Plan van Aanpak Informatievoorziening en informatiebeveiliging

Save this PDF as:
 WORD  PNG  TXT  JPG

Maat: px
Weergave met pagina beginnen:

Download "Plan van Aanpak Informatievoorziening en informatiebeveiliging"

Transcriptie

1 Plan van Aanpak Informatievoorziening en informatiebeveiliging 18 december 2014

2

3 Inhoud Actie-overzicht bij plan van aanpak Informatievoorziening en informatiebeveiliging 5 1. Inleiding Visie Integrale visie op informatiebeveiliging Fasering Eisen aan informatievoorziening en beveiliging Samenwerking met andere organisaties Aanbevelingen commissies vertaald in maatregelen Governance en capaciteit voor IV en IB Governance Capaciteit en competenties bij informatiebeveiliging Capaciteit en competentie bij informatievoorziening en ICT Rol van medewerkers en techniek bij Informatiebeveiliging Informatiebeveiligingsbeleid: ISMS Adequate aansturing en prestaties van de sourcing partner Informatiesystemen die aansluiten bij de wensen v gebruikers Agenda Kosten 25 Bijlage I 27 3

4 4

5 Actie-overzicht bij plan van aanpak Informatievoorziening en informatiebeveiliging Deze tabel geeft een overzicht van de gerealiseerde en geplande acties in het kader van informatievoorziening en informatiebeveiliging. De acties worden in het plan van aanpak nader toegelicht. Actie Maatregelen informatievoorziening en Status Q1 Q2 Q3 Q1 Q2 Q Doorlopend nummer beveiliging verschillende informatiebeveiligingsmaatregelen zijn afgerond Zie bijlage I 2 Vaststellen datamodel met beveiligingsklassen 3 Inrichten jaarlijks proces en opstellen In control Statement RvB Afgerond V Lopend X X Gepland X 4 Aanscherping informatiebeveiligingsbeleid Gepland X 5 Inrichten structurele informatiebeveiliging, rollen en verantwoordelijkheden, implementeren ISMS 6 Beheren en actualiseren van het informatiebeveiligingsbeleid en richtlijnen Gepland X X X X Gepland X X X X

6 Actie Maatregelen informatievoorziening en Status Q1 Q2 Q3 Q1 Q2 Q Doorlopend nummer beveiliging Bepalen lijnverantwoordelijkheid en data beveiligingsklassen in 9-vlaksmodel 8 Verwerken van alle maatregelen in nieuwe versie van informatiebeveiligingsplan 9 Sluitend maken in-, door- en uitstroom t.b.v. autorisatie beheer Lopend X X Gepland X X X X Gepland X X X 10 Verbeteren bewustzijn informatiebeveiliging Gepland X X X X 11 Ontwikkelen en toepassen e-learning informatie beveiliging Gepland X X X X X 12 Uitvoeren business impact analyse Gepland X X 13 Ontwikkelen Business Continuity Management, incl rapportage en monitoring 14 Ontwikkelen en uitrollen informatiebeveiliging Risk Control Framework Gepland X X X Gepland X X X X X 15 Opzetten en uitvoeren RCF rapportages Gepland X X X X 16 Certificering tegen ISO Gepland X X 17 Opzetten autorisatie beheer i.c.m. nieuwe beveiligingsklassen Gepland X X

7 Actie Maatregelen informatievoorziening en Status Q1 Q2 Q3 Q1 Q2 Q Doorlopend nummer beveiliging Vastgestelde beveiligingsklassen in systemen en databases doorvoeren 19 Activeer auditing op applicaties en systemen 20 Automatiseren encryptie voor uitwisseling van vertrouwelijke gegevens. (integratie met Outlook) 21 Sterke authenticatie (2FA) voor externe toegang tot NZa gegevens (ook als vervanging tokens) 22 Borgen sluitende identificatie en autorisatie processen 23 Security eisen borgen in beheer en projecten 24 Analyseren van huidige (en waar nodig creëren van geanonimiseerde en gepseudonimiseerde) testdata 25 Security Architectuur opstellen, als onderdeel van de IT Architectuur 26 Security eisen en baselines opstellen voor applicaties en systemen Gepland X X X X Gepland X X X X Lopend X X Gepland X X Gepland X X X X Gepland X X X Gepland X X X Gepland X X X Gepland X X X X X X

8 Actie Maatregelen informatievoorziening en Status Q1 Q2 Q3 Q1 Q2 Q Doorlopend nummer beveiliging Borgen management proces voor informatie-incidenten 28 Eenduidig overzicht huidige IT & Security landschap (Applicaties, interfaces, systemen, netwerken, fysieke locaties en key functionaliteit, patches, uptdates) 29 Inrichten Vulnerability management, en periodieke scans op het NZa netwerk 30 Borgen alle IT beheersprocessen en ITIL, BISL en ASL standaarden 31 Zonering en segmentering NZa netwerk en systemen inrichten 32 Inrichten intrusion detection, monitoring en prevention Gepland X X X Lopend X X X Gepland X X X X Gepland X X X Gepland X X X Gepland X X X X X X X 33 Invoering van de nieuwe bewerkersovereenkomst in de contracten met de externe partijen 34 Invoeren security en risico rapportage en management Lopend X X Gepland X X

9 Actie Maatregelen informatievoorziening en Status Q1 Q2 Q3 Q1 Q2 Q Doorlopend nummer beveiliging Risico analyse gegevensuitwisseling met derden 36 Risico analyse, implementatie en borging fysieke toegangsbeveiliging en procedures bij de NZa & leveranciers Lopend X X X X Gepland X X X X

