toegang tot informatie beperkt is tot diegenen die daartoe bevoegd zijn; integriteit gaat over de mate waarin informatie correct geregistreerd en zonder fouten is. 4.2 Belang van informatiebeveiliging Een betrouwbare informatievoorziening is van essentieel belang voor een kwalitatief hoogwaardige én efficiënte dienstverlening. Digitale dienstverlening en zaakgericht werken zijn alleen mogelijk wanneer de basisgegevens op orde zijn en wanneer kan worden gerekend op de betrouwbaarheid van de informatievoorziening. Burgers en bedrijven verwachten daarnaast dat er zorgvuldig wordt omgegaan met privacygevoelige informatie. De gemeente heeft op dit gebied een belangrijke wettelijke en maatschappelijke verantwoordelijkheid en hecht belang aan het beschermen van de privacy van haar klanten. De betrouwbaarheid van de informatievoorziening is tenslotte een belangrijke basisvoorwaarde voor een succesvolle samenwerking met externe (keten)partners. Veel informatiesystemen binnen de gemeente zijn niet ontworpen met het oog op veiligheid. De beveiliging die met technische middelen kan worden bereikt is beperkt. Er zullen dus aanvullende procedures en passende beheersmaatregelen opgesteld moeten worden om tot een geschikt beveiligingsniveau te komen. Het definiëren, bereiken, onderhouden en verbeteren van de informatiebeveiliging kan van essentieel belang zijn voor de naleving van wet- en regelgeving, het maatschappelijk belang en het imago van de gemeente. 4.3 Reikwijdte van informatiebeveiliging Het aspect informatiebeveiliging is een onderdeel van het strategisch informatiebeleid. Het reikt verder dan alleen de geautomatiseerde informatiesystemen en de ICT- infrastructuur. Het hoort in het bewustzijn en bij de taken en verantwoordelijkheden van elke manager en medewerker. De pagina 7

13 toenemende digitalisering maakt beveiliging van informatie wel belangrijker en complexer. Informatiesystemen zijn steeds vaker met elkaar verbonden en er vindt meer uitwisseling in de keten plaats, de impact van een verstoring kan daardoor groot zijn. Daarnaast ligt er een risico in het (onbewust) naar buiten brengen van informatie door medewerkers. Informatiebeveiliging wordt bereikt door een geschikte verzameling beheersmaatregelen in te zetten, waaronder organisatorische maatregelen, welke betrekking hebben op de organisatie als geheel, logische maatregelen verwerkt in programmatuur en fysieke maatregelen gebaseerd op apparatuur of andere materiële zaken. Deze beheersmaatregelen moeten worden vastgelegd, gecontroleerd, beoordeeld en continu verbeterd om te waarborgen dat de specifieke beveiligings- en bedrijfsdoelstellingen van de gemeente worden bereikt. Dit behoort te worden gedaan in samenhang met andere bedrijfsprocessen. 4.4 Wettelijke verplichtingen rondom informatiebeveiliging De betrouwbaarheid van overheidsinformatie moet worden gegarandeerd. Daarom is er een aantal wettelijke verplichtingen waar elke overheidsinstantie aan moet voldoen. In wetten op dit gebied, zoals de Wet Bescherming Persoonsgegevens (WBP), de regelgeving met betrekking tot de Basisadministratie Persoonsgegevens en Reisdocumenten (BRP), de Structuur Uitvoering Werk en Inkomen (SUWI), de DigiD- audits en de toekomstige meldplicht ICT- incidenten zijn beveiligingsverplichtingen opgenomen 1. Deze verplichtingen hebben gevolgen voor de inrichting van de gemeentelijke informatievoorziening. De gemeente draagt er zorg voor dat medewerkers op de hoogte zijn van de informatiebeveiligingsaspecten binnen hun proces(sen) en dat de gemeente niet in strijd met wet- en regelgeving handelt. 4.5 De code voor informatiebeveiliging Als normenkader en uitgangspunt hanteert de gemeente de code voor informatiebeveiliging. Deze internationale norm (NEN / ISO / IEC 27002:2007) is een algemeen aanvaarde basis voor informatiebeveiliging die door het College Standaardisatie is vastgesteld als standaard voor de Nederlandse overheid. 4.6 Samenwerken en de gevolgen voor informatiebeveiliging De gemeente werkt in toenemende mate samen met partners in diverse ketens, gemeentelijke samenwerkingsvormen of besteedt taken uit. De gemeente blijft echter te allen tijde eindverantwoordelijk. Zij voert de regie over de dienstverlening. De toenemende samenwerking met ketenpartners zal er toe leiden dat er steeds vaker, en op diverse manieren, informatie wordt uitgewisseld. Hier kunnen kwetsbaarheden ontstaan. Als ketenpartners aansluiten op de basisinfrastructuur van de gemeente, dienen zij zich te conformeren aan ons normenkader. Met alle samenwerkingspartners maakt de gemeente heldere afspraken over de beschikbaarheid, de integriteit en de vertrouwelijkheid van de onderlinge informatiestromen, zodat ze zich op basis van afspraken over het niveau van de informatiebeveiliging richting de lokale politiek kan verantwoorden. Deze afspraken hebben gevolgen voor de inrichting van de informatievoorziening 1 Dit betreft geen uitputtende opsomming. pagina 8

