Baseline(Informatiebeveiliging(HO((BIHO)( (

Maat: px
Weergave met pagina beginnen:

Download "Baseline(Informatiebeveiliging(HO((BIHO)( ("

Transcriptie

1 Baseline(Informatiebeveiliging(HO((BIHO)( ( Auteur(s): SCIPR(SURFibo) Versie: 1.0 Datum: 1mei2015 Moreelsepark EPUtrecht Postbus DAUtrecht 088< admin@surfnet.nl INGBankNL54INGB KvKUtrecht BTWNL B01

2 BaselineInformatiebeveiligingHO(BIHO) Inhoudsopgave( 1 Inleiding(...(5 2 Context(...(6 3 Toepassen(BIHO(binnen(de(instelling(...(8 BIJLAGE(I:(Tabel(relevante(documenten(...(10 BIJLAGE(II:(Overzicht(geraadpleegde(externe(bronnen(...(12 4 BIJLAGE(III:(maatregelen(set(Baseline(Informatiebeveiliging(HO(...(14 SURFCommunityvoorInformatiebeveiligingenPRivacy,voorheenSURFibo)is eencommunityofpracticemetalsdoelenhetactiefstimulerenvanenrichting gevenaaninformatiebeveiligingenprivacybinnenhethogeronderwijs (universiteiten,hogescholen,onderzoeksinstellingenenuniversitairmedische centra).ditdoetscipronderanderedoorhetleverenvanpraktischbruikbare adviezen,beleidenleidraden. DitdocumentisvlakvoordenaamswijzigingvanSURFibonaarSCIPR geschreven.waarindetekstsurfibowordtgenoemd,moersciprgelezen worden. MeerinformatieoverSURFibostaatopwww.surf.nlonderhetthema Beveiliging enprivacy. DezepublicatieisgelicenseerdondereenCreativeCommonsNaamsvermelding3.0Unportedlicentie Meerinformatieoverdezelicentievindtuophttp://creativecommons.org/licenses/by/3.0/deed.nl

3 BaselineInformatiebeveiligingHO(BIHO) Versiebeheer:( Maart2015 EersteversieBaselineinformatiebeveiligingHO 3/62

4 BaselineInformatiebeveiligingHO(BIHO) 4

5 BaselineInformatiebeveiligingHO(BIHO) 1( Inleiding( HetdoorSURFiboontwikkeldemodelinformatiebeveiligingsbeleidsteltdathetHogerOnderwijsmet betrekkingtotinformatiebeveiligingderelevantemaatregelenconformiso<27002zaltreffen.de NederlandseoverheidhanteertdezeISO<standaardookalsnorm.Depraktijkwijstuitdathetinvoeren vandezeiso<standaardnieteenvoudigis,metalsbelangrijkeoorzaakzijngroteabstractheid waardoorerveeldiscussiekanzijnoverdevertalinginconcretemaatregelen. Deoverheidheefthet ICT<deel vanhaartactischevariantvandeiso<27002,debaseline InformatiebeveiligingRijksoverheid<TactischNormenKader(BIR<TNK),doorvertaaldnaaroperationele maatregelenenopgenomenindebir<oh(operationelehandreiking).ookinhethogeronderwijsis behoefteaanmeerconcretebeveiligingsmaatregelen.inditdocumentwordtdebirverdertoegelicht, waaromdezeookvoorhethogeronderwijsgeschiktisenhoedezebaselineinformatiebeveiliging HO(BIHO)toegepastkanworden. DitdocumentisbedoeldvoordegebruikersvandemaatregeleninhetHogerOnderwijs:de functionarisseninformatiebeveiligingzoalssecurityofficers,projectleidersvanict<projecten,ict< architectenenictbeheerders. 5

6 BaselineInformatiebeveiligingHO(BIHO) 6 2( Context( DenormenenmaatregelenindeBIRzijngebaseerdopeenvertrouwelijkheidsniveaudathoortbij gegevensmetdeclassificatie DepartementaalVertrouwelijk,vergelijkbaarmet VoorInternGebruik enhetniveauwbprisicoklasseii:verhoogdrisico.dittypegegevenskomtookveelvuldigvoorinhet HogerOnderwijs.SURFiboheeftvastgestelddathetrisicoprofielvoorhetHogerOnderwijsen Onderzoekzoalsweergegeveninhet CyberdreigingsbeeldSectorHogerOnderwijsen WetenschappelijkOnderzoek (2105)veelovereenkomstvertoontmethetrisicoprofielvan Rijksoverheid.Vanwegedegroteovereenkomsteninvertrouwelijkheidsniveauenrisicoprofielstelt SURFibodatdeBIR(inclusiefdeRijks<specifiekemaatregelen)alsbasiskandienenvooreen baselineinformatiebeveiligingvoorinstellingeninhethogeronderwijs(biho). HoepastdezeBIHOinhetSURFiboFrameworkInformatiebeveiliging,waarvaneengedeeltein onderstaaandeuitsnedeisweergegeven?relevantinhetkadervandebir<ohbinnenhetframework zijndevolgendedocumenten: Product Inhoud Dd HORA Eensetarchitectuurmodellenen principesvoorhethoger onderwijs,geïnspireerdopde NORA. BevatIB<principesen classificaties. 07< 2014 Starterkit informatiebeveiliging Eenuitgewerkteprocesgerichte aanpak(infasen)om informatiebeveiligingopgangte brengenenhouden. 12< 2010 ModelbeleidIB Template informatiebeveiligingsbeleid. 05< 2015 NormenkaderHO/ SURFaudit 85normenuitISO27002<2013 voorhethogeronderwijs,als basisvoordesurfauditdoor SURFstuurgroep Informatiebeveiligingenprivacy geaccordeerd. Baseline InformatiebeveiligingHO (BIHO) Operationelesetmaatregelen voorhethoopbasisvanbir< TNKenBIR<OH Nu

7 BaselineInformatiebeveiligingHO(BIHO) Juridischnormenkader CloudServices Toetsmodelwaaraandediensten vaneenleverancier(van cloudservices)getoetstwordt. 11< 2013 Technische handreikingen Defactostandaardszoals OWASP. Diver s BijhetopstellenvandesetoperationelemaatregelenvoorhetHogerOnderwijsopbasisvandeBIR isgeconstateerddathetonderscheidtussendetactischenormenuitdebir<tnkendeoperationele maatregelenuitdebir<ohnietconsequentwordtgehanteerd. Daaromisbeslotenbijhetsamenstellenvande bestpractice maatregelensetvoorhetho,debiho uitbeidedocumententeputten. DeBIHObestaatuittweedelen,heteerstedeelbevatdenormenuithetnormenkaderHOaangevuld metconcretemaatregelenuitdebireninsommigegevallenisdaar evidence 1 of)umccloud 2 )aan toegevoegd.hettweededeelbevatnormenuitdebir<tnkdienietinhetnormenkaderho voorkomen.hetrijksteltdezenormenverplicht,hetisvoorstelbaardatdebihoenbir<tnknaar elkaarzullengroeien. Hetisnietverplichtomde bestpractice letterlijkovertenemen,maardoordezezovolledigmogelijk tevolgen,komtdeinstellinginlijnmethetnormenkaderho/surfauditnormenkader.hetadviesaan deinstellingenisomdeinvullingvanallemaatregelenconformhetprincipe"pastoeofleguit"vastte leggen. InbijlageIIIisdeBIHOopgenomen,dezeisookinExcelformaattedownloadenvandeSURFibosite. 1 deevidence<lijstuitsurfaudit,opgestelddoorinternal<auditorsho 2 "normdocumentclouddiensten"vandegezamenlijkeuniversitairemedischecentra 7

8 BaselineInformatiebeveiligingHO(BIHO) 3( Toepassen(BIHO(binnen(de(instelling( GeadviseerdwordtomdeICT<maatregelenuitdeBIHOalsvolgttoetepassen: 1. Stelvastdatdeset bestpractice ICT<beveiligingsmaatregelendenormisl 2. Bepaaldegapmetdeset bestpractice ICT<beveiligingsmaatregelen,daarvoorkanhet onderstaandschemawordengebruikt: GAP<analyse Impactanalyse Aanwezig(Is(de( maatregel( geïmplementeerd( ( ja/nee/( gedeeltelijk/( nvt/onbekend Hoe( geïmplementeerd Omschrijving(hoe(en( waar( (instellingsbreed( /onderdeel) geïmplementeerd Eigenaar(van( de(maatregel( naam( /afdeling ( Status Actiehouder( Wie(is( aanspreekbaar/( verantwoordelijk( voor( implementatie(van( de(maatregel Planning( Datum(( gereed Geaccept eerd( risico( =( manage menty( besluit Indekolom Aanwezig kunnendevolgendekeuzesgemaaktworden: Ja:Demaatregelisaanwezig.Vulookdevindplaatsin,wiedemaatregeluitvoert,waarde maatregelisvastgelegdenoverigebijzonderheden. Nee:Erisnietsgevonden. Gedeeltelijk:Demaatregelisgedeeltelijkgeïmplementeerd. Nietvantoepassing:Demaatregelisnietvantoepassing.Vuldaarbijookeenredenin Onbekend:Onduidelijkoferietsisdatvoldoet. Vervolgenskanhetdeel Impactanalyse wordeningevuld,doorvoordenognietgenomen maatregelenofdeonbekendemaatregelenkaneenstatuswordenaangegeven: Geïmplementeerd:Eenmaatregelisvollediggeïmplementeerd. Deelsgeïmplementeerd:Eenmaatregelisdeelsaanwezig. 8

9 BaselineInformatiebeveiligingHO(BIHO) Teimplementeren:Demaatregelgaatgeïmplementeerdwordenbinnenafzienbaretijd. Nietgeïmplementeerd:Demaatregelmoetnoggeïmplementeerdworden. Nietvantoepassing:Demaatregelisnietvantoepassing. Nognietonderzocht:Demaatregelisnognietonderzocht. Overgedragen:Demaatregelisovergedragen(bijvoorbeeldaaneenandere beheerorganisatie). Geaccepteerdrisico:Eenmaatregelwordtnietgenomen,hetrisicodatgelopenwordtdoor hetnietnemenwordtgeaccepteerd. 3. Vervolgenskaneenplanvanaanpakwordenopgesteldwaarinwordtbeschrevenhoede uitkomstenvandegap<analysewordenafgehandeld.ditplanvanaanpakisdaarmeeonderdeelvan depdca<cyclus. 4. Tenslottekaneenpeer<reviewofeenexterneaudituitgevoerdwordenomtecheckenofde juistemaatregelenzijngenomenenof(opbasisvandeevidence<lijst)hetgewenste volwassenheidsniveauisbereikt. 9

10 BaselineInformatiebeveiligingHO(BIHO) 10 BIJLAGE(I:(Tabel(relevante(documenten( Product Inhoud Dd Starterkit informatiebeveiliging Eenuitgewerkteprocesgerichteaanpak(infasen)om informatiebeveiligingopgangtebrengenenhouden. 12<2010 ModelbeleidIB SURFiboTemplateinformatiebeveiligingsbeleid 05<2015 NEN<ISO27001:2013 InternationalespecificatievaneisenwaaraaneenISMS (InformationSecurityManagementSystem)ofwel managementsysteemvoorinformatiebeveiliging)moet voldoen NEN<ISO27002:2013 Eenpraktischesetmaatregelenwaarmee informatiebeveiliginggeïmplementeerdkanworden SURFaudit6<cluster Denormenset(85normen)doorSURFiboopgesteldvoor hethogeronderwijsopgesteldopbasisvaniso<27002: <2015 Juridischnormenkader CloudServices SURFToetsmodelwaaraandedienstenvaneenleverancier vancloudservicesgetoetstkanwordenopsecurity&privacy. 11<2013 BIRTNK HettactischenormenkadervandeBIR.DeTNKisverplicht bijderijksoverheid(pastoeofleguit/complyorexplain). HetiseenverbijzonderingvanNEN<ISO27002.Het beoogdeniveauvandebaselineis departementaal vertrouwelijkenwbprisicoklasseii 12<2<2012 QuickScanBIR HetuitvoerenvandeQuickScanBIRgeeftaanofdeBIR maatregelenvoldoendezijnvoorbeveiligingvanspecifieke processenmetondersteunendeinformatiesystemen. 21<01< 2014 Technischebaselines BaselineszoalsdeApplicationSecurityVerification StandaardvanOWASP,detechnicalbaselinesvanENISA, destandaardendiedoorhetnistzijnvoorgesteldenhet raamwerkbeveiligingvanwebapplicatiesdoorhetncsc. (Defactostandaards) HORA Eensetarchitectuurmodellenen principesvoorhethoger onderwijs,geïnspireerdopdenora. 07<2014

11 BaselineInformatiebeveiligingHO(BIHO) Bevatbeperkt(enkeleprincipes)rondIB. IBA SURFiboInformatieBeveiligingsArchitectuur 11<

12 BaselineInformatiebeveiligingHO(BIHO) BIJLAGE(II:(Overzicht(geraadpleegde(externe(bronnen( BIRYOH( ENISA( Relevantemaatregelenin: guideline<on<minimum<security<measures/technical<guideline<on<minimum<security<measures reporting/technical%20guidelines%20on%20incident%20reporting/technical<guideline<on<incident< reporting for<network<and<information<security<in<education sizes<and<parameters<report cryptographic<measures<securing<personal<data NIST(( InteressantisdeconfiguratiehandleidingdievoorveelgebruikteITcomponentenbeschikbaaris: metbijvoorbeeldvoorfirefox(viaeenzusterorganisatiecenterforinternetsecurity): OWASP(( OWASPlevertvooraldeApplicationSecurityVerificationStandaard ( Howtodevelopsecureapplications: applicationsecurity(eenuitgebreide,praktischegidshoetetesten)endehowtocodereview. NCSC(( Interessantzijndealerts(bekendekwetsbaarhedenmetoplossing)enhetraamwerkbeveiliging webapplicaties: incidenten/beveiligingsadviezen 12

13 BaselineInformatiebeveiligingHO(BIHO) beveiliging<webapplicaties.html SANS(( 13

14 BaselineInformatiebeveiligingHO(BIHO) 4" BIJLAGE"III:"maatregelen"set"Baseline"Informatiebeveiliging"HO" Legenda: Bronnen:" BIR BaselineInformatiebeveiligingRijksdienst BIR>TNK BIR>TactischNormenkader BIR>OH BIR>OperationeleHandreiking Evidence Elementuitdeevidence>lijstopgestelddoorinternal>auditorsHO ISO ElementuitISO27002:2013 UMCcloud Elementuit"normdocumentclouddiensten"vandegezamenlijkeUniversitaireMediceCentra NORA NederlandseOverheidReferentieArchitectuur (O) Maatregeluit<bron>isaangepastvoordeOnderwijssector " " 14

15 BaselineInformatiebeveiligingHO(BIHO) " Afkortingen"en"Begrippen"" RA(S)CImatrix matrixmetrollenineenproces:responsible,accountable,(tooffersupport,)tobeconsulted,tobeinformed BIA BusinessImpactAnalyses PIA PrivacyImpactAssessment OTAP Ontwikkeling,Test,AcceptatieenProductie BYOD BringYourOwnDevice DMZ DeMilitarizedZone NAT NetworkAddressTranslation:eentechnologiewaarbijeenprive>adresrangewordtverbondenmetinternetviaeenroutermet1openbaar netwerkadres DNS DomeinNameSystem spoofing Zichvoordoenalsiemand/ietsanders(andermansnaam,IP>adresetc.) zero>footprint Applicatieskunnenwordengebruiktzondersoftwareinstallatieopdeclientenzonderachterlatingvanapplicatiedataopdeclient reverseproxy Eenproxyserverdienamenseenclientdataophaaltbijmeerderservers,doorgaansineeninternnetwerk. hardened Eenverhoogdbeveiligingsniveaudoorbeperkingvanhetaantalkwetsbareconfiguratieonderdelen multifunctionalsapparatenmetmeerderefunctioneledoelen,meestalprinten,kopiërenenscannen/faxen 15

16 BaselineInformatiebeveiligingHO(BIHO) Hoofdstuk"1:"Beleid"en"organisatie" Nr." SURFF audit" ISOF 27002:2 013" Norm" Maatregel" Bron" Beleidsregels"voor"informatiebeveiliging:"" Tenbehoevevaninformatiebeveiligingiseenreeksbeleidsregels gedefinieerdengoedgekeurddoorhetbestuur." Hetbestuurvandeinstellingsteltbeleidvoorinformatiebeveiliging vast. BIR>TNK Beleidsregels"voor"informatiebeveiliging: Debeleidsregelsvoorinformatiebeveiligingzijngepubliceerden gecommuniceerdaanmedewerkersenrelevanteexternepartijen." Hetdoorhetbestuurvastgesteldeinformatiebeveiligingbeleidwordt gepubliceerdengecommuniceerdaanmedewerkersenrelevante externepartijen(bijv.innieuwsbrieven,opinternewebsitesenin jaargesprekkenmetmedewerkers) Evidence 16

17 BaselineInformatiebeveiligingHO(BIHO) Beoordeling"van"het"informatiebeveiligingsbeleid:"" Hetbeleidvoorinformatiebeveiligingwordtmetgeplandetussenpozen ofalszichsignificanteveranderingenvoordoen,beoordeeldomte waarborgendathetvoortdurendpassend,adequaatendoeltreffendis." Deinformatiebeveiligingsfunctionarisbiedtjaarlijkseenverslagover dekwaliteitvaninformatiebeveiligingaanaanbestuurencio. Alsonderdeelvandejaarrekeningcontrolebeoordeeltde huisaccountantjaarlijksdeinformatiebeveiliging. Deinstellinglaatzichtweejaarlijksbeoordelentijdenseenpeer> review BIR>TNK Taken"en"verantwoordelijkheden"informatiebeveiliging:"" Alleverantwoordelijkhedenbijinformatiebeveiligingzijngedefinieerd entoegewezen." (O)Hetlijnmanagementwaarborgtdatde informatiebeveiligingsdoelstellingenwordenvastgesteld,voldoen aandekaderszoalsgesteldinhetbeleidsdocumentenzijn geïntegreerdinderelevanteprocessen. BIR>TNK (O)Functiebeschrijvingen,mandateringsbesluitenen/ofRACI matricesbevattenverantwoordelijkhedenvoorhetopstellen, onderhouden,vaststellenvanentoezichthoudenop informatiebeveiliging. BIR>TNK (O)Eriseendisciplinairprocesvastgelegdvoormedewerkersdie inbreukmakenophetbeveiligings>en/ofprivacybeleid. BIR>TNK Informatiebeveiliging"in"projectbeheer:"" Informatiebeveiligingkomtaandeordeinprojectbeheer,ongeachthet soortproject." Deontwikkel>enprojectmethodiekenvandeorganisatiebeschrijven devereisteaandachtvoorinformatiebeveiliging,bevattemplates metbeveiligingsparagraafengeefteenduidelijkerolvoorde informatiebeveiligingsfunctionaris. EenBIAisverplichtbijprojectenmetgroteimpactofhoge risicoklasseenbetrefthetpersoonsgegevensdaniseenpia verplicht. Evidence Beleid"voor"mobiele"apparatuur: Beleidenondersteunendebeveiligingsmaatregelenzijnvastgesteld omderisico sdiehetgebruikvanmobieleapparatuurmetzich meebrengttebeheren." Perrisicoklasseisvastgesteldof,enwelke,mobieledatadragers wordentoegestaan.toegangtotgegevensbronnenwordttechnisch (onafhankelijkvandelocatie)afgedwongen. BIR>OH 17

18 BaselineInformatiebeveiligingHO(BIHO) Classificatie"van"informatie: Informatieisgeclassificeerdmetbetrekkingtotwettelijkeeisen, waarde,belangengevoeligheidvooronbevoegdebekendmakingof wijziging." (O)Deorganisatieheefteeninformatieclassificatierichtlijn(zoalsde SURFibo"Richtlijnclassificatie")opgesteld. BIR>TNK (O)Deeigenaarvandeinformatiekenteenclassificatievoor beschikbaarheid,integriteit,vertrouwelijkheideneventueleandere kwaliteitscriteriatoe. BIR>TNK Declassificatiewordtjaarlijksenbijgrotewijzigingenuitgevoerddan welherijkt. Evidence Informatie"labelen:" Ominformatietelabeleniseenpassendereeksprocedures ontwikkeldengeïmplementeerdinovereenstemmingmethet informatieclassificatieschemadatisvastgestelddoordeorganisatie." Deorganisatieheeftproceduresvoorhetlabelenvaninformatie vastgesteldengecommuniceerd.tedenkenvaltaanhetlabelen vanmetnamepapierendocumenten,dossiersenbackups. BIR>TNK Beleid"inzake"het"gebruik"van"cryptografische" beheersmaatregelen:"" Terbeschermingvaninformatieiseenbeleidvoorhetgebruikvan cryptografischebeheersmaatregelenontwikkeldengeïmplementeerd" Deorganisatieheeftmiddelsbeleidvastgesteldwelke cryptografischevoorzieningenvoorwelketoepassingeningezet worden. BIR>OH Dedataopharddisksinlaptopsisversleuteld(volgenshetpre>boot harddiskencryptieprincipe). BIR>OH Vertrouwelijkegegevenswordenalleenversleuteldopgeslagenop mobieledatadragers. (Zie e/goedgekeurde/) BIR>OH 18

19 BaselineInformatiebeveiligingHO(BIHO) Beleid"inzake"het"gebruik"van"cryptografische"beheersF" maatregelen:"" Terbeschermingvaninformatiezijnertoolsofapplicatiesaanwezig waarmeehetbeleidvoorhetgebruikvancryptografische beheersmaatregelenwordtgeïmplementeerd." (O)Decryptografischebeveiligingsvoorzieningenencomponenten voldoenaanalgemeengangbarebeveiligingscriteria,zoals: >NIST(US)/CSE(Canada)FIPS140>2 ( >hetnationaalbureauvoorverbindingsbeveiliging(aivd/nbv)op e/inzetadviezen/ BIR>TNK DaarwaarmogelijkzijnICTproductengebruiktdievolgenseen internationaalgeaccepteerdestandaard/organisatiegeëvalueerd zijn. Waarhetnietmogelijkismetgoedgekeurdeproductentewerken wordtgebruikgemaaktvanrobuustealgoritmenmeteenvoldoende langesleutel.voorverbindings>endataencryptieisditminimaal AESmeteensleutellengtevan256bitsofgelijkwaardig.Voorhash algoritmenisditminimaalsha2ofgelijkwaardig. BIR>OH ZieBIR>OHaanbevelingbij hierboven. BIR>OH Verwijdering"van"bedrijfsmiddelen:"" Apparatuur,informatieensoftwarewordtnietzondertoestemming voorafvandelocatiemeegenomen." DeICTgedragsregelsbevattendeclausuledatapparatuur, informatieenprogrammatuurvandeorganisatiepasna toestemmingvandelocatiekanwordenmeegenomen. BIR>TNK 19