10 10

11 1. Inleiding De commissie Borstlap 1, Mazars 2 en Onderzoeksbureau AEF 3 hebben vanuit verschillende invalshoeken constateringen en aanbevelingen gedaan om de informatievoorziening en informatiebeveiliging van de NZa te verbeteren. De onderzoekers schetsen een beeld waarin de beheersing en beveiliging van informatie de afgelopen jaren op veel aspecten voldoet, maar ook nog tekortkomingen vertoont, waardoor het geheel als ontoereikend wordt beoordeeld. AEF concludeert dat de NZa in haar bedrijfsvoering in een groot aantal opzichten in control is en dat de informatievoorziening grotendeels op orde is. Echter, AEF geeft ook aan dat de bedrijfsvoering op een aantal punten kwetsbaar is. AEF geeft aan dat de benadering van de informatievoorziening nogal instrumenteel is, waarbij het strategisch belang van deze onderwerpen in brede zin binnen de organisatie wordt onderschat; de ontwikkelingen op het gebied van ICT vinden op te grote afstand van de primaire processen plaats, waardoor het risico bestaat dat applicaties niet voldoen aan de behoeften van toekomstige gebruikers. Uit de EDP-audit 4 die Mazars heeft uitgevoerd, komt de aanbeveling dat op het niveau van de IT-architectuur en IT-infrastructuur (de ITwerkelijkheid) aanvullende maatregelen noodzakelijk zijn. Het geplande informatie security management systeem (ISMS) is nog niet ingevoerd en geoperationaliseerd. Daarnaast is om gegevensverzamelingen intern te kunnen delen en hergebruiken een complex en moeilijk te beheersen autorisatiemechanisme ontstaan. Daarbij zijn de uitgangspunten niet gebaseerd op het need to know principe. De commissie Borstlap komt tot de conclusie dat de beveiliging op papier toereikend, is maar dat de normen onvoldoende leven. Daarom doet de commissie een drietal specifieke aanbevelingen: 1. Waarborg op alle niveaus de gedragsregels inzake ICT-gebruik met inbegrip van expliciete sancties bij overtreding van de regels. 2. Maak ICT-beveiliging expliciet onderdeel van de werving en beoordeling van managers bij de NZa. 3. Benoem krachtige, gezaghebbende security officers, die direct rapporteren aan de algemene leiding. De minister onderschrijft in haar brief van 2 september de conclusies van de commissie Borstlap en vraagt bij het nemen van maatregelen ook de uitgevoerde EDP-audit te gebruiken. In dit plan van aanpak komen de aanbevelingen van alle drie de onderzoeken terug, wordt zichtbaar welke acties al zijn afgerond en hoe de aanvankelijk ontoereikende situatie inmiddels is omgezet in een beheerste informatiebeveiliging. Het bereiken van een optimale situatie vergt nog een forse investering in visie, kwaliteit en techniek en gedrag. 1 Rapport commissie Borstlap naar het intern functioneren van de NZa, 1 september Rapport Mazars, EDP AUDIT informatiebeveiliging NZa (vertrouwelijk) 1 augustus Rapport AEF, evaluatie Wet Marktordening gezondheidszorg en NZa, kenmerk: GV278/3/ EDP staat voor Electronic Data Processing. In een EDP audit informatiebeveiliging heeft Mazars een diagnose, evaluatie en beoordeling uitgevoerd op opzet, bestaan en werking van de informatiebeveiligingsprocessen en maatregelen bij de NZa. 11

12 In dit plan van aanpak worden de maatregelen die hiervoor nodig zijn beschreven. De NZa heeft er in haar aanpak voor gekozen allereerst de meest urgente en kwetsbare onderdelen aan te pakken. Nu wordt gewerkt aan een bestendig informatiebeleid voor de lange termijn. De verschillende onderdelen die beschreven staan in dit plan van aanpak zijn of worden de komende periode opgepakt in het programma NZa op Koers. Dit programma borgt de uniformiteit in de verschillende plannen van aanpak en bewaakt de voortgang. Daarnaast ziet het erop toe dat alle acties aansluiten op de NZa strategie en de visie op informatievoorziening en informatiebeveiliging. Per deelproject is (of wordt op korte termijn) bepaald wat de doelstellingen, de scope, de acties en de verantwoordelijkheden zijn. De programmamanager rapporteert maandelijks (en indien nodig vaker) via de stuurgroep van het programma aan de Raad van Bestuur over de voortgang van het project. Eind wordt een eerste, externe tussenevaluatie van de realisatie van het project informatievoorziening en informatiebeveiliging uitgevoerd, eind volgt een uitgebreide evaluatie. De doelstellingen zoals deze gesteld worden in de deelprojecten, vormen het uitgangspunt voor deze evaluaties. Gekeken wordt of alle acties zijn uitgevoerd maar ook of de gestelde doelen zijn behaald. De integratie van DBC-Onderhoud en DIS in de NZa Per 1 januari valt DBC-Onderhoud bestuurlijk onder de NZa. De daadwerkelijke integratie wordt medio afgerond. Bezien wordt of de capaciteit en competenties van beide organisaties wat betreft informatievoorziening en ICT complementair zijn. Daarom worden momenteel de overlappende en complementaire capaciteiten in beeld gebracht en worden de technologie en systemen uit beide organisaties geïnventariseerd. Ook wordt een informatie-architectuur voorbereid waarin de beste delen van elke organisatie gebruikt worden voor de nieuwe NZa. De intentie is om zonder formele reorganisatie toch vast samen te werken als één ICT-unit. Deze aanpak versnelt de vereiste opbouw van kennis en capaciteit en verkleint de extra formatiebehoefte. De volledige integratie tot één ICTorganisatie staat gepland voor medio. Commissie Elias Naast deze rapporten heeft de NZa ook de uitkomsten van de parlementaire onderzoekscommissie Elias in ogenschouw genomen bij het opstellen van het plan van aanpak. Deze aanbevelingen hebben voornamelijk betrekking op grote ICT projecten (van 5 miljoen en hoger) en zijn daarmee vaak niet van toepassing op de NZa. Een viertal bevindingen van de commissie is wel relevant en meegenomen in dit plan van aanpak. Het gaat hier om de bevindingen met betrekking tot de faalkans van (te) grote projecten, het waken voor isolement van IT-projecten los van de lijnsturing, de eis van voortgangsinformatie aan de algemene leiding en de waarschuwing dat voorgenomen beleid vooraf op uitvoerbaarheid moet worden getoetst. Leeswijzer Hoofdstuk 2 beschrijft de NZa visie op informatievoorziening en beveiliging. In hoofdstuk 3 geven we aan hoe we de aanbevelingen uit de diverse rapporten hebben vertaald in maatregelen. In hoofdstuk 4 vindt u een overzicht van de kosten die de voorgenomen acties op het terrein van informatieveiligheid met zich meebrengen. 12

13 2. Visie In dit hoofdstuk bespreken we de visie van de NZa op informatievoorziening en informatiebeveiliging. De NZa verzamelt en beheert data voor analyses en onderzoeken die de basis vormen voor haar beleid, toezicht en handhaving. Hiervoor moet de informatie helder, correct en volledig zijn. De data leveren de feitelijke onderbouwing voor besluiten en zorgen daarmee voor maatschappelijk draagvlak, en bieden transparantie over het handelen van de NZa. Voor een goede informatievoorziening moet de ICTarchitectuur en infrastructuur op een hoger plannen worden gebracht. Onderdeel daarvan is het uitbreiden van het instrumentarium op het gebied van data- en business analytics. Voor goede informatiebeveiliging is bovendien de volledige invoering van ISMS (toelichting in paragraaf 3.3) nodig. Informatie is belangrijk voor de NZa. De aard van de data en informatie waar de NZa mee werkt is deels vertrouwelijk en soms zelfs zeer vertrouwelijk. De eisen aan de kwaliteit van de beveiliging om ongeoorloofd gebruik te voorkomen zijn daardoor hoog. Tegen die achtergrond lijkt het ons gewenst dat één van de nieuwe leden van de Raad van Bestuur de rol van Chief Information Officer (CIO) gaat vervullen. De huidige interim voorzitter realiseert op korte termijn een tijdelijke invulling door het benoemen van een programmamanager. De NZa werkt niet op een eiland, maar in intensieve relatie met zorgpartijen en met (semi-) overheidsinstellingen. Bij diverse partijen vragen we informatie op en delen we informatie. De NZa hecht aan kennisdeling en samenwerking en wil informatie die zich daarvoor leent ontsluiten voor andere partijen. We intensiveren daarom het overleg en de samenwerking met stakeholders. De NZa bevindt zich in een dynamische omgeving: regels veranderen, steeds meer data is openbaar, steeds meer organisaties werken met data. De NZa wil daarop inspelen en flexibel zijn, het informatiebeleid is daarom cyclisch van aard en wordt continue getoetst op relevantie en actualiteit. 2.1 Integrale visie op informatiebeveiliging Een belangrijk onderdeel van de informatievoorziening betreft de informatiebeveiliging. Daarop gaan we hierna expliciet in. De NZa heeft gekozen voor een integrale benadering van informatiebeveiliging. Dit omvat zes uitgangspunten: 1. Veiligheids- en risicobewustwording. Deze wordt gestuurd vanuit de leiding en gevoed vanaf de werkvloer. 2. Interne en externe beveiligingsnormen zijn expliciet, bekend en gedragen door de hele organisatie. De normen zijn aangepast aan de context waarbinnen de NZa functioneert. 3. Organisatorische, fysieke en IT-technische beveiliging zijn afgestemd. Alle drie moeten op vergelijkbaar niveau zijn. 4. De beveiliging is zowel qua architectuur als uitvoerend beheer op het juiste niveau gebracht en gehouden. Een onberispelijk niveau dat past bij een toezichthouder. 5. Gedrag is bepalend voor de feitelijke veiligheid. Dit betekent dat gewenst gedrag bekend is, geoefend en getoetst wordt en ongewenst gedrag wordt gecorrigeerd. 13

14 6. Beveiliging wordt permanent gemonitord, geëvalueerd en bijgesteld. Hiervoor zijn interne protocollen, capaciteit en competenties, maar ook externe auditing aanwezig. 2.2 Fasering Er is gekozen voor een aanpak van de informatiebeveiliging in twee fasen. In de eerste fase, die begin 2014 is gestart, zijn de meest urgente beveiligingsrisico s aangepakt. Er is met grote spoed en inzet gewerkt aan het verbeteren van de informatiebeveiliging. Dit proces had noodgedwongen een sterk ad hoc karakter. De aanpak heeft geleid tot een informatiebeveiliging die als beheerst kan worden gekenschetst. De tweede fase start begin en is gericht op het structureel verbeteren van de informatie- en beveiligingsarchitectuur, het volledig invoeren van het Information Security Management System (ISMS), de professionalisering van de regie-organisatie en het opdrachtgeverschap. De verregaande outsourcing van ICT diensten is gepaard gegaan met verlies aan ICT kennis. Deze is nu onvoldoende voor de aansturing van de sourincg partner. De ICT kennis en kunde wordt weer gedeeltelijk opgebouwd voor een betere regie over de outsourcing. De informatie- en ICT-architectuur wordt een afgeleide van de visie op informatievoorziening en beveiliging. We ontwikkelen in de eerste helft van een nieuwe samenhangende constructie: De NZa-visie beschrijft vanuit de taakopdracht van de minister van VWS wat de NZa doet, met wie we samenwerken en hoe we die opdracht vertalen. Bedrijfsprocesmodel beschrijft hoe we de taakopdracht in uit te voeren processen vertalen, wat de onderlinge samenhang is, waar we onze input vandaan halen en aan wie we onze output leveren, wie voor deze processen verantwoordelijk zijn en welke eisen we aan de processen stellen. Bedrijfsinformatiemodel: beschrijving van de data die we verzamelen, de bewerkingen die we hiermee uitvoeren (validatie, classificatie, groeperen, analyseren) en de systemen waarmee we dat doen. Data-architectuur: de beschrijving van de aard, groepering, kwaliteit, gebruiksmogelijkheden van de data die we verzamelen, bewerken en distribueren. Inclusief de metadata die we toevoegen om het gebruik en beheer van de data te sturen. ICT-architectuur: de beschrijving van de bestaande informatiesystemen en de veranderingen die we de komende jaren doorvoeren om te komen tot een hedendaagse, gelaagde architectuur. Daarin onderscheiden we toepassingen (applicaties, kantoorautomatisering), gebruiksinstrumenten (analysetooling, beveilingstooling), systeemsoftware (besturingssystemen, databasemanagementsystemen, communicatieprotocollen) en infrastructuur (communicatie-apparatuur, servers en opslag media). 2.3 Eisen aan informatievoorziening en beveiliging Omdat de aard van de data en informatie die de NZa gebruikt verschilt per proces en toepassing, verschillen ook de eisen voor het verzamelen, valideren, bewerken, opslaan en distribueren van data. Een segmentering van data naar eisen in termen van betrouwbaarheid, beschikbaarheid en beveiliging is noodzakelijk. Hier wordt aan gewerkt. 14

15 De NZa moet ten aanzien van informatiebeveiliging en informatievoorziening aan veel eisen voldoen: Als ZBO moet de NZa voor informatievoorziening voldoen aan de Baseline Informatie Rijksdienst (BIR), de Wet Bescherming persoonsgegevens (Wbp) en de Wet Openbaarheid van Bestuur (WOB). Als verwerker van vertrouwelijke informatie die ook samenwerkt met commerciële bedrijven, moet de NZa voldoen aan de normen van ISO en Vanwege het in voorkomende gevallen verwerken van zorginhoudelijke, patiëntgerelateerde data moet de NZa voldoen aan de normen van NEN 7510;2011 voor informatiebeveiliging in de zorg, NEN 7512;2005 voor de vertrouwensbasis voor gegevensuitwisseling en NEN 7513;2010 voor het vastleggen van acties op elektronische patiëntendossiers (logging). 2.4 Samenwerking met andere organisaties Voor het uitwisselen van informatie en data heeft de NZa in de afgelopen jaren afspraken gemaakt met veel verschillende organisaties. De NZa streeft ernaar om data eenmalig uit te vragen en neemt deel aan (overleg over) gezamenlijk aan te leggen gegevensbestanden voor de zorgsector. Hiermee wordt voorkomen we dat wij functionaliteiten van informatiesystemen nogmaals ontwikkelen en vice versa. De NZa zet in op versterking van de toegankelijkheid en bruikbaarheid van informatie voor alle partijen. Daarom luisteren we naar wat partijen van ons willen weten en op welke wijze ze onze data/informatie willen gebruiken. Hierbij streeft de NZa niet per definitie naar een zelfstandige rol maar wil zij graag op professionele en toetsbare wijze bijdragen. 15