14 van de gemeente. Het is belangrijk dat de gemeente controle heeft over de betrouwbaarheid van de informatievoorziening en dat het mogelijk is om organisatie brede wijzigingen of nieuwe standaarden door te voeren. 4.7 Informatiebeveiligingsbeleid en het informatiebeveiligingsplan In het informatiebeveiligingsbeleid wordt de ambitie van de gemeente op het gebied van de betrouwbaarheid van de informatievoorziening op strategisch niveau vastgelegd. Het informatiebeveiligingsplan concretiseert dit beleid. Het beschrijft welke beveiligingsmaatregelen gekozen zijn, waarom de betreffende maatregelen gekozen zijn, welke middelen hierbij worden gebruikt en welke richtlijnen er gelden voor de implementatie ervan. Omdat het informatiebeveiligingsplan verscheidene gegevens bevat die gevoelig zijn voor veroudering, dient dit plan regelmatig geactualiseerd te worden. De afbeelding hieronder geeft de plaats van deze documenten in bredere samenhang aan: pagina 9

15 pagina 10

16 5. INFORMATIEBEVEILIGINGSBELEID In dit hoofdstuk wordt beschreven hoe de gemeente de borging van het kwaliteitsaspect informatiebeveiliging in de organisatie heeft belegd. Het kernelement daarbij is bewustzijn: beveiliging is in eerste instantie een kwestie van mentaliteit. Formeel kunnen richtlijnen over beveiligingsbeleid worden verstrekt aan alle werknemers, belangrijker is dat er aandacht wordt besteed aan cultuur, houding, bewustwording, kennis en opleiding. Bij een goede bewustwording is informatiebeveiliging op een natuurlijke manier ingebed in de activiteiten van de organisatie en het handelen van de medewerkers. De indeling hieronder volgt die van NEN / ISO / IEC 27002: Organisatie van Informatiebeveiliging Bij het uitvoeren van het proces informatiebeveiliging worden de volgende rollen onderscheiden: het bestuur, de directie, de concerncontroller, de afdelingshoofden en de informatiebeveiligingsfunctionaris (IBF). We benoemen hier uitsluitend algemene rollen; het kan voorkomen dat deze rollen in de organisatie andere benamingen of samenstellingen hebben. In de volgende paragrafen worden de verantwoordelijkheden en bevoegdheden van deze rollen beschreven Het bestuur Het college van B&W stelt het informatiebeveiligingsbeleid vast en delegeert de uitvoering hiervan aan de directie. Het college informeert de Raad en legt verantwoording af aan de raad De directie De directie zorgt ervoor dat: de organisatie in staat is om de verschillende verantwoordelijkheden te dragen; er wordt gerapporteerd over de betrouwbaarheid van de informatievoorziening aan het college van B&W; de controle op de informatiebeveiliging binnen de organisatie is gewaarborgd De concerncontroller De concerncontroller is verantwoordelijk voor: de periodieke controle op de juiste naleving, de werking, de effectiviteit en de kwaliteit van de maatregelen; de controle op de voortgang van het uitvoeren van de maatregelen uit het informatiebeveiligingsplan; de controle op de periodieke revisie van het informatiebeveiligingsbeleid (elke vier jaar) en op het informatiebeveiligingsplan (jaarlijks). pagina 11

17 5.1.4 De informatiebeveiligingsfunctionaris (IBF) De IBF heeft een adviserende taak, daarbij gelden de volgende verantwoordelijkheden: stelt het informatiebeveiligingsplan op en zorgt voor de jaarlijkse revisie van dat plan; ondersteunt de directie en de procesverantwoordelijken met kennis over informatiebeveiliging zodat zij hun verantwoordelijkheid voor de betrouwbaarheid van de informatievoorziening juist kunnen invullen; is op de hoogte van de interne en externe invloeden die van invloed zijn op het informatiebeveiligingsbeleid en de jaarlijkse informatiebeveiligingsplannen. In het geval van ernstige informatiebeveiligingsincidenten mag de IBF, wanneer dat noodzakelijk is, buiten de hiërarchie om rechtstreeks met de directie communiceren over alle aspecten van informatiebeveiliging (vertrouwelijkheid, integriteit en beschikbaarheid) De procesverantwoordelijke De procesverantwoordelijke is verantwoordelijk voor: de (informatie)beveiliging en de betrouwbaarheid van hun proces; het uit (laten) voeren van maatregelen uit het informatiebeveiligingsplan, die voor het betreffende proces van toepassing zijn; de registratie van informatiebeveiligingsincidenten in een incidentenregister en de juiste afhandeling en evaluatie van incidenten; rapportage binnen de Planning &Control- cyclus over het aspect informatiebeveiliging; het bevorderen van bewustwording van medewerkers op het gebied van informatiebeveiliging; is aanspreekpunt voor de medewerkers van de gemeente over het onderwerp informatiebeveiliging; het maken en toetsen van beveiligingsafspraken met derde partijen, voor zover van toepassing in het betreffende proces. 5.2 Beheer van bedrijfsmiddelen De taken en verantwoordelijkheden op dit gebied zijn onder andere: toewijzen en verantwoorden van alle bedrijfsmiddelen aan een verantwoordelijke eigenaar; gebruik van classificatieschema s om bij de verwerking van informatie de noodzaak, prioriteiten en verwachte graag van bescherming te kunnen aangeven. 5.3 Beveiliging van personeel De taken en verantwoordelijkheden op dit gebied zijn onder andere: bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheid begrijpen, en het risico van diefstal, fraude of misbruik van faciliteiten te beperken; pagina 12