20 BaselineInformatiebeveiligingHO(BIHO) Beleid"en"procedures"voor"informatietransport: Terbeschermingvanhetinformatietransport,datviaallesoorten communicatiefaciliteitenverloopt,zijnformelebeleidsregels, proceduresenbeheersmaatregelenvoortransportvankracht." (O)Bijtransportvanvertrouwelijkeinformatieoveronvertrouwde netwerken,zoalshetinternet,dientaltijdgeschikteencryptiete wordentoegepast. BIR>TNK BIR>OH (O)Erzijnproceduresopgesteldengeïmplementeerdvooropslag vanvertrouwelijkeinformatieopverwijderbaremedia. BIR>TNK (O)Verwijderbaremediametvertrouwelijkeinformatiemogenniet onbeheerdwordenachtergelatenopplaatsendietoegankelijkzijn zondertoegangscontrole BIR>TNK (O)Hetmeenemenvaninstellingsvertrouwelijkeinformatiebuiten gecontroleerdgebiedvindtuitsluitendplaatsindienditvoorde uitoefeningvandefunctienoodzakelijkis. BIR>TNK (O)Fysiekeverzendingvanbijzondereinformatiedientte geschiedenmetgoedgekeurdemiddelen,waardoordeinhoudniet zichtbaar,nietkenbaareninbreukdetecteerbaaris. BIR>TNK (O)Digitaledocumentenwaarderdenrechtenaankunnenontlenen wordenverzondenmetgebruikmakingvaneencertificaat uitgegevendooreenerkenderootca(certificateauthority)encsp (CertificateServiceProvider).. BIR>TNK (O)Eriseen(spam)filtergeactiveerdvoore>mailberichten. BIR>TNK Erwordenstandaardcommunicatieprotocollengebruiktdiegeen afbreukdoenaanhetgewenstebeveiligingsniveau. BIR>OH 20

21 BaselineInformatiebeveiligingHO(BIHO) Overeenkomsten"over"informatietransport: Erzijnovereenkomstenvastgesteldvoorhetbeveiligdtransporteren vanbedrijfsinformatietussendeorganisatieenexternepartijen." Analyse"en"specificatie"van"informatiebeveiligingseisen: Deeisendieverbandhoudenmetinformatiebeveiligingzijn opgenomenindeeisenvoornieuweinformatiesystemenenvoor uitbreidingenvanbestaandeinformatiesystemen" Overeenkomstenbehorenbetrekkingtehebbenophetbeveiligd transporterenvanbedrijfsinformatietussendeorganisatieen externepartijen. Deeisendieverbandhoudenmetinformatiebeveiligingbehorente wordenopgenomenindeeisenvoornieuweinformatiesystemenof vooruitbreidingenvanbestaandeinformatiesystemen. ISO Evidence Opnemen"van"beveiligingsaspecten"in"leveranciersovereenF" komsten:" Allerelevanteinformatiebeveiligingseisenzijnvastgestelden overeengekomenmetelkeleverancierdietoegangheefttotit> infrastructuurelemententenbehoevevandeinformatievande organisatie,ofdezeverwerkt,opslaat,communiceertofbiedt." (O)Voorafgaandaanhetafsluitenvaneencontractvooruitbesteding ofexterneinhuurisbepaaldwelkewaardeengevoeligheidde informatie(bijv.risicoklassevanwbp)heeftwaarmeedederde partijinaanrakingkankomenenofhierbijeventueelaanvullende beveiligingsmaatregelennodigzijn. BIR>TNK Bijovereenkomstenmet(cloud)leverancierswordthetJuridisch normenkadervansurftoegepast. Evidence (O)Indienexternepartijensystemenbeherenwaarin persoonsgegevensverwerktworden,wordteen bewerkerovereenkomst(conformwbpartikel14)afgesloten. BIR>TNK Toeleveringsketen"van"informatieF"en"communicatieF" technologie: Overeenkomstenmetleveranciersbevatteneisendiebetrekking hebbenopdeinformatiebeveiligingsrisico sinverbandmetde toeleveringsketenvandedienstenenproductenophetgebiedvan informatie>encommunicatietechnologie." Alsergebruiktgemaaktwordtvanonderaannemersdangelden daardezelfdebeveiligingseisenvooralsvoordecontractant.de hoofdaannemerisverantwoordelijkvoordeborgingbijde onderaannemervandegemaakteafspraken. (BijtoepassingvanhetJuridischnormenkadervanSURFisaan dezeeisvoldaan.) BIR>TNK 21

