Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein

Save this PDF as:
 WORD  PNG  TXT  JPG

Maat: px
Weergave met pagina beginnen:

Download "Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein"

Transcriptie

1 Strategisch Informatiebeveiligingsbeleid Gemeenten IJsselstein, Montfoort en Nieuwegein Versie: 0.9 (definitief concept) Datum: 18 december 2012

2

3

4 Inhoudsopgave 1. MANAGEMENTSAMENVATTING INTRODUCTIE BELEIDSPRINCIPES INFORMATIEBEVEILIGING INFORMATIEBEVEILIGING Definitie van informatiebeveiliging Belang van informatiebeveiliging Reikwijdte van informatiebeveiliging Wettelijke verplichtingen rondom informatiebeveiliging De code voor informatiebeveiliging Samenwerken en de gevolgen voor informatiebeveiliging Informatiebeveiligingsbeleid en het informatiebeveiligingsplan INFORMATIEBEVEILIGINGSBELEID Organisatie van Informatiebeveiliging Het bestuur De directie De concerncontroller De informatiebeveiligingsfunctionaris (IBF) De procesverantwoordelijke Beheer van bedrijfsmiddelen Beveiliging van personeel Fysieke beveiliging en beveiliging van de omgeving Beheer van communicatie- en bedieningsprocessen Toegangsbeveiliging Verwerving, ontwikkeling en onderhoud van informatiesystemen Beheer van informatiebeveiligingsincidenten Bedrijfscontinuïteitbeheer Naleving CLASSIFICATIE VAN INFORMATIE, PROCESSEN EN SYSTEMEN Criteria voor het classificeren Baseline informatiebeveiliging pagina i

5 pagina ii

6 1. MANAGEMENTSAMENVATTING Noodzaak van informatiebeveiliging Informatie is een bedrijfsmiddel, dat net als andere belangrijke bedrijfsmiddelen waarde heeft voor de organisatie. Betrouwbare informatie is bijvoorbeeld van essentieel belang voor een kwalitatief hoogwaardige én efficiënte dienstverlening, en een belangrijke basisvoorwaarde voor een succesvolle samenwerking met externe partners. Maar ook burgers en bedrijven verwachten dat er zorgvuldig wordt omgegaan met privacygevoelige informatie. De gemeente heeft een belangrijke verantwoordelijkheid op dit gebied. Informatiebeveiliging Informatie kan in verschillende vormen bestaan: schriftelijk, gesproken, digitaal, et cetera. Welke vorm informatie ook heeft, zij dient altijd op een gepaste wijze te worden beschermd tegen al dan niet opzettelijk onheil. Informatiebeveiliging reikt dan ook verder dan alleen de geautomatiseerde informatiesystemen en de ICT- infrastructuur. Het hoort bij de verantwoordelijkheden van elke manager en medewerker. Bewustzijn is de belangrijkste beveiligingsmaatregel. Informatiebeveiliging maakt het mogelijk dat de juiste informatie op het juiste moment voor de juiste personen beschikbaar is. Om deze betrouwbaarheid te garanderen, is er diverse wet- en regelgeving op dit gebied. Daarnaast hanteert de gemeente de Code voor Informatiebeveiliging (NEN / ISO / IEC 27002:2007) als uitgangspunt en normenkader. Samenwerking met externe partijen De gemeente werkt in toenemende mate samen met partners in diverse ketens, gemeentelijke samenwerkingsvormen of besteedt taken uit. De gemeente blijft echter te allen tijde eindverantwoordelijk. Zij voert de regie over de dienstverlening. Reikwijdte Het strategisch informatiebeveiligingsbeleid is onderdeel van het informatiebeleid. Het beschrijft de ambitie van de gemeente op het gebied van de betrouwbaarheid van de informatievoorziening en wordt eens in de vier jaar herzien, of eerder wanneer daar aanleiding toe is. Het informatie- beveiligingsplan concretiseert dit strategisch beleid en beschrijft welke beveiligingsmaatregelen gekozen zijn en welke richtlijnen er gelden voor de implementatie ervan. Organisatie van de informatiebeveiliging Bij het uitvoeren informatiebeveiligingstaken worden verschillende rollen onderscheiden. Elke rol heeft specifieke verantwoordelijkheden met betrekking tot informatiebeveiliging. De proces- verantwoordelijke is binnen zijn of haar proces altijd verantwoordelijk en rapporteert onder andere binnen de Planning &Control- cyclus over de betrouwbaarheid van de informatievoorziening. Incidenten met betrekking tot informatiebeveiliging worden bijgehouden in het incidentenregister. pagina 1

7 Classificatie van informatie De drie kwaliteitsaspecten beschikbaarheid, vertrouwelijkheid en integriteit bepalen gezamenlijk de betrouwbaarheid van de informatievoorziening. Voor elk kwaliteitsattribuut hanteert de gemeente de classificatieniveaus normaal, hoog en zeer hoog. Het daadwerkelijk classificeren van de informatie, applicaties en processen is in het implementatieplan verder uitgewerkt. pagina 2

8 2. INTRODUCTIE Gemeenten zijn als eerste overheid het visitekaartje voor de gehele overheid en het eerste aanspreekpunt voor inwoners en bedrijven. De kwaliteit van de informatiehuishouding is in sterke mate bepalend voor de dienstverlening en behoorlijk bestuur. De informatiehuishouding voorziet in de beschikbaarheid van (1) de juiste informatie, (2) voor de juiste mensen, (3) op de juiste tijd en (4) in de juiste vorm en maakt zo effectieve besluitvorming en dienstverlening mogelijk. Informatiebeveiliging neemt in de informatiehuishouding een prominente positie in. Ze zorgt ervoor dat alle organisatorische, procedurele en technische beveiligingsmaatregelen geborgd zijn, zodat de continuïteit van de informatie en informatievoorziening zijn gegarandeerd en eventuele gevolgen van beveiligingsincidenten zijn beperkt. De urgentie om nu kordaat de informatiebeveiliging op te pakken is recentelijk duidelijk geworden door enkele landelijk in het nieuws gekomen beveiligingsincidenten bij overheden: in 2012 kwam bijvoorbeeld aan het licht dat DigiD- certificaten, waarmee burgers veilig zaken met de overheid moeten kunnen doen, gekraakt waren. In oktober van datzelfde jaar - omgedoopt tot lektober - zijn veel overheidssites vatbaar gebleken voor inbraak, toen beveiligingsexperts om de kwetsbaarheid van deze sites aan te tonen actief tot hacken overgingen. Zoals bovenstaande afbeelding laat zien, bestaat informatiebeveiliging niet in een vacuüm. In de maatschappelijke context zien we dat de communicatie tussen burgers, bedrijven en (gemeentelijke) overheid steeds vaker digitaal verloopt. Ook landelijke ontwikkelingen zoals decentralisaties, ketensamenwerking en veranderende wet- en regelgeving hebben grote invloed op de informatievoorziening van de gemeente. Ze leveren vele voordelen op in de (elektronische) dienstverlening, de transparantie van overheidsoptreden en de efficiëntie van de bedrijfsvoering. Tegelijkertijd vraagt dit een voortdurende aandacht voor de kwetsbaarheden in de informatievoorziening die met nieuwe manieren van werken gepaard kunnen gaan. Ontwikkelingen in de externe omgeving vragen om een flexibel meebewegen van de organisatie met alle veranderingen. Het gemeentelijk informatiebeleid en informatiebeleidsplan (beide vastgesteld door het College, respectievelijk de Raad) geleiden deze veranderingen op het gebied van de informatievoorziening voor de interne bedrijfsvoering. In deze sturing op de informatievoorziening vormt informatiebeveiliging een wezenlijk aspect. Het informatiebeveiligingsbeleid bestaat uit een sturend kader (het beleid zelf), een baseline (waarmee processen en systemen zijn te positioneren in een risicoclassificatie) en een beveiligingsplan (dat concrete maatregelen bevat die de komende jaren geëffectueerd moeten pagina 3