18 5.4 Fysieke beveiliging en beveiliging van de omgeving De taken en verantwoordelijkheden op dit gebied zijn onder andere: inbraakpreventie en het beheer van de beveiligingsinstallaties; de coördinatie van de beveiliging rond het gemeentehuis; de verantwoordelijkheid voor het testen, het onderhoud en de certificering van de brand meldinstallatie. Maatregelen op het gebied van fysieke beveiliging en toegang tot gebouwen kunnen onderdeel uitmaken van het informatiebeveiligingsplan. 5.5 Beheer van communicatie- en bedieningsprocessen De taken en verantwoordelijkheden op dit gebied zijn onder andere: het waarborgen van een correcte en veilige bediening van IT- voorzieningen; 5.6 Toegangsbeveiliging De taken en verantwoordelijkheden op dit gebied zijn onder andere: periodieke controle van het netwerkverkeer en proactieve reactie op interne en externe bedreigingen van de veiligheid van het netwerk via netwerkverbindingen. Denk hierbij onder andere aan aanvallen op het netwerk die plaatsvinden via internet of pogingen om in het draadloze netwerk te infiltreren; beheer van firewalls en technisch forensisch onderzoek op verzoek van de directie of justitie; toetsen van software en hardware die aangesloten wordt op het netwerk zodat er geen beveiligingslekken kunnen ontstaan. Maatregelen op het gebied van netwerk- en systeembeveiliging kunnen onderdeel uitmaken van het informatiebeveiligingsplan. 5.7 Verwerving, ontwikkeling en onderhoud van informatiesystemen De taken en verantwoordelijkheden op dit gebied zijn onder andere: vaststellen en overeenkomen van de beveiligingseisen voorafgaand aan de ontwikkeling en implementatie van informatiesystemen; waarborgen dat veilige systemen ook veilig blijven. 5.8 Beheer van informatiebeveiligingsincidenten Beveiligingsincidenten zijn gebeurtenissen die de betrouwbaarheid van de informatievoorziening bedreigen of verstoren. Deze incidenten worden bijgehouden in het incidentenregister. Dit register wordt onder meer gebruikt om trends te signaleren en wordt gebruikt als input bij de jaarlijkse revisie van het beveiligingsplan. Elke nieuw incident wordt geëvalueerd en er wordt bekeken welke maatregelen genomen kunnen worden om optreden van hetzelfde incident in de toekomst te voorkomen. Deze evaluatie wordt uitgevoerd of gecoördineerd door de IBF die er tevens over rapporteert. pagina 13

19 Informatiebeveiliging is één van de kwaliteitscriteria waarover in de Planning &Control- cyclus wordt gerapporteerd. Het aspect informatiebeveiliging wordt opgenomen in de paragraaf bedrijfsvoering. Binnen de Planning &Control- cyclus rapporteren de procesverantwoordelijken over de betrouwbaarheid van de informatievoorziening. Aan de orde komen onder andere: de voortgang van de invoering van de geplande maatregelen; nieuwe maatregelen bijvoorbeeld op basis van trends in de beveiligingsincidenten; consequenties voor de betrouwbaarheid van de informatievoorziening na wijzigingen in netwerken, applicaties of systemen; registraties van informatiebeveiligingsincidenten in het incidentenregister; de opvolging, escalatie en evaluatie van beveiligingsincidenten; continuïteitsmanagement en wijzigingen in processen of draaiboeken; communicatie en coördinatie over informatiebeveiliging, bewustzijn, houding en gedrag van medewerkers. 5.9 Bedrijfscontinuïteitbeheer De taken en verantwoordelijkheden op dit gebied zijn onder andere: beschermen van kritische bedrijfsprocessen tegen de gevolgen van omvangrijke storingen in informatiesystemen en het bewerkstelligen van tijdig herstel Naleving De taken en verantwoordelijkheden op dit gebied zijn onder andere: Naleving op wettelijke, regelgevende en contractuele voorschriften; Beveiligingscontrole op werkprocessen en IT- systemen; Het strategisch informatiebeveiligingsbeleid wordt eens in de vier jaar herzien. Wanneer daar aanleiding toe is, wordt het tussentijds bijgesteld. De noodzaak van een tussentijdse bijstelling kan het gevolg zijn van een wetswijziging, consequenties van wijzigingen in de nationale cyber security strategie, maar ook van een wijziging in de organisatie(structuur) van de gemeente. pagina 14

