Baseline(Informatiebeveiliging(HO((BIHO)( (

Maat: px
Weergave met pagina beginnen:

Download "Baseline(Informatiebeveiliging(HO((BIHO)( ("

Transcriptie

1 Baseline(Informatiebeveiliging(HO((BIHO)( ( Auteur(s): SCIPR(SURFibo) Versie: 1.0 Datum: 1mei2015 Moreelsepark EPUtrecht Postbus DAUtrecht 088< INGBankNL54INGB KvKUtrecht BTWNL B01

2 BaselineInformatiebeveiligingHO(BIHO) Inhoudsopgave( 1 Inleiding(...(5 2 Context(...(6 3 Toepassen(BIHO(binnen(de(instelling(...(8 BIJLAGE(I:(Tabel(relevante(documenten(...(10 BIJLAGE(II:(Overzicht(geraadpleegde(externe(bronnen(...(12 4 BIJLAGE(III:(maatregelen(set(Baseline(Informatiebeveiliging(HO(...(14 SURFCommunityvoorInformatiebeveiligingenPRivacy,voorheenSURFibo)is eencommunityofpracticemetalsdoelenhetactiefstimulerenvanenrichting gevenaaninformatiebeveiligingenprivacybinnenhethogeronderwijs (universiteiten,hogescholen,onderzoeksinstellingenenuniversitairmedische centra).ditdoetscipronderanderedoorhetleverenvanpraktischbruikbare adviezen,beleidenleidraden. DitdocumentisvlakvoordenaamswijzigingvanSURFibonaarSCIPR geschreven.waarindetekstsurfibowordtgenoemd,moersciprgelezen worden. MeerinformatieoverSURFibostaatopwww.surf.nlonderhetthema Beveiliging enprivacy. DezepublicatieisgelicenseerdondereenCreativeCommonsNaamsvermelding3.0Unportedlicentie Meerinformatieoverdezelicentievindtuophttp://creativecommons.org/licenses/by/3.0/deed.nl

3 BaselineInformatiebeveiligingHO(BIHO) Versiebeheer:( Maart2015 EersteversieBaselineinformatiebeveiligingHO 3/62

4 BaselineInformatiebeveiligingHO(BIHO) 4

5 BaselineInformatiebeveiligingHO(BIHO) 1( Inleiding( HetdoorSURFiboontwikkeldemodelinformatiebeveiligingsbeleidsteltdathetHogerOnderwijsmet betrekkingtotinformatiebeveiligingderelevantemaatregelenconformiso<27002zaltreffen.de NederlandseoverheidhanteertdezeISO<standaardookalsnorm.Depraktijkwijstuitdathetinvoeren vandezeiso<standaardnieteenvoudigis,metalsbelangrijkeoorzaakzijngroteabstractheid waardoorerveeldiscussiekanzijnoverdevertalinginconcretemaatregelen. Deoverheidheefthet ICT<deel vanhaartactischevariantvandeiso<27002,debaseline InformatiebeveiligingRijksoverheid<TactischNormenKader(BIR<TNK),doorvertaaldnaaroperationele maatregelenenopgenomenindebir<oh(operationelehandreiking).ookinhethogeronderwijsis behoefteaanmeerconcretebeveiligingsmaatregelen.inditdocumentwordtdebirverdertoegelicht, waaromdezeookvoorhethogeronderwijsgeschiktisenhoedezebaselineinformatiebeveiliging HO(BIHO)toegepastkanworden. DitdocumentisbedoeldvoordegebruikersvandemaatregeleninhetHogerOnderwijs:de functionarisseninformatiebeveiligingzoalssecurityofficers,projectleidersvanict<projecten,ict< architectenenictbeheerders. 5

6 BaselineInformatiebeveiligingHO(BIHO) 6 2( Context( DenormenenmaatregelenindeBIRzijngebaseerdopeenvertrouwelijkheidsniveaudathoortbij gegevensmetdeclassificatie DepartementaalVertrouwelijk,vergelijkbaarmet VoorInternGebruik enhetniveauwbprisicoklasseii:verhoogdrisico.dittypegegevenskomtookveelvuldigvoorinhet HogerOnderwijs.SURFiboheeftvastgestelddathetrisicoprofielvoorhetHogerOnderwijsen Onderzoekzoalsweergegeveninhet CyberdreigingsbeeldSectorHogerOnderwijsen WetenschappelijkOnderzoek (2105)veelovereenkomstvertoontmethetrisicoprofielvan Rijksoverheid.Vanwegedegroteovereenkomsteninvertrouwelijkheidsniveauenrisicoprofielstelt SURFibodatdeBIR(inclusiefdeRijks<specifiekemaatregelen)alsbasiskandienenvooreen baselineinformatiebeveiligingvoorinstellingeninhethogeronderwijs(biho). HoepastdezeBIHOinhetSURFiboFrameworkInformatiebeveiliging,waarvaneengedeeltein onderstaaandeuitsnedeisweergegeven?relevantinhetkadervandebir<ohbinnenhetframework zijndevolgendedocumenten: Product Inhoud Dd HORA Eensetarchitectuurmodellenen principesvoorhethoger onderwijs,geïnspireerdopde NORA. BevatIB<principesen classificaties. 07< 2014 Starterkit informatiebeveiliging Eenuitgewerkteprocesgerichte aanpak(infasen)om informatiebeveiligingopgangte brengenenhouden. 12< 2010 ModelbeleidIB Template informatiebeveiligingsbeleid. 05< 2015 NormenkaderHO/ SURFaudit 85normenuitISO27002<2013 voorhethogeronderwijs,als basisvoordesurfauditdoor SURFstuurgroep Informatiebeveiligingenprivacy geaccordeerd. Baseline InformatiebeveiligingHO (BIHO) Operationelesetmaatregelen voorhethoopbasisvanbir< TNKenBIR<OH Nu

7 BaselineInformatiebeveiligingHO(BIHO) Juridischnormenkader CloudServices Toetsmodelwaaraandediensten vaneenleverancier(van cloudservices)getoetstwordt. 11< 2013 Technische handreikingen Defactostandaardszoals OWASP. Diver s BijhetopstellenvandesetoperationelemaatregelenvoorhetHogerOnderwijsopbasisvandeBIR isgeconstateerddathetonderscheidtussendetactischenormenuitdebir<tnkendeoperationele maatregelenuitdebir<ohnietconsequentwordtgehanteerd. Daaromisbeslotenbijhetsamenstellenvande bestpractice maatregelensetvoorhetho,debiho uitbeidedocumententeputten. DeBIHObestaatuittweedelen,heteerstedeelbevatdenormenuithetnormenkaderHOaangevuld metconcretemaatregelenuitdebireninsommigegevallenisdaar evidence 1 of)umccloud 2 )aan toegevoegd.hettweededeelbevatnormenuitdebir<tnkdienietinhetnormenkaderho voorkomen.hetrijksteltdezenormenverplicht,hetisvoorstelbaardatdebihoenbir<tnknaar elkaarzullengroeien. Hetisnietverplichtomde bestpractice letterlijkovertenemen,maardoordezezovolledigmogelijk tevolgen,komtdeinstellinginlijnmethetnormenkaderho/surfauditnormenkader.hetadviesaan deinstellingenisomdeinvullingvanallemaatregelenconformhetprincipe"pastoeofleguit"vastte leggen. InbijlageIIIisdeBIHOopgenomen,dezeisookinExcelformaattedownloadenvandeSURFibosite. 1 deevidence<lijstuitsurfaudit,opgestelddoorinternal<auditorsho 2 "normdocumentclouddiensten"vandegezamenlijkeuniversitairemedischecentra 7