9 worden). De gemeenten Nieuwegein, Montfoort en IJsselstein hebben het informatiebeveiligingsbeleid gezamenlijk vormgegeven. Hiermee is harmonisatie op dit beleidsterrein bereikt, waarmee we ook in de toekomst kunnen samenwerken aan duurzame oplossingen in de informatiebeveiliging. pagina 4

10 3. BELEIDSPRINCIPES INFORMATIEBEVEILIGING De hieronder genoemde beleidsprincipes gelden als uitgangspunt bij het verder ontwikkelen van maatregelen, spelregels en afspraken rondom de informatiebeveiliging van de gemeente. De principes volgen in grote lijnen de beveiligingscategorieën uit de code voor informatiebeveiliging. Informatiebeveiliging zit in ons DNA (informatiebeveiligingsbeleid) De klassieke informatiebeveiligingsaanpak waarbij inperking van de mogelijkheden de boventoon voert, maakt plaats voor veilig faciliteren. Informatiebeveiliging is op een natuurlijke manier ingebed in de activiteiten van de organisatie en het handelen van de medewerkers. Aansluiten op bestaande standaarden (informatiebeveiligingsbeleid) Waar mogelijk wordt bij de realisatie van de informatiebeveiliging gebruik gemaakt van (landelijke) standaarden of veelgebruikte, bewezen oplossingen. Informatiebeveiliging is van iedereen (personeel) Informatiebeveiliging is een integraal onderdeel van het proces en hoort bij de taken en verantwoordelijkheden van elke manager en medewerker. Bewustzijn en zorgvuldig handelen zijn de belangrijkste beveiligingsmaatregelen. De gemeente blijft eindverantwoordelijk (computer- en netwerkbeheer) De gemeente voert de regie over de dienstverlening. Met alle samenwerkingspartners maakt de gemeente afspraken over de beschikbaarheid, de integriteit en de vertrouwelijkheid van de onderlinge informatiestromen. Samenwerkingspartners die zich niet kunnen of willen conformeren aan het normenkader kunnen niet aansluiten op de basisinfrastructuur van de gemeente. Incidenten worden gemeld (beheer van informatiebeveiligingsincidenten) Elk incident op het gebied van informatiebeveiliging wordt ten minste gemeld aan de procesverantwoordelijke. Deze rapporteert over de incidenten in de Planning &Control cyclus. Het incidentenregister wordt gebruikt om trends te signaleren en dient als input bij de revisie van het beveiligingsplan. Privacy en vertrouwelijke informatie (naleving) De medewerkers van de gemeente gaan integer om met privacygevoelige gegevens en vertrouwelijke informatie. Persoonsgegevens worden adequaat beveiligd. Dit wordt periodiek getoetst. Wettelijke verplichtingen en auteursrechtelijk beschermd materiaal (naleving) De gemeente draagt er zorg voor dat medewerkers op de hoogte zijn van de informatie- beveiligingsaspecten binnen hun proces(sen) en dat de gemeente niet in strijd met wet- en regelgeving handelt. Auteursrechtelijk beschermd materiaal wordt niet gekopieerd zonder toestemming van de eigenaar. Dit geldt ook voor programmatuur; voor alle aanwezige software (en gebruikers) zijn geldige licenties beschikbaar. pagina 5

11 pagina 6

12 4. INFORMATIEBEVEILIGING Informatie is een bedrijfsmiddel, dat net als andere belangrijke bedrijfsmiddelen waarde heeft voor de organisatie. Informatie kan in verschillende vormen bestaan. Denk aan schriftelijke informatie, gesproken informatie, digitaal vastgelegde informatie, et cetera. Welke vorm informatie ook heeft, zij dient altijd op een geschikte wijze te worden beschermd tegen al dan niet opzettelijk onheil. 4.1 Definitie van informatiebeveiliging Informatiebeveiliging maakt het mogelijk dat de juiste informatie op het juiste moment voor de juiste personen beschikbaar is. De gemeente hanteert de volgende definitie voor informatiebeveiliging: het treffen en onderhouden van een samenhangend pakket maatregelen om de betrouwbaarheid van de informatievoorziening te waarborgen. De term betrouwbaarheid bestaat uit drie kwaliteitsaspecten beschikbaarheid, vertrouwelijkheid en integriteit die als volgt worden gedefinieerd: beschikbaarheid gaat over de mate waarin informatie op de juiste momenten beschikbaar is; vertrouwelijkheid gaat over de mate waarin toegang tot informatie beperkt is tot diegenen die daartoe bevoegd zijn; integriteit gaat over de mate waarin informatie correct geregistreerd en zonder fouten is. 4.2 Belang van informatiebeveiliging Een betrouwbare informatievoorziening is van essentieel belang voor een kwalitatief hoogwaardige én efficiënte dienstverlening. Digitale dienstverlening en zaakgericht werken zijn alleen mogelijk wanneer de basisgegevens op orde zijn en wanneer kan worden gerekend op de betrouwbaarheid van de informatievoorziening. Burgers en bedrijven verwachten daarnaast dat er zorgvuldig wordt omgegaan met privacygevoelige informatie. De gemeente heeft op dit gebied een belangrijke wettelijke en maatschappelijke verantwoordelijkheid en hecht belang aan het beschermen van de privacy van haar klanten. De betrouwbaarheid van de informatievoorziening is tenslotte een belangrijke basisvoorwaarde voor een succesvolle samenwerking met externe (keten)partners. Veel informatiesystemen binnen de gemeente zijn niet ontworpen met het oog op veiligheid. De beveiliging die met technische middelen kan worden bereikt is beperkt. Er zullen dus aanvullende procedures en passende beheersmaatregelen opgesteld moeten worden om tot een geschikt beveiligingsniveau te komen. Het definiëren, bereiken, onderhouden en verbeteren van de informatiebeveiliging kan van essentieel belang zijn voor de naleving van wet- en regelgeving, het maatschappelijk belang en het imago van de gemeente. 4.3 Reikwijdte van informatiebeveiliging Het aspect informatiebeveiliging is een onderdeel van het strategisch informatiebeleid. Het reikt verder dan alleen de geautomatiseerde informatiesystemen en de ICT- infrastructuur. Het hoort in het bewustzijn en bij de taken en verantwoordelijkheden van elke manager en medewerker. De pagina 7