16 16

17 3. Aanbevelingen commissies vertaald in maatregelen In dit hoofdstuk bespreken we de maatregelen die wij hebben genomen om de aanbevelingen uit de verschillende rapporten op te volgen. 3.1 Governance en capaciteit voor informatievoorziening en -beveiliging Governance De externe onderzoekers bevelen aan om de besturing van de informatievoorziening op RvB niveau te verankeren en om de betrokkenheid van de lijndirecties verder te vergroten. Er moet een professionele informatiebeveiligingsfunctie worden ingericht en de kwaliteit van de aansturing van de ICT outsourcing moet worden verhoogd. Informatieverwerking is een primair proces van de NZa geworden. De Raad van Bestuur beoordeelt daarom of de systemen de bedrijfsprocessen optimaal ondersteunen en of wordt voldaan aan eisen van continuïteit, beschikbaarheid en beveiliging van informatie. De CIO neemt initiatieven om het bewustzijn, de vaardigheden en competenties van alle NZa-medewerkers (dus inclusief leiding) over informatievoorziening, systeemgebruik en datagebruik op het vereiste niveau te brengen en te houden en ontwikkelt hiervoor beleid. Ook bewaakt hij/zij het belang van informatievoorziening en- beveiliging in de besluitvorming van de RvB. Andere maatregelen op het terrein van governance zijn: In het eerste kwartaal van stellen we het werkprogramma voor een goede data architectuur op. Op basis van deze architectuur wordt eind het informatieplan herzien. De RvB en directeuren stellen het informatieplan vast. Daardoor wordt het plan organisatie breed gedragen en waar relevant gekoppeld aan de strategisch-inhoudelijke plannen van de NZa. ICT wordt niet langer gezien als eigendom van de directie Bedrijfsvoering en Informatie, maar als fundament voor het werk van de hele NZa. Elke directeur heeft op gebied van gegevensmanagement vanaf eigen verantwoordelijkheid. Zij moeten specificeren aan welke eisen de gegevens die de directie verzamelt moeten voldoen en welke medewerkers toegang hebben tot deze gegevens. Ook zien zij toe op de naleving van bewaar- en vernietigingstermijnen. De centrale sturing ligt bij de RvB/CIO waarmee wordt voorkomen dat differentiatie in beleid of eilanden ontstaan. 17

18 De besturing van de informatievoorziening wordt op strategisch, tactisch en uitvoerend niveau ingevuld volgens het erkende TOGAF negenvlaksmodel 5. Dit borgt dat de zorg voor de diverse aspecten (negen vlakken) voor informatievoorziening expliciet is toebedeeld. Er wordt een quickscan uitgevoerd om te kijken welke van deze vlakken relevant zijn voor de NZa. Het schema waarin voor elk van de relevante taken een verantwoordelijk NZa-functionaris is aangewezen, ronden we begin af, daarbij wordt ook de organisatorische integratie van DBC-Onderhoud meegenomen Capaciteit en competenties bij informatiebeveiliging De kwaliteit en capaciteit van de informatiebeveiligingsfunctie is op dit moment onder andere verhoogd door de inhuur van een externe beveiligingsfunctionaris. Met de bestaande beveiligingsfunctionarisfunctie wordt daarmee het beveiligingsbureau (security office) gevormd dat rechtstreeks rapporteert aan de RvB. De werving van een permanente beveiligingsfunctionaris start in december. De beveiligingsfunctionaris stuurt de informatie- en databeveiligingsrollen in de directies aan en adviseert de lijndirecties bij hun beveiligingsverantwoordelijkheden zonder deze verantwoordelijkheid over te nemen Capaciteit en competentie bij informatievoorziening en ICT De NZa heeft haar ICT-uitvoering uitbesteed en voert zelf de functionele regie hierop. Voor een goede technische aansturing is eigen kennis noodzakelijk. De sourcing partner moet worden gestuurd op prestaties en aangeboden oplossingen en offertes moeten goed worden beoordeeld. Daarmee kan ook voorkomen worden dat externe technische consultants moeten worden ingehuurd. Daarom worden in de technische ICT-kennis, capaciteit en competenties op adequaat niveau gebracht. Dit vergt beschikbaarheid van architecten op het gebied van bedrijfsprocesmodellering en informatie- en datamodellen. Deze architecten moeten het technisch kader opleveren waarmee de NZa inzicht en overzicht over haar informatievoorziening opbouwt en waarmee de sourcing partner en andere leveranciers adequaat kunnen worden aangestuurd. Daarnaast biedt dit kader de basis voor de beveiligingsrichtlijnen van de beveiligingsfunctionaris van de NZa. De RvB/ CIO wordt eindverantwoordelijk voor de architectuur. Er wordt gewerkt aan samenwerkingscontracten met onafhankelijke adviesbureaus en zo mogelijk met andere (semi) overheidsinstellingen om deze functies op het gewenste niveau in te vullen. De prestaties van de sourcing partner en andere leveranciers worden in beter gestuurd en bewaakt. Naast een adequate architectuur zijn daarom ook eigen monitoringcapaciteit en vaardigheden vereist. Deze functie en capaciteit moet worden opgebouwd. Door het samenwerken en samenvoegen van de ICT afdelingen van de NZa en DBC-O in de eerste helft van wordt de capaciteit vergroot en verbeterd; een inverdieneffect van de integratie. In de tweede helft van wordt fors geïnvesteerd in vakopleidingen. 5 Het TOGAF negen vlaksmodel is een bij de overheid veel gebruikt model waarin de strategische, tactische en operationele niveaus zijn afgezet tegen de bedrijfsvoering, informatie voorziening en ICT. 18

19 3.2 Rol van medewerkers en techniek bij Informatiebeveiliging De onderzoeksrapporten constateren onvoldoende relatie tussen de technische maatregelen voor informatiebeveiliging en de aandacht voor de bewustwording, gedrag, kennis en vaardigheden van medewerkers. Er zijn diverse acties ondernomen om medewerkers te betrekken bij het beveiligingsbeleid en ze te motiveren hieraan mee te werken. De systemen zijn technisch aangepast om informatiebeveiliging te realiseren. Bewustzijn medewerkers vergroten Goede informatiebeveiliging is alleen mogelijk als iedere NZamedewerker zich bewust is van de gevolgen van zijn of haar handelen. Waar mogelijk moet techniek daarbij ondersteunend zijn en de medewerker in staat stellen op het hoogste beveiligingsniveau te handelen. Voor het vergroten van het informatiebeveiligingsbewustzijn zijn inmiddels de volgende stappen gezet: Voorlichtingssessies in management teams en unit overleggen van de directies. Presentaties door de beveiligingsfunctionaris tijdens introductiebijeenkomsten voor nieuwe medewerkers en inloopsessies voor de bestaande medewerkers. Publicaties op intranet en Kennisnet waarbij aandacht is voor de aanwezige procedures en instrumenten over veilig werken in de informatievoorziening. Een voorlichtingscampagne om het thema beveiligingsbewustzijn onder de aandacht te brengen staat gepland. Naast de directe benadering van de medewerker zijn de volgende organisatorische maatregelen doorgevoerd of gepland op korte termijn. In de toekomst wordt gewerkt met vier vertrouwensklassen van gegevens: open, organisatievertrouwelijk, commercieel vertrouwelijk en persoonlijk medisch vertrouwelijk. De vereiste risicoklassen worden vastgesteld als basis voor selectieve toegang. De informatiesystemen worden in aan deze indeling aangepast indien hiervoor de additionele middelen door VWS worden verstrekt. De bestaande strikte procedure rond medische persoonsgegevens wordt gehandhaafd. Voor alle wijzigingen aan bestaande informatiesystemen en voor het ontwikkelen van nieuwe systemen worden beveiligingseisen ontwikkeld. Deze hebben betrekking op de techniek maar ook op het gebruik. Na evaluatie worden de eisen algemeen toegepast op alle ontwikkelingen. Hierbij zal gebruik worden gemaakt van het Privacy Impact Assessment (PIA), een hulpmiddel om bij ontwikkeling van beleid, en de daarmee gepaard gaande wetgeving of bouw van ICTsystemen en aanleg van databestanden, privacy risico s op gestructureerde en heldere wijze in kaart te brengen. Er worden geanonimiseerde en gepseudonimiseerde testdata gecreëerd. Hiermee kan, ook door externen, een volledige testcyclus worden uitgevoerd zonder gevaar voor lekken van vertrouwelijke data. Dit zal naar verwachting eind zijn afgerond. De NZa wil haar beveiligingspraktijk in extern laten toetsen en streeft naar Certificering volgens de ISO27001 norm. 19