8 BaselineInformatiebeveiligingHO(BIHO) 3( Toepassen(BIHO(binnen(de(instelling( GeadviseerdwordtomdeICT<maatregelenuitdeBIHOalsvolgttoetepassen: 1. Stelvastdatdeset bestpractice ICT<beveiligingsmaatregelendenormisl 2. Bepaaldegapmetdeset bestpractice ICT<beveiligingsmaatregelen,daarvoorkanhet onderstaandschemawordengebruikt: GAP<analyse Impactanalyse Aanwezig(Is(de( maatregel( geïmplementeerd( ( ja/nee/( gedeeltelijk/( nvt/onbekend Hoe( geïmplementeerd Omschrijving(hoe(en( waar( (instellingsbreed( /onderdeel) geïmplementeerd Eigenaar(van( de(maatregel( naam( /afdeling ( Status Actiehouder( Wie(is( aanspreekbaar/( verantwoordelijk( voor( implementatie(van( de(maatregel Planning( Datum(( gereed Geaccept eerd( risico( =( manage menty( besluit Indekolom Aanwezig kunnendevolgendekeuzesgemaaktworden: Ja:Demaatregelisaanwezig.Vulookdevindplaatsin,wiedemaatregeluitvoert,waarde maatregelisvastgelegdenoverigebijzonderheden. Nee:Erisnietsgevonden. Gedeeltelijk:Demaatregelisgedeeltelijkgeïmplementeerd. Nietvantoepassing:Demaatregelisnietvantoepassing.Vuldaarbijookeenredenin Onbekend:Onduidelijkoferietsisdatvoldoet. Vervolgenskanhetdeel Impactanalyse wordeningevuld,doorvoordenognietgenomen maatregelenofdeonbekendemaatregelenkaneenstatuswordenaangegeven: Geïmplementeerd:Eenmaatregelisvollediggeïmplementeerd. Deelsgeïmplementeerd:Eenmaatregelisdeelsaanwezig. 8

9 BaselineInformatiebeveiligingHO(BIHO) Teimplementeren:Demaatregelgaatgeïmplementeerdwordenbinnenafzienbaretijd. Nietgeïmplementeerd:Demaatregelmoetnoggeïmplementeerdworden. Nietvantoepassing:Demaatregelisnietvantoepassing. Nognietonderzocht:Demaatregelisnognietonderzocht. Overgedragen:Demaatregelisovergedragen(bijvoorbeeldaaneenandere beheerorganisatie). Geaccepteerdrisico:Eenmaatregelwordtnietgenomen,hetrisicodatgelopenwordtdoor hetnietnemenwordtgeaccepteerd. 3. Vervolgenskaneenplanvanaanpakwordenopgesteldwaarinwordtbeschrevenhoede uitkomstenvandegap<analysewordenafgehandeld.ditplanvanaanpakisdaarmeeonderdeelvan depdca<cyclus. 4. Tenslottekaneenpeer<reviewofeenexterneaudituitgevoerdwordenomtecheckenofde juistemaatregelenzijngenomenenof(opbasisvandeevidence<lijst)hetgewenste volwassenheidsniveauisbereikt. 9

10 BaselineInformatiebeveiligingHO(BIHO) 10 BIJLAGE(I:(Tabel(relevante(documenten( Product Inhoud Dd Starterkit informatiebeveiliging Eenuitgewerkteprocesgerichteaanpak(infasen)om informatiebeveiligingopgangtebrengenenhouden. 12<2010 ModelbeleidIB SURFiboTemplateinformatiebeveiligingsbeleid 05<2015 NEN<ISO27001:2013 InternationalespecificatievaneisenwaaraaneenISMS (InformationSecurityManagementSystem)ofwel managementsysteemvoorinformatiebeveiliging)moet voldoen NEN<ISO27002:2013 Eenpraktischesetmaatregelenwaarmee informatiebeveiliginggeïmplementeerdkanworden SURFaudit6<cluster Denormenset(85normen)doorSURFiboopgesteldvoor hethogeronderwijsopgesteldopbasisvaniso<27002: <2015 Juridischnormenkader CloudServices SURFToetsmodelwaaraandedienstenvaneenleverancier vancloudservicesgetoetstkanwordenopsecurity&privacy. 11<2013 BIRTNK HettactischenormenkadervandeBIR.DeTNKisverplicht bijderijksoverheid(pastoeofleguit/complyorexplain). HetiseenverbijzonderingvanNEN<ISO27002.Het beoogdeniveauvandebaselineis departementaal vertrouwelijkenwbprisicoklasseii 12<2<2012 QuickScanBIR HetuitvoerenvandeQuickScanBIRgeeftaanofdeBIR maatregelenvoldoendezijnvoorbeveiligingvanspecifieke processenmetondersteunendeinformatiesystemen. 21<01< 2014 Technischebaselines BaselineszoalsdeApplicationSecurityVerification StandaardvanOWASP,detechnicalbaselinesvanENISA, destandaardendiedoorhetnistzijnvoorgesteldenhet raamwerkbeveiligingvanwebapplicatiesdoorhetncsc. (Defactostandaards) HORA Eensetarchitectuurmodellenen principesvoorhethoger onderwijs,geïnspireerdopdenora. 07<2014

11 BaselineInformatiebeveiligingHO(BIHO) Bevatbeperkt(enkeleprincipes)rondIB. IBA SURFiboInformatieBeveiligingsArchitectuur 11<

12 BaselineInformatiebeveiligingHO(BIHO) BIJLAGE(II:(Overzicht(geraadpleegde(externe(bronnen( BIRYOH(www.earonline.nl/images/.../BIR_Operationele_Handreiking_v1_0.pdf) ENISA(http://www.enisa.europa.eu/)( Relevantemaatregelenin: guideline<on<minimum<security<measures/technical<guideline<on<minimum<security<measures reporting/technical%20guidelines%20on%20incident%20reporting/technical<guideline<on<incident< reporting for<network<and<information<security<in<education sizes<and<parameters<report cryptographic<measures<securing<personal<data NIST((http://www.nist.gov/information<technology<portal.cfm)( InteressantisdeconfiguratiehandleidingdievoorveelgebruikteITcomponentenbeschikbaaris: https://web.nvd.nist.gov/view/ncp/repository?startindex=0 metbijvoorbeeldvoorfirefox(viaeenzusterorganisatiecenterforinternetsecurity): https://benchmarks.cisecurity.org/tools2/cis_mozilla_firefox_24_esr_benchmark_v1.0.0.pdf OWASP((http://www.owasp.org/)( OWASPlevertvooraldeApplicationSecurityVerificationStandaard (https://www.owasp.org/images/5/58/owasp_asvs_version_2.pdf)endriehow<to's: Howtodevelopsecureapplications:https://github.com/OWASP/DevGuidemetmeestconcreet https://github.com/owasp/devguide/tree/master/03<build,ideaalvoorontwikkelaars,dehowtotest applicationsecurity(eenuitgebreide,praktischegidshoetetesten)endehowtocodereview. NCSC((www.ncsc.nl) Interessantzijndealerts(bekendekwetsbaarhedenmetoplossing)enhetraamwerkbeveiliging webapplicaties: https://www.ncsc.nl/dienstverlening/response<op<dreigingen<en< incidenten/beveiligingsadviezen 12

13 BaselineInformatiebeveiligingHO(BIHO) https://www.ncsc.nl/dienstverlening/expertise<advies/kennisdeling/whitepapers/raamwerk< beveiliging<webapplicaties.html SANS((www.sans.org) 13

14 BaselineInformatiebeveiligingHO(BIHO) 4" BIJLAGE"III:"maatregelen"set"Baseline"Informatiebeveiliging"HO" Legenda: Bronnen:" BIR BaselineInformatiebeveiligingRijksdienst BIR>TNK BIR>TactischNormenkader BIR>OH BIR>OperationeleHandreiking Evidence Elementuitdeevidence>lijstopgestelddoorinternal>auditorsHO ISO ElementuitISO27002:2013 UMCcloud Elementuit"normdocumentclouddiensten"vandegezamenlijkeUniversitaireMediceCentra NORA NederlandseOverheidReferentieArchitectuur (O) Maatregeluit<bron>isaangepastvoordeOnderwijssector " " 14

15 BaselineInformatiebeveiligingHO(BIHO) " Afkortingen"en"Begrippen"" RA(S)CImatrix matrixmetrollenineenproces:responsible,accountable,(tooffersupport,)tobeconsulted,tobeinformed BIA BusinessImpactAnalyses PIA PrivacyImpactAssessment OTAP Ontwikkeling,Test,AcceptatieenProductie BYOD BringYourOwnDevice DMZ DeMilitarizedZone NAT NetworkAddressTranslation:eentechnologiewaarbijeenprive>adresrangewordtverbondenmetinternetviaeenroutermet1openbaar netwerkadres DNS DomeinNameSystem spoofing Zichvoordoenalsiemand/ietsanders(andermansnaam,IP>adresetc.) zero>footprint Applicatieskunnenwordengebruiktzondersoftwareinstallatieopdeclientenzonderachterlatingvanapplicatiedataopdeclient reverseproxy Eenproxyserverdienamenseenclientdataophaaltbijmeerderservers,doorgaansineeninternnetwerk. hardened Eenverhoogdbeveiligingsniveaudoorbeperkingvanhetaantalkwetsbareconfiguratieonderdelen multifunctionalsapparatenmetmeerderefunctioneledoelen,meestalprinten,kopiërenenscannen/faxen 15