13 toenemende digitalisering maakt beveiliging van informatie wel belangrijker en complexer. Informatiesystemen zijn steeds vaker met elkaar verbonden en er vindt meer uitwisseling in de keten plaats, de impact van een verstoring kan daardoor groot zijn. Daarnaast ligt er een risico in het (onbewust) naar buiten brengen van informatie door medewerkers. Informatiebeveiliging wordt bereikt door een geschikte verzameling beheersmaatregelen in te zetten, waaronder organisatorische maatregelen, welke betrekking hebben op de organisatie als geheel, logische maatregelen verwerkt in programmatuur en fysieke maatregelen gebaseerd op apparatuur of andere materiële zaken. Deze beheersmaatregelen moeten worden vastgelegd, gecontroleerd, beoordeeld en continu verbeterd om te waarborgen dat de specifieke beveiligings- en bedrijfsdoelstellingen van de gemeente worden bereikt. Dit behoort te worden gedaan in samenhang met andere bedrijfsprocessen. 4.4 Wettelijke verplichtingen rondom informatiebeveiliging De betrouwbaarheid van overheidsinformatie moet worden gegarandeerd. Daarom is er een aantal wettelijke verplichtingen waar elke overheidsinstantie aan moet voldoen. In wetten op dit gebied, zoals de Wet Bescherming Persoonsgegevens (WBP), de regelgeving met betrekking tot de Basisadministratie Persoonsgegevens en Reisdocumenten (BRP), de Structuur Uitvoering Werk en Inkomen (SUWI), de DigiD- audits en de toekomstige meldplicht ICT- incidenten zijn beveiligingsverplichtingen opgenomen 1. Deze verplichtingen hebben gevolgen voor de inrichting van de gemeentelijke informatievoorziening. De gemeente draagt er zorg voor dat medewerkers op de hoogte zijn van de informatiebeveiligingsaspecten binnen hun proces(sen) en dat de gemeente niet in strijd met wet- en regelgeving handelt. 4.5 De code voor informatiebeveiliging Als normenkader en uitgangspunt hanteert de gemeente de code voor informatiebeveiliging. Deze internationale norm (NEN / ISO / IEC 27002:2007) is een algemeen aanvaarde basis voor informatiebeveiliging die door het College Standaardisatie is vastgesteld als standaard voor de Nederlandse overheid. 4.6 Samenwerken en de gevolgen voor informatiebeveiliging De gemeente werkt in toenemende mate samen met partners in diverse ketens, gemeentelijke samenwerkingsvormen of besteedt taken uit. De gemeente blijft echter te allen tijde eindverantwoordelijk. Zij voert de regie over de dienstverlening. De toenemende samenwerking met ketenpartners zal er toe leiden dat er steeds vaker, en op diverse manieren, informatie wordt uitgewisseld. Hier kunnen kwetsbaarheden ontstaan. Als ketenpartners aansluiten op de basisinfrastructuur van de gemeente, dienen zij zich te conformeren aan ons normenkader. Met alle samenwerkingspartners maakt de gemeente heldere afspraken over de beschikbaarheid, de integriteit en de vertrouwelijkheid van de onderlinge informatiestromen, zodat ze zich op basis van afspraken over het niveau van de informatiebeveiliging richting de lokale politiek kan verantwoorden. Deze afspraken hebben gevolgen voor de inrichting van de informatievoorziening 1 Dit betreft geen uitputtende opsomming. pagina 8

14 van de gemeente. Het is belangrijk dat de gemeente controle heeft over de betrouwbaarheid van de informatievoorziening en dat het mogelijk is om organisatie brede wijzigingen of nieuwe standaarden door te voeren. 4.7 Informatiebeveiligingsbeleid en het informatiebeveiligingsplan In het informatiebeveiligingsbeleid wordt de ambitie van de gemeente op het gebied van de betrouwbaarheid van de informatievoorziening op strategisch niveau vastgelegd. Het informatiebeveiligingsplan concretiseert dit beleid. Het beschrijft welke beveiligingsmaatregelen gekozen zijn, waarom de betreffende maatregelen gekozen zijn, welke middelen hierbij worden gebruikt en welke richtlijnen er gelden voor de implementatie ervan. Omdat het informatiebeveiligingsplan verscheidene gegevens bevat die gevoelig zijn voor veroudering, dient dit plan regelmatig geactualiseerd te worden. De afbeelding hieronder geeft de plaats van deze documenten in bredere samenhang aan: pagina 9