20 6. CLASSIFICATIE VAN INFORMATIE, PROCESSEN EN SYSTEMEN De betrouwbaarheid van de informatievoorziening valt uiteen in de drie kwaliteitsattributen vertrouwelijkheid, integriteit en beschikbaarheid. De gemeente onderscheidt voor elk van deze kwaliteitsattributen de classificatieniveaus normaal, hoog en zeer hoog. De tabel in paragraaf 6.1 bevat criteria waarmee per kwaliteitsattribuut een classificatie kan worden bepaald. Het daadwerkelijk classificeren van de binnen de gemeente gebruikte informatie, processen en systemen zal in het implementatieplan verder worden uitgewerkt. Het beveiligingsniveau kan per kwaliteitsattribuut verschillen. Wanneer we bijvoorbeeld de informatie op de gemeentelijke website willen classificeren, zullen we vaststellen dat het hier openbare informatie betreft. De classificatie voor het kwaliteitsattribuut vertrouwelijkheid is dus normaal. Wanneer deze informatie niet klopt is dit echter wél erg vervelend voor de burgers en wordt de gemeente in verlegenheid gebracht. De classificatie voor het kwaliteitsattribuut integriteit is daarom hoog. 6.1 Criteria voor het classificeren classificatie kwaliteitsattribuut Vertrouwelijkheid De mate waarin toegang tot gegevens of functionaliteiten beperkt is tot degene die daartoe bevoegd is. Normaal Hoog Zeer hoog Openbare informatie die door iedereen kan worden ingezien. Niet openbare informatie. Het openbaar worden van deze informatie zou de gemeente in verlegenheid brengen. Strikt vertrouwelijke informatie. Het openbaar worden van deze informatie dient maximaal voorkomen te worden. Integriteit De mate waarin gegevens correct geregistreerd en zonder fouten zijn. Openbare informatie buiten het beheer van de gemeente. Correctheid is niet van toepassing. Wijziging van deze informatie is niet of nauwelijks schadelijk. Correctheid van deze informatie is van belang. Onjuistheden veroorzaken schade voor de gemeente of brengen de gemeente in verlegenheid of diskrediet. De correctheid van de informatie dient zeker te zijn en is van groot belang. Incorrecte informatie veroorzaakt grote schade, financiële en mogelijk imagoschade. Beschikbaarheid De mate waarin gegevens of functionaliteiten op de juiste momenten beschikbaar zijn. Niet bedrijfskritisch. Uitval is mogelijk. Wanneer de informatie niet beschikbaar is ontstaan er geen of uiterst beperkte problemen in de dienstverlening naar burgers of ketenpartners. Bedrijfskritisch. Uitval is een enkele keer mogelijk. Wanneer de informatie niet beschikbaar is ontstaan vervelende vertragingen in de dienstverlening naar burgers of ketenpartners. Zeer bedrijfskritisch. Uitval is in principe niet toegestaan. Wanneer de informatie niet beschikbaar is ontstaan er onaanvaardbare problemen in de dienstverlening naar burgers en ketenpartners. pagina 15

21 6.2 Baseline informatiebeveiliging In de periode tot eind 2014 worden - op grond van risicoanalyses - de verschillende beveiligingsmaatregelen uit het informatiebeveiligingsplan geïmplementeerd en geborgd in de organisatie. De prioriteit van deze maatregelen wordt bepaald door (1) het risico dat een incident zich voordoet, (2) de mogelijk schade die daarbij veroorzaakt wordt en (3) de kosten van een maatregel. In de risicoanalyse wordt daarom altijd een afweging gemaakt of de kosten opwegen tegen het verminderen van het risico en/of de eventuele schade. Van elke maatregel wordt aangegeven voor welk(e) proces(sen) de maatregel van toepassing is. Tijdens de implementatie van de maatregelen wordt voor elk proces de betrouwbaarheid van de informatievoorziening geclassificeerd volgens bovenstaand schema. Deze classificaties vormen gezamenlijk de Baseline informatievoorziening - een minimaal basisniveau waaraan de informatiebeveiliging altijd moet voldoen. Eind 2014 zal deze baseline als bijlage aan dit beleid worden toegevoegd. De Baseline Informatiebeveiliging Gemeenten (KING/Logius/BZK) gaat hierbij als leidraad fungeren. pagina 16

Informatiebeveiligingsbeleid Gemeente Geldermalsen

Informatiebeveiligingsbeleid Gemeente Geldermalsen Informatiebeveiligingsbeleid Gemeente Geldermalsen Editie 2012 Inhoudsopgave 1. MANAGEMENTSAMENVATTING...3 2. INTRODUCTIE...4 3. INFORMATIEBEVEILIGING...5 3.1 VISIE OP INFORMATIEBEVEILIGING...5 3.2 DEFINITIE