16 BaselineInformatiebeveiligingHO(BIHO) Hoofdstuk"1:"Beleid"en"organisatie" Nr." SURFF audit" ISOF 27002:2 013" Norm" Maatregel" Bron" Beleidsregels"voor"informatiebeveiliging:"" Tenbehoevevaninformatiebeveiligingiseenreeksbeleidsregels gedefinieerdengoedgekeurddoorhetbestuur." Hetbestuurvandeinstellingsteltbeleidvoorinformatiebeveiliging vast. BIR>TNK Beleidsregels"voor"informatiebeveiliging: Debeleidsregelsvoorinformatiebeveiligingzijngepubliceerden gecommuniceerdaanmedewerkersenrelevanteexternepartijen." Hetdoorhetbestuurvastgesteldeinformatiebeveiligingbeleidwordt gepubliceerdengecommuniceerdaanmedewerkersenrelevante externepartijen(bijv.innieuwsbrieven,opinternewebsitesenin jaargesprekkenmetmedewerkers) Evidence 16

17 BaselineInformatiebeveiligingHO(BIHO) Beoordeling"van"het"informatiebeveiligingsbeleid:"" Hetbeleidvoorinformatiebeveiligingwordtmetgeplandetussenpozen ofalszichsignificanteveranderingenvoordoen,beoordeeldomte waarborgendathetvoortdurendpassend,adequaatendoeltreffendis." Deinformatiebeveiligingsfunctionarisbiedtjaarlijkseenverslagover dekwaliteitvaninformatiebeveiligingaanaanbestuurencio. Alsonderdeelvandejaarrekeningcontrolebeoordeeltde huisaccountantjaarlijksdeinformatiebeveiliging. Deinstellinglaatzichtweejaarlijksbeoordelentijdenseenpeer> review BIR>TNK Taken"en"verantwoordelijkheden"informatiebeveiliging:"" Alleverantwoordelijkhedenbijinformatiebeveiligingzijngedefinieerd entoegewezen." (O)Hetlijnmanagementwaarborgtdatde informatiebeveiligingsdoelstellingenwordenvastgesteld,voldoen aandekaderszoalsgesteldinhetbeleidsdocumentenzijn geïntegreerdinderelevanteprocessen. BIR>TNK (O)Functiebeschrijvingen,mandateringsbesluitenen/ofRACI matricesbevattenverantwoordelijkhedenvoorhetopstellen, onderhouden,vaststellenvanentoezichthoudenop informatiebeveiliging. BIR>TNK (O)Eriseendisciplinairprocesvastgelegdvoormedewerkersdie inbreukmakenophetbeveiligings>en/ofprivacybeleid. BIR>TNK Informatiebeveiliging"in"projectbeheer:"" Informatiebeveiligingkomtaandeordeinprojectbeheer,ongeachthet soortproject." Deontwikkel>enprojectmethodiekenvandeorganisatiebeschrijven devereisteaandachtvoorinformatiebeveiliging,bevattemplates metbeveiligingsparagraafengeefteenduidelijkerolvoorde informatiebeveiligingsfunctionaris. EenBIAisverplichtbijprojectenmetgroteimpactofhoge risicoklasseenbetrefthetpersoonsgegevensdaniseenpia verplicht. Evidence Beleid"voor"mobiele"apparatuur: Beleidenondersteunendebeveiligingsmaatregelenzijnvastgesteld omderisico sdiehetgebruikvanmobieleapparatuurmetzich meebrengttebeheren." Perrisicoklasseisvastgesteldof,enwelke,mobieledatadragers wordentoegestaan.toegangtotgegevensbronnenwordttechnisch (onafhankelijkvandelocatie)afgedwongen. BIR>OH 17

18 BaselineInformatiebeveiligingHO(BIHO) Classificatie"van"informatie: Informatieisgeclassificeerdmetbetrekkingtotwettelijkeeisen, waarde,belangengevoeligheidvooronbevoegdebekendmakingof wijziging." (O)Deorganisatieheefteeninformatieclassificatierichtlijn(zoalsde SURFibo"Richtlijnclassificatie")opgesteld. BIR>TNK (O)Deeigenaarvandeinformatiekenteenclassificatievoor beschikbaarheid,integriteit,vertrouwelijkheideneventueleandere kwaliteitscriteriatoe. BIR>TNK Declassificatiewordtjaarlijksenbijgrotewijzigingenuitgevoerddan welherijkt. Evidence Informatie"labelen:" Ominformatietelabeleniseenpassendereeksprocedures ontwikkeldengeïmplementeerdinovereenstemmingmethet informatieclassificatieschemadatisvastgestelddoordeorganisatie." Deorganisatieheeftproceduresvoorhetlabelenvaninformatie vastgesteldengecommuniceerd.tedenkenvaltaanhetlabelen vanmetnamepapierendocumenten,dossiersenbackups. BIR>TNK Beleid"inzake"het"gebruik"van"cryptografische" beheersmaatregelen:"" Terbeschermingvaninformatieiseenbeleidvoorhetgebruikvan cryptografischebeheersmaatregelenontwikkeldengeïmplementeerd" Deorganisatieheeftmiddelsbeleidvastgesteldwelke cryptografischevoorzieningenvoorwelketoepassingeningezet worden. BIR>OH Dedataopharddisksinlaptopsisversleuteld(volgenshetpre>boot harddiskencryptieprincipe). BIR>OH Vertrouwelijkegegevenswordenalleenversleuteldopgeslagenop mobieledatadragers. (Zie https://www.aivd.nl/onderwerpen/infobeveiliging/beveiligingsproduct e/goedgekeurde/) BIR>OH 18

19 BaselineInformatiebeveiligingHO(BIHO) Beleid"inzake"het"gebruik"van"cryptografische"beheersF" maatregelen:"" Terbeschermingvaninformatiezijnertoolsofapplicatiesaanwezig waarmeehetbeleidvoorhetgebruikvancryptografische beheersmaatregelenwordtgeïmplementeerd." (O)Decryptografischebeveiligingsvoorzieningenencomponenten voldoenaanalgemeengangbarebeveiligingscriteria,zoals: >NIST(US)/CSE(Canada)FIPS140>2 (http://en.wikipedia.org/wiki/fips_140)i >hetnationaalbureauvoorverbindingsbeveiliging(aivd/nbv)op https://www.aivd.nl/onderwerpen/infobeveiliging/beveiligingsproduct e/inzetadviezen/ BIR>TNK DaarwaarmogelijkzijnICTproductengebruiktdievolgenseen internationaalgeaccepteerdestandaard/organisatiegeëvalueerd zijn. Waarhetnietmogelijkismetgoedgekeurdeproductentewerken wordtgebruikgemaaktvanrobuustealgoritmenmeteenvoldoende langesleutel.voorverbindings>endataencryptieisditminimaal AESmeteensleutellengtevan256bitsofgelijkwaardig.Voorhash algoritmenisditminimaalsha2ofgelijkwaardig. BIR>OH ZieBIR>OHaanbevelingbij hierboven. BIR>OH Verwijdering"van"bedrijfsmiddelen:"" Apparatuur,informatieensoftwarewordtnietzondertoestemming voorafvandelocatiemeegenomen." DeICTgedragsregelsbevattendeclausuledatapparatuur, informatieenprogrammatuurvandeorganisatiepasna toestemmingvandelocatiekanwordenmeegenomen. BIR>TNK 19

20 BaselineInformatiebeveiligingHO(BIHO) Beleid"en"procedures"voor"informatietransport: Terbeschermingvanhetinformatietransport,datviaallesoorten communicatiefaciliteitenverloopt,zijnformelebeleidsregels, proceduresenbeheersmaatregelenvoortransportvankracht." (O)Bijtransportvanvertrouwelijkeinformatieoveronvertrouwde netwerken,zoalshetinternet,dientaltijdgeschikteencryptiete wordentoegepast. BIR>TNK BIR>OH (O)Erzijnproceduresopgesteldengeïmplementeerdvooropslag vanvertrouwelijkeinformatieopverwijderbaremedia. BIR>TNK (O)Verwijderbaremediametvertrouwelijkeinformatiemogenniet onbeheerdwordenachtergelatenopplaatsendietoegankelijkzijn zondertoegangscontrole BIR>TNK (O)Hetmeenemenvaninstellingsvertrouwelijkeinformatiebuiten gecontroleerdgebiedvindtuitsluitendplaatsindienditvoorde uitoefeningvandefunctienoodzakelijkis. BIR>TNK (O)Fysiekeverzendingvanbijzondereinformatiedientte geschiedenmetgoedgekeurdemiddelen,waardoordeinhoudniet zichtbaar,nietkenbaareninbreukdetecteerbaaris. BIR>TNK (O)Digitaledocumentenwaarderdenrechtenaankunnenontlenen wordenverzondenmetgebruikmakingvaneencertificaat uitgegevendooreenerkenderootca(certificateauthority)encsp (CertificateServiceProvider).. BIR>TNK (O)Eriseen(spam)filtergeactiveerdvoore>mailberichten. BIR>TNK Erwordenstandaardcommunicatieprotocollengebruiktdiegeen afbreukdoenaanhetgewenstebeveiligingsniveau. BIR>OH 20