15 pagina 10

16 5. INFORMATIEBEVEILIGINGSBELEID In dit hoofdstuk wordt beschreven hoe de gemeente de borging van het kwaliteitsaspect informatiebeveiliging in de organisatie heeft belegd. Het kernelement daarbij is bewustzijn: beveiliging is in eerste instantie een kwestie van mentaliteit. Formeel kunnen richtlijnen over beveiligingsbeleid worden verstrekt aan alle werknemers, belangrijker is dat er aandacht wordt besteed aan cultuur, houding, bewustwording, kennis en opleiding. Bij een goede bewustwording is informatiebeveiliging op een natuurlijke manier ingebed in de activiteiten van de organisatie en het handelen van de medewerkers. De indeling hieronder volgt die van NEN / ISO / IEC 27002: Organisatie van Informatiebeveiliging Bij het uitvoeren van het proces informatiebeveiliging worden de volgende rollen onderscheiden: het bestuur, de directie, de concerncontroller, de afdelingshoofden en de informatiebeveiligingsfunctionaris (IBF). We benoemen hier uitsluitend algemene rollen; het kan voorkomen dat deze rollen in de organisatie andere benamingen of samenstellingen hebben. In de volgende paragrafen worden de verantwoordelijkheden en bevoegdheden van deze rollen beschreven Het bestuur Het college van B&W stelt het informatiebeveiligingsbeleid vast en delegeert de uitvoering hiervan aan de directie. Het college informeert de Raad en legt verantwoording af aan de raad De directie De directie zorgt ervoor dat: de organisatie in staat is om de verschillende verantwoordelijkheden te dragen; er wordt gerapporteerd over de betrouwbaarheid van de informatievoorziening aan het college van B&W; de controle op de informatiebeveiliging binnen de organisatie is gewaarborgd De concerncontroller De concerncontroller is verantwoordelijk voor: de periodieke controle op de juiste naleving, de werking, de effectiviteit en de kwaliteit van de maatregelen; de controle op de voortgang van het uitvoeren van de maatregelen uit het informatiebeveiligingsplan; de controle op de periodieke revisie van het informatiebeveiligingsbeleid (elke vier jaar) en op het informatiebeveiligingsplan (jaarlijks). pagina 11

17 5.1.4 De informatiebeveiligingsfunctionaris (IBF) De IBF heeft een adviserende taak, daarbij gelden de volgende verantwoordelijkheden: stelt het informatiebeveiligingsplan op en zorgt voor de jaarlijkse revisie van dat plan; ondersteunt de directie en de procesverantwoordelijken met kennis over informatiebeveiliging zodat zij hun verantwoordelijkheid voor de betrouwbaarheid van de informatievoorziening juist kunnen invullen; is op de hoogte van de interne en externe invloeden die van invloed zijn op het informatiebeveiligingsbeleid en de jaarlijkse informatiebeveiligingsplannen. In het geval van ernstige informatiebeveiligingsincidenten mag de IBF, wanneer dat noodzakelijk is, buiten de hiërarchie om rechtstreeks met de directie communiceren over alle aspecten van informatiebeveiliging (vertrouwelijkheid, integriteit en beschikbaarheid) De procesverantwoordelijke De procesverantwoordelijke is verantwoordelijk voor: de (informatie)beveiliging en de betrouwbaarheid van hun proces; het uit (laten) voeren van maatregelen uit het informatiebeveiligingsplan, die voor het betreffende proces van toepassing zijn; de registratie van informatiebeveiligingsincidenten in een incidentenregister en de juiste afhandeling en evaluatie van incidenten; rapportage binnen de Planning &Control- cyclus over het aspect informatiebeveiliging; het bevorderen van bewustwording van medewerkers op het gebied van informatiebeveiliging; is aanspreekpunt voor de medewerkers van de gemeente over het onderwerp informatiebeveiliging; het maken en toetsen van beveiligingsafspraken met derde partijen, voor zover van toepassing in het betreffende proces. 5.2 Beheer van bedrijfsmiddelen De taken en verantwoordelijkheden op dit gebied zijn onder andere: toewijzen en verantwoorden van alle bedrijfsmiddelen aan een verantwoordelijke eigenaar; gebruik van classificatieschema s om bij de verwerking van informatie de noodzaak, prioriteiten en verwachte graag van bescherming te kunnen aangeven. 5.3 Beveiliging van personeel De taken en verantwoordelijkheden op dit gebied zijn onder andere: bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheid begrijpen, en het risico van diefstal, fraude of misbruik van faciliteiten te beperken; pagina 12

18 5.4 Fysieke beveiliging en beveiliging van de omgeving De taken en verantwoordelijkheden op dit gebied zijn onder andere: inbraakpreventie en het beheer van de beveiligingsinstallaties; de coördinatie van de beveiliging rond het gemeentehuis; de verantwoordelijkheid voor het testen, het onderhoud en de certificering van de brand meldinstallatie. Maatregelen op het gebied van fysieke beveiliging en toegang tot gebouwen kunnen onderdeel uitmaken van het informatiebeveiligingsplan. 5.5 Beheer van communicatie- en bedieningsprocessen De taken en verantwoordelijkheden op dit gebied zijn onder andere: het waarborgen van een correcte en veilige bediening van IT- voorzieningen; 5.6 Toegangsbeveiliging De taken en verantwoordelijkheden op dit gebied zijn onder andere: periodieke controle van het netwerkverkeer en proactieve reactie op interne en externe bedreigingen van de veiligheid van het netwerk via netwerkverbindingen. Denk hierbij onder andere aan aanvallen op het netwerk die plaatsvinden via internet of pogingen om in het draadloze netwerk te infiltreren; beheer van firewalls en technisch forensisch onderzoek op verzoek van de directie of justitie; toetsen van software en hardware die aangesloten wordt op het netwerk zodat er geen beveiligingslekken kunnen ontstaan. Maatregelen op het gebied van netwerk- en systeembeveiliging kunnen onderdeel uitmaken van het informatiebeveiligingsplan. 5.7 Verwerving, ontwikkeling en onderhoud van informatiesystemen De taken en verantwoordelijkheden op dit gebied zijn onder andere: vaststellen en overeenkomen van de beveiligingseisen voorafgaand aan de ontwikkeling en implementatie van informatiesystemen; waarborgen dat veilige systemen ook veilig blijven. 5.8 Beheer van informatiebeveiligingsincidenten Beveiligingsincidenten zijn gebeurtenissen die de betrouwbaarheid van de informatievoorziening bedreigen of verstoren. Deze incidenten worden bijgehouden in het incidentenregister. Dit register wordt onder meer gebruikt om trends te signaleren en wordt gebruikt als input bij de jaarlijkse revisie van het beveiligingsplan. Elke nieuw incident wordt geëvalueerd en er wordt bekeken welke maatregelen genomen kunnen worden om optreden van hetzelfde incident in de toekomst te voorkomen. Deze evaluatie wordt uitgevoerd of gecoördineerd door de IBF die er tevens over rapporteert. pagina 13