22 BaselineInformatiebeveiligingHO(BIHO) Verantwoordelijkheden"en"procedures: Directieverantwoordelijkhedenen>procedureszijnvastgesteldomeen snelle,doeltreffendeenordelijkeresponsop informatiebeveiligingsincidententebewerkstelligen." Directieverantwoordelijkhedenen>proceduresbehorenteworden vastgesteldomeensnelle,doeltreffendeenordelijkeresponsop informatiebeveiligingsincidententebewerkstelligen ISO Beveiligingsincidentenwordenmeteen(volgenseenvooraf opgesteldeprocedure)aande(corporate)informationsecurity Officeren/ofICT>beveiligingsmanagergemeld.Bewijsmateriaal wordthierbijoverhandigd. BIR>OH Rapportage"van"informatiebeveiligingsgebeurtenissen:"" Informatiebeveiligingsgebeurtenissenwordenzosnelmogelijkviade juisteleidinggevendeniveausgerapporteerd." (O)Eriseencontactpersoonaangewezenvoorhetrapporterenvan beveiligingsincidenten.voorintegriteitsschendingenisookeen vertrouwenspersoonaangewezendiemeldingeninontvangst neemt. BIR>TNK Procedureszijnschriftelijkvastgelegdenmaatregelenzijnaanwezig omalledelenen/ofdefunctionaliteitvaneenclouddienst onmiddelijkbuitengebruiktestelleningevalvaneen beveiligingsincident. UMCclou d Beschermen"van"registraties:"" Registratieswordeninovereenstemmingmetwettelijke,regelgevende, contractueleenbedrijfseisenbeschermdtegenverlies,vernietiging, vervalsing,onbevoegdetoegangenonbevoegdevrijgave." a)deinstellingverstrektrichtlijnenvoorhetbewaren,opslaan, behandelenenverwijderenvanregistratieseninformatiei b)deinstellingstelteenbewaarschemaopwaarinregistratiesende periodedatzemoetenwordenbewaard,zijnvastgelegdi c)deinstellinghoudteeninventarisoverzichtbijvanbronnenvan belangrijkeinformatie. BIR>TNK 22

23 BaselineInformatiebeveiligingHO(BIHO) Privacy"en"bescherming"van"persoonsgegevens: Privacyenbeschermingvanpersoonsgegevensworden,voorzover vantoepassing,gewaarborgdinovereenstemmingmetrelevantewet> enregelgeving." a)alleverwerkingenwaarinpersoonsgegevenszijnopgenomen,zijn geïnventariseerdi b)relevantewet>enregelgevingisgeïnventariseerdi c)passendemaatregelenvoorbeveiligingzijnvastgesteldi d)vastgesteldemaatregelenzijngeïmplementeerdi e)maatregelenwordenjaarlijksgecontroleerdopjuiste implementatie. Evidence Scheiding"van"taken:"" Conflicterendetakenenverantwoordelijkhedenzijngescheidenomde kansoponbevoegdofonbedoeldwijzigenofmisbruikvande bedrijfsmiddelenvandeorganisatieteverminderen." 1.Niemandineenorganisatieofprocesmagopuitvoerendniveau rechtenhebbenomeengehelecyclusvanhandelingenineen kritischinformatiesysteemtebeheersen.ditinverbandmethet risicodathijofzijzichzelfofanderenonrechtmatigbevoordeeltofde organisatieschadetoebrengt.ditgeldtvoorzowel informatieverwerkingalsbeheeracties. 2.Eriseenscheidingtussenbeheertakenenoverigegebruikstaken. Beheerswerkzaamhedenwordenalleenuitgevoerdwanneer ingelogdalsbeheerder,normalegebruikstakenalleenwanneer ingelogdalsgebruiker. 3.Vóórdeverwerkingvangegevensdiedeintegriteitvankritieke informatieofkritiekeinformatiesystemenkunnenaantastenworden dezegegevensdooreentweedepersoongeïnspecteerden geaccepteerd.vandeacceptatiewordteenlogbijgehouden. 4.Verantwoordelijkhedenvoorbeheerenwijzigingvangegevensen bijbehorendeinformatiesysteemfunctiesmoeteneenduidig toegewezenzijnaanéénspecifieke(beheerders)rol. BIR>TNK 23

24 BaselineInformatiebeveiligingHO(BIHO) Hoofdstuk"2:"Personeel,"studenten"en"gasten" Nr." SURFF audit" ISOF 27002:2 013" Norm" Maatregel" Bron" Arbeidsvoorwaarden: Decontractueleovereenkomstmetmedewerkersencontractanten vermeldthunverantwoordelijkhedenvoorinformatiebeveiligingendie vandeorganisatie." Dealgemenevoorwaardenvanhet(arbeids)contractvan medewerkersencontractantenbevattendewederzijdse verantwoordelijkhedentenaanzienvanbeveiliging.hetis aantoonbaardatmedewerkersbekendzijnmethun verantwoordelijkhedenophetgebiedvanbeveiliging. BIR>TNK (O)Indieneenmedewerkerofcontractantspeciale verantwoordelijkhedenheeftt.a.v.informatiebeveiligingdanishem datvoorindiensttreding(ofbijfunctiewijziging),bijvoorkeurinde aanstellingsbriefofbijhetafsluitenvanhetcontract,aantoonbaar duidelijkgemaakt. BIR>TNK 24

25 BaselineInformatiebeveiligingHO(BIHO) Bewustzijn,"opleiding"en"training"ten"aanzien"van" "informatiebeveiliging: Allemedewerkersvandeorganisatieen,voorzoverrelevant, contractantenkrijgeneenpassendebewustzijnsopleidingen>training enregelmatigebijscholingvanbeleidsregelsenproceduresvande organisatie,voorzoverrelevantvoorhunfunctie." Erzijngeschikteproceduresingevoerdomhetbewustzijnvande gebruikerstevergrotentenaanzienvanhetgevaarvanvirussenen dergelijke,zoals: >publicatie/verspreidingbeeidsregels >periodiekeawarenessprogramma'szoalsvia nieuwsbrieven/flyersi >installatievanbeveiligingsprogrammatuurdiewaarschuwtbij onvertrouwdecontenti >periodiekebesprekingvanictgedragsregels. ISO Toegangsrechten"intrekken"of"aanpassen: Detoegangsrechtenvanallemedewerkersenexternegebruikersvoor informatieeninformatieverwerkendefaciliteitenwordenbijbeëindiging vanhundienstverband,contractofovereenkomstverwijderd,enbij wijzigingenwordenzeaangepast." ISO Clear"desk F"en" clear"screen Fbeleid: Eriseen'cleardesk'>beleidvoorpapierendocumentenen verwijderbareopslagmediaeneen'clearscreen'beleidvoor informatieverwerkendefaciliteiteningesteld." (O)Schermbeveiligingsprogrammatuur(eenscreensaver)maaktna eenperiodevaninactiviteitvanmaximaal15minutenalleinformatie ophetbeeldschermonleesbaarenontoegankelijk. BIR>TNK (O)Werkstationlockwordtautomatischgeactiveerdbijhet verwijderenvaneentoken(indienaanwezig). BIR>TNK Opmobielewerkplekkenwordthetzero>footprintprincipe toegepast. BIR>OH AdresboekenentelefoongidsenwaarinlocatiesmetgevoeligeIT voorzieningenstaanzijnnietaanweziginvrijtoegankelijke gebieden. Evidence 25