21 BaselineInformatiebeveiligingHO(BIHO) Overeenkomsten"over"informatietransport: Erzijnovereenkomstenvastgesteldvoorhetbeveiligdtransporteren vanbedrijfsinformatietussendeorganisatieenexternepartijen." Analyse"en"specificatie"van"informatiebeveiligingseisen: Deeisendieverbandhoudenmetinformatiebeveiligingzijn opgenomenindeeisenvoornieuweinformatiesystemenenvoor uitbreidingenvanbestaandeinformatiesystemen" Overeenkomstenbehorenbetrekkingtehebbenophetbeveiligd transporterenvanbedrijfsinformatietussendeorganisatieen externepartijen. Deeisendieverbandhoudenmetinformatiebeveiligingbehorente wordenopgenomenindeeisenvoornieuweinformatiesystemenof vooruitbreidingenvanbestaandeinformatiesystemen. ISO Evidence Opnemen"van"beveiligingsaspecten"in"leveranciersovereenF" komsten:" Allerelevanteinformatiebeveiligingseisenzijnvastgestelden overeengekomenmetelkeleverancierdietoegangheefttotit> infrastructuurelemententenbehoevevandeinformatievande organisatie,ofdezeverwerkt,opslaat,communiceertofbiedt." (O)Voorafgaandaanhetafsluitenvaneencontractvooruitbesteding ofexterneinhuurisbepaaldwelkewaardeengevoeligheidde informatie(bijv.risicoklassevanwbp)heeftwaarmeedederde partijinaanrakingkankomenenofhierbijeventueelaanvullende beveiligingsmaatregelennodigzijn. BIR>TNK Bijovereenkomstenmet(cloud)leverancierswordthetJuridisch normenkadervansurftoegepast. Evidence (O)Indienexternepartijensystemenbeherenwaarin persoonsgegevensverwerktworden,wordteen bewerkerovereenkomst(conformwbpartikel14)afgesloten. BIR>TNK Toeleveringsketen"van"informatieF"en"communicatieF" technologie: Overeenkomstenmetleveranciersbevatteneisendiebetrekking hebbenopdeinformatiebeveiligingsrisico sinverbandmetde toeleveringsketenvandedienstenenproductenophetgebiedvan informatie>encommunicatietechnologie." Alsergebruiktgemaaktwordtvanonderaannemersdangelden daardezelfdebeveiligingseisenvooralsvoordecontractant.de hoofdaannemerisverantwoordelijkvoordeborgingbijde onderaannemervandegemaakteafspraken. (BijtoepassingvanhetJuridischnormenkadervanSURFisaan dezeeisvoldaan.) BIR>TNK 21

22 BaselineInformatiebeveiligingHO(BIHO) Verantwoordelijkheden"en"procedures: Directieverantwoordelijkhedenen>procedureszijnvastgesteldomeen snelle,doeltreffendeenordelijkeresponsop informatiebeveiligingsincidententebewerkstelligen." Directieverantwoordelijkhedenen>proceduresbehorenteworden vastgesteldomeensnelle,doeltreffendeenordelijkeresponsop informatiebeveiligingsincidententebewerkstelligen ISO Beveiligingsincidentenwordenmeteen(volgenseenvooraf opgesteldeprocedure)aande(corporate)informationsecurity Officeren/ofICT>beveiligingsmanagergemeld.Bewijsmateriaal wordthierbijoverhandigd. BIR>OH Rapportage"van"informatiebeveiligingsgebeurtenissen:"" Informatiebeveiligingsgebeurtenissenwordenzosnelmogelijkviade juisteleidinggevendeniveausgerapporteerd." (O)Eriseencontactpersoonaangewezenvoorhetrapporterenvan beveiligingsincidenten.voorintegriteitsschendingenisookeen vertrouwenspersoonaangewezendiemeldingeninontvangst neemt. BIR>TNK Procedureszijnschriftelijkvastgelegdenmaatregelenzijnaanwezig omalledelenen/ofdefunctionaliteitvaneenclouddienst onmiddelijkbuitengebruiktestelleningevalvaneen beveiligingsincident. UMCclou d Beschermen"van"registraties:"" Registratieswordeninovereenstemmingmetwettelijke,regelgevende, contractueleenbedrijfseisenbeschermdtegenverlies,vernietiging, vervalsing,onbevoegdetoegangenonbevoegdevrijgave." a)deinstellingverstrektrichtlijnenvoorhetbewaren,opslaan, behandelenenverwijderenvanregistratieseninformatiei b)deinstellingstelteenbewaarschemaopwaarinregistratiesende periodedatzemoetenwordenbewaard,zijnvastgelegdi c)deinstellinghoudteeninventarisoverzichtbijvanbronnenvan belangrijkeinformatie. BIR>TNK 22

23 BaselineInformatiebeveiligingHO(BIHO) Privacy"en"bescherming"van"persoonsgegevens: Privacyenbeschermingvanpersoonsgegevensworden,voorzover vantoepassing,gewaarborgdinovereenstemmingmetrelevantewet> enregelgeving." a)alleverwerkingenwaarinpersoonsgegevenszijnopgenomen,zijn geïnventariseerdi b)relevantewet>enregelgevingisgeïnventariseerdi c)passendemaatregelenvoorbeveiligingzijnvastgesteldi d)vastgesteldemaatregelenzijngeïmplementeerdi e)maatregelenwordenjaarlijksgecontroleerdopjuiste implementatie. Evidence Scheiding"van"taken:"" Conflicterendetakenenverantwoordelijkhedenzijngescheidenomde kansoponbevoegdofonbedoeldwijzigenofmisbruikvande bedrijfsmiddelenvandeorganisatieteverminderen." 1.Niemandineenorganisatieofprocesmagopuitvoerendniveau rechtenhebbenomeengehelecyclusvanhandelingenineen kritischinformatiesysteemtebeheersen.ditinverbandmethet risicodathijofzijzichzelfofanderenonrechtmatigbevoordeeltofde organisatieschadetoebrengt.ditgeldtvoorzowel informatieverwerkingalsbeheeracties. 2.Eriseenscheidingtussenbeheertakenenoverigegebruikstaken. Beheerswerkzaamhedenwordenalleenuitgevoerdwanneer ingelogdalsbeheerder,normalegebruikstakenalleenwanneer ingelogdalsgebruiker. 3.Vóórdeverwerkingvangegevensdiedeintegriteitvankritieke informatieofkritiekeinformatiesystemenkunnenaantastenworden dezegegevensdooreentweedepersoongeïnspecteerden geaccepteerd.vandeacceptatiewordteenlogbijgehouden. 4.Verantwoordelijkhedenvoorbeheerenwijzigingvangegevensen bijbehorendeinformatiesysteemfunctiesmoeteneenduidig toegewezenzijnaanéénspecifieke(beheerders)rol. BIR>TNK 23

24 BaselineInformatiebeveiligingHO(BIHO) Hoofdstuk"2:"Personeel,"studenten"en"gasten" Nr." SURFF audit" ISOF 27002:2 013" Norm" Maatregel" Bron" Arbeidsvoorwaarden: Decontractueleovereenkomstmetmedewerkersencontractanten vermeldthunverantwoordelijkhedenvoorinformatiebeveiligingendie vandeorganisatie." Dealgemenevoorwaardenvanhet(arbeids)contractvan medewerkersencontractantenbevattendewederzijdse verantwoordelijkhedentenaanzienvanbeveiliging.hetis aantoonbaardatmedewerkersbekendzijnmethun verantwoordelijkhedenophetgebiedvanbeveiliging. BIR>TNK (O)Indieneenmedewerkerofcontractantspeciale verantwoordelijkhedenheeftt.a.v.informatiebeveiligingdanishem datvoorindiensttreding(ofbijfunctiewijziging),bijvoorkeurinde aanstellingsbriefofbijhetafsluitenvanhetcontract,aantoonbaar duidelijkgemaakt. BIR>TNK 24

25 BaselineInformatiebeveiligingHO(BIHO) Bewustzijn,"opleiding"en"training"ten"aanzien"van" "informatiebeveiliging: Allemedewerkersvandeorganisatieen,voorzoverrelevant, contractantenkrijgeneenpassendebewustzijnsopleidingen>training enregelmatigebijscholingvanbeleidsregelsenproceduresvande organisatie,voorzoverrelevantvoorhunfunctie." Erzijngeschikteproceduresingevoerdomhetbewustzijnvande gebruikerstevergrotentenaanzienvanhetgevaarvanvirussenen dergelijke,zoals: >publicatie/verspreidingbeeidsregels >periodiekeawarenessprogramma'szoalsvia nieuwsbrieven/flyersi >installatievanbeveiligingsprogrammatuurdiewaarschuwtbij onvertrouwdecontenti >periodiekebesprekingvanictgedragsregels. ISO Toegangsrechten"intrekken"of"aanpassen: Detoegangsrechtenvanallemedewerkersenexternegebruikersvoor informatieeninformatieverwerkendefaciliteitenwordenbijbeëindiging vanhundienstverband,contractofovereenkomstverwijderd,enbij wijzigingenwordenzeaangepast." ISO Clear"desk F"en" clear"screen Fbeleid: Eriseen'cleardesk'>beleidvoorpapierendocumentenen verwijderbareopslagmediaeneen'clearscreen'beleidvoor informatieverwerkendefaciliteiteningesteld." (O)Schermbeveiligingsprogrammatuur(eenscreensaver)maaktna eenperiodevaninactiviteitvanmaximaal15minutenalleinformatie ophetbeeldschermonleesbaarenontoegankelijk. BIR>TNK (O)Werkstationlockwordtautomatischgeactiveerdbijhet verwijderenvaneentoken(indienaanwezig). BIR>TNK Opmobielewerkplekkenwordthetzero>footprintprincipe toegepast. BIR>OH AdresboekenentelefoongidsenwaarinlocatiesmetgevoeligeIT voorzieningenstaanzijnnietaanweziginvrijtoegankelijke gebieden. Evidence 25

26 BaselineInformatiebeveiligingHO(BIHO) VertrouwelijkheidsF"of"geheimhoudingsovereenkomst:"" Eisenvoorvertrouwelijkheids>ofgeheimhoudingsovereenkomstendie debehoeftenvandeorganisatiebetreffendehetbeschermenvan informatieweerspiegelen,zijnvastgesteldenwordenregelmatig beoordeeldengedocumenteerd." Deorganisatieheeftactuelevertrouwelijkheids>of geheimhoudingsovereenkomsteningebruik. Evidence Rapportage"van"zwakke"plekken"in"de"informatiebeveiliging: Vanmedewerkersencontractantendiegebruikmakenvande informatiesystemenen>dienstenvandeorganisatiewordtgeëistdatzij deinsystemenofdienstenwaargenomenofvermeendezwakke plekkenindeinformatiebeveiligingregistrerenenrapporteren." a)deictgedragsregelsdragengebruikersopvermeendeof waargenomenzwakkebeveiligingsplekkentemeldeni b)meldpuntenzijngecommuniceerdaanallewerknemers, ingehuurdpersoneelenexternegebruikers. Evidence Screening:"" Verificatievandeachtergrondvanallekandidatenvooreen dienstverbandwordtuitgevoerdinovereenstemmingmetrelevante wet>enregelgevingenethischeoverwegingenenstaatinverhouding totdebedrijfseisen,declassificatievandeinformatiewaartoetoegang wordtverleendendevastgestelderisico s." Bijaanstellingwordendegegevensdiedemedewerkerheeft verstrektoverzijnarbeidsverledenenscholinggeverifieerd. Voorvertrouwensfunctiesoffunctiesdievanwegehunroltoegang totgevoeligeofvertrouwelijkegegevenshebben(zoalsbijv.it> beheerders)kanoverwogeneenrelevanteverklaringomtrent Gedrag(VOG)tevragenofeenviaveiligheidsonderzoekeen VerklaringgeenBezwaar(VGB)teverkrijgen. BIR>TNK 26

27 BaselineInformatiebeveiligingHO(BIHO) Hoofdstuk"3:"Ruimtes"en"apparatuur" Nr." SURFF audit" ISOF 27002:2 013" Norm" Maatregel" Bron" Beleid"voor"mobiele"apparatuur: Erdienenbeveiligingsmaatregelentewordenvastgesteldomde risico sdiehetgebruikvanmobieleapparatuurmetzichmeebrengtte beperken." ISO Verwijderen"van"media:"" Mediawordenovereenkomstigformeleproceduresopeenveiligeen beveiligdemanierverwijderdalszenietlangernodigzijn." (O)Erzijnproceduresvastgesteldeninwerkingvoorverwijderen vanvertrouwelijkedataendevernietigingvanverwijderbaremedia. VerwijderenvandatawordtgedaanmeteenSecureErasevoor apparatenwaarditmogelijkis.inoverigegevallenwordtdedata tweekeeroverschrevenmetvastedata,éénkeermetrandomdata envervolgenswordtgeverifieerdofhetoverschrijvenisgelukt.zie ook9.2.6 BIR>TNK Backupmediawordenpasnavernietigingvandedataerop hergebruiktvooranderesystemen. BIR>OH 27

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Toelichting op GAP-analyse Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Implementatie BIR Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

IMPLEMENTATIE BIG. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

IMPLEMENTATIE BIG. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) IMPLEMENTATIE BIG Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Implementatie BIG Versienummer 1.0 Versiedatum

Nadere informatie

SURF Informatiebeveiliging & Privacy. Huidige en toekomstige ontwikkelingen: SURF(net), SURFibo en SURFaudit

SURF Informatiebeveiliging & Privacy. Huidige en toekomstige ontwikkelingen: SURF(net), SURFibo en SURFaudit SURF Informatiebeveiliging & Privacy Huidige en toekomstige ontwikkelingen: SURF(net), SURFibo en SURFaudit Bart van den Heuvel, UM, SURFibo - april 2015 even voorstellen: Bart van den Heuvel - Universiteit

Nadere informatie

Toetsingskader Informatiebeveiliging cluster 1 t/m 6

Toetsingskader Informatiebeveiliging cluster 1 t/m 6 Toetsingskader Informatiebeveiliging cluster 1 t/m 6 IBPDOC3 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Met dank aan: Maturity Werkgroep SURFibo: Hans Alfons (Vrije Universiteit)

Nadere informatie

Taskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector.

Taskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector. Taskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector. Doel Aanbieden handreikingen, op basis van best practices uit het Hoger Onderwijs en MBO sector,

Nadere informatie

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Ter info (AB) Afdeling: Team: Bedrijfsbureau Beh.door: Bos, M.G. Port.houder: DB, Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Memo Informatiebeveiliging Inleiding Met

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Contractmanagement Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Security, standaarden en architectuur

Security, standaarden en architectuur Security, standaarden en architectuur Landelijk Architectuur Congres 2014 26 november 2014 Jaap van der Veen Strategisch architect Ministerie van Financiën Bart Knubben Senior adviseur Bureau Forum Standaardisatie

Nadere informatie

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD De Baseline Informatiebeveiliging & grote gemeenten 6 oktober 2014 John van Huijgevoort, IBD Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): Samenhang Instrumenten Hoe om te gaan

Nadere informatie

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VERSLAG PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Verslag PIA Versienummer 1.0 Versiedatum April 2014

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst

Nadere informatie

Normenkader Informatiebeveiliging HO 2015

Normenkader Informatiebeveiliging HO 2015 Gebaseerd op ISO 27002:2013 Auteur(s): Alf Moens Versie: 1.4 Datum: Status: 5 mei 2015 Vastgesteld door stuurgroep Informatiebeveiliging en Privacy op 30 maart 2015 Moreelsepark 48 3511 EP Utrecht Postbus

Nadere informatie

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging Het ICT-Beveiligings- i assessment DigiD & Informatiebeveiliging De aanleiding 2011: Diginotar 2011: Lektober En ook: 2012: Dorifel 2012: Citadel 2013: DongIT Botnet De reactie vanuit VNG/KING Starting

Nadere informatie

Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector. sambo-ict conferentie, 2 oktober 2015

Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector. sambo-ict conferentie, 2 oktober 2015 Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector sambo-ict conferentie, 2 oktober 2015 Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark

Nadere informatie

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013. Anita van Nieuwenborg

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013. Anita van Nieuwenborg INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013 Anita van Nieuwenborg Agenda 1. De IBD 2. Doelen van de IBD 3. Dienstverlening van de IBD 4. Aansluiting bij de IBD 5. Vragen 2 1. De IBD

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

30-06-2015 GASTVRIJ EN ALERT

30-06-2015 GASTVRIJ EN ALERT AANPAK MET VISIE 30-06-2015 GASTVRIJ EN ALERT AGENDA 1. Voorstellen 2. Risicoanalyse of Best Practice 3. Informatiebeveiliging op de VU (in vogelvlucht) 4. De Surfaudit 5. Toch een product 6. Laatste 5

Nadere informatie

Baseline Informatiebeveiliging Waterschappen. Strategisch en Tactisch normenkader WS versie 1.0

Baseline Informatiebeveiliging Waterschappen. Strategisch en Tactisch normenkader WS versie 1.0 Baseline Informatiebeveiliging Waterschappen Strategisch en Tactisch normenkader WS versie 1.0 Baseline Informatiebeveiliging Waterschappen Strategisch en Tactisch normenkader WS versie 1.0 1 Inhoudsopgave

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

11 december 2014 Jule Hintzbergen, IBD. De Baseline Informatiebeveiliging en kleine gemeenten

11 december 2014 Jule Hintzbergen, IBD. De Baseline Informatiebeveiliging en kleine gemeenten 11 december 2014 Jule Hintzbergen, IBD De Baseline Informatiebeveiliging en kleine gemeenten Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Hoe om te gaan met de BIG als kleine gemeente

Nadere informatie

Handleiding Risicomanagement

Handleiding Risicomanagement Handleiding Risicomanagement IBPDOC29 Verantwoording Opdrachtgever Kennisnet / sambo-ict Dit document is geschreven voor IT managers, IT security officers, Information officers binnen de MBO sector. Dit

Nadere informatie

Norm ICT-beveiligingsassessments DigiD

Norm ICT-beveiligingsassessments DigiD Norm ICT-beveiligingsassessments DigiD Versie 1.0 Datum 21 februari 2012 Status Definitief Colofon Projectnaam DigiD Versienummer 1.0 Contactpersoon Servicecentrum Logius Organisatie Logius Postbus 96810

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

FS 141216.5E. Forum Standaardisatie. Verkennend onderzoek NEN-ISO/IEC 27001 en 27002. Datum 27 november 2014

FS 141216.5E. Forum Standaardisatie. Verkennend onderzoek NEN-ISO/IEC 27001 en 27002. Datum 27 november 2014 FS 141216.5E Forum Standaardisatie Verkennend onderzoek NEN-ISO/IEC 27001 en 27002 Datum 27 november 2014 Colofon Projectnaam Verkennend onderzoek NEN-ISO/IEC 27001 en 27002 Versienummer 0.9 Locatie Organisatie

Nadere informatie

Informatiebeveiliging als proces

Informatiebeveiliging als proces Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

NORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013

NORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013 NORA werkdocument Sessie 4 In stappen naar een BBO Baseline Beveiliging Overheid Bijgewerkte versie 10 april. 2013 katern Beveiliging Jaap van der Veen Agenda Sessie 4 1. Terugkoppeling afstemming met

Nadere informatie

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz Informatiebeveiliging: de juridische aspecten Anton Ekker juridisch adviseur Nictiz 20 september 2012 Onderwerpen beveiligingsplicht Wbp aandachtspunten implementatie IAM en BYOD wat te doen bij een datalek?

Nadere informatie

STRATEGISCHE BASELINE INFORMATIEBEVEILIGING NEDERLANDSE GEMEENTEN

STRATEGISCHE BASELINE INFORMATIEBEVEILIGING NEDERLANDSE GEMEENTEN STRATEGISCHE BASELINE INFORMATIEBEVEILIGING NEDERLANDSE GEMEENTEN Meer informatie Heeft u vragen over onderhavig document? De Informatiebeveiligingsdienst voor gemeenten beantwoordt deze graag via IBD@kinggemeenten.nl

Nadere informatie

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie)

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) 1) Welke documenten registraties zijn vereist? De onderstaande lijst toont de minimale set van documenten en registraties

Nadere informatie

Informatiebeveiliging: Hoe voorkomen we issues?

Informatiebeveiliging: Hoe voorkomen we issues? Informatiebeveiliging: Hoe voorkomen we issues? Workshop C Remco de Boer (Kennisnet) Ludo Cuijpers (MBO Taskforce IBB) Inhoud 1. Voorstelronde 2. Over uw rol 3. Maatregelen 4. De diepte in Voorstelronde

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Information Security Management

Nadere informatie

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND SAFEHARBOUR Audit en Security ISO 27001/ NEN7510 implementatie Projectadvies Risicoanalyses Zorg en overheden @djakoot @safeharbour_nl WAAROM DIGID-AUDIT? DAAROM DIGID-AUDIT

Nadere informatie

Handleiding Risico management

Handleiding Risico management Handleiding Risico management IBPDOC29 Verantwoording Opdrachtgever Kennisnet / sambo-ict Dit document is geschreven voor IT managers, IT security officers, Information officers binnen de MBO sector. Dit

Nadere informatie

Handleiding Risico management

Handleiding Risico management Handleiding Risico management IBPDOC29 Verantwoording Opdrachtgever Kennisnet / sambo-ict Dit document is geschreven voor IT managers, IT security officers, Information officers binnen de MBO sector. Dit

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW)

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW) RAAK-project Veilig Water Programma Informatieveiligheid Marcel Spruit (HHS), Michiel Dirriwachter (UvW) Michiel Dirriwachter? Dit doet een waterschap Een Waterschap? Een Waterschap? Een Waterschap? Een

Nadere informatie

Baseline Informatiebeveiliging Rijksdienst Operationele Handreiking

Baseline Informatiebeveiliging Rijksdienst Operationele Handreiking Baseline Informatiebeveiliging Rijksdienst Operationele Handreiking Versie 1.0 Datum 30 oktober 2013 Inhoudsopgave Inhoudsopgave... 2 1 Inleiding... 5 2 Beveiligingseisen en richtlijnen... 8 2.1 Patroon

Nadere informatie

Taskforce Informatiebeveiligingsbeleid.

Taskforce Informatiebeveiligingsbeleid. Taskforce Informatiebeveiligingsbeleid. Cursus 1 2015-2016 plus overnachting Aanleiding: Om het deskundigheidsniveau van instellingen te vergroten, zal een masterclass Privacy georganiseerd worden. Deze

Nadere informatie

Voorstel Informatiebeveiliging beleid Twente

Voorstel Informatiebeveiliging beleid Twente Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)

Nadere informatie

Normenkader Informatiebeveiliging MBO

Normenkader Informatiebeveiliging MBO Normenkader Informatiebeveiliging MBO IBBDOC2 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Met dank aan: Maturity Werkgroep SURFibo: Hans Alfons (Vrije Universiteit) Ludo

Nadere informatie

VIAG THEMADAG State of the art internet beveiliging

VIAG THEMADAG State of the art internet beveiliging VIAG THEMADAG State of the art internet beveiliging Marijke Salters Bureau Forum Standaardisatie 27 juli 2014 Aanleiding 2 Standaardiseren doe je niet alleen! Dus actueel 3 Standaarden voor Internet beveiliging

Nadere informatie

HANDREIKING PROCES WIJZIGINGSBEHEER

HANDREIKING PROCES WIJZIGINGSBEHEER HANDREIKING PROCES WIJZIGINGSBEHEER Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Handreiking proces wijzigingsbeheer

Nadere informatie

Energiemanagement actieplan. Van Schoonhoven Infra BV

Energiemanagement actieplan. Van Schoonhoven Infra BV BV Leusden, oktober 2013 Auteurs: G.J. van Schoonhoven D.J. van Boven Geaccordeerd door: D.J. van Boven Directeur eigenaar INLEIDING Ons bedrijf heeft een energiemanagement actieplan conform NEN-ISO 50001.

Nadere informatie

Compliance and Control

Compliance and Control Informatiebeveiliging in het Hoger Onderwijs Compliance and Control SAMBO-ICT - 16 januari 2014 - Alf Moens Wat ga ik u brengen? Framework Informatiebeveiliging, best practices uit het onderwijs Normenkader

Nadere informatie

Communicatieplan CO 2 -reductie. Baggerbedrijf West Friesland

Communicatieplan CO 2 -reductie. Baggerbedrijf West Friesland Communicatieplan CO 2 -reductie Baggerbedrijf West Friesland Gebruikte handelsnamen: Baggerbedrijf West Friesland Grond & Cultuurtechniek West Friesland Andijk, februari-mei 2014 Auteurs: M. Komen C. Kiewiet

Nadere informatie

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 Anita van Nieuwenborg Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 De IBD Gezamenlijk initiatief VNG en KING Opgericht vanuit behoefte van gemeenten aan coördinatie en ondersteuning

Nadere informatie

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Overzicht Informatiebeveiliging Inlichtingenbureau GGK Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk

Nadere informatie

Informatiebeveiligingsbeleid 2015-2018

Informatiebeveiligingsbeleid 2015-2018 Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen

Nadere informatie

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Information Security Management

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

CO 2 managementplan. Jan Knijnenburg B.V. Auteur: Adviseur MVO Consultants. Versie: 1.0. Handtekening autoriserend verantwoordelijk manager

CO 2 managementplan. Jan Knijnenburg B.V. Auteur: Adviseur MVO Consultants. Versie: 1.0. Handtekening autoriserend verantwoordelijk manager CO 2 managementplan Jan Knijnenburg B.V. Auteur: Adviseur MVO Consultants Versie: 1.0 Datum: xx-xx-2015 Handtekening autoriserend verantwoordelijk manager Authorisatiedatum: Naam:.. Inhoud 1 Inleiding...

Nadere informatie

NORA dossier Informatiebeveiliging. Architectuur Aanpak

NORA dossier Informatiebeveiliging. Architectuur Aanpak Architectuur Aanpak Architectuur Aanpak Auteur Versie Status Den Haag, Jaap van der Veen en Bart Bokhorst; Belastingdienst 1.3 Definitief 01-09-2010 3/16 Inhoud 1 Inleiding 4 2 Modelleringaanpak 5 3 Model

Nadere informatie

Het VCA-Register. Transparantie en Afrekenbaarheid in Duurzaam Landgebruik en Natuurlijk Kapitaal. Werkconferentie Natuurlijk Kapitaal

Het VCA-Register. Transparantie en Afrekenbaarheid in Duurzaam Landgebruik en Natuurlijk Kapitaal. Werkconferentie Natuurlijk Kapitaal Het VCA-Register Transparantie en Afrekenbaarheid in Duurzaam Landgebruik en Natuurlijk Kapitaal Werkconferentie Natuurlijk Kapitaal Utrecht, 15 december 2015 Zorgen voor onze planeet Overal staat biodiversiteit

Nadere informatie

Normenkader Informatiebeveiliging MBO

Normenkader Informatiebeveiliging MBO Normenkader Informatiebeveiliging MBO IBPDOC2A Verantwoording Bron: Normenkader Informatiebeveiliging HO 2015 Gebaseerd op ISO 27002:2013 Stichting SURF April 2015 Met dank aan: Maturity Werkgroep SURFibo:

Nadere informatie

HOE IMPLEMENTEER IK DE BIG? HANDLEIDING GERICHT OP KLEINE GEMEENTEN

HOE IMPLEMENTEER IK DE BIG? HANDLEIDING GERICHT OP KLEINE GEMEENTEN HOE IMPLEMENTEER IK DE BIG? HANDLEIDING GERICHT OP KLEINE GEMEENTEN Auteur IBD Datum maandag 29 september 2014 Versie versie 1.0 2 Inhoud 1 De BIG 4 1.1 Waarom 4 1.2 Wat 4 1.3 Tijdpad 5 1.4 Voordelen 6

Nadere informatie

ISO 27001 met Qmanage

ISO 27001 met Qmanage A : Auke Vleerstraat 6D I : www.quarantainenet.nl 7521 PG Enschede E : info@quarantainenet.nl T : 053-7503070 B : NL89 RABO 0317 2867 14 F : 053-7503071 KvK : 08135536 ISO 27001 met Qmanage Inclusief NEN

Nadere informatie

Energiemanagement actieplan. Baggerbedrijf West Friesland

Energiemanagement actieplan. Baggerbedrijf West Friesland Baggerbedrijf West Friesland Gebruikte handelsnamen: Baggerbedrijf West Friesland Grond & Cultuurtechniek West Friesland Andijk, februari-mei 2014 Auteurs: M. Komen C. Kiewiet Geaccordeerd door: K. Kiewiet

Nadere informatie

CONTRACTMANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

CONTRACTMANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) CONTRACTMANAGEMENT Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Contractmanagement Versienummer 1.0 Versiedatum

Nadere informatie

Presentatie ISO27001 in de praktijk. MOA bijeenkomst 16 mei 2013

Presentatie ISO27001 in de praktijk. MOA bijeenkomst 16 mei 2013 Presentatie ISO27001 in de praktijk MOA bijeenkomst 16 mei 2013 Even voorstellen Rob de Leur Business partner ORBEDO Procesmanagement Informatiebeveiliging Risicomanagement Informatiebeveiliging - korte

Nadere informatie

MOBIELE GEGEVENSDRAGERS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

MOBIELE GEGEVENSDRAGERS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) MOBIELE GEGEVENSDRAGERS Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Mobiele gegevensdragers Versienummer 1.0

Nadere informatie

Technische QuickScan (APK voor het MBO)

Technische QuickScan (APK voor het MBO) Technische QuickScan (APK voor het MBO) IBPDOC30 Verantwoording Opdrachtgever: Kennisnet / sambo-ict Auteurs Leo Bakker Ludo Cuijpers Robbin van den Dobbelsteen Albert Hankel Bart van den Heuvel Frank

Nadere informatie

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2014 2015 34 200 VIII Jaarverslag en slotwet Ministerie van Onderwijs, Cultuur en Wetenschap 2014 Nr. 11 BRIEF VAN DE MINISTER VAN ONDERWIJS, CULTUUR EN

Nadere informatie

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari 2005. Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren.

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari 2005. Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren. Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat DMZ Policy 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren Geaccepteerd Manager SPITS

Nadere informatie

BIR comply or explainprocedure

BIR comply or explainprocedure BIR comply or explainprocedure Datum: 7 januari 2014 Versie: 1.0 Inleiding In 2012 is de Baseline Informatiebeveiliging Rijksdienst (BIR) van kracht geworden. De Baseline gaat uit van een comply or explain

Nadere informatie

SAMENHANG BEHEERPROCESSEN EN INFORMATIEBEVEILIGING

SAMENHANG BEHEERPROCESSEN EN INFORMATIEBEVEILIGING SAMENHANG BEHEERPROCESSEN EN INFORMATIEBEVEILIGING Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Samenhang beheerprocessen

Nadere informatie

Anti-malware beleid. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Anti-malware beleid. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Anti-malware beleid Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Security, Continuïty & Privacy by design. Jaap van der Veen CIO-office DG Belastingdienst

Security, Continuïty & Privacy by design. Jaap van der Veen CIO-office DG Belastingdienst Security, Continuïty & Privacy by design Jaap van der Veen CIO-office DG Belastingdienst Even voorstellen: Jaap van der Veen Strategisch architect Ministerie van Financiën CIO-office 06-5151 0702 je.van.der.veen@belastingdienst.nl

Nadere informatie

MBO toetsingskader Informatiebeveiliging Handboek MBOaudit

MBO toetsingskader Informatiebeveiliging Handboek MBOaudit MBO toetsingskader Informatiebeveiliging Handboek MBOaudit IBBDOC3+ Toelichting Kenmerkend voor het vakgebied auditing is dat een onderzoek plaatsvindt ten opzichte van een eerder opgesteld en afgestemd

Nadere informatie

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...