19 Informatiebeveiliging is één van de kwaliteitscriteria waarover in de Planning &Control- cyclus wordt gerapporteerd. Het aspect informatiebeveiliging wordt opgenomen in de paragraaf bedrijfsvoering. Binnen de Planning &Control- cyclus rapporteren de procesverantwoordelijken over de betrouwbaarheid van de informatievoorziening. Aan de orde komen onder andere: de voortgang van de invoering van de geplande maatregelen; nieuwe maatregelen bijvoorbeeld op basis van trends in de beveiligingsincidenten; consequenties voor de betrouwbaarheid van de informatievoorziening na wijzigingen in netwerken, applicaties of systemen; registraties van informatiebeveiligingsincidenten in het incidentenregister; de opvolging, escalatie en evaluatie van beveiligingsincidenten; continuïteitsmanagement en wijzigingen in processen of draaiboeken; communicatie en coördinatie over informatiebeveiliging, bewustzijn, houding en gedrag van medewerkers. 5.9 Bedrijfscontinuïteitbeheer De taken en verantwoordelijkheden op dit gebied zijn onder andere: beschermen van kritische bedrijfsprocessen tegen de gevolgen van omvangrijke storingen in informatiesystemen en het bewerkstelligen van tijdig herstel Naleving De taken en verantwoordelijkheden op dit gebied zijn onder andere: Naleving op wettelijke, regelgevende en contractuele voorschriften; Beveiligingscontrole op werkprocessen en IT- systemen; Het strategisch informatiebeveiligingsbeleid wordt eens in de vier jaar herzien. Wanneer daar aanleiding toe is, wordt het tussentijds bijgesteld. De noodzaak van een tussentijdse bijstelling kan het gevolg zijn van een wetswijziging, consequenties van wijzigingen in de nationale cyber security strategie, maar ook van een wijziging in de organisatie(structuur) van de gemeente. pagina 14

20 6. CLASSIFICATIE VAN INFORMATIE, PROCESSEN EN SYSTEMEN De betrouwbaarheid van de informatievoorziening valt uiteen in de drie kwaliteitsattributen vertrouwelijkheid, integriteit en beschikbaarheid. De gemeente onderscheidt voor elk van deze kwaliteitsattributen de classificatieniveaus normaal, hoog en zeer hoog. De tabel in paragraaf 6.1 bevat criteria waarmee per kwaliteitsattribuut een classificatie kan worden bepaald. Het daadwerkelijk classificeren van de binnen de gemeente gebruikte informatie, processen en systemen zal in het implementatieplan verder worden uitgewerkt. Het beveiligingsniveau kan per kwaliteitsattribuut verschillen. Wanneer we bijvoorbeeld de informatie op de gemeentelijke website willen classificeren, zullen we vaststellen dat het hier openbare informatie betreft. De classificatie voor het kwaliteitsattribuut vertrouwelijkheid is dus normaal. Wanneer deze informatie niet klopt is dit echter wél erg vervelend voor de burgers en wordt de gemeente in verlegenheid gebracht. De classificatie voor het kwaliteitsattribuut integriteit is daarom hoog. 6.1 Criteria voor het classificeren classificatie kwaliteitsattribuut Vertrouwelijkheid De mate waarin toegang tot gegevens of functionaliteiten beperkt is tot degene die daartoe bevoegd is. Normaal Hoog Zeer hoog Openbare informatie die door iedereen kan worden ingezien. Niet openbare informatie. Het openbaar worden van deze informatie zou de gemeente in verlegenheid brengen. Strikt vertrouwelijke informatie. Het openbaar worden van deze informatie dient maximaal voorkomen te worden. Integriteit De mate waarin gegevens correct geregistreerd en zonder fouten zijn. Openbare informatie buiten het beheer van de gemeente. Correctheid is niet van toepassing. Wijziging van deze informatie is niet of nauwelijks schadelijk. Correctheid van deze informatie is van belang. Onjuistheden veroorzaken schade voor de gemeente of brengen de gemeente in verlegenheid of diskrediet. De correctheid van de informatie dient zeker te zijn en is van groot belang. Incorrecte informatie veroorzaakt grote schade, financiële en mogelijk imagoschade. Beschikbaarheid De mate waarin gegevens of functionaliteiten op de juiste momenten beschikbaar zijn. Niet bedrijfskritisch. Uitval is mogelijk. Wanneer de informatie niet beschikbaar is ontstaan er geen of uiterst beperkte problemen in de dienstverlening naar burgers of ketenpartners. Bedrijfskritisch. Uitval is een enkele keer mogelijk. Wanneer de informatie niet beschikbaar is ontstaan vervelende vertragingen in de dienstverlening naar burgers of ketenpartners. Zeer bedrijfskritisch. Uitval is in principe niet toegestaan. Wanneer de informatie niet beschikbaar is ontstaan er onaanvaardbare problemen in de dienstverlening naar burgers en ketenpartners. pagina 15

21 6.2 Baseline informatiebeveiliging In de periode tot eind 2014 worden - op grond van risicoanalyses - de verschillende beveiligingsmaatregelen uit het informatiebeveiligingsplan geïmplementeerd en geborgd in de organisatie. De prioriteit van deze maatregelen wordt bepaald door (1) het risico dat een incident zich voordoet, (2) de mogelijk schade die daarbij veroorzaakt wordt en (3) de kosten van een maatregel. In de risicoanalyse wordt daarom altijd een afweging gemaakt of de kosten opwegen tegen het verminderen van het risico en/of de eventuele schade. Van elke maatregel wordt aangegeven voor welk(e) proces(sen) de maatregel van toepassing is. Tijdens de implementatie van de maatregelen wordt voor elk proces de betrouwbaarheid van de informatievoorziening geclassificeerd volgens bovenstaand schema. Deze classificaties vormen gezamenlijk de Baseline informatievoorziening - een minimaal basisniveau waaraan de informatiebeveiliging altijd moet voldoen. Eind 2014 zal deze baseline als bijlage aan dit beleid worden toegevoegd. De Baseline Informatiebeveiliging Gemeenten (KING/Logius/BZK) gaat hierbij als leidraad fungeren. pagina 16

Informatiebeveiligingsbeleid Gemeente Geldermalsen

Informatiebeveiligingsbeleid Gemeente Geldermalsen Informatiebeveiligingsbeleid Gemeente Geldermalsen Editie 2012 Inhoudsopgave 1. MANAGEMENTSAMENVATTING...3 2. INTRODUCTIE...4 3. INFORMATIEBEVEILIGING...5 3.1 VISIE OP INFORMATIEBEVEILIGING...5 3.2 DEFINITIE

Nadere informatie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie : Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Informatiebeveiligingsbeleid 2015-2018

Informatiebeveiligingsbeleid 2015-2018 Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

Gemeente Alphen aan den Rijn

Gemeente Alphen aan den Rijn Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid

Nadere informatie

Hoe operationaliseer ik de BIC?

