Baseline(Informatiebeveiliging(HO((BIHO)( (
|
|
- Petrus Devos
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Baseline(Informatiebeveiliging(HO((BIHO)( ( Auteur(s): SCIPR(SURFibo) Versie: 1.0 Datum: 1mei2015 Moreelsepark EPUtrecht Postbus DAUtrecht 088< admin@surfnet.nl INGBankNL54INGB KvKUtrecht BTWNL B01
2 BaselineInformatiebeveiligingHO(BIHO) Inhoudsopgave( 1 Inleiding(...(5 2 Context(...(6 3 Toepassen(BIHO(binnen(de(instelling(...(8 BIJLAGE(I:(Tabel(relevante(documenten(...(10 BIJLAGE(II:(Overzicht(geraadpleegde(externe(bronnen(...(12 4 BIJLAGE(III:(maatregelen(set(Baseline(Informatiebeveiliging(HO(...(14 SURFCommunityvoorInformatiebeveiligingenPRivacy,voorheenSURFibo)is eencommunityofpracticemetalsdoelenhetactiefstimulerenvanenrichting gevenaaninformatiebeveiligingenprivacybinnenhethogeronderwijs (universiteiten,hogescholen,onderzoeksinstellingenenuniversitairmedische centra).ditdoetscipronderanderedoorhetleverenvanpraktischbruikbare adviezen,beleidenleidraden. DitdocumentisvlakvoordenaamswijzigingvanSURFibonaarSCIPR geschreven.waarindetekstsurfibowordtgenoemd,moersciprgelezen worden. MeerinformatieoverSURFibostaatopwww.surf.nlonderhetthema Beveiliging enprivacy. DezepublicatieisgelicenseerdondereenCreativeCommonsNaamsvermelding3.0Unportedlicentie Meerinformatieoverdezelicentievindtuophttp://creativecommons.org/licenses/by/3.0/deed.nl
3 BaselineInformatiebeveiligingHO(BIHO) Versiebeheer:( Maart2015 EersteversieBaselineinformatiebeveiligingHO 3/62
4 BaselineInformatiebeveiligingHO(BIHO) 4
5 BaselineInformatiebeveiligingHO(BIHO) 1( Inleiding( HetdoorSURFiboontwikkeldemodelinformatiebeveiligingsbeleidsteltdathetHogerOnderwijsmet betrekkingtotinformatiebeveiligingderelevantemaatregelenconformiso<27002zaltreffen.de NederlandseoverheidhanteertdezeISO<standaardookalsnorm.Depraktijkwijstuitdathetinvoeren vandezeiso<standaardnieteenvoudigis,metalsbelangrijkeoorzaakzijngroteabstractheid waardoorerveeldiscussiekanzijnoverdevertalinginconcretemaatregelen. Deoverheidheefthet ICT<deel vanhaartactischevariantvandeiso<27002,debaseline InformatiebeveiligingRijksoverheid<TactischNormenKader(BIR<TNK),doorvertaaldnaaroperationele maatregelenenopgenomenindebir<oh(operationelehandreiking).ookinhethogeronderwijsis behoefteaanmeerconcretebeveiligingsmaatregelen.inditdocumentwordtdebirverdertoegelicht, waaromdezeookvoorhethogeronderwijsgeschiktisenhoedezebaselineinformatiebeveiliging HO(BIHO)toegepastkanworden. DitdocumentisbedoeldvoordegebruikersvandemaatregeleninhetHogerOnderwijs:de functionarisseninformatiebeveiligingzoalssecurityofficers,projectleidersvanict<projecten,ict< architectenenictbeheerders. 5
6 BaselineInformatiebeveiligingHO(BIHO) 6 2( Context( DenormenenmaatregelenindeBIRzijngebaseerdopeenvertrouwelijkheidsniveaudathoortbij gegevensmetdeclassificatie DepartementaalVertrouwelijk,vergelijkbaarmet VoorInternGebruik enhetniveauwbprisicoklasseii:verhoogdrisico.dittypegegevenskomtookveelvuldigvoorinhet HogerOnderwijs.SURFiboheeftvastgestelddathetrisicoprofielvoorhetHogerOnderwijsen Onderzoekzoalsweergegeveninhet CyberdreigingsbeeldSectorHogerOnderwijsen WetenschappelijkOnderzoek (2105)veelovereenkomstvertoontmethetrisicoprofielvan Rijksoverheid.Vanwegedegroteovereenkomsteninvertrouwelijkheidsniveauenrisicoprofielstelt SURFibodatdeBIR(inclusiefdeRijks<specifiekemaatregelen)alsbasiskandienenvooreen baselineinformatiebeveiligingvoorinstellingeninhethogeronderwijs(biho). HoepastdezeBIHOinhetSURFiboFrameworkInformatiebeveiliging,waarvaneengedeeltein onderstaaandeuitsnedeisweergegeven?relevantinhetkadervandebir<ohbinnenhetframework zijndevolgendedocumenten: Product Inhoud Dd HORA Eensetarchitectuurmodellenen principesvoorhethoger onderwijs,geïnspireerdopde NORA. BevatIB<principesen classificaties. 07< 2014 Starterkit informatiebeveiliging Eenuitgewerkteprocesgerichte aanpak(infasen)om informatiebeveiligingopgangte brengenenhouden. 12< 2010 ModelbeleidIB Template informatiebeveiligingsbeleid. 05< 2015 NormenkaderHO/ SURFaudit 85normenuitISO27002<2013 voorhethogeronderwijs,als basisvoordesurfauditdoor SURFstuurgroep Informatiebeveiligingenprivacy geaccordeerd. Baseline InformatiebeveiligingHO (BIHO) Operationelesetmaatregelen voorhethoopbasisvanbir< TNKenBIR<OH Nu
7 BaselineInformatiebeveiligingHO(BIHO) Juridischnormenkader CloudServices Toetsmodelwaaraandediensten vaneenleverancier(van cloudservices)getoetstwordt. 11< 2013 Technische handreikingen Defactostandaardszoals OWASP. Diver s BijhetopstellenvandesetoperationelemaatregelenvoorhetHogerOnderwijsopbasisvandeBIR isgeconstateerddathetonderscheidtussendetactischenormenuitdebir<tnkendeoperationele maatregelenuitdebir<ohnietconsequentwordtgehanteerd. Daaromisbeslotenbijhetsamenstellenvande bestpractice maatregelensetvoorhetho,debiho uitbeidedocumententeputten. DeBIHObestaatuittweedelen,heteerstedeelbevatdenormenuithetnormenkaderHOaangevuld metconcretemaatregelenuitdebireninsommigegevallenisdaar evidence 1 of)umccloud 2 )aan toegevoegd.hettweededeelbevatnormenuitdebir<tnkdienietinhetnormenkaderho voorkomen.hetrijksteltdezenormenverplicht,hetisvoorstelbaardatdebihoenbir<tnknaar elkaarzullengroeien. Hetisnietverplichtomde bestpractice letterlijkovertenemen,maardoordezezovolledigmogelijk tevolgen,komtdeinstellinginlijnmethetnormenkaderho/surfauditnormenkader.hetadviesaan deinstellingenisomdeinvullingvanallemaatregelenconformhetprincipe"pastoeofleguit"vastte leggen. InbijlageIIIisdeBIHOopgenomen,dezeisookinExcelformaattedownloadenvandeSURFibosite. 1 deevidence<lijstuitsurfaudit,opgestelddoorinternal<auditorsho 2 "normdocumentclouddiensten"vandegezamenlijkeuniversitairemedischecentra 7