26 BaselineInformatiebeveiligingHO(BIHO) VertrouwelijkheidsF"of"geheimhoudingsovereenkomst:"" Eisenvoorvertrouwelijkheids>ofgeheimhoudingsovereenkomstendie debehoeftenvandeorganisatiebetreffendehetbeschermenvan informatieweerspiegelen,zijnvastgesteldenwordenregelmatig beoordeeldengedocumenteerd." Deorganisatieheeftactuelevertrouwelijkheids>of geheimhoudingsovereenkomsteningebruik. Evidence Rapportage"van"zwakke"plekken"in"de"informatiebeveiliging: Vanmedewerkersencontractantendiegebruikmakenvande informatiesystemenen>dienstenvandeorganisatiewordtgeëistdatzij deinsystemenofdienstenwaargenomenofvermeendezwakke plekkenindeinformatiebeveiligingregistrerenenrapporteren." a)deictgedragsregelsdragengebruikersopvermeendeof waargenomenzwakkebeveiligingsplekkentemeldeni b)meldpuntenzijngecommuniceerdaanallewerknemers, ingehuurdpersoneelenexternegebruikers. Evidence Screening:"" Verificatievandeachtergrondvanallekandidatenvooreen dienstverbandwordtuitgevoerdinovereenstemmingmetrelevante wet>enregelgevingenethischeoverwegingenenstaatinverhouding totdebedrijfseisen,declassificatievandeinformatiewaartoetoegang wordtverleendendevastgestelderisico s." Bijaanstellingwordendegegevensdiedemedewerkerheeft verstrektoverzijnarbeidsverledenenscholinggeverifieerd. Voorvertrouwensfunctiesoffunctiesdievanwegehunroltoegang totgevoeligeofvertrouwelijkegegevenshebben(zoalsbijv.it> beheerders)kanoverwogeneenrelevanteverklaringomtrent Gedrag(VOG)tevragenofeenviaveiligheidsonderzoekeen VerklaringgeenBezwaar(VGB)teverkrijgen. BIR>TNK 26

27 BaselineInformatiebeveiligingHO(BIHO) Hoofdstuk"3:"Ruimtes"en"apparatuur" Nr." SURFF audit" ISOF 27002:2 013" Norm" Maatregel" Bron" Beleid"voor"mobiele"apparatuur: Erdienenbeveiligingsmaatregelentewordenvastgesteldomde risico sdiehetgebruikvanmobieleapparatuurmetzichmeebrengtte beperken." ISO Verwijderen"van"media:"" Mediawordenovereenkomstigformeleproceduresopeenveiligeen beveiligdemanierverwijderdalszenietlangernodigzijn." (O)Erzijnproceduresvastgesteldeninwerkingvoorverwijderen vanvertrouwelijkedataendevernietigingvanverwijderbaremedia. VerwijderenvandatawordtgedaanmeteenSecureErasevoor apparatenwaarditmogelijkis.inoverigegevallenwordtdedata tweekeeroverschrevenmetvastedata,éénkeermetrandomdata envervolgenswordtgeverifieerdofhetoverschrijvenisgelukt.zie ook9.2.6 BIR>TNK Backupmediawordenpasnavernietigingvandedataerop hergebruiktvooranderesystemen. BIR>OH 27

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Toelichting op GAP-analyse Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Verklaring van Toepasselijkheid

Verklaring van Toepasselijkheid Verklaring van Toepasselijkheid Parantion Groep B.V. ISO27001:2013 Verklaring van toepasselijkheid_openbaar Extern vertrouwelijk Versie: 3.0 Parantion Groep B.V. Pagina 1 van 9 Datum: maart 2016 Document

Nadere informatie

Hoe operationaliseer ik de BIC?

Hoe operationaliseer ik de BIC? Hoe operationaliseer ik de BIC? Baseline Informatiebeveiliging Corporaties UTRECHT, 14 November 2017. Code voor Informatiebeveiliging NEN/ISO 27001; Informatietechnologie - Beveiligingstechnieken - Managementsystemen

Nadere informatie

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Implementatie BIR Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm Beheersmaatregelen volgens Bijlage A van de ISO/IEC 27001 norm A.5.1.1 Beleidsdocumenten voor informatiebeveiliging A.5.1.2 Beoordeling van het Informatiebeveiligingsbeleid A.6.1.1 Informatiebeveiligings

Nadere informatie

Toetsingskader Informatiebeveiliging cluster 1 t/m 6

Toetsingskader Informatiebeveiliging cluster 1 t/m 6 Toetsingskader Informatiebeveiliging cluster 1 t/m 6 IBPDOC3 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Met dank aan: Maturity Werkgroep SURFibo: Hans Alfons (Vrije Universiteit)

Nadere informatie

SURF Informatiebeveiliging & Privacy. Huidige en toekomstige ontwikkelingen: SURF(net), SURFibo en SURFaudit

SURF Informatiebeveiliging & Privacy. Huidige en toekomstige ontwikkelingen: SURF(net), SURFibo en SURFaudit SURF Informatiebeveiliging & Privacy Huidige en toekomstige ontwikkelingen: SURF(net), SURFibo en SURFaudit Bart van den Heuvel, UM, SURFibo - april 2015 even voorstellen: Bart van den Heuvel - Universiteit

Nadere informatie

TOELICHTING OP GAP-ANALYSE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

TOELICHTING OP GAP-ANALYSE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) TOELICHTING OP GAP-ANALYSE Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Toelichting op GAP-analyse Versienummer

Nadere informatie

Toetsingskader Informatiebeveiliging cluster 1 t/m 6 (versie 3.0, juli 2017)

Toetsingskader Informatiebeveiliging cluster 1 t/m 6 (versie 3.0, juli 2017) Toetsingskader Informatiebeveiliging cluster 1 t/m 6 (versie 3.0, juli 2017) IBPDOC3 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Bewerkt door: Kennisnet / sambo-ict Auteurs

Nadere informatie

Taskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector.

Taskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector. Taskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector. Doel Aanbieden handreikingen, op basis van best practices uit het Hoger Onderwijs en MBO sector,

Nadere informatie

Bedrijvenbijeenkomst informatiebeveiliging en privacy

Bedrijvenbijeenkomst informatiebeveiliging en privacy Bedrijvenbijeenkomst informatiebeveiliging en privacy Auteur Datum Jan Bartling, Alf Moens, Ludo Cuijpers, Leo Bakker 26 februari 2016 1. Welkom - Jan 2. Gebruikersgroep en sambo-ict - Jan 3. Programma

Nadere informatie

IMPLEMENTATIE BIG. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

IMPLEMENTATIE BIG. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) IMPLEMENTATIE BIG Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Implementatie BIG Versienummer 1.0 Versiedatum

Nadere informatie

ISO 27001:2013 INFORMATIE VOOR KLANTEN

ISO 27001:2013 INFORMATIE VOOR KLANTEN ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en

Nadere informatie

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Ter info (AB) Afdeling: Team: Bedrijfsbureau Beh.door: Bos, M.G. Port.houder: DB, Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Memo Informatiebeveiliging Inleiding Met

Nadere informatie

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Contractmanagement Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen Auteur Datum Ludo Cuijpers 5 februari 2016 1. Informatiebeveiliging en privacy in het mbo 2. IBP framework 3. Mens

Nadere informatie

Het verveelvoudigen of openbaar maken van dit werk is, zonder de schriftelijke toestemming van ARANEA ISM, niet toegestaan. 1

Het verveelvoudigen of openbaar maken van dit werk is, zonder de schriftelijke toestemming van ARANEA ISM, niet toegestaan. 1 ARANEA ISM, niet toegestaan. 1 Partners van SEP Even voorstellen Daniel Bloemers ARANEA ISM, niet toegestaan. 2 Informatiebeveiliging en privacy Hand in hand of ieder voor zich? 1. Ontwikkelingen 2. Over

Nadere informatie

Security, standaarden en architectuur

Security, standaarden en architectuur Security, standaarden en architectuur Landelijk Architectuur Congres 2014 26 november 2014 Jaap van der Veen Strategisch architect Ministerie van Financiën Bart Knubben Senior adviseur Bureau Forum Standaardisatie

Nadere informatie

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017 Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017 Versie 2.0 van mei 2019 Inhoud 1 Inleiding... 3 Waarom een handreiking voor de implementatie van het nieuwe normenkader?... 3 2 Algemene

Nadere informatie

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD De Baseline Informatiebeveiliging & grote gemeenten 6 oktober 2014 John van Huijgevoort, IBD Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): Samenhang Instrumenten Hoe om te gaan

Nadere informatie

VVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord

VVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord VVT - Broad Horizon CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, 29-08-2017 Voorwoord Voorwoord Voor u ligt de verklaring van toepasselijkheid. De verklaring van toepasselijkheid vloeit voort uit de risicobeoordeling

Nadere informatie

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente] Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente] Opdrachtbevestiging Versie [1.0] Datum [ ] Status [ ] 1 Colofon Titel Assurance over de juistheid van

Nadere informatie

Handreiking Implementatie Specifiek Suwinetnormenkader

Handreiking Implementatie Specifiek Suwinetnormenkader Handreiking Implementatie Specifiek Suwinetnormenkader Afnemers 2017 Inhoud 1 Inleiding 3 1.1 Waarom een handreiking voor de implementatie van het nieuwe normenkader? 3 2 Algemene verschillen Verantwoordingsrichtlijn

Nadere informatie

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging Het ICT-Beveiligings- i assessment DigiD & Informatiebeveiliging De aanleiding 2011: Diginotar 2011: Lektober En ook: 2012: Dorifel 2012: Citadel 2013: DongIT Botnet De reactie vanuit VNG/KING Starting

Nadere informatie

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VERSLAG PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Verslag PIA Versienummer 1.0 Versiedatum April 2014

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst

Nadere informatie

DigiD beveiligingsassessment

DigiD beveiligingsassessment DigiD beveiligingsassessment Centric Kenmerk DigiD koppeling: Gemeente Dantumadeel1 Inhoudsopgave 1 Assurancerapport van de onafhankelijke auditor 2 1.1 Achtergrond 2 1.2 Opdrachtomschrijving 2 1.3 Reikwijdte

Nadere informatie

Normenkader Informatiebeveiliging HO 2015

Normenkader Informatiebeveiliging HO 2015 Gebaseerd op ISO 27002:2013 Auteur(s): Alf Moens Versie: 1.4 Datum: Status: 5 mei 2015 Vastgesteld door stuurgroep Informatiebeveiliging en Privacy op 30 maart 2015 Moreelsepark 48 3511 EP Utrecht Postbus

Nadere informatie

11 december 2014 Jule Hintzbergen, IBD. De Baseline Informatiebeveiliging en kleine gemeenten

11 december 2014 Jule Hintzbergen, IBD. De Baseline Informatiebeveiliging en kleine gemeenten 