Hoe operationaliseer ik de BIC? Hoe operationaliseer ik de BIC? Baseline Informatiebeveiliging Corporaties UTRECHT, 14 November 2017. Code voor Informatiebeveiliging NEN/ISO 27001; Informatietechnologie - Beveiligingstechnieken - Managementsystemen

Nadere informatie

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Informatiebeveiliging En terugblik op informatiebeveiliging 2016 Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

Informatiebeveiligingsbeleid extern

Informatiebeveiligingsbeleid extern ISO 27001:2013 Informatiebeveiligingsbeleid extern 25 oktober 2016 Status document: versie 1.0 Auteur: Frankie Lipsius CONCLUSION LEARNING CENTERS Postbus 85030 3508 AA Utrecht Nederland T +31 (0)30 744

Nadere informatie

De maatregelen in de komende NEN Beer Franken

De maatregelen in de komende NEN Beer Franken De maatregelen in de komende NEN 7510 Beer Franken Twee delen in komende NEN 7510 Deel 1: het infosec management system (ISMS) hoofdstuk 4 in huidige NEN 7510 Deel 2: de maatregelen hoofdstukken 5 t/m

Nadere informatie

Strategisch Informatiebeveiligingsbeleid Hefpunt

Strategisch Informatiebeveiligingsbeleid Hefpunt Strategisch Informatiebeveiligingsbeleid Hefpunt Groningen, 24-5-2016 Classificatie: intern Wijzigingshistorie Release Datum Auteur(s) Aanpassing 2016 0.1 24-05- 2016 2016 0.2 01-06- 2016 L. Winters J.

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid 2016-2017 Strategisch beleid Versie 1.0 Datum Januari 2016 Auteur Specialist Informatiebeveiliging Inhoudsopgave 1. Inleiding... 4 1.1 Doel van dit document... 4 1.2 Informatiebeveiliging...

Nadere informatie

Internet Beveiliging en Privacy (IBP) Beleid Aloysius

Internet Beveiliging en Privacy (IBP) Beleid Aloysius Internet Beveiliging en Privacy (IBP) Beleid Aloysius Van: Directeur Financiën en Bedrijfsvoering Aan: AMT Datum : 28 maart 2017 Opgesteld door: Thomas Reterink, Bron: Kennisnet Onderwerp: IBP Beleid Doel:

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging Informatiebeveiliging HKZ, november 2016 Wie ik ben: adviseur/trainer/qarebase begeleiden bij kwaliteitsmanagement en certificering Lead Auditor Kiwa, o.a. HKZ, ISO 9001, ZKN, VMS, NEN 7510 en NEN-ISO

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Inleiding Als zorginstelling is Profila Zorg verantwoordelijk voor goede en veilige zorg aan haar cliënten. Bij het uitvoeren van deze taak staat het leveren van kwaliteit

Nadere informatie

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom Gemeente 's-hertogenbosch Definitief s-hertogenbosch, 30-10-2015 A. Kieboom 1 Projectidentificatie Projectnaam: Status: Beleid Informatieveiligheid Definitief Documenthistorie Status Datum Versie Auteur(s)

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Inhoudsopgave 1 Goedkeuring informatiebeveiligingsbeleid en distributie (BH1) 2 2 Inleiding 2 2.1 Toelichting 2 2.2 Definitie van informatiebeveiliging 2 2.3 Samenhang tussen

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen.

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen. FUNCTIEPROFIEL Opdrachtgever: Functienaam: BKR Compliance Officer Security & Risk BKR is een onafhankelijke stichting met een maatschappelijk doel. BKR streeft sinds 1965, zonder winstoogmerk, een financieel

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst

Nadere informatie

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007 Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Inhoud Aanleiding en Historie VIR 2007 Invoeringsaspecten 2 Aanleiding en historie

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

Voorstel Informatiebeveiliging beleid Twente

Voorstel Informatiebeveiliging beleid Twente Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)

Nadere informatie

Aan welke eisen moet het beveiligingsplan voldoen?

Aan welke eisen moet het beveiligingsplan voldoen? Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0 Stichting Inlichtingenbureau Privacy jaarverslag 2014 Versie 1.0 Status Definitief Datum 12 maart 2015 1. Privacybescherming en informatiebeveiliging... 3 1.1 Inleiding/privacy by design... 3 1.2 Verwerking

Nadere informatie

Informatiebeveiliging gemeenten. KPN logische partner bij invoering en uitvoering

Informatiebeveiliging gemeenten. KPN logische partner bij invoering en uitvoering Informatiebeveiliging gemeenten KPN logische partner bij invoering en uitvoering 2 Informatiebeveiliging is en blijft een hot issue, want de digitalisering neemt nog steeds toe. Ook binnen gemeenten. Sinds

Nadere informatie

Stichting Hogeschool van Arnhem en Nijmegen. Rapport definitieve bevindingen

Stichting Hogeschool van Arnhem en Nijmegen. Rapport definitieve bevindingen POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl Stichting Hogeschool van Arnhem en Nijmegen

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal INFORMATIEVEILIGHEID een uitdaging van ons allemaal PUBLIEKE DIENSTVERLENING & INFORMATIEVEILIGHEID noodzakelijke kennis of onnodige ballast? Informatieveiligheid een uitdaging van ons allemaal Start Publieke

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Informatiebeveiliging: Hoe voorkomen we issues?

Informatiebeveiliging: Hoe voorkomen we issues? Informatiebeveiliging: Hoe voorkomen we issues? Workshop C Remco de Boer (Kennisnet) Ludo Cuijpers (MBO Taskforce IBB) Inhoud 1. Voorstelronde 2. Over uw rol 3. Maatregelen 4. De diepte in Voorstelronde

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk

Nadere informatie

Dienstverlening Procesmanagement. Informatiemanagement. 18 september 2014

Dienstverlening Procesmanagement. Informatiemanagement. 18 september 2014 Dienstverlening Procesmanagement Informatiemanagement 18 september 2014 Veel vragen gesteld en beantwoord, zoals: Wat draagt informatiemanagement bij aan dienstverlening? Visie dienstverlening en digitaal

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm Beheersmaatregelen volgens Bijlage A van de ISO/IEC 27001 norm A.5.1.1 Beleidsdocumenten voor informatiebeveiliging A.5.1.2 Beoordeling van het Informatiebeveiligingsbeleid A.6.1.1 Informatiebeveiligings

Nadere informatie

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL Privacy in de zorg Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL Audit & Advisory Security Assessments Training and Awareness