8 BaselineInformatiebeveiligingHO(BIHO) 3( Toepassen(BIHO(binnen(de(instelling( GeadviseerdwordtomdeICT<maatregelenuitdeBIHOalsvolgttoetepassen: 1. Stelvastdatdeset bestpractice ICT<beveiligingsmaatregelendenormisl 2. Bepaaldegapmetdeset bestpractice ICT<beveiligingsmaatregelen,daarvoorkanhet onderstaandschemawordengebruikt: GAP<analyse Impactanalyse Aanwezig(Is(de( maatregel( geïmplementeerd( ( ja/nee/( gedeeltelijk/( nvt/onbekend Hoe( geïmplementeerd Omschrijving(hoe(en( waar( (instellingsbreed( /onderdeel) geïmplementeerd Eigenaar(van( de(maatregel( naam( /afdeling ( Status Actiehouder( Wie(is( aanspreekbaar/( verantwoordelijk( voor( implementatie(van( de(maatregel Planning( Datum(( gereed Geaccept eerd( risico( =( manage menty( besluit Indekolom Aanwezig kunnendevolgendekeuzesgemaaktworden: Ja:Demaatregelisaanwezig.Vulookdevindplaatsin,wiedemaatregeluitvoert,waarde maatregelisvastgelegdenoverigebijzonderheden. Nee:Erisnietsgevonden. Gedeeltelijk:Demaatregelisgedeeltelijkgeïmplementeerd. Nietvantoepassing:Demaatregelisnietvantoepassing.Vuldaarbijookeenredenin Onbekend:Onduidelijkoferietsisdatvoldoet. Vervolgenskanhetdeel Impactanalyse wordeningevuld,doorvoordenognietgenomen maatregelenofdeonbekendemaatregelenkaneenstatuswordenaangegeven: Geïmplementeerd:Eenmaatregelisvollediggeïmplementeerd. Deelsgeïmplementeerd:Eenmaatregelisdeelsaanwezig. 8
9 BaselineInformatiebeveiligingHO(BIHO) Teimplementeren:Demaatregelgaatgeïmplementeerdwordenbinnenafzienbaretijd. Nietgeïmplementeerd:Demaatregelmoetnoggeïmplementeerdworden. Nietvantoepassing:Demaatregelisnietvantoepassing. Nognietonderzocht:Demaatregelisnognietonderzocht. Overgedragen:Demaatregelisovergedragen(bijvoorbeeldaaneenandere beheerorganisatie). Geaccepteerdrisico:Eenmaatregelwordtnietgenomen,hetrisicodatgelopenwordtdoor hetnietnemenwordtgeaccepteerd. 3. Vervolgenskaneenplanvanaanpakwordenopgesteldwaarinwordtbeschrevenhoede uitkomstenvandegap<analysewordenafgehandeld.ditplanvanaanpakisdaarmeeonderdeelvan depdca<cyclus. 4. Tenslottekaneenpeer<reviewofeenexterneaudituitgevoerdwordenomtecheckenofde juistemaatregelenzijngenomenenof(opbasisvandeevidence<lijst)hetgewenste volwassenheidsniveauisbereikt. 9
10 BaselineInformatiebeveiligingHO(BIHO) 10 BIJLAGE(I:(Tabel(relevante(documenten( Product Inhoud Dd Starterkit informatiebeveiliging Eenuitgewerkteprocesgerichteaanpak(infasen)om informatiebeveiligingopgangtebrengenenhouden. 12<2010 ModelbeleidIB SURFiboTemplateinformatiebeveiligingsbeleid 05<2015 NEN<ISO27001:2013 InternationalespecificatievaneisenwaaraaneenISMS (InformationSecurityManagementSystem)ofwel managementsysteemvoorinformatiebeveiliging)moet voldoen NEN<ISO27002:2013 Eenpraktischesetmaatregelenwaarmee informatiebeveiliginggeïmplementeerdkanworden SURFaudit6<cluster Denormenset(85normen)doorSURFiboopgesteldvoor hethogeronderwijsopgesteldopbasisvaniso<27002: <2015 Juridischnormenkader CloudServices SURFToetsmodelwaaraandedienstenvaneenleverancier vancloudservicesgetoetstkanwordenopsecurity&privacy. 11<2013 BIRTNK HettactischenormenkadervandeBIR.DeTNKisverplicht bijderijksoverheid(pastoeofleguit/complyorexplain). HetiseenverbijzonderingvanNEN<ISO27002.Het beoogdeniveauvandebaselineis departementaal vertrouwelijkenwbprisicoklasseii 12<2<2012 QuickScanBIR HetuitvoerenvandeQuickScanBIRgeeftaanofdeBIR maatregelenvoldoendezijnvoorbeveiligingvanspecifieke processenmetondersteunendeinformatiesystemen. 21<01< 2014 Technischebaselines BaselineszoalsdeApplicationSecurityVerification StandaardvanOWASP,detechnicalbaselinesvanENISA, destandaardendiedoorhetnistzijnvoorgesteldenhet raamwerkbeveiligingvanwebapplicatiesdoorhetncsc. (Defactostandaards) HORA Eensetarchitectuurmodellenen principesvoorhethoger onderwijs,geïnspireerdopdenora. 07<2014
11 BaselineInformatiebeveiligingHO(BIHO) Bevatbeperkt(enkeleprincipes)rondIB. IBA SURFiboInformatieBeveiligingsArchitectuur 11<
12 BaselineInformatiebeveiligingHO(BIHO) BIJLAGE(II:(Overzicht(geraadpleegde(externe(bronnen( BIRYOH( ENISA( Relevantemaatregelenin: guideline<on<minimum<security<measures/technical<guideline<on<minimum<security<measures reporting/technical%20guidelines%20on%20incident%20reporting/technical<guideline<on<incident< reporting for<network<and<information<security<in<education sizes<and<parameters<report cryptographic<measures<securing<personal<data NIST(( InteressantisdeconfiguratiehandleidingdievoorveelgebruikteITcomponentenbeschikbaaris: metbijvoorbeeldvoorfirefox(viaeenzusterorganisatiecenterforinternetsecurity): OWASP(( OWASPlevertvooraldeApplicationSecurityVerificationStandaard ( Howtodevelopsecureapplications: applicationsecurity(eenuitgebreide,praktischegidshoetetesten)endehowtocodereview. NCSC(( Interessantzijndealerts(bekendekwetsbaarhedenmetoplossing)enhetraamwerkbeveiliging webapplicaties: incidenten/beveiligingsadviezen 12
13 BaselineInformatiebeveiligingHO(BIHO) beveiliging<webapplicaties.html SANS(( 13
14 BaselineInformatiebeveiligingHO(BIHO) 4" BIJLAGE"III:"maatregelen"set"Baseline"Informatiebeveiliging"HO" Legenda: Bronnen:" BIR BaselineInformatiebeveiligingRijksdienst BIR>TNK BIR>TactischNormenkader BIR>OH BIR>OperationeleHandreiking Evidence Elementuitdeevidence>lijstopgestelddoorinternal>auditorsHO ISO ElementuitISO27002:2013 UMCcloud Elementuit"normdocumentclouddiensten"vandegezamenlijkeUniversitaireMediceCentra NORA NederlandseOverheidReferentieArchitectuur (O) Maatregeluit<bron>isaangepastvoordeOnderwijssector " " 14
15 BaselineInformatiebeveiligingHO(BIHO) " Afkortingen"en"Begrippen"" RA(S)CImatrix matrixmetrollenineenproces:responsible,accountable,(tooffersupport,)tobeconsulted,tobeinformed BIA BusinessImpactAnalyses PIA PrivacyImpactAssessment OTAP Ontwikkeling,Test,AcceptatieenProductie BYOD BringYourOwnDevice DMZ DeMilitarizedZone NAT NetworkAddressTranslation:eentechnologiewaarbijeenprive>adresrangewordtverbondenmetinternetviaeenroutermet1openbaar netwerkadres DNS DomeinNameSystem spoofing Zichvoordoenalsiemand/ietsanders(andermansnaam,IP>adresetc.) zero>footprint Applicatieskunnenwordengebruiktzondersoftwareinstallatieopdeclientenzonderachterlatingvanapplicatiedataopdeclient reverseproxy Eenproxyserverdienamenseenclientdataophaaltbijmeerderservers,doorgaansineeninternnetwerk. hardened Eenverhoogdbeveiligingsniveaudoorbeperkingvanhetaantalkwetsbareconfiguratieonderdelen multifunctionalsapparatenmetmeerderefunctioneledoelen,meestalprinten,kopiërenenscannen/faxen 15