20 Ter verbetering van de autorisatie, databescherming en versleuteling zijn de volgende technische maatregelen inmiddels ingevoerd of opgenomen in de planning. Alle smartphones en tablets zijn voorzien een sandbox applicatie, Mobile Device Management. Hierdoor worden geen bedrijfsgegevens fysiek op de apparaten geplaatst en kunnen kwaadwillende bij diefstal of verlies geen NZa gegevens bereiken. Alle laptops binnen de NZa zijn voorzien van encryptie software. Alle data die op de laptop wordt opgeslagen is versleuteld. Het ongeclausuleerde gebruik van gedeelde informatie op gemeenschappelijke schijven is gestopt. De eisen aan sterkte en de geldigheidstermijn van wachtwoorden is verder aangescherpt. Er zijn encryptie tools aan medewerkers verstrekt voor gegevensuitwisseling. Communicatie met externen is of wordt verlegd van naar beveiligde portals. Dit traject is grotendeels gereed en vergt permanent onderhoud. Doorvoeren van logging op gebruik van gevoelige data/informatie. De logging zal zowel plaatsvinden op handelingen van NZa-medewerkers als ICT medewerkers bij externe leveranciers (per ). Implementatie van security monitoring en intrusion detection (IDS) bij de externe leverancier. Hiermee dienen aanvallen vanuit de buitenwereld op de bij de externe leverancier aanwezige NZa data te worden geïdentificeerd en voorkomen (per ). Vaststellen van de risicoklassen en bijbehorende autorisatieregels (authenticatie need to know & need to have) Nadere beveiliging doorvoeren door verdere segmentering en zonering op de technische infrastructuur (per ). Met de externe leverancier de bestaande dienstverleningsovereenkomst aanpassen op de punten bedrijfscontinuïteit en disaster recovery en het doorvoeren daarvan zodat voortgang van werkzaamheden binnen de NZa altijd is gewaarborgd (per ). Een uitgebreider overzicht van de in 2014 getroffen maatregelen staat in bijlage Informatiebeveiligingsbeleid: ISMS Om de naleving van het beleid en de juiste omgang met de techniek te borgen is het volledig implementeren van het Informatie Security Management System (ISMS) van belang. In 2014 is nieuw beveiligingsbeleid vastgesteld en bestaand beleid aangescherpt. Gedrag waarvan impliciet wordt verondersteld dat medewerkers zich eraan houden, wordt in de eerste helft van geëxpliciteerd en vastgelegd in een geactualiseerd ISMS. Het ISMS biedt een verbetercyclus die een bijdrage levert om de informatiebeveiliging op niveau te houden met continue evaluatie, daaruit voortvloeiende verbetervoorstellen en de invoering ervan. Aan het informatiebeveiligingsbeleid wordt in het ISMS op verschillende onderdelen aandacht besteed: Opleidingen en trainingen In start een NZa-breed programma om het risicobewustzijn te vergroten, met extra aandacht voor het inwerken van nieuwe medewerkers en externen. Voor vaste medewerkers wordt een e-learning programma ontwikkeld en is er herhaalde communicatie via Kennisnet, de intranetsite en medewerkersbijeenkomsten. 20

21 Maatregelen in de HRM sfeer De rol van leidinggevenden bij informatiebeveiliging leggen we begin expliciet vast in de functiebeschrijvingen. Onderwerpen die daarin voorkomen: het verstrekken en intrekken van autorisaties als iemand in dienst komt op een afdeling of juist vertrekt. In nauw overleg met HRM wordt een voorstel uitgewerkt om de follow up van overtreding van beveiligingsregels opnieuw te bezien. Bij foutief handelen wordt eerst bezien of betrokkene voldoende was geïnformeerd en wordt ontbrekende kennis aangereikt. Bij herhaalde, bewuste en/of flagrante overtredingen van de beveiligingsvoorschriften wordt een sanctie getroffen conform ARAR. Daarnaast wordt informatiebeveiliging onderdeel van functieprofielen en een gespreksonderwerp in p-gesprekken. Ook is elkaar open kunnen aanspreken op gedrag ten aan zien van informatiebeveiliging noodzakelijk. Organisatorische en fysieke maatregelen Voor alle beveiligingsaspecten wordt in het eerder genoemde TOGAF negenvlaksmodel een functionaris aangewezen. Deze functionaris houdt toezicht op de daadwerkelijke rolvervulling bij de beveiligingsaspecten. De fysieke beveiliging is sterk verbeterd door het nauwgezet gebruiken van toegangsbadges voor bezoekers en het te allen tijde begeleiden van bezoekers die in het gebouw aanwezig zijn. Daarnaast is er een kluis in gebruik genomen voor alle waardvolle zaken, is er aangescherpt clean deskbeleid en kan er alleen beveiligd worden geprint. Het toezicht op deze zaken is verscherpt. 3.3 Adequate aansturing en prestaties van de sourcing partner De interne kennis over de ICT-techniek wordt uitgebreid om de sourcing partner beter te kunnen aansturen. Daarvoor neemt de NZa de volgende maatregelen. Voor een timing van de acties verwijzen we naar het overzicht aan het begin van dit plan. Interne kennis ontwikkeling en aansturing De strategische sturing van de uitbestede diensten komt in handen van de RvB/ CIO. De tactische sturing vindt plaats op directieniveau. Met de sourcing partner is een governancemodel opgesteld. Dit wordt in december 2014 geïmplementeerd. In paragraaf 3.1 is beschreven hoe de competentie op het gebied van architectuur wordt opgebouwd. Deze vormt de basis voor de werkwijze. Opdracht aan de sourcing partner In november 2014 zijn de contractbesprekingen voor de formele bewerkersovereenkomst gestart en deze worden naar verwachting in januari afgerond. Over de fysieke informatiebeveiliging worden in het eerste kwartaal ook bewerkersovereenkomsten afgesloten met alle leveranciers die NZa data bewerken, zoals de arbodienst en de salarisverwerker. De bestaande opdracht aan de sourcing partner houdt in dat deze alle ICT-en informatieveiligheidsdiensten integreert en als één samenwerkend geheel aan de NZa aanbiedt. In het vierde kwartaal van 2014 is de sourcing partner gevraagd dit te realiseren. Zowel ten aanzien van het systeembeheer als ten aanzien van ICT projecten wordt de dienstverlening door de sourcing partner geïntegreerd. Momenteel worden rapportages voorbereid over zaken als de taken en diensten die 21

Gemeente Alphen aan den Rijn

Gemeente Alphen aan den Rijn Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden. 4.3 Het toepassingsgebied van het milieumanagementsystee m vaststellen

4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden. 4.3 Het toepassingsgebied van het milieumanagementsystee m vaststellen 4 Context van de organisatie 4 Milieumanagementsysteemeisen 4.1 Inzicht in de organisatie en haar context 4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden 4.3 Het toepassingsgebied

Nadere informatie

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Informatiebeveiliging En terugblik op informatiebeveiliging 2016 Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Norm 1.3 Beveiligingsplan

Norm 1.3 Beveiligingsplan Beantwoording vragen zelftest Suwinet oktober 2014 Norm 1.3 Beveiligingsplan De Inspectie SZW beschrijft norm 1.3 als volgt: De gemeente heeft een formeel vastgesteld beveiligingsbeleid en -plan. Het Beveiligingsplan

Nadere informatie

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht

Nadere informatie

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen.

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen. FUNCTIEPROFIEL Opdrachtgever: Functienaam: BKR Compliance Officer Security & Risk BKR is een onafhankelijke stichting met een maatschappelijk doel. BKR streeft sinds 1965, zonder winstoogmerk, een financieel

Nadere informatie

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012 Functioneel (informatie) beheerder Doel Zorgdragen voor het inrichten, aanpassen, vernieuwen en onderhouden van de informatievoorziening (processen, procedures en/of systemen), passend binnen het informatiebeleid

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie I T S X Understanding the Tools, the Players and the Rules Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie Voorwoord Ralph Moonen Arthur Donkers Mijn naam

Nadere informatie

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst Opdrachtgeverschap 2.0 Toezien op de afspraken in de verwerkersovereenkomst Doel van deze presentatie Zelf een mening hebben over welke certificering/ verklaring het beste past bij een af te nemen dienst

Nadere informatie

Voorstel Informatiebeveiliging beleid Twente

Voorstel Informatiebeveiliging beleid Twente Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Inleiding Als zorginstelling is Profila Zorg verantwoordelijk voor goede en veilige zorg aan haar cliënten. Bij het uitvoeren van deze taak staat het leveren van kwaliteit

Nadere informatie

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen Auteur Datum Ludo Cuijpers 5 februari 2016 1. Informatiebeveiliging en privacy in het mbo 2. IBP framework 3. Mens

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Functieprofiel Beheerder ICT Functieprofiel titel Functiecode 00

Functieprofiel Beheerder ICT Functieprofiel titel Functiecode 00 1 Functieprofiel Beheerder ICT Functieprofiel titel Functiecode 00 Doel Zorgdragen voor het doen functioneren van ICT-producten en diensten en het in stand houden van de kwaliteit daarvan, passend binnen

Nadere informatie

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Ter info (AB) Afdeling: Team: Bedrijfsbureau Beh.door: Bos, M.G. Port.houder: DB, Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Memo Informatiebeveiliging Inleiding Met

Nadere informatie

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017 Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet Webinar, 28 juni 2017 Agenda Algemeen: verschillen oude en nieuwe normenkader Relatie met ENSIA Highlights Norm voor norm

Nadere informatie

Verbeterplan Suwinet

Verbeterplan Suwinet Verbeterplan Suwinet Inhoudsopgave 1. Aanleiding... 3 2. Verbeterpunten Suwinet... 4 2.1 Informatiebeveiligingsbeleid... 4 2.2 Uitdragen van het beleid... 4 2.3 Functiescheiding... 4 2.4 Security Officer...

Nadere informatie

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'. Inleiding Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'. Hierin wordt aangegeven dat DNB in 2017 met

Nadere informatie

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011 Programma doorontwikkeling veiligheidshuizen Informatiemanagement en privacy 21 november 2011 Presentatie Privacy Binnen het programma doorontwikkeling veiligheidshuizen is Privacy een belangrijk onderwerp.

Nadere informatie

Hoe operationaliseer ik de BIC?

Hoe operationaliseer ik de BIC? Hoe operationaliseer ik de BIC? Baseline Informatiebeveiliging Corporaties UTRECHT, 14 November 2017. Code voor Informatiebeveiliging NEN/ISO 27001; Informatietechnologie - Beveiligingstechnieken - Managementsystemen

Nadere informatie

Functioneel Applicatie Beheer

Functioneel Applicatie Beheer Functioneel Applicatie Beheer Functioneel Applicatie Beheer Goed functioneel beheer werkt als smeerolie voor uw organisatie en zorgt voor een optimale aansluiting van de informatievoorziening op de primaire

Nadere informatie

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases

Nadere informatie

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL Privacy in de zorg Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL Audit & Advisory Security Assessments Training and Awareness

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

Functieprofiel Functioneel Beheerder Functieprofiel titel Functiecode 00

Functieprofiel Functioneel Beheerder Functieprofiel titel Functiecode 00 Functieprofiel Functioneel Beheerder Functieprofiel titel Functiecode 00 Doel Zorgdragen voor adequaat beheer en onderhoud van systemen en applicaties, voor tijdige en effectieve ondersteuning van en kennisontwikkeling

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. BISL Business Information Services Library Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2

Nadere informatie

Ieder document direct beschikbaar

Ieder document direct beschikbaar Slide 1 Ieder document direct beschikbaar 4 februari 2016 1 Slide 2 Over Expansion Implementatiespecialist op gebied van digitale documentverwerking en archivering Verantwoordelijk voor volledig implementatietraject

Nadere informatie

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2014 2015 34 200 VIII Jaarverslag en slotwet Ministerie van Onderwijs, Cultuur en Wetenschap 2014 Nr. 11 BRIEF VAN DE MINISTER VAN ONDERWIJS, CULTUUR EN

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Beschrijving van de generieke norm: ISO 27001:2013. Grafimedia en Creatieve Industrie. Versie: augustus 2016

Beschrijving van de generieke norm: ISO 27001:2013. Grafimedia en Creatieve Industrie. Versie: augustus 2016 Beschrijving van de generieke norm: ISO 27001:2013 Grafimedia en Creatieve Industrie Versie: augustus 2016 Uitgave van de branche (SCGM) INHOUDSOPGAVE INHOUDSOPGAVE... 1 INLEIDING... 4 1. ONDERWERP EN

Nadere informatie

CIOT-bevragingen Proces en rechtmatigheid

CIOT-bevragingen Proces en rechtmatigheid CIOT-bevragingen Proces en rechtmatigheid 2015 Veiligheid en Justitie Samenvatting resultaten Aanleiding Op basis van artikel 8 van het Besluit Verstrekking Gegevens Telecommunicatie is opdracht gegeven

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie DIENST Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie Advies over en ondersteuning bij het initieel inrichten/optimaliseren

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

2015; definitief Verslag van bevindingen

2015; definitief Verslag van bevindingen Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Nederweert Postbus 2728 6030AA NEDERWEERT Programma 8 Postbus 90801 2509 LV

Nadere informatie

Informatiebeveiligingsbeleid extern

Informatiebeveiligingsbeleid extern ISO 27001:2013 Informatiebeveiligingsbeleid extern 25 oktober 2016 Status document: versie 1.0 Auteur: Frankie Lipsius CONCLUSION LEARNING CENTERS Postbus 85030 3508 AA Utrecht Nederland T +31 (0)30 744

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

UITTREKSEL en MANAGEMENTRAPPORTAGE

UITTREKSEL en MANAGEMENTRAPPORTAGE UITTREKSEL en MANAGEMENTRAPPORTAGE Zelfevaluatie Paspoorten en NIK Gemeente Achtkarspelen 2015 Uittreksel gemeente Achtkarspelen van de resultaten van de controle als bedoeld in artikel 94 van de Paspoortuitvoeringsregeling

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk

Nadere informatie

De maatregelen in de komende NEN Beer Franken

De maatregelen in de komende NEN Beer Franken De maatregelen in de komende NEN 7510 Beer Franken Twee delen in komende NEN 7510 Deel 1: het infosec management system (ISMS) hoofdstuk 4 in huidige NEN 7510 Deel 2: de maatregelen hoofdstukken 5 t/m

Nadere informatie

Derden-mededeling Overstapservice Onderwijs

Derden-mededeling Overstapservice Onderwijs Mededeling over de betrouwbaarheid van de Overstapservice Onderwijs Onlangs heeft Infoseccon BV een rapport over het geautomatiseerde systeem van Overstapservice Onderwijs (OSO) uitgebracht. Infoseccon

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Energiemanagementplan Carbon Footprint

Energiemanagementplan Carbon Footprint Energiemanagementplan Carbon Footprint Rapportnummer : Energiemanagementplan (2011.001) Versie : 1.0 Datum vrijgave : 14 juli 2011 Klaver Infratechniek B.V. Pagina 1 van 10 Energiemanagementplan (2011.001)

Nadere informatie

Het BiSL-model. Een whitepaper van The Lifecycle Company

Het BiSL-model. Een whitepaper van The Lifecycle Company Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte

Nadere informatie

Energiemanagement Actieplan

Energiemanagement Actieplan 1 van 8 Energiemanagement Actieplan Datum 18 04 2013 Rapportnr Opgesteld door Gedistribueerd aan A. van de Wetering & H. Buuts 1x Directie 1x KAM Coördinator 1x Handboek CO₂ Prestatieladder 1 2 van 8 INHOUDSOPGAVE

Nadere informatie

Onderwijsgroep Tilburg. De Blauwdruk van Onderwijsgroep Tilburg

Onderwijsgroep Tilburg. De Blauwdruk van Onderwijsgroep Tilburg Onderwijsgroep Tilburg De Blauwdruk van Onderwijsgroep Tilburg Even voorstellen Jan Schrevel jan@jsad.nl +31625181818 Projectleider Blauwdruk Joël de Bruijn jdebruijn@onderwijsgroeptilburg.nl +31614241587

Nadere informatie

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 ISO Revisions Nieuw en herzien Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 Inleiding Dit document maakt een vergelijking tussen ISO 9001:2008 en de Final Draft International

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening?

Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening? Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening? Inhoud 1. Introductie 2. Informatieveiligheid en privacy van alle kanten bedreigd 3. Het belang van privacy

Nadere informatie

In Control op ICT in de zorg

In Control op ICT in de zorg In Control op ICT in de zorg Ervaringen uit de praktijk van ziekenhuizen Ron van den Bosch Hoofd bureau Strategie en Beleid UMC Groningen Voorzitter Vereniging Informatica en Gezondheidszorg Lid CIO Platform

Nadere informatie

Datalek dichten en voorkomen. 21 april 2017

Datalek dichten en voorkomen. 21 april 2017 Datalek dichten en voorkomen 21 april 2017 Wat zijn datalekken? Wettelijke definitie Wet Bescherming Persoonsgegevens: een inbreuk op de beveiliging, als bedoeld in artikel 13 Wbp moet worden gemeld.

Nadere informatie

Cloud computing Helena Verhagen & Gert-Jan Kroese

Cloud computing Helena Verhagen & Gert-Jan Kroese Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

Strategisch Informatiebeveiligingsbeleid Hefpunt

Strategisch Informatiebeveiligingsbeleid Hefpunt Strategisch Informatiebeveiligingsbeleid Hefpunt Groningen, 24-5-2016 Classificatie: intern Wijzigingshistorie Release Datum Auteur(s) Aanpassing 2016 0.1 24-05- 2016 2016 0.2 01-06- 2016 L. Winters J.

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Document nummer ISMS 2 Versie 1.4 Auteur M. Konersmann Goedgekeurd door J. Meijer Datum 30-08-2017 Classificatie Openbaar Versie Datum Reden voor Aangepast door opmaak 1.0

Nadere informatie

VAN AMBITIE NAAR UITVOERING - INRICHTING EN BESTURING I&A DELFLAND. 31 augustus 2013

VAN AMBITIE NAAR UITVOERING - INRICHTING EN BESTURING I&A DELFLAND. 31 augustus 2013 VAN AMBITIE NAAR UITVOERING - INRICHTING EN BESTURING I&A DELFLAND 31 augustus 2013 CONTEXT Delfland wordt de komende jaren geconfronteerd met een groeiende interne en externe vraag naar (innovatieve)

Nadere informatie

Technische beschrijving pseudonimisatie gegevensverzameling NIVEL Zorgregistraties eerste lijn

Technische beschrijving pseudonimisatie gegevensverzameling NIVEL Zorgregistraties eerste lijn Bijlage 2 bij Privacyreglement NIVEL Zorgregistraties eerste lijn Technische beschrijving pseudonimisatie gegevensverzameling NIVEL Zorgregistraties eerste lijn Pseudonimisatie Onder 'pseudonimisatie'

Nadere informatie

Functieprofiel: Beheerder ICT Functiecode: 0403

Functieprofiel: Beheerder ICT Functiecode: 0403 Functieprofiel: Beheerder ICT Functiecode: 0403 Doel Zorgdragen voor het doen functioneren van ICT-producten en de ICTinfrastructuur en het instandhouden van de kwaliteit daarvan, passend binnen het beleid

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag > Retouradres Postbus 20011 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA Den Haag sorganisatie Turfmarkt 147 Den Haag Postbus 20011 2500 EA Den Haag

Nadere informatie

Qsuite in een mobiele applicatie. Geschikt voor telefoon en tablet

Qsuite in een mobiele applicatie. Geschikt voor telefoon en tablet Qsuite in een mobiele applicatie Geschikt voor telefoon en tablet Er is geen stoppen meer aan Het internetgebruik in de wereld neemt iedere dag toe. IT is overal,. Internet is steeds meer, vaker en sneller

Nadere informatie

Handboek IBP. Overzicht-projectplan privacy SOML. Oktober Versienummer: 0.2

Handboek IBP. Overzicht-projectplan privacy SOML. Oktober Versienummer: 0.2 Handboek IBP Overzicht-projectplan privacy SOML Oktober 2017 Versienummer: 0.2 Inleiding In het verleden zijn er Nederlandse privacywetten (WBP) ingevoerd vanaf 1995. In 2016 kwam de Meldplicht Datalekken

Nadere informatie

Draaiboek Invoering Basisregistratie Personen l Afnemers

Draaiboek Invoering Basisregistratie Personen l Afnemers Draaiboek Invoering Basisregistratie Personen l Afnemers Hoofdstap 3 Voorbereiden Publicatiedatum: oktober 2014 Inleiding U heeft een vastgesteld plan van aanpak, u weet welke voorbereidende werkzaamheden

Nadere informatie

Verklaring van Toepasselijkheid en Informatiebeveiligingsbeleid

Verklaring van Toepasselijkheid en Informatiebeveiligingsbeleid Openbaar Onderwerp Verklaring van Toepasselijkheid en Informatiebeveiligingsbeleid Programma Bestuur en Middelen BW-nummer Portefeuillehouder H. Tiemens, B. van Hees, H. Bruls Samenvatting De gemeente

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging Informatiebeveiliging HKZ, november 2016 Wie ik ben: adviseur/trainer/qarebase begeleiden bij kwaliteitsmanagement en certificering Lead Auditor Kiwa, o.a. HKZ, ISO 9001, ZKN, VMS, NEN 7510 en NEN-ISO

Nadere informatie

NEN 7510: Een kwestie van goede zorg

NEN 7510: Een kwestie van goede zorg NEN 7510: Een kwestie van goede zorg Menig zorginstelling geeft aan nog niet te voldoen aan de NEN 7510 omdat deze (nog) niet verplicht is. Wettelijk is dit wellicht het geval, maar wat nu als men dit

Nadere informatie

Privacy Policy v Stone Internet Services bvba

Privacy Policy v Stone Internet Services bvba Privacy Policy v09.16 Stone Internet Services bvba Stone Internet Services Privacy Policy Dit document heeft als doel te beschrijven hoe Stone Internet Services bvba omgaat met het opslaan en beheren van

Nadere informatie

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug. NORA werkdocument Sessie 6 In 3 klikken naar bouwstenen voor invulling van de eisen Katern Beveiliging Bijgewerkt op 23 aug. 2013 katern Beveiliging Jaap van der Veen Essentie Sessie 6 1. Opzet digitaal

Nadere informatie

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid 'BI t# ". Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Ede Postbus 9022 6710 HK EDE GLD. Programma B Postbus90801 2509

Nadere informatie

Raadsbesluit. Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/ Inleiding

Raadsbesluit. Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/ Inleiding Raadsbesluit Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/574466 1. Inleiding Aanleiding Privacy is een onderwerp dat de laatste jaren veel in de belangstelling staat. Data zijn hot en worden het

Nadere informatie

Het succes van samen werken!

Het succes van samen werken! White paper Het succes van samen werken! Regover B.V. Bankenlaan 50 1944 NN Beverwijk info@regover.com www.regover.com Inleiding Regover B.V., opgericht in 2011, is gespecialiseerd in het inrichten en

Nadere informatie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie : Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen

Nadere informatie

In een keten gaat het om de verbindingen, niet om de schakels.

In een keten gaat het om de verbindingen, niet om de schakels. Verbindingsmodel IV Serviceketen Theo Thiadens en Adri Cornelissen In een keten gaat het om de verbindingen, niet om de schakels. Verbindingsmodel IV Serviceketen Theo Thiadens Alleen een organisatie die

Nadere informatie

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 22 mei 2014 Raymond Slot raymond.slot@hu.nl nl.linkedin.com/in/raymondslot VRAAG: Top bedreigingen Continuïteit? Continuïteitsbedreiging

Nadere informatie

Presentatie NORA/MARIJ

Presentatie NORA/MARIJ Presentatie NORA/MARIJ 6 november 2009 Peter Bergman Adviseur Architectuur ICTU RENOIR RENOIR = REgie NuP Ondersteuning Implementatie en Realisatie Overzicht presentatie Families van (referentie-)architecturen

Nadere informatie

Voorbeelden generieke inrichting Digikoppeling

Voorbeelden generieke inrichting Digikoppeling Voorbeelden generieke inrichting Versie 1.1 Datum 19/12/2014 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl Documentbeheer

Nadere informatie

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland OVER OOSTZAAN Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland WORMERLAND. GESCAND OP 13 SEP. 2013 Gemeente Oostzaan Datum : Aan: Raadsleden gemeente Oostzaan Uw BSN : - Uw brief van :

Nadere informatie

Informatiebeveiliging als proces

Informatiebeveiliging als proces Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Het Analytical Capability Maturity Model

Het Analytical Capability Maturity Model Het Analytical Capability Maturity Model De weg naar volwassenheid op het gebied van Business Intelligence. WHITEPAPER In deze whitepaper: Wat is het Analytical Capability Maturity Model (ACMM)? Een analyse

Nadere informatie

Datum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W

Datum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W OK* Inspectie SZW Ministerie van Sociale Zaken en.. ^1\.-Ŭ Werkgelegenheid ovd > Retouradres Postbus 90801 2509 LV Den Haag M d -1 mo I *y kopie De Gemeenteraad van Boxtel Postbus 10000 5280 DA BOXTEL

Nadere informatie

Brochure HC&H Masterclasses

Brochure HC&H Masterclasses Brochure HC&H Masterclasses & Masterclass Informatiebeveiliging & Masterclass Proces en Informatiemanagement & Masterclass Klantgericht werken & Masterclass Functioneel Beheer & Masterclass Inkoop ICT

Nadere informatie

Compliance Charter. Pensioenfonds NIBC

Compliance Charter. Pensioenfonds NIBC Compliance Charter Pensioenfonds NIBC Vastgesteld in bestuursvergadering 9 december 2016 Inleiding Pensioenfonds NIBC voert de pensioenregeling van NIBC Bank N.V. uit. Het pensioenfonds is een stichting

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement Rapportage Pizzasessie Functioneel-beheer.com Alle deelnemers hebben hun functienaam opgegeven. De volgende functienamen zijn gemeld: Specialisten o Functioneel beheerder (9x) o Functioneel applicatiebeheerder

Nadere informatie

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Implementatie BIR Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VERSLAG PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Verslag PIA Versienummer 1.0 Versiedatum April 2014

Nadere informatie

Waarborgen NZa voor DIS-beheer met het oog op publieke taakuitoefening DBC s

Waarborgen NZa voor DIS-beheer met het oog op publieke taakuitoefening DBC s Waarborgen NZa voor DIS-beheer met het oog op publieke taakuitoefening DBC s 1. Inleiding Het voornemen is het beheer van het DBC Informatie Systeem (DIS) onder te brengen bij DBC-Onderhoud. Daartoe is

Nadere informatie

Aan welke eisen moet het beveiligingsplan voldoen?

Aan welke eisen moet het beveiligingsplan voldoen? Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet

Nadere informatie

Governance en Business Intelligence

Governance en Business Intelligence Governance en Business Intelligence Basis voor de transformatie van data naar kennis Waarom inrichting van BI governance? Zorgorganisaties werken over het algemeen hard aan het beschikbaar krijgen van

Nadere informatie