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Informatiebeveiligingsbeleid 2015-2018

Informatiebeveiligingsbeleid 2015-2018 Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst

Nadere informatie

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007 Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Inhoud Aanleiding en Historie VIR 2007 Invoeringsaspecten 2 Aanleiding en historie

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Inhoudsopgave 1 Goedkeuring informatiebeveiligingsbeleid en distributie (BH1) 2 2 Inleiding 2 2.1 Toelichting 2 2.2 Definitie van informatiebeveiliging 2 2.3 Samenhang tussen

Nadere informatie

Aan welke eisen moet het beveiligingsplan voldoen?

Aan welke eisen moet het beveiligingsplan voldoen? Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet

Nadere informatie

Voorstel Informatiebeveiliging beleid Twente

Voorstel Informatiebeveiliging beleid Twente Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal INFORMATIEVEILIGHEID een uitdaging van ons allemaal PUBLIEKE DIENSTVERLENING & INFORMATIEVEILIGHEID noodzakelijke kennis of onnodige ballast? Informatieveiligheid een uitdaging van ons allemaal Start Publieke

Nadere informatie

tekst raadsvoorstel Rekenkameronderzoek Digitale Veiligheid

tekst raadsvoorstel Rekenkameronderzoek Digitale Veiligheid Inleiding Digitale veiligheid staat meer nog dan voorheen in de belangstelling van overheid en bedrijfsleven. Inbreuken op digitale veiligheid leiden tot grote financiële en/ of imagoschade. De gemeente

Nadere informatie

informatiebeveiliging

informatiebeveiliging informatiebeveiliging mei 2016 1 inleiding aanleiding In februari 2016 werd de gemeente Rotterdam geconfronteerd met een datalek waarbij namen, adresgegevens en burgerservicenummers (BSN) uit belastingbestanden

Nadere informatie

Stichting Hogeschool van Arnhem en Nijmegen. Rapport definitieve bevindingen

Stichting Hogeschool van Arnhem en Nijmegen. Rapport definitieve bevindingen POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl Stichting Hogeschool van Arnhem en Nijmegen

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Informatiebeveiliging gemeenten. KPN logische partner bij invoering en uitvoering

Informatiebeveiliging gemeenten. KPN logische partner bij invoering en uitvoering Informatiebeveiliging gemeenten KPN logische partner bij invoering en uitvoering 2 Informatiebeveiliging is en blijft een hot issue, want de digitalisering neemt nog steeds toe. Ook binnen gemeenten. Sinds

Nadere informatie

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0 Stichting Inlichtingenbureau Privacy jaarverslag 2014 Versie 1.0 Status Definitief Datum 12 maart 2015 1. Privacybescherming en informatiebeveiliging... 3 1.1 Inleiding/privacy by design... 3 1.2 Verwerking

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

Informatiebeveiliging: Hoe voorkomen we issues?

Informatiebeveiliging: Hoe voorkomen we issues? Informatiebeveiliging: Hoe voorkomen we issues? Workshop C Remco de Boer (Kennisnet) Ludo Cuijpers (MBO Taskforce IBB) Inhoud 1. Voorstelronde 2. Over uw rol 3. Maatregelen 4. De diepte in Voorstelronde

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Ter info (AB) Afdeling: Team: Bedrijfsbureau Beh.door: Bos, M.G. Port.houder: DB, Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Memo Informatiebeveiliging Inleiding Met

Nadere informatie

INFORMATIEBEVEILIGINGSBELEID DELFLAND

INFORMATIEBEVEILIGINGSBELEID DELFLAND INFORMATIEBEVEILIGINGSBELEID DELFLAND INHOUD 1. Inleiding 3 1.1 Context 3 1.2 van informatiebeveiliging 3 1.3 Componenten van informatiebeveiliging 4 1.4 Wettelijke basis 4 1.5 Standaarden 5 1.6 Scope

Nadere informatie

Aantoonbaar in control op informatiebeveiliging

Aantoonbaar in control op informatiebeveiliging Aantoonbaar in control op informatiebeveiliging Agenda 1. Introductie key2control 2. Integrale interne beheersing 3. Informatiebeveiliging 4. Baseline Informatiebeveiliging Gemeenten 5. Demonstratie ISMS

Nadere informatie

Dienstverlening Procesmanagement. Informatiemanagement. 18 september 2014

Dienstverlening Procesmanagement. Informatiemanagement. 18 september 2014 Dienstverlening Procesmanagement Informatiemanagement 18 september 2014 Veel vragen gesteld en beantwoord, zoals: Wat draagt informatiemanagement bij aan dienstverlening? Visie dienstverlening en digitaal

Nadere informatie

Informatiebeveiliging. Beleidsuitgangspunten. Versie 2 (concept)

Informatiebeveiliging. Beleidsuitgangspunten. Versie 2 (concept) Informatiebeveiliging Beleidsuitgangspunten Versie 2 (concept) 1 1. INLEIDING... 4 1.1 Inleiding... 4 1.2 Aanleiding... 4 1.3 Wat is informatiebeveiligingsbeleid... 4 1.4 Doelgroep... 5 1.5 Eindverantwoordelijkheid...

Nadere informatie

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Implementatie BIR Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Rapport definitieve bevindingen

Rapport definitieve bevindingen POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl Stichting Hogeschool Utrecht Onderzoek

Nadere informatie

NEN 7510: Een kwestie van goede zorg

NEN 7510: Een kwestie van goede zorg NEN 7510: Een kwestie van goede zorg Menig zorginstelling geeft aan nog niet te voldoen aan de NEN 7510 omdat deze (nog) niet verplicht is. Wettelijk is dit wellicht het geval, maar wat nu als men dit

Nadere informatie

Rapport. Informatieveiligheid en de Raad Met de hamer op tafel. Enquête over hoe raadsleden denken over het thema Informatieveiligheid

Rapport. Informatieveiligheid en de Raad Met de hamer op tafel. Enquête over hoe raadsleden denken over het thema Informatieveiligheid Rapport Informatieveiligheid en de Raad Met de hamer op tafel Enquête over hoe raadsleden denken over het thema Informatieveiligheid Inhoudsopgave 1. Inleiding 2 1.1 Achtergrond 3 1.2 Achtergrond enquête

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Contractmanagement Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga INFORMATIEVEILIGHEID een uitdaging van ons allemaal ICT Noord, Harro Spanninga Agenda Toelichting op de Taskforce BID Introductie thema Informatieveiligheid Technisch perspectief Perspectief van de overheid

Nadere informatie

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth De taak van de raad onder het dualisme Kaders stellen (WMO, Jeugdwet, handhaving) Budgetteren (begroting) Lokale wetgeving

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Overzicht Informatiebeveiliging Inlichtingenbureau GGK Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende

Nadere informatie

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in IJsselmeerziekenhuizen te Lelystad op

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in IJsselmeerziekenhuizen te Lelystad op Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in IJsselmeerziekenhuizen te Lelystad op 7 maart 2007 Juli 2008 2 INSPECTIE VOOR DE GEZONDHEIDSZORG

Nadere informatie

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 16990 20 juni 2014 Regeling van de Staatssecretaris van Volksgezondheid, Welzijn en Sport van 12 juni 2014, kenmerk 376061-121125-WJZ,

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Bijlage 1 Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Blink is een educatieve uitgeverij die verschillende (digitale) producten en diensten (

Nadere informatie

Informatiebeveiliging als proces

Informatiebeveiliging als proces Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Bijlage 1 Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Uitgeverij Zwijsen B.V. is een educatieve uitgeverij die verschillende digitale producten en diensten ( digitale leermiddelen

Nadere informatie

ISO 27001 met Qmanage

ISO 27001 met Qmanage A : Auke Vleerstraat 6D I : www.quarantainenet.nl 7521 PG Enschede E : info@quarantainenet.nl T : 053-7503070 B : NL89 RABO 0317 2867 14 F : 053-7503071 KvK : 08135536 ISO 27001 met Qmanage Inclusief NEN

Nadere informatie

Nota Informatiebeveiligingsbeleid Wijzer 2015

Nota Informatiebeveiligingsbeleid Wijzer 2015 Nota Informatiebeveiligingsbeleid Wijzer 2015 Beleid Informatiebeveiliging Wijzer 1 september 2015 1 1. Inleiding Wijzer is de uitvoeringsdienst Sociaal Domein van de gemeente Naarden, Muiden en Bussum

Nadere informatie

Informatiebeveiligingsbeleid Heemstede

Informatiebeveiligingsbeleid Heemstede Informatiebeveiligingsbeleid Heemstede Definitieve versie April 2013 Verseonnummer 607112 Inhoudsopgave DEEL 1: BELEIDSKADERS INFORMATIEBEVEILIGING 3 1. Inleiding 3 2. Definities en belang van informatiebeveiliging

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Minimale Maatregelen Universiteit Leiden Versie 5 8 juli 2004 Inhoudsopgave 1 Inleiding 3 1.1 Uitgangspunten 3 1.2 Minimumniveau van beveiliging 3 2 Minimale set maatregelen

Nadere informatie

Mobiel Internet Dienstbeschrijving

Mobiel Internet Dienstbeschrijving Mobiel Internet Dienstbeschrijving o ktober 2013 INHOUD MOBIEL INTERNET 3 ABONNEMENTEN 3 BASISAANBOD 3 OPTIONELE MODULES VOOR MOBIEL INTERNET 5 TARIEVEN 5 INFORMATIEBEVEILIGING 5 MOBIEL INTERNET De tijd

Nadere informatie

Advies informatiebeveiligings analyse HvA

Advies informatiebeveiligings analyse HvA Advies informatiebeveiligings analyse HvA Wouter Borremans - 0461911 - v1.1 1 Juni 2005 1 Inleiding Dit document is geschreven met als doel om de Hogeschool van Amsterdam[5] (HvA) te voorzien van een advies

Nadere informatie

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 Stichting Pensioenfonds Wolters Kluwer Nederland Compliance program Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 1 Inleiding In dit Compliance Program is de inrichting van de

Nadere informatie

ons kenmerk BB/U201201379

ons kenmerk BB/U201201379 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Ledenbrief Informatiebeveiligingsdienst (IBD) uw kenmerk ons kenmerk BB/U201201379 bijlage(n) datum 12 oktober

Nadere informatie

Norm 1.3 Beveiligingsplan

Norm 1.3 Beveiligingsplan Beantwoording vragen zelftest Suwinet oktober 2014 Norm 1.3 Beveiligingsplan De Inspectie SZW beschrijft norm 1.3 als volgt: De gemeente heeft een formeel vastgesteld beveiligingsbeleid en -plan. Het Beveiligingsplan

Nadere informatie

Security Operations Center. CISO: Bob van Graft

Security Operations Center. CISO: Bob van Graft Security Operations Center CISO: Bob van Graft OPENING De digitale toekomst van Nederland is in het geding Onderwijs en bedrijfsleven geven te weinig aandacht aan cybersecurity Het is van groot belang

Nadere informatie

Security in systemen en netwerken 2

Security in systemen en netwerken 2 Keuzedeel mbo Security in systemen en netwerken 2 behorend bij één of meerdere kwalificaties mbo Op dit moment is een wijziging van de WEB in voorbereiding waarmee de positie van keuzedelen in de kwalificatiestructuur

Nadere informatie

Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers

Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Informatieveiligheidsbeleid. Gemeenteraad van 31 maart 2016

Informatieveiligheidsbeleid. Gemeenteraad van 31 maart 2016 Gemeenteraad van 31 maart 2016 Inhoud 1. Inleiding... 3 2. Informatieveiligheidsbeleid... 3 3. Interne organisatie... 3 4. Medewerkers... 3 5. Bedrijfsmiddelen... 3 6. Logische toegangsbeveiliging... 4

Nadere informatie

Informatiebeveiligingsbeleid Gemeente Alphen aan den Rijn 2014-2018

Informatiebeveiligingsbeleid Gemeente Alphen aan den Rijn 2014-2018 Informatiebeveiligingsbeleid Gemeente Alphen aan den Rijn 2014-2018 Document Beheer Auteur Organisatie / Functie Datum Versie Opmerkingen Sincerus Nov. 2013 0.1 Eerste concept Sincerus Dec. 2013 0.5 Derde

Nadere informatie

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in Medisch Centrum Haaglanden te Den

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in Medisch Centrum Haaglanden te Den Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in Medisch Centrum Haaglanden te Den Haag op 13 april 2007 Juli 2008 2 INSPECTIE VOOR DE GEZONDHEIDSZORG

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Baseline Informatiehuishouding Gemeenten. Managementsamenvatting

Baseline Informatiehuishouding Gemeenten. Managementsamenvatting Baseline Informatiehuishouding Gemeenten Managementsamenvatting Bijdragen De hieronder genoemde personen hebben in samenwerking met KING bijgedragen aan de totstandkoming van de Baseline Informatiehuishouding

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved. 1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW)

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW) RAAK-project Veilig Water Programma Informatieveiligheid Marcel Spruit (HHS), Michiel Dirriwachter (UvW) Michiel Dirriwachter? Dit doet een waterschap Een Waterschap? Een Waterschap? Een Waterschap? Een

Nadere informatie

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam PRIVACYBELEID Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam Inhoudsopgave Inhoudsopgave... 1 1. Documentinformatie... 2 1.1. Documentgeschiedenis... 2 2. Privacybeleid Pseudonimiseer

Nadere informatie

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG Post Bits of Freedom Bank 55 47 06 512 M +31 (0)6 13 38 00 36 Postbus 10746 KvK 34 12 12 86 E ton.siedsma@bof.nl 1001 ES Amsterdam W https://www.bof.nl Ivo Opstelten Minister van Veiligheid en Justitie

Nadere informatie

Bijlage 11 Taakomschrijving rollen NEN informatiebeveiliging. 1. Doel

Bijlage 11 Taakomschrijving rollen NEN informatiebeveiliging. 1. Doel Bijlage 11 Taakomschrijving rollen NEN informatiebeveiliging 1. Doel In dit document leggen we vast hoe de taken en bevoegdheden ten aanzien van informatiebeveiliging verdeeld zijn over de diverse medewerkers.

Nadere informatie

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011 Programma doorontwikkeling veiligheidshuizen Informatiemanagement en privacy 21 november 2011 Presentatie Privacy Binnen het programma doorontwikkeling veiligheidshuizen is Privacy een belangrijk onderwerp.

Nadere informatie

Veilig gebruik van suwinet. Mariska ten Heuw Wethouder Sociale Zaken

Veilig gebruik van suwinet. Mariska ten Heuw Wethouder Sociale Zaken Veilig gebruik van suwinet Mariska ten Heuw Wethouder Sociale Zaken Aanleiding en korte terugblik SZW Inspectie onderzoekt periodiek gebruik suwinet Gemeentelijke presentaties schieten tekort Suwi Normenkader

Nadere informatie

Doel van de opleiding informatieveiligheid

Doel van de opleiding informatieveiligheid Doel van de opleiding informatieveiligheid Het netwerk voor elektronische uitwisseling van persoonsgegevens tussen de diverse instellingen van de sociale zekerheid, dat door de Kruispuntbank wordt beheerd,

Nadere informatie

Generieke systeemeisen

Generieke systeemeisen Bijlage Generieke Systeem in kader van LAT-RB, versie 27 maart 2012 Generieke systeem NTA 8620 BRZO (VBS elementen) Arbowet Bevb / NTA 8000 OHSAS 18001 ISO 14001 Compliance competence checklist 1. Algemene

Nadere informatie

Nieuwe ontwikkelingen SSC de Kempen. Informatiebeveiliging

Nieuwe ontwikkelingen SSC de Kempen. Informatiebeveiliging Nieuwe ontwikkelingen SSC de Kempen Informatiebeveiliging SSC de Kempen Samenwerking op gebied van ICT en Geo-informatie 5 Kempengemeenten Dienstverlening aan BIZOB en gemeente Cranendonck 3 Teams: - HAS

Nadere informatie

DOORSTAAT UW RISICOMANAGEMENT DE APK?

DOORSTAAT UW RISICOMANAGEMENT DE APK? WHITEPAPER DOORSTAAT UW RISICOMANAGEMENT DE APK? DOOR M. HOOGERWERF, SENIOR BUSINESS CONS ULTANT Risicomanagement is tegenwoordig een belangrijk onderdeel van uw bedrijfsvoering. Dagelijks wordt er aandacht

Nadere informatie

Handreiking Informatieveiligheid

Handreiking Informatieveiligheid E L N C O Z T & A A N andreiking nformatieveiligheid EENT VE VEDEPEN VENDEN VEANDEEN andreiking nformatieveiligheid emeenten hebben massaal ingestemd met de resolutie informatieveiligheid, randvoorwaarde

Nadere informatie

Rekenkamercommissie Brummen

Rekenkamercommissie Brummen Rekenkamercommissie Brummen REKENKAMERBRIEF Privacy in de 3 decentralisaties INLEIDING Door de 3 decentralisaties verwerkt de gemeente vanaf 1 januari 2015 veel meer persoonlijke en privacygevoelige gegevens.

Nadere informatie

Onderzoeksresultaten infosecurity.nl

Onderzoeksresultaten infosecurity.nl Onderzoeksresultaten infosecurity.nl Pagina 1 Introductie Tijdens de beurs infosecurity.nl, die gehouden werd op 11 en 12 oktober 2006, heeft Northwave een onderzoek uitgevoerd onder bezoekers en exposanten.

Nadere informatie

Informatieveiligheid, de praktische aanpak

Informatieveiligheid, de praktische aanpak Informatieveiligheid, de praktische aanpak Wie ben ik? Frederik Baert Domeinverantwoordelijke Informatieveiligheid Domeinverantwoordelijke Infrastructuur & Connectiviteit @ V-ICT-OR V-ICT-OR cvba Dienstenorganisatie

Nadere informatie

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo notities Versie: versie datum Onderwerp Aan CC Van Hans Wolters 29 januari 2016 c-n-hawo-0004-20160129 HaWo 1. Leveringsvoorwaarden 1.1. Algemene gegevens ISC Het ICT Servicecentrum (ISC) is voor de Radboud

Nadere informatie

Snel naar NEN7510 met de ISM-methode

Snel naar NEN7510 met de ISM-methode Snel naar NEN7510 met de ISM-methode Cross-reference en handleiding Datum: 2 april 2011 Versie: 1.0 Auteur: J. van Bon Integrated Service Management Snel naar NEN7510 met de ISM-methode! Informatiebeveiliging

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

Bureau organisatie van de CIHN alsmede locatiemanagers, CODA s en teamleider Nijmegen.

Bureau organisatie van de CIHN alsmede locatiemanagers, CODA s en teamleider Nijmegen. Bijlage 6 Classificatie van beveiligingsrisico s Dit document zorgt voor grotere bewustwording in de gehele organisatie door te benoemen en te registreren welke informatie als vertrouwelijk, intern of

Nadere informatie

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................

Nadere informatie

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy Help, een datalek, en nu? IKT-College 16 februari 2016 Mirjam Elferink Advocaat IE, ICT en privacy Inleiding Voorbeelden recente datalekken - Medische gegevens online door fout scanbedrijf (Bron: R. van

Nadere informatie