16 BaselineInformatiebeveiligingHO(BIHO) Hoofdstuk"1:"Beleid"en"organisatie" Nr." SURFF audit" ISOF 27002:2 013" Norm" Maatregel" Bron" Beleidsregels"voor"informatiebeveiliging:"" Tenbehoevevaninformatiebeveiligingiseenreeksbeleidsregels gedefinieerdengoedgekeurddoorhetbestuur." Hetbestuurvandeinstellingsteltbeleidvoorinformatiebeveiliging vast. BIR>TNK Beleidsregels"voor"informatiebeveiliging: Debeleidsregelsvoorinformatiebeveiligingzijngepubliceerden gecommuniceerdaanmedewerkersenrelevanteexternepartijen." Hetdoorhetbestuurvastgesteldeinformatiebeveiligingbeleidwordt gepubliceerdengecommuniceerdaanmedewerkersenrelevante externepartijen(bijv.innieuwsbrieven,opinternewebsitesenin jaargesprekkenmetmedewerkers) Evidence 16
17 BaselineInformatiebeveiligingHO(BIHO) Beoordeling"van"het"informatiebeveiligingsbeleid:"" Hetbeleidvoorinformatiebeveiligingwordtmetgeplandetussenpozen ofalszichsignificanteveranderingenvoordoen,beoordeeldomte waarborgendathetvoortdurendpassend,adequaatendoeltreffendis." Deinformatiebeveiligingsfunctionarisbiedtjaarlijkseenverslagover dekwaliteitvaninformatiebeveiligingaanaanbestuurencio. Alsonderdeelvandejaarrekeningcontrolebeoordeeltde huisaccountantjaarlijksdeinformatiebeveiliging. Deinstellinglaatzichtweejaarlijksbeoordelentijdenseenpeer> review BIR>TNK Taken"en"verantwoordelijkheden"informatiebeveiliging:"" Alleverantwoordelijkhedenbijinformatiebeveiligingzijngedefinieerd entoegewezen." (O)Hetlijnmanagementwaarborgtdatde informatiebeveiligingsdoelstellingenwordenvastgesteld,voldoen aandekaderszoalsgesteldinhetbeleidsdocumentenzijn geïntegreerdinderelevanteprocessen. BIR>TNK (O)Functiebeschrijvingen,mandateringsbesluitenen/ofRACI matricesbevattenverantwoordelijkhedenvoorhetopstellen, onderhouden,vaststellenvanentoezichthoudenop informatiebeveiliging. BIR>TNK (O)Eriseendisciplinairprocesvastgelegdvoormedewerkersdie inbreukmakenophetbeveiligings>en/ofprivacybeleid. BIR>TNK Informatiebeveiliging"in"projectbeheer:"" Informatiebeveiligingkomtaandeordeinprojectbeheer,ongeachthet soortproject." Deontwikkel>enprojectmethodiekenvandeorganisatiebeschrijven devereisteaandachtvoorinformatiebeveiliging,bevattemplates metbeveiligingsparagraafengeefteenduidelijkerolvoorde informatiebeveiligingsfunctionaris. EenBIAisverplichtbijprojectenmetgroteimpactofhoge risicoklasseenbetrefthetpersoonsgegevensdaniseenpia verplicht. Evidence Beleid"voor"mobiele"apparatuur: Beleidenondersteunendebeveiligingsmaatregelenzijnvastgesteld omderisico sdiehetgebruikvanmobieleapparatuurmetzich meebrengttebeheren." Perrisicoklasseisvastgesteldof,enwelke,mobieledatadragers wordentoegestaan.toegangtotgegevensbronnenwordttechnisch (onafhankelijkvandelocatie)afgedwongen. BIR>OH 17
18 BaselineInformatiebeveiligingHO(BIHO) Classificatie"van"informatie: Informatieisgeclassificeerdmetbetrekkingtotwettelijkeeisen, waarde,belangengevoeligheidvooronbevoegdebekendmakingof wijziging." (O)Deorganisatieheefteeninformatieclassificatierichtlijn(zoalsde SURFibo"Richtlijnclassificatie")opgesteld. BIR>TNK (O)Deeigenaarvandeinformatiekenteenclassificatievoor beschikbaarheid,integriteit,vertrouwelijkheideneventueleandere kwaliteitscriteriatoe. BIR>TNK Declassificatiewordtjaarlijksenbijgrotewijzigingenuitgevoerddan welherijkt. Evidence Informatie"labelen:" Ominformatietelabeleniseenpassendereeksprocedures ontwikkeldengeïmplementeerdinovereenstemmingmethet informatieclassificatieschemadatisvastgestelddoordeorganisatie." Deorganisatieheeftproceduresvoorhetlabelenvaninformatie vastgesteldengecommuniceerd.tedenkenvaltaanhetlabelen vanmetnamepapierendocumenten,dossiersenbackups. BIR>TNK Beleid"inzake"het"gebruik"van"cryptografische" beheersmaatregelen:"" Terbeschermingvaninformatieiseenbeleidvoorhetgebruikvan cryptografischebeheersmaatregelenontwikkeldengeïmplementeerd" Deorganisatieheeftmiddelsbeleidvastgesteldwelke cryptografischevoorzieningenvoorwelketoepassingeningezet worden. BIR>OH Dedataopharddisksinlaptopsisversleuteld(volgenshetpre>boot harddiskencryptieprincipe). BIR>OH Vertrouwelijkegegevenswordenalleenversleuteldopgeslagenop mobieledatadragers. (Zie e/goedgekeurde/) BIR>OH 18
19 BaselineInformatiebeveiligingHO(BIHO) Beleid"inzake"het"gebruik"van"cryptografische"beheersF" maatregelen:"" Terbeschermingvaninformatiezijnertoolsofapplicatiesaanwezig waarmeehetbeleidvoorhetgebruikvancryptografische beheersmaatregelenwordtgeïmplementeerd." (O)Decryptografischebeveiligingsvoorzieningenencomponenten voldoenaanalgemeengangbarebeveiligingscriteria,zoals: >NIST(US)/CSE(Canada)FIPS140>2 ( >hetnationaalbureauvoorverbindingsbeveiliging(aivd/nbv)op e/inzetadviezen/ BIR>TNK DaarwaarmogelijkzijnICTproductengebruiktdievolgenseen internationaalgeaccepteerdestandaard/organisatiegeëvalueerd zijn. Waarhetnietmogelijkismetgoedgekeurdeproductentewerken wordtgebruikgemaaktvanrobuustealgoritmenmeteenvoldoende langesleutel.voorverbindings>endataencryptieisditminimaal AESmeteensleutellengtevan256bitsofgelijkwaardig.Voorhash algoritmenisditminimaalsha2ofgelijkwaardig. BIR>OH ZieBIR>OHaanbevelingbij hierboven. BIR>OH Verwijdering"van"bedrijfsmiddelen:"" Apparatuur,informatieensoftwarewordtnietzondertoestemming voorafvandelocatiemeegenomen." DeICTgedragsregelsbevattendeclausuledatapparatuur, informatieenprogrammatuurvandeorganisatiepasna toestemmingvandelocatiekanwordenmeegenomen. BIR>TNK 19
20 BaselineInformatiebeveiligingHO(BIHO) Beleid"en"procedures"voor"informatietransport: Terbeschermingvanhetinformatietransport,datviaallesoorten communicatiefaciliteitenverloopt,zijnformelebeleidsregels, proceduresenbeheersmaatregelenvoortransportvankracht." (O)Bijtransportvanvertrouwelijkeinformatieoveronvertrouwde netwerken,zoalshetinternet,dientaltijdgeschikteencryptiete wordentoegepast. BIR>TNK BIR>OH (O)Erzijnproceduresopgesteldengeïmplementeerdvooropslag vanvertrouwelijkeinformatieopverwijderbaremedia. BIR>TNK (O)Verwijderbaremediametvertrouwelijkeinformatiemogenniet onbeheerdwordenachtergelatenopplaatsendietoegankelijkzijn zondertoegangscontrole BIR>TNK (O)Hetmeenemenvaninstellingsvertrouwelijkeinformatiebuiten gecontroleerdgebiedvindtuitsluitendplaatsindienditvoorde uitoefeningvandefunctienoodzakelijkis. BIR>TNK (O)Fysiekeverzendingvanbijzondereinformatiedientte geschiedenmetgoedgekeurdemiddelen,waardoordeinhoudniet zichtbaar,nietkenbaareninbreukdetecteerbaaris. BIR>TNK (O)Digitaledocumentenwaarderdenrechtenaankunnenontlenen wordenverzondenmetgebruikmakingvaneencertificaat uitgegevendooreenerkenderootca(certificateauthority)encsp (CertificateServiceProvider).. BIR>TNK (O)Eriseen(spam)filtergeactiveerdvoore>mailberichten. BIR>TNK Erwordenstandaardcommunicatieprotocollengebruiktdiegeen afbreukdoenaanhetgewenstebeveiligingsniveau. BIR>OH 20
21 BaselineInformatiebeveiligingHO(BIHO) Overeenkomsten"over"informatietransport: Erzijnovereenkomstenvastgesteldvoorhetbeveiligdtransporteren vanbedrijfsinformatietussendeorganisatieenexternepartijen." Analyse"en"specificatie"van"informatiebeveiligingseisen: Deeisendieverbandhoudenmetinformatiebeveiligingzijn opgenomenindeeisenvoornieuweinformatiesystemenenvoor uitbreidingenvanbestaandeinformatiesystemen" Overeenkomstenbehorenbetrekkingtehebbenophetbeveiligd transporterenvanbedrijfsinformatietussendeorganisatieen externepartijen. Deeisendieverbandhoudenmetinformatiebeveiligingbehorente wordenopgenomenindeeisenvoornieuweinformatiesystemenof vooruitbreidingenvanbestaandeinformatiesystemen. ISO Evidence Opnemen"van"beveiligingsaspecten"in"leveranciersovereenF" komsten:" Allerelevanteinformatiebeveiligingseisenzijnvastgestelden overeengekomenmetelkeleverancierdietoegangheefttotit> infrastructuurelemententenbehoevevandeinformatievande organisatie,ofdezeverwerkt,opslaat,communiceertofbiedt." (O)Voorafgaandaanhetafsluitenvaneencontractvooruitbesteding ofexterneinhuurisbepaaldwelkewaardeengevoeligheidde informatie(bijv.risicoklassevanwbp)heeftwaarmeedederde partijinaanrakingkankomenenofhierbijeventueelaanvullende beveiligingsmaatregelennodigzijn. BIR>TNK Bijovereenkomstenmet(cloud)leverancierswordthetJuridisch normenkadervansurftoegepast. Evidence (O)Indienexternepartijensystemenbeherenwaarin persoonsgegevensverwerktworden,wordteen bewerkerovereenkomst(conformwbpartikel14)afgesloten. BIR>TNK Toeleveringsketen"van"informatieF"en"communicatieF" technologie: Overeenkomstenmetleveranciersbevatteneisendiebetrekking hebbenopdeinformatiebeveiligingsrisico sinverbandmetde toeleveringsketenvandedienstenenproductenophetgebiedvan informatie>encommunicatietechnologie." Alsergebruiktgemaaktwordtvanonderaannemersdangelden daardezelfdebeveiligingseisenvooralsvoordecontractant.de hoofdaannemerisverantwoordelijkvoordeborgingbijde onderaannemervandegemaakteafspraken. (BijtoepassingvanhetJuridischnormenkadervanSURFisaan dezeeisvoldaan.) BIR>TNK 21
22 BaselineInformatiebeveiligingHO(BIHO) Verantwoordelijkheden"en"procedures: Directieverantwoordelijkhedenen>procedureszijnvastgesteldomeen snelle,doeltreffendeenordelijkeresponsop informatiebeveiligingsincidententebewerkstelligen." Directieverantwoordelijkhedenen>proceduresbehorenteworden vastgesteldomeensnelle,doeltreffendeenordelijkeresponsop informatiebeveiligingsincidententebewerkstelligen ISO Beveiligingsincidentenwordenmeteen(volgenseenvooraf opgesteldeprocedure)aande(corporate)informationsecurity Officeren/ofICT>beveiligingsmanagergemeld.Bewijsmateriaal wordthierbijoverhandigd. BIR>OH Rapportage"van"informatiebeveiligingsgebeurtenissen:"" Informatiebeveiligingsgebeurtenissenwordenzosnelmogelijkviade juisteleidinggevendeniveausgerapporteerd." (O)Eriseencontactpersoonaangewezenvoorhetrapporterenvan beveiligingsincidenten.voorintegriteitsschendingenisookeen vertrouwenspersoonaangewezendiemeldingeninontvangst neemt. BIR>TNK Procedureszijnschriftelijkvastgelegdenmaatregelenzijnaanwezig omalledelenen/ofdefunctionaliteitvaneenclouddienst onmiddelijkbuitengebruiktestelleningevalvaneen beveiligingsincident. UMCclou d Beschermen"van"registraties:"" Registratieswordeninovereenstemmingmetwettelijke,regelgevende, contractueleenbedrijfseisenbeschermdtegenverlies,vernietiging, vervalsing,onbevoegdetoegangenonbevoegdevrijgave." a)deinstellingverstrektrichtlijnenvoorhetbewaren,opslaan, behandelenenverwijderenvanregistratieseninformatiei b)deinstellingstelteenbewaarschemaopwaarinregistratiesende periodedatzemoetenwordenbewaard,zijnvastgelegdi c)deinstellinghoudteeninventarisoverzichtbijvanbronnenvan belangrijkeinformatie. BIR>TNK 22
23 BaselineInformatiebeveiligingHO(BIHO) Privacy"en"bescherming"van"persoonsgegevens: Privacyenbeschermingvanpersoonsgegevensworden,voorzover vantoepassing,gewaarborgdinovereenstemmingmetrelevantewet> enregelgeving." a)alleverwerkingenwaarinpersoonsgegevenszijnopgenomen,zijn geïnventariseerdi b)relevantewet>enregelgevingisgeïnventariseerdi c)passendemaatregelenvoorbeveiligingzijnvastgesteldi d)vastgesteldemaatregelenzijngeïmplementeerdi e)maatregelenwordenjaarlijksgecontroleerdopjuiste implementatie. Evidence Scheiding"van"taken:"" Conflicterendetakenenverantwoordelijkhedenzijngescheidenomde kansoponbevoegdofonbedoeldwijzigenofmisbruikvande bedrijfsmiddelenvandeorganisatieteverminderen." 1.Niemandineenorganisatieofprocesmagopuitvoerendniveau rechtenhebbenomeengehelecyclusvanhandelingenineen kritischinformatiesysteemtebeheersen.ditinverbandmethet risicodathijofzijzichzelfofanderenonrechtmatigbevoordeeltofde organisatieschadetoebrengt.ditgeldtvoorzowel informatieverwerkingalsbeheeracties. 2.Eriseenscheidingtussenbeheertakenenoverigegebruikstaken. Beheerswerkzaamhedenwordenalleenuitgevoerdwanneer ingelogdalsbeheerder,normalegebruikstakenalleenwanneer ingelogdalsgebruiker. 3.Vóórdeverwerkingvangegevensdiedeintegriteitvankritieke informatieofkritiekeinformatiesystemenkunnenaantastenworden dezegegevensdooreentweedepersoongeïnspecteerden geaccepteerd.vandeacceptatiewordteenlogbijgehouden. 4.Verantwoordelijkhedenvoorbeheerenwijzigingvangegevensen bijbehorendeinformatiesysteemfunctiesmoeteneenduidig toegewezenzijnaanéénspecifieke(beheerders)rol. BIR>TNK 23