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

informatiebeveiliging

informatiebeveiliging informatiebeveiliging mei 2016 1 inleiding aanleiding In februari 2016 werd de gemeente Rotterdam geconfronteerd met een datalek waarbij namen, adresgegevens en burgerservicenummers (BSN) uit belastingbestanden

Nadere informatie

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Ter info (AB) Afdeling: Team: Bedrijfsbureau Beh.door: Bos, M.G. Port.houder: DB, Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Memo Informatiebeveiliging Inleiding Met

Nadere informatie

Ondersteunende processen Organisatie Informatiebeveiliging Melding Datalek

Ondersteunende processen Organisatie Informatiebeveiliging Melding Datalek 1 Toepassingsgebied De procedure is van toepassing wanneer er een incident plaatsvindt waardoor de exclusiviteit van de informatievoorziening wordt aangetast. 2 Doel Wanneer met betrekking tot informatiebeveiliging

Nadere informatie

tekst raadsvoorstel Rekenkameronderzoek Digitale Veiligheid

tekst raadsvoorstel Rekenkameronderzoek Digitale Veiligheid Inleiding Digitale veiligheid staat meer nog dan voorheen in de belangstelling van overheid en bedrijfsleven. Inbreuken op digitale veiligheid leiden tot grote financiële en/ of imagoschade. De gemeente

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag > Retouradres Postbus 20011 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA Den Haag Directoraat-generaal Overheidsorganisatie Directie Informatiesamenleving

Nadere informatie

INFORMATIEBEVEILIGINGSBELEID DELFLAND

INFORMATIEBEVEILIGINGSBELEID DELFLAND INFORMATIEBEVEILIGINGSBELEID DELFLAND INHOUD 1. Inleiding 3 1.1 Context 3 1.2 van informatiebeveiliging 3 1.3 Componenten van informatiebeveiliging 4 1.4 Wettelijke basis 4 1.5 Standaarden 5 1.6 Scope

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Document informatie onderwerp Informatiebeveiligingsbeleid versie 1.0 Kenmerk EB200710-1 Penvoerder E. Braaksma Datum goedkeuring 24 januari 2008 Inhoudsopgave Voorwoord...4 1 Inleiding... 5 1.1 Informatiebeveiliging...

Nadere informatie

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Implementatie BIR Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Informatiebeveiliging. Beleidsuitgangspunten. Versie 2 (concept)

Informatiebeveiliging. Beleidsuitgangspunten. Versie 2 (concept) Informatiebeveiliging Beleidsuitgangspunten Versie 2 (concept) 1 1. INLEIDING... 4 1.1 Inleiding... 4 1.2 Aanleiding... 4 1.3 Wat is informatiebeveiligingsbeleid... 4 1.4 Doelgroep... 5 1.5 Eindverantwoordelijkheid...

Nadere informatie

ECIB/U Lbr. 17/010

ECIB/U Lbr. 17/010 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatieveiligheid en privacy uw kenmerk ons kenmerk ECIB/U201700133 Lbr. 17/010 bijlage(n) - datum 20 februari

Nadere informatie

Norm 1: Bestuur en Beleid

Norm 1: Bestuur en Beleid Norm 1: Bestuur en Beleid De verantwoordelijkheden die het lijnmanagement namens het college van burgemeester en wethouders draagt voor de duurzame toegankelijkheid en betrouwbaarheid van informatie zijn

Nadere informatie

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Overzicht Informatiebeveiliging Inlichtingenbureau GGK Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende

Nadere informatie

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 6 juli 2016 Betreft Kamervragen. Geachte voorzitter,

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 6 juli 2016 Betreft Kamervragen. Geachte voorzitter, > Retouradres Postbus 20350 2500 EJ Den Haag De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA DEN HAAG Bezoekadres: Parnassusplein 5 2511 VX Den Haag T 070 340 79 11 F 070 340

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga INFORMATIEVEILIGHEID een uitdaging van ons allemaal ICT Noord, Harro Spanninga Agenda Toelichting op de Taskforce BID Introductie thema Informatieveiligheid Technisch perspectief Perspectief van de overheid

Nadere informatie

IB RAPPORTAGE. Contactcenter Logius

IB RAPPORTAGE. Contactcenter Logius IB RAPPORTAGE [Kies de datum] Contactcenter Logius Dit document bevat een rapportage over de status van informatiebeveiliging bij het Contactcenter Logius en geeft inzicht in belangrijke beveiligingsaspecten.

Nadere informatie

De GDPR AVG Privacy wetgeving richt zich op veel meer dan alleen Privacy

De GDPR AVG Privacy wetgeving richt zich op veel meer dan alleen Privacy De nieuwe EU - GDPR - AVG Privacy wetgeving Op 27 april 2016 is de nieuwe Europese General Data Protection Regulation (GDPR) vastgesteld, in Nederland bekend als de Algemene Verordening Gegevensbescherming

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

Openheid versus Informatiebeveiliging. Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht

Openheid versus Informatiebeveiliging. Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht Openheid versus Informatiebeveiliging Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht k.siekman@utrecht.nl - Waarde van informatie Risico's digitaal werken Maatregelen digitaal werken Data is het

Nadere informatie

Informatiebeveiligingsbeleid Heemstede

Informatiebeveiligingsbeleid Heemstede Informatiebeveiligingsbeleid Heemstede Definitieve versie April 2013 Verseonnummer 607112 Inhoudsopgave DEEL 1: BELEIDSKADERS INFORMATIEBEVEILIGING 3 1. Inleiding 3 2. Definities en belang van informatiebeveiliging

Nadere informatie

Aantoonbaar in control op informatiebeveiliging

Aantoonbaar in control op informatiebeveiliging Aantoonbaar in control op informatiebeveiliging Agenda 1. Introductie key2control 2. Integrale interne beheersing 3. Informatiebeveiliging 4. Baseline Informatiebeveiliging Gemeenten 5. Demonstratie ISMS

Nadere informatie

Rapport definitieve bevindingen

Rapport definitieve bevindingen POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl Stichting Hogeschool Utrecht Onderzoek

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

Functieprofiel Beheerder ICT Functieprofiel titel Functiecode 00

Functieprofiel Beheerder ICT Functieprofiel titel Functiecode 00 1 Functieprofiel Beheerder ICT Functieprofiel titel Functiecode 00 Doel Zorgdragen voor het doen functioneren van ICT-producten en diensten en het in stand houden van de kwaliteit daarvan, passend binnen