Nadere informatie

Cursusdag ICT-standaarden in de zorg. Nieuwegein, 20 mei 2014

Cursusdag ICT-standaarden in de zorg. Nieuwegein, 20 mei 2014 Cursusdag ICT-standaarden in de zorg Nieuwegein, 20 mei 2014 Toelichting NEN 7510 Informatiebeveiliging in de zorg Drs. J.W.R. Schoemaker CISSP CISO / Business Continuity Manager Erasmus MC Inhoud Toelichting

Nadere informatie

TACTISCHE BASELINE INFORMATIEBEVEILIGING NEDERLANDSE GEMEENTEN

TACTISCHE BASELINE INFORMATIEBEVEILIGING NEDERLANDSE GEMEENTEN TACTISCHE BASELINE INFORMATIEBEVEILIGING NEDERLANDSE GEMEENTEN 1 Meer informatie Heeft u vragen over onderhavig document? De Informatiebeveiligingsdienst voor gemeenten beantwoordt deze graag via IBD@kinggemeenten.nl

Nadere informatie

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie)

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) 1) Welke documenten registraties zijn vereist? De onderstaande lijst toont de minimale set van documenten en registraties

Nadere informatie

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Hardening Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Team Werknemers Pensioen

Team Werknemers Pensioen Team Werknemers Pensioen 1 Implementatie pensioenregeling Uitgangspunt Implementatie en communicatie in overleg met ADP en adviseurs Vaste onderdelen van implementatie Opvoeren pensioenregeling ADP in

Nadere informatie

IT Security in de industrie

IT Security in de industrie IT Security in de industrie Praktische ervaringen met cyber security in de Energiesector en Procesindustrie Henk Spelt Henk.Spelt@kema.com Experience you can trust. Onderwerpen Waarom is (cyber) security

Nadere informatie

Informatiebeveiliging gemeenten. KPN logische partner bij invoering en uitvoering

Informatiebeveiliging gemeenten. KPN logische partner bij invoering en uitvoering Informatiebeveiliging gemeenten KPN logische partner bij invoering en uitvoering 2 Informatiebeveiliging is en blijft een hot issue, want de digitalisering neemt nog steeds toe. Ook binnen gemeenten. Sinds

Nadere informatie

Toepasbaarheid gebied: houder DigiD aansluiting, software ontwikkelaar, hosting partij. Scope: de DigiD applicatie en de infrastructuur

Toepasbaarheid gebied: houder DigiD aansluiting, software ontwikkelaar, hosting partij. Scope: de DigiD applicatie en de infrastructuur Het doel van deze tabel is de IT auditor een handreiking te verstrekken ten aanzien van het toepassingsgebied, de scope en een testaanpak, alsmede een nadere toelichting, voor het uitvoeren van een DigiD

Nadere informatie

Preview. Informatie- Beveiligingsbeleid NEN-ISO/IEC 27002 (CvI / BIG)

Preview. Informatie- Beveiligingsbeleid NEN-ISO/IEC 27002 (CvI / BIG) Preview Informatie- Beveiligingsbeleid NEN-ISO/IEC 27002 (CvI / BIG) Gemeentelijk Efficiency Adviesbureau bv Schoonouwenseweg 10 2821 NX Stolwijk 0182-341350 info@gea-bv.nl Versie: preview Datum: oktober

Nadere informatie

HARDENING-BELEID VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

HARDENING-BELEID VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) HARDENING-BELEID VOOR GEMEENTEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Hardening-beleid voor gemeenten

Nadere informatie

ANTI-MALWARE BELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

ANTI-MALWARE BELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) ANTI-MALWARE BELEID Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Anti-malware beleid Versienummer 1.0 Versiedatum

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein

Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein Strategisch Informatiebeveiligingsbeleid Gemeenten IJsselstein, Montfoort en Nieuwegein Versie: 0.9 (definitief concept) Datum: 18 december 2012 Inhoudsopgave 1. MANAGEMENTSAMENVATTING... 1 2. INTRODUCTIE...

Nadere informatie

Actieplan Informatiebeveiligingsbeleid mbo

Actieplan Informatiebeveiligingsbeleid mbo Actieplan Informatiebeveiligingsbeleid mbo V.1.0, 14-05-2014 Opdrachtgever: sambo-ict Inhoudsopgave 1. Inleiding... 3 2. Doelstelling... 4 2.1. Waarom informatiebeveiligingsbeleid... 4 2.2. Doelstellingen...

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Meldplicht Datalekken

Meldplicht Datalekken Meldplicht Datalekken Auteur(s): Project Moore in opdracht van SURF Versie: 3.0 Datum: Januari 2016 Moreelsepark 48 3511 EP Utrecht Postbus 19035 3501 DA Utrecht 088-787 30 00 admin@surfnet.nl www.surfnet.nl

Nadere informatie

Beveiligingsaspecten van webapplicatie ontwikkeling met PHP

Beveiligingsaspecten van webapplicatie ontwikkeling met PHP RADBOUD UNIVERSITEIT NIJMEGEN Beveiligingsaspecten van webapplicatie ontwikkeling met PHP Versie 1.0 Wouter van Kuipers 7 7 2008 1 Inhoud 1 Inhoud... 2 2 Inleiding... 2 3 Probleemgebied... 3 3.1 Doelstelling...

Nadere informatie

ICT-Beveiligingsrichtlijnen voor webapplicaties Deel 1

ICT-Beveiligingsrichtlijnen voor webapplicaties Deel 1 ICT-Beveiligingsrichtlijnen voor webapplicaties Deel 1 ICT-Beveiligingsrichtlijnen voor webapplicaties Deel 1 Nationaal Cyber Security Centrum Wilhelmina van Pruisenweg 104 2595 AN Den Haag Postbus 117

Nadere informatie

ICT-Beveiligingsrichtlijnen voor webapplicaties Deel 1

ICT-Beveiligingsrichtlijnen voor webapplicaties Deel 1 ICT-Beveiligingsrichtlijnen voor webapplicaties Deel 1 ICT-Beveiligingsrichtlijnen voor webapplicaties Deel 1 Nationaal Cyber Security Centrum Wilhelmina van Pruisenweg 104 2595 AN Den Haag Postbus 117

Nadere informatie

Prince2 audit. Kwaliteitsmaatregel met rendement

Prince2 audit. Kwaliteitsmaatregel met rendement Prince2 audit Kwaliteitsmaatregel met rendement Niek Pluijmert Dga INQA (samen met Hans) Project- en kwaliteitmanagement Sedert 1979 in ICT Bestuurslid Spider Bestuurslid KvK Midden Nederland TU Delft

Nadere informatie

Presentatie NORA/MARIJ

Presentatie NORA/MARIJ Presentatie NORA/MARIJ 6 november 2009 Peter Bergman Adviseur Architectuur ICTU RENOIR RENOIR = REgie NuP Ondersteuning Implementatie en Realisatie Overzicht presentatie Families van (referentie-)architecturen

Nadere informatie

BIG Nummer Hoofdgroep Groep Maatregel Vraag Aanwezig Vindplaats / opmerking Eigenaar Status Actiehouder Wanneer gereed? Geaccepteerd risico?

BIG Nummer Hoofdgroep Groep Maatregel Vraag Aanwezig Vindplaats / opmerking Eigenaar Status Actiehouder Wanneer gereed? Geaccepteerd risico? GAP-analyse gemeenten op basis van de Baseline Informatiebeveiliging Nederlandse Gemeenten (versie 1.1) Opsteller : Datum : Gemeentenaam: DEEL 1 (GAP-Analyse) DEEL 2 (ImpactAnalyse) BIG Nummer Hoofdgroep

Nadere informatie

Energie management Actieplan

Energie management Actieplan Energie management Actieplan Conform niveau 3 op de CO 2 -prestatieladder 2.2 Auteur: Mariëlle de Gans - Hekman Datum: 30 september 2015 Versie: 1.0 Status: Concept Inhoudsopgave 1 Inleiding... 2 2 Doelstellingen...

Nadere informatie

TACTISCHE BASELINE INFORMATIEBEVEILIGING NEDERLANDSE GEMEENTEN

TACTISCHE BASELINE INFORMATIEBEVEILIGING NEDERLANDSE GEMEENTEN TACTISCHE BASELINE INFORMATIEBEVEILIGING NEDERLANDSE GEMEENTEN 1 Meer informatie Heeft u vragen over onderhavig document? De Informatiebeveiligingsdienst voor gemeenten beantwoordt deze graag via IBD@kinggemeenten.nl

Nadere informatie

DUTO Normenkader Duurzaam Toegankelijke Overheidsinformatie

DUTO Normenkader Duurzaam Toegankelijke Overheidsinformatie DUTO Normenkader Duurzaam Toegankelijke Overheidsinformatie Erik Saaman (projectleider DUTO) NORA Gebruikersraad, 9 juni 2015 normenkader@nationaalarchief.nl Duurzaam toegankelijke overheidsinformatie

Nadere informatie

SURFaudit, getoetst in de praktijk Februari 2012, Alf Moens, SURFfoundation

SURFaudit, getoetst in de praktijk Februari 2012, Alf Moens, SURFfoundation SURFaudit, getoetst in de praktijk Februari 2012, Alf Moens, SURFfoundation Inleiding In 2011 is de eerste auditronde van SURFaudit gehouden. In deze ronde zijn het normenkader, de meetmethode en het benchmarktool

Nadere informatie