24 BaselineInformatiebeveiligingHO(BIHO) Hoofdstuk"2:"Personeel,"studenten"en"gasten" Nr." SURFF audit" ISOF 27002:2 013" Norm" Maatregel" Bron" Arbeidsvoorwaarden: Decontractueleovereenkomstmetmedewerkersencontractanten vermeldthunverantwoordelijkhedenvoorinformatiebeveiligingendie vandeorganisatie." Dealgemenevoorwaardenvanhet(arbeids)contractvan medewerkersencontractantenbevattendewederzijdse verantwoordelijkhedentenaanzienvanbeveiliging.hetis aantoonbaardatmedewerkersbekendzijnmethun verantwoordelijkhedenophetgebiedvanbeveiliging. BIR>TNK (O)Indieneenmedewerkerofcontractantspeciale verantwoordelijkhedenheeftt.a.v.informatiebeveiligingdanishem datvoorindiensttreding(ofbijfunctiewijziging),bijvoorkeurinde aanstellingsbriefofbijhetafsluitenvanhetcontract,aantoonbaar duidelijkgemaakt. BIR>TNK 24
25 BaselineInformatiebeveiligingHO(BIHO) Bewustzijn,"opleiding"en"training"ten"aanzien"van" "informatiebeveiliging: Allemedewerkersvandeorganisatieen,voorzoverrelevant, contractantenkrijgeneenpassendebewustzijnsopleidingen>training enregelmatigebijscholingvanbeleidsregelsenproceduresvande organisatie,voorzoverrelevantvoorhunfunctie." Erzijngeschikteproceduresingevoerdomhetbewustzijnvande gebruikerstevergrotentenaanzienvanhetgevaarvanvirussenen dergelijke,zoals: >publicatie/verspreidingbeeidsregels >periodiekeawarenessprogramma'szoalsvia nieuwsbrieven/flyersi >installatievanbeveiligingsprogrammatuurdiewaarschuwtbij onvertrouwdecontenti >periodiekebesprekingvanictgedragsregels. ISO Toegangsrechten"intrekken"of"aanpassen: Detoegangsrechtenvanallemedewerkersenexternegebruikersvoor informatieeninformatieverwerkendefaciliteitenwordenbijbeëindiging vanhundienstverband,contractofovereenkomstverwijderd,enbij wijzigingenwordenzeaangepast." ISO Clear"desk F"en" clear"screen Fbeleid: Eriseen'cleardesk'>beleidvoorpapierendocumentenen verwijderbareopslagmediaeneen'clearscreen'beleidvoor informatieverwerkendefaciliteiteningesteld." (O)Schermbeveiligingsprogrammatuur(eenscreensaver)maaktna eenperiodevaninactiviteitvanmaximaal15minutenalleinformatie ophetbeeldschermonleesbaarenontoegankelijk. BIR>TNK (O)Werkstationlockwordtautomatischgeactiveerdbijhet verwijderenvaneentoken(indienaanwezig). BIR>TNK Opmobielewerkplekkenwordthetzero>footprintprincipe toegepast. BIR>OH AdresboekenentelefoongidsenwaarinlocatiesmetgevoeligeIT voorzieningenstaanzijnnietaanweziginvrijtoegankelijke gebieden. Evidence 25
26 BaselineInformatiebeveiligingHO(BIHO) VertrouwelijkheidsF"of"geheimhoudingsovereenkomst:"" Eisenvoorvertrouwelijkheids>ofgeheimhoudingsovereenkomstendie debehoeftenvandeorganisatiebetreffendehetbeschermenvan informatieweerspiegelen,zijnvastgesteldenwordenregelmatig beoordeeldengedocumenteerd." Deorganisatieheeftactuelevertrouwelijkheids>of geheimhoudingsovereenkomsteningebruik. Evidence Rapportage"van"zwakke"plekken"in"de"informatiebeveiliging: Vanmedewerkersencontractantendiegebruikmakenvande informatiesystemenen>dienstenvandeorganisatiewordtgeëistdatzij deinsystemenofdienstenwaargenomenofvermeendezwakke plekkenindeinformatiebeveiligingregistrerenenrapporteren." a)deictgedragsregelsdragengebruikersopvermeendeof waargenomenzwakkebeveiligingsplekkentemeldeni b)meldpuntenzijngecommuniceerdaanallewerknemers, ingehuurdpersoneelenexternegebruikers. Evidence Screening:"" Verificatievandeachtergrondvanallekandidatenvooreen dienstverbandwordtuitgevoerdinovereenstemmingmetrelevante wet>enregelgevingenethischeoverwegingenenstaatinverhouding totdebedrijfseisen,declassificatievandeinformatiewaartoetoegang wordtverleendendevastgestelderisico s." Bijaanstellingwordendegegevensdiedemedewerkerheeft verstrektoverzijnarbeidsverledenenscholinggeverifieerd. Voorvertrouwensfunctiesoffunctiesdievanwegehunroltoegang totgevoeligeofvertrouwelijkegegevenshebben(zoalsbijv.it> beheerders)kanoverwogeneenrelevanteverklaringomtrent Gedrag(VOG)tevragenofeenviaveiligheidsonderzoekeen VerklaringgeenBezwaar(VGB)teverkrijgen. BIR>TNK 26
27 BaselineInformatiebeveiligingHO(BIHO) Hoofdstuk"3:"Ruimtes"en"apparatuur" Nr." SURFF audit" ISOF 27002:2 013" Norm" Maatregel" Bron" Beleid"voor"mobiele"apparatuur: Erdienenbeveiligingsmaatregelentewordenvastgesteldomde risico sdiehetgebruikvanmobieleapparatuurmetzichmeebrengtte beperken." ISO Verwijderen"van"media:"" Mediawordenovereenkomstigformeleproceduresopeenveiligeen beveiligdemanierverwijderdalszenietlangernodigzijn." (O)Erzijnproceduresvastgesteldeninwerkingvoorverwijderen vanvertrouwelijkedataendevernietigingvanverwijderbaremedia. VerwijderenvandatawordtgedaanmeteenSecureErasevoor apparatenwaarditmogelijkis.inoverigegevallenwordtdedata tweekeeroverschrevenmetvastedata,éénkeermetrandomdata envervolgenswordtgeverifieerdofhetoverschrijvenisgelukt.zie ook9.2.6 BIR>TNK Backupmediawordenpasnavernietigingvandedataerop hergebruiktvooranderesystemen. BIR>OH 27
Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Toelichting op GAP-analyse Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging
Nadere informatieVerklaring van Toepasselijkheid
Verklaring van Toepasselijkheid Parantion Groep B.V. ISO27001:2013 Verklaring van toepasselijkheid_openbaar Extern vertrouwelijk Versie: 3.0 Parantion Groep B.V. Pagina 1 van 9 Datum: maart 2016 Document
Nadere informatieHoe operationaliseer ik de BIC?
Hoe operationaliseer ik de BIC? Baseline Informatiebeveiliging Corporaties UTRECHT, 14 November 2017. Code voor Informatiebeveiliging NEN/ISO 27001; Informatietechnologie - Beveiligingstechnieken - Managementsystemen
Nadere informatieImplementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Implementatie BIR Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst
Nadere informatieBeheersmaatregelen volgens Bijlage A van de ISO/IEC norm
Beheersmaatregelen volgens Bijlage A van de ISO/IEC 27001 norm A.5.1.1 Beleidsdocumenten voor informatiebeveiliging A.5.1.2 Beoordeling van het Informatiebeveiligingsbeleid A.6.1.1 Informatiebeveiligings
Nadere informatieToetsingskader Informatiebeveiliging cluster 1 t/m 6
Toetsingskader Informatiebeveiliging cluster 1 t/m 6 IBPDOC3 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Met dank aan: Maturity Werkgroep SURFibo: Hans Alfons (Vrije Universiteit)
Nadere informatieSURF Informatiebeveiliging & Privacy. Huidige en toekomstige ontwikkelingen: SURF(net), SURFibo en SURFaudit
SURF Informatiebeveiliging & Privacy Huidige en toekomstige ontwikkelingen: SURF(net), SURFibo en SURFaudit Bart van den Heuvel, UM, SURFibo - april 2015 even voorstellen: Bart van den Heuvel - Universiteit
Nadere informatieTOELICHTING OP GAP-ANALYSE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
TOELICHTING OP GAP-ANALYSE Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Toelichting op GAP-analyse Versienummer
Nadere informatieToetsingskader Informatiebeveiliging cluster 1 t/m 6 (versie 3.0, juli 2017)
Toetsingskader Informatiebeveiliging cluster 1 t/m 6 (versie 3.0, juli 2017) IBPDOC3 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Bewerkt door: Kennisnet / sambo-ict Auteurs
Nadere informatieTaskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector.
Taskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector. Doel Aanbieden handreikingen, op basis van best practices uit het Hoger Onderwijs en MBO sector,
Nadere informatieBedrijvenbijeenkomst informatiebeveiliging en privacy
Bedrijvenbijeenkomst informatiebeveiliging en privacy Auteur Datum Jan Bartling, Alf Moens, Ludo Cuijpers, Leo Bakker 26 februari 2016 1. Welkom - Jan 2. Gebruikersgroep en sambo-ict - Jan 3. Programma
Nadere informatieIMPLEMENTATIE BIG. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
IMPLEMENTATIE BIG Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Implementatie BIG Versienummer 1.0 Versiedatum
Nadere informatieISO 27001:2013 INFORMATIE VOOR KLANTEN
ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en
Nadere informatieAgendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.
Ter info (AB) Afdeling: Team: Bedrijfsbureau Beh.door: Bos, M.G. Port.houder: DB, Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Memo Informatiebeveiliging Inleiding Met
Nadere informatieRené IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG
ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases
Nadere informatieInformatiebeveiligingsbeleid
Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...
Nadere informatieContractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Contractmanagement Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst
Nadere informatieInformatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen
Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen Auteur Datum Ludo Cuijpers 5 februari 2016 1. Informatiebeveiliging en privacy in het mbo 2. IBP framework 3. Mens
Nadere informatieHet verveelvoudigen of openbaar maken van dit werk is, zonder de schriftelijke toestemming van ARANEA ISM, niet toegestaan. 1
ARANEA ISM, niet toegestaan. 1 Partners van SEP Even voorstellen Daniel Bloemers ARANEA ISM, niet toegestaan. 2 Informatiebeveiliging en privacy Hand in hand of ieder voor zich? 1. Ontwikkelingen 2. Over
Nadere informatieSecurity, standaarden en architectuur
Security, standaarden en architectuur Landelijk Architectuur Congres 2014 26 november 2014 Jaap van der Veen Strategisch architect Ministerie van Financiën Bart Knubben Senior adviseur Bureau Forum Standaardisatie
Nadere informatieHandreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017
Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017 Versie 2.0 van mei 2019 Inhoud 1 Inleiding... 3 Waarom een handreiking voor de implementatie van het nieuwe normenkader?... 3 2 Algemene
Nadere informatieDe Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD
De Baseline Informatiebeveiliging & grote gemeenten 6 oktober 2014 John van Huijgevoort, IBD Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): Samenhang Instrumenten Hoe om te gaan
Nadere informatieVVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord
VVT - Broad Horizon CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, 29-08-2017 Voorwoord Voorwoord Voor u ligt de verklaring van toepasselijkheid. De verklaring van toepasselijkheid vloeit voort uit de risicobeoordeling
Nadere informatieFormat assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]
Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente] Opdrachtbevestiging Versie [1.0] Datum [ ] Status [ ] 1 Colofon Titel Assurance over de juistheid van
Nadere informatieHandreiking Implementatie Specifiek Suwinetnormenkader
Handreiking Implementatie Specifiek Suwinetnormenkader Afnemers 2017 Inhoud 1 Inleiding 3 1.1 Waarom een handreiking voor de implementatie van het nieuwe normenkader? 3 2 Algemene verschillen Verantwoordingsrichtlijn
Nadere informatieH t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging
Het ICT-Beveiligings- i assessment DigiD & Informatiebeveiliging De aanleiding 2011: Diginotar 2011: Lektober En ook: 2012: Dorifel 2012: Citadel 2013: DongIT Botnet De reactie vanuit VNG/KING Starting
Nadere informatieVERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
VERSLAG PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Verslag PIA Versienummer 1.0 Versiedatum April 2014
Nadere informatiekwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten
Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst
Nadere informatieDigiD beveiligingsassessment
DigiD beveiligingsassessment Centric Kenmerk DigiD koppeling: Gemeente Dantumadeel1 Inhoudsopgave 1 Assurancerapport van de onafhankelijke auditor 2 1.1 Achtergrond 2 1.2 Opdrachtomschrijving 2 1.3 Reikwijdte
Nadere informatieNormenkader Informatiebeveiliging HO 2015
Gebaseerd op ISO 27002:2013 Auteur(s): Alf Moens Versie: 1.4 Datum: Status: 5 mei 2015 Vastgesteld door stuurgroep Informatiebeveiliging en Privacy op 30 maart 2015 Moreelsepark 48 3511 EP Utrecht Postbus
Nadere informatie11 december 2014 Jule Hintzbergen, IBD. De Baseline Informatiebeveiliging en kleine gemeenten
11 december 2014 Jule Hintzbergen, IBD De Baseline Informatiebeveiliging en kleine gemeenten Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Hoe om te gaan met de BIG als kleine gemeente
Nadere informatieJacques Herman 21 februari 2013
KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling
Nadere informatieINFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013. Anita van Nieuwenborg
INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013 Anita van Nieuwenborg Agenda 1. De IBD 2. Doelen van de IBD 3. Dienstverlening van de IBD 4. Aansluiting bij de IBD 5. Vragen 2 1. De IBD
Nadere informatieHandreiking Beveiligingsmaatregelen SURF Juridisch Normenkader (Cloud)services, bijlage C
Handreiking Beveiligingsmaatregelen SURF Juridisch Normenkader (Cloud)services, bijlage C Utrecht, oktober 2016 Versienummer: 2.0 Colofon Handreiking Beveiligingsmaatregelen SURF SURF Juridisch Normenkader
Nadere informatieVoortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector. sambo-ict conferentie, 2 oktober 2015
Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector sambo-ict conferentie, 2 oktober 2015 Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark
Nadere informatieHET CENTRALE SECURITY PLATFORM
HET CENTRALE SECURITY PLATFORM Wat komt er vandaag de dag op bedrijven af? Meldplicht datalekken Malware Spam Ddos-aanvallen Phishing Zwakke wachtwoorden Auditdruk Meldplicht datalekken Ingegaan op 1 januari
Nadere informatieInformatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours
Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen
Nadere informatieHandleiding Risico management
Handleiding Risico management IBPDOC29 Verantwoording Opdrachtgever Kennisnet / sambo-ict Dit document is geschreven voor IT managers, IT security officers, Information officers binnen de MBO sector. Dit
Nadere informatieNorm ICT-beveiligingsassessments DigiD
Norm ICT-beveiligingsassessments DigiD Versie 1.0 Datum 21 februari 2012 Status Definitief Colofon Projectnaam DigiD Versienummer 1.0 Contactpersoon Servicecentrum Logius Organisatie Logius Postbus 96810
Nadere informatieBaseline Informatiebeveiliging Waterschappen. Strategisch en Tactisch normenkader WS versie 1.0
Baseline Informatiebeveiliging Waterschappen Strategisch en Tactisch normenkader WS versie 1.0 Baseline Informatiebeveiliging Waterschappen Strategisch en Tactisch normenkader WS versie 1.0 1 Inhoudsopgave
Nadere informatieMobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging
Nadere informatieHandleiding Risicomanagement
Handleiding Risicomanagement IBPDOC29 Verantwoording Opdrachtgever Kennisnet / sambo-ict Dit document is geschreven voor IT managers, IT security officers, Information officers binnen de MBO sector. Dit
Nadere informatieInformatiebeveiliging & Privacy - by Design
Informatiebeveiliging & Privacy - by Design Steven Debets Verdonck, Klooster & Associates Even voorstellen e steven.debets@vka.nl m 0651588927 Informatiebeveiliging Informatiebeveiliging houdt zich bezig
Nadere informatieVerklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid
Beveiligingsbeleid 5,1 Informatiebeveiligingsbeleid 5.1.1 Beleidsdocument voor informatiebeveiliging 5.1.2 Beoordeling van het informatiebeveiligingsbeleid Organiseren van informatiebeveiliging 6,1 Interne
Nadere informatieInformatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz
Informatiebeveiliging: de juridische aspecten Anton Ekker juridisch adviseur Nictiz 20 september 2012 Onderwerpen beveiligingsplicht Wbp aandachtspunten implementatie IAM en BYOD wat te doen bij een datalek?
Nadere informatieFS 141216.5E. Forum Standaardisatie. Verkennend onderzoek NEN-ISO/IEC 27001 en 27002. Datum 27 november 2014
FS 141216.5E Forum Standaardisatie Verkennend onderzoek NEN-ISO/IEC 27001 en 27002 Datum 27 november 2014 Colofon Projectnaam Verkennend onderzoek NEN-ISO/IEC 27001 en 27002 Versienummer 0.9 Locatie Organisatie
Nadere informatieInformatiebeveiligingsbeleid
Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld
Nadere informatieDIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND
DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND SAFEHARBOUR Audit en Security ISO 27001/ NEN7510 implementatie Projectadvies Risicoanalyses Zorg en overheden @djakoot @safeharbour_nl WAAROM DIGID-AUDIT? DAAROM DIGID-AUDIT
Nadere informatieNORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013
NORA werkdocument Sessie 4 In stappen naar een BBO Baseline Beveiliging Overheid Bijgewerkte versie 10 april. 2013 katern Beveiliging Jaap van der Veen Agenda Sessie 4 1. Terugkoppeling afstemming met
Nadere informatieResultaten SURFaudit benchmark 2015
Auteur(s): Bart Bosma Versie: 1.0 Datum: juni 2016 Moreelsepark 48 3511 EP Utrecht Postbus 19035 3501 DA Utrecht 088 787 30 00 admin@surfnet.nl www.surfnet.nl ING Bank NL54INGB0005936709 KvK Utrecht 30090777
Nadere informatieSTRATEGISCHE BASELINE INFORMATIEBEVEILIGING NEDERLANDSE GEMEENTEN
STRATEGISCHE BASELINE INFORMATIEBEVEILIGING NEDERLANDSE GEMEENTEN Meer informatie Heeft u vragen over onderhavig document? De Informatiebeveiligingsdienst voor gemeenten beantwoordt deze graag via IBD@kinggemeenten.nl
Nadere informatieInformatiebeveiliging als proces
Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl
Nadere informatieHandreiking Beveiligingsmaatregelen SURF Juridisch Normenkader (Cloud)services, bijlage C
Handreiking Beveiligingsmaatregelen SURF Juridisch Normenkader (Cloud)services, bijlage C Utrecht, 20-04-2018 Versienummer: 3.0 Colofon Handreiking Beveiligingsmaatregelen SURF SURF Juridisch Normenkader
Nadere informatieInformatiebeveiliging: Hoe voorkomen we issues?
Informatiebeveiliging: Hoe voorkomen we issues? Workshop C Remco de Boer (Kennisnet) Ludo Cuijpers (MBO Taskforce IBB) Inhoud 1. Voorstelronde 2. Over uw rol 3. Maatregelen 4. De diepte in Voorstelronde
Nadere informatieHANDREIKING PROCES WIJZIGINGSBEHEER
HANDREIKING PROCES WIJZIGINGSBEHEER Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Handreiking proces wijzigingsbeheer
Nadere informatieRAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW)
RAAK-project Veilig Water Programma Informatieveiligheid Marcel Spruit (HHS), Michiel Dirriwachter (UvW) Michiel Dirriwachter? Dit doet een waterschap Een Waterschap? Een Waterschap? Een Waterschap? Een
Nadere informatieChecklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie)
Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) 1) Welke documenten registraties zijn vereist? De onderstaande lijst toont de minimale set van documenten en registraties
Nadere informatieTHIRD PARTY MEDEDELING 2015 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: E-DIENSTVERLENING VERSIE 6.1
THIRD PARTY MEDEDELING 2015 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: E-DIENSTVERLENING VERSIE 6.1 KENMERK: 1603R.AH46 DATUM: 30 MAART 2016 INHOUDSOPGAVE 1. Assurancerapport van de onafhankelijke auditor...
Nadere informatiePatch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst
Nadere informatieChecklist informatieveiligheid. 12 januari versie 1.1
Checklist informatieveiligheid 12 januari 2017 - versie 1.1 ICT-Beveiligingsrichtlijnen voor webapplicaties Beschrijving van de beveiligingsrichtlijn Is informatiebeveiliging als een proces ingericht in
Nadere informatie30-06-2015 GASTVRIJ EN ALERT
AANPAK MET VISIE 30-06-2015 GASTVRIJ EN ALERT AGENDA 1. Voorstellen 2. Risicoanalyse of Best Practice 3. Informatiebeveiliging op de VU (in vogelvlucht) 4. De Surfaudit 5. Toch een product 6. Laatste 5
Nadere informatieEnergiemanagement actieplan. Van Schoonhoven Infra BV
BV Leusden, oktober 2013 Auteurs: G.J. van Schoonhoven D.J. van Boven Geaccordeerd door: D.J. van Boven Directeur eigenaar INLEIDING Ons bedrijf heeft een energiemanagement actieplan conform NEN-ISO 50001.
Nadere informatieHandleiding Risico management
Handleiding Risico management IBPDOC29 Verantwoording Opdrachtgever Kennisnet / sambo-ict Dit document is geschreven voor IT managers, IT security officers, Information officers binnen de MBO sector. Dit
Nadere informatieAuditdienst Rijk. Ministerie van Fincuicièn. Io,.Z.e. Raad van State. Afdeling IT-beheer. Postbus-ziju i EA Den Haag
Io,.Z.e 2500 EA Den Haag Postbus-ziju i to Afdeling IT-beheer Raad van State Korte Voorhout 7 www.rljksoverheilj.nl 2500 EE Den Haag Postbus 20201 2511CW Oen Haag Audïtdlenst Rijk Ministerie van Fincuicièn
Nadere informatieSecurity en Privacy. Agenda
Security en Privacy Benchmark#SURFaudit#2013##44###EPV HO#Security#congres#20144#Alf#Moens Agenda Resultaten#SURFaudit#benchmark#2013 De#ervaringen#van#TU#Eindhoven SURFaudit#2020:#een#vooruitblik Privacy
Nadere informatieVoorstel Informatiebeveiliging beleid Twente
Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)
Nadere informatieINFORMATION SECURITY MANAGEMENT SYSTEM
INFORMATION SECURITY MANAGEMENT SYSTEM Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Information Security Management
Nadere informatieINFORMATION SECURITY MANAGEMENT SYSTEM
INFORMATION SECURITY MANAGEMENT SYSTEM Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Information Security Management
Nadere informatie"Baselines: eigenwijsheid of wijsheid?"
"Baselines: eigenwijsheid of wijsheid?" Een afrondende 'beschouwende' presentatie Ing. Ernst J. Oud CISA CISSP Philips Toshiba Crypsys Data Security Getronics Business Continuity (a.k.a. CUC) Urenco Deloitte
Nadere informatieOnderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799
Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere
Nadere informatieAnita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014
Anita van Nieuwenborg Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 De IBD Gezamenlijk initiatief VNG en KING Opgericht vanuit behoefte van gemeenten aan coördinatie en ondersteuning
Nadere informatieTaskforce Informatiebeveiligingsbeleid.
Taskforce Informatiebeveiligingsbeleid. Cursus 1 2015-2016 plus overnachting Aanleiding: Om het deskundigheidsniveau van instellingen te vergroten, zal een masterclass Privacy georganiseerd worden. Deze
Nadere informatieNormenkader Informatiebeveiliging MBO
Normenkader Informatiebeveiliging MBO IBBDOC2 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Met dank aan: Maturity Werkgroep SURFibo: Hans Alfons (Vrije Universiteit) Ludo
Nadere informatieVIAG THEMADAG State of the art internet beveiliging
VIAG THEMADAG State of the art internet beveiliging Marijke Salters Bureau Forum Standaardisatie 27 juli 2014 Aanleiding 2 Standaardiseren doe je niet alleen! Dus actueel 3 Standaarden voor Internet beveiliging
Nadere informatieCommunicatieplan CO 2 -reductie. Baggerbedrijf West Friesland
Communicatieplan CO 2 -reductie Baggerbedrijf West Friesland Gebruikte handelsnamen: Baggerbedrijf West Friesland Grond & Cultuurtechniek West Friesland Andijk, februari-mei 2014 Auteurs: M. Komen C. Kiewiet
Nadere informatieCO 2 Managementplan. Den Breejen. Auteur Martin van Andel Autorisatiedatum Versie 2.0
CO 2 Managementplan Den Breejen Auteur Martin van Andel Autorisatiedatum 19-01-2018 Versie 2.0 Inhoud 1 INLEIDING... 3 2 ENERGIE MEETPLAN... 4 2.1 PLANNING MEETMOMENTEN... 4 2.2 VESTIGINGEN... 4 SCOPE
Nadere informatieCONTRACTMANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
CONTRACTMANAGEMENT Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Contractmanagement Versienummer 1.0 Versiedatum
Nadere informatieENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017
ENSIA en Assurance Van concept naar praktijk Drs. ing. Peter D. Verstege RE RA 31 oktober 2017 Agenda Traject tot 31 oktober 2017 Assurance 2017 Stip aan de horizon Organisatie aan de zijde van NOREA Status
Nadere informatieinformatiebeveiliging
informatiebeveiliging juli 2017 1 inleiding aanleiding Gemeenten hebben als gevolg van de decentralisaties in het sociaal domein steeds meer (bijzondere) persoonsgegevens 1 in beheer. Ook wordt steeds
Nadere informatieBijeenkomst DigiD-assessments
Bijeenkomst DigiD-assessments De weg naar de toekomst 2 december 2014 Agenda DigiD ICT-beveiligingsassessments in beeld DigiD assessment 2014 Rapportage template Third Party Mededelingen Overige toelichtingen
Nadere informatieCO 2 Managementplan. Ruigrok Nederland. Autorisatiedatum: Versie: 1.1. Handtekening autoriserend verantwoordelijke manager:
CO 2 Managementplan Ruigrok Nederland Auteur: J.P.Hesp Autorisatiedatum: 30-11-2018 Versie: 1.1 Handtekening autoriserend verantwoordelijke manager: CO 2 Managementplan 2.C.2 & 3.B.2 Inhoud INHOUD... 2
Nadere informatieHet VCA-Register. Transparantie en Afrekenbaarheid in Duurzaam Landgebruik en Natuurlijk Kapitaal. Werkconferentie Natuurlijk Kapitaal
Het VCA-Register Transparantie en Afrekenbaarheid in Duurzaam Landgebruik en Natuurlijk Kapitaal Werkconferentie Natuurlijk Kapitaal Utrecht, 15 december 2015 Zorgen voor onze planeet Overal staat biodiversiteit
Nadere informatiekwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten
het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk
Nadere informatieInformatiebeveiligingsbeleid 2015-2018
Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen
Nadere informatieEnergiemanagement actieplan. Baggerbedrijf West Friesland
Baggerbedrijf West Friesland Gebruikte handelsnamen: Baggerbedrijf West Friesland Grond & Cultuurtechniek West Friesland Andijk, februari-mei 2014 Auteurs: M. Komen C. Kiewiet Geaccordeerd door: K. Kiewiet
Nadere informatieCO 2 managementplan. Jan Knijnenburg B.V. Auteur: Adviseur MVO Consultants. Versie: 1.0. Handtekening autoriserend verantwoordelijk manager
CO 2 managementplan Jan Knijnenburg B.V. Auteur: Adviseur MVO Consultants Versie: 1.0 Datum: xx-xx-2015 Handtekening autoriserend verantwoordelijk manager Authorisatiedatum: Naam:.. Inhoud 1 Inleiding...
Nadere informatieTechnische QuickScan (APK voor het MBO)
Technische QuickScan (APK voor het MBO) IBPDOC30 Verantwoording Opdrachtgever: Kennisnet / sambo-ict Auteurs Leo Bakker Ludo Cuijpers Robbin van den Dobbelsteen Albert Hankel Bart van den Heuvel Frank
Nadere informatie: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie
: Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen
Nadere informatieNORA dossier Informatiebeveiliging. Architectuur Aanpak
Architectuur Aanpak Architectuur Aanpak Auteur Versie Status Den Haag, Jaap van der Veen en Bart Bokhorst; Belastingdienst 1.3 Definitief 01-09-2010 3/16 Inhoud 1 Inleiding 4 2 Modelleringaanpak 5 3 Model
Nadere informatieInformatiebeveiliging voor gemeenten: een helder stappenplan
Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers
Nadere informatieRapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018
Rapportage Informatiebeveiliging 2017 Gemeente Boekel 16 mei 2018 Inleiding Het college van burgemeester en wethouders van de gemeente Boekel legt over het jaar 2017 verantwoording af over de stand van
Nadere informatieBaseline Informatiebeveiliging Rijksdienst Operationele Handreiking
Baseline Informatiebeveiliging Rijksdienst Operationele Handreiking Versie 1.0 Datum 30 oktober 2013 Inhoudsopgave Inhoudsopgave... 2 1 Inleiding... 5 2 Beveiligingseisen en richtlijnen... 8 2.1 Patroon
Nadere informatieVerantwoordingsdocument informatiebeveiliging en privacy (ibp) in het mbo.
Verantwoordingsdocument informatiebeveiliging en privacy (ibp) in het mbo. IBPDOC1 IBPDOC1, versie 2.1 Pagina 1 van 12 Auteurs Leo Bakker (Kennisnet) Ludo Cuijpers (Leeuwenborgh Opleidingen) Versie 2.1
Nadere informatieInformation Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8
Information Security Management System Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8 Versiebeheer De verantwoordelijke van dit document is Paul den Otter (directielid). Hieronder is het versiebeheer
Nadere informatieDMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari 2005. Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren.
Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat DMZ Policy 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren Geaccepteerd Manager SPITS
Nadere informatieCO2 managementplan. GWW Houtimport. Auteur: Bianca van den Berg, Margriet de Jong. Versie: 1.0. Handtekening autoriserend verantwoordelijk manager
CO2 managementplan GWW Houtimport Auteur: Bianca van den Berg, Margriet de Jong Versie: 1.0 Datum: 01-10-2015 Handtekening autoriserend verantwoordelijk manager Authorisatiedatum: 02-10-2015 Naam: John
Nadere informatie