Nadere informatie

Stichting Pensioenfonds Ecolab. Compliance Charter. Voorwoord

Stichting Pensioenfonds Ecolab. Compliance Charter. Voorwoord Stichting Pensioenfonds Ecolab Compliance Charter Voorwoord Het Compliance Charter beschrijft de definitie, doelstellingen, scope, en taken en verantwoordelijkheden van de betrokkenen in het kader van

Nadere informatie

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth De taak van de raad onder het dualisme Kaders stellen (WMO, Jeugdwet, handhaving) Budgetteren (begroting) Lokale wetgeving

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid ISO 27001:2013 Informatiebeveiligingsbeleid 9 september 2016 Status document: versie 3.3 Auteur: Jessica Heeren, Frankie Lipsius CONCLUSION LEARNING CENTERS Postbus 85030 3508 AA Utrecht Nederland T +31

Nadere informatie

Welkom bij parallellijn 1 On the Move uur. Stap 2 van de BIG Hoe kom ik tot een informatiebeveiligingsplan?

Welkom bij parallellijn 1 On the Move uur. Stap 2 van de BIG Hoe kom ik tot een informatiebeveiligingsplan? Welkom bij parallellijn 1 On the Move 11.00 11.50 uur Stap 2 van de BIG Hoe kom ik tot een informatiebeveiligingsplan? 1 IBD-Praktijkdag Work IT Out Hoe kom ik tot een informatiebeveiligingsplan? Jule

Nadere informatie

Informatiebeveiligingsplan Dentpoint Centrum voor Mondzorg

Informatiebeveiligingsplan Dentpoint Centrum voor Mondzorg Informatiebeveiligingsplan Praktijkadres Silvoldseweg 29a 7061 DL Terborg Praktijkadres De Maten 2 7091 VG Dinxperlo Praktijkadres F.B. Deurvorststraat 40 7071 BJ Ulft Bijlage 1 Inhoud Informatiebeveiligingsplan

Nadere informatie

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 16990 20 juni 2014 Regeling van de Staatssecretaris van Volksgezondheid, Welzijn en Sport van 12 juni 2014, kenmerk 376061-121125-WJZ,

Nadere informatie

NEN 7510: Een kwestie van goede zorg

NEN 7510: Een kwestie van goede zorg NEN 7510: Een kwestie van goede zorg Menig zorginstelling geeft aan nog niet te voldoen aan de NEN 7510 omdat deze (nog) niet verplicht is. Wettelijk is dit wellicht het geval, maar wat nu als men dit

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Minimale Maatregelen Universiteit Leiden Versie 5 8 juli 2004 Inhoudsopgave 1 Inleiding 3 1.1 Uitgangspunten 3 1.2 Minimumniveau van beveiliging 3 2 Minimale set maatregelen

Nadere informatie

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Bijlage 1 Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Blink is een educatieve uitgeverij die verschillende (digitale) producten en diensten (

Nadere informatie

VVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord

VVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord VVT - Broad Horizon CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, 29-08-2017 Voorwoord Voorwoord Voor u ligt de verklaring van toepasselijkheid. De verklaring van toepasselijkheid vloeit voort uit de risicobeoordeling

Nadere informatie

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Contractmanagement Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Nota Informatiebeveiligingsbeleid Wijzer 2015

Nota Informatiebeveiligingsbeleid Wijzer 2015 Nota Informatiebeveiligingsbeleid Wijzer 2015 Beleid Informatiebeveiliging Wijzer 1 september 2015 1 1. Inleiding Wijzer is de uitvoeringsdienst Sociaal Domein van de gemeente Naarden, Muiden en Bussum

Nadere informatie

Rapport. Informatieveiligheid en de Raad Met de hamer op tafel. Enquête over hoe raadsleden denken over het thema Informatieveiligheid

Rapport. Informatieveiligheid en de Raad Met de hamer op tafel. Enquête over hoe raadsleden denken over het thema Informatieveiligheid Rapport Informatieveiligheid en de Raad Met de hamer op tafel Enquête over hoe raadsleden denken over het thema Informatieveiligheid Inhoudsopgave 1. Inleiding 2 1.1 Achtergrond 3 1.2 Achtergrond enquête

Nadere informatie

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in IJsselmeerziekenhuizen te Lelystad op

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in IJsselmeerziekenhuizen te Lelystad op Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in IJsselmeerziekenhuizen te Lelystad op 7 maart 2007 Juli 2008 2 INSPECTIE VOOR DE GEZONDHEIDSZORG

Nadere informatie

HKZ-norm voor ketens en netwerken in de zorg en het sociale domein versie 2015

HKZ-norm voor ketens en netwerken in de zorg en het sociale domein versie 2015 HKZ-norm voor ketens en netwerken in de zorg en het sociale domein versie 2015 Versiebeheer Datum Activiteit Versie 27 februari Niveau 2 losgekoppeld van overige niveaus 0.1 5 maart 2015 Input projectoverleg

Nadere informatie

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011 Programma doorontwikkeling veiligheidshuizen Informatiemanagement en privacy 21 november 2011 Presentatie Privacy Binnen het programma doorontwikkeling veiligheidshuizen is Privacy een belangrijk onderwerp.

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Visie op Digitaal Zaakgericht werken

Visie op Digitaal Zaakgericht werken Visie op Digitaal Zaakgericht werken Aanleiding om digitaal zaakgericht te gaan werken Digitaal Zaakgericht werken is een belangrijke ontwikkeling die al geruime tijd speelt binnen de overheid, en bij

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Werkdocument interpretatie keuzedeel Security in systemen en netwerken

Werkdocument interpretatie keuzedeel Security in systemen en netwerken Werkdocument interpretatie keuzedeel Security in systemen en netwerken 1 17-02-2016 Inhoud Context... 3 Concrete beroepstaken... 4 D1-K1: Monitort en evalueert de ICT-veiligheid van netwerken en of systemen...

Nadere informatie

ISO 27001 met Qmanage

ISO 27001 met Qmanage A : Auke Vleerstraat 6D I : www.quarantainenet.nl 7521 PG Enschede E : info@quarantainenet.nl T : 053-7503070 B : NL89 RABO 0317 2867 14 F : 053-7503071 KvK : 08135536 ISO 27001 met Qmanage Inclusief NEN

Nadere informatie

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Bijlage 1 Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Uitgeverij Zwijsen B.V. is een educatieve uitgeverij die verschillende digitale producten en diensten ( digitale leermiddelen

Nadere informatie

Informatiebeveiliging als proces

Informatiebeveiliging als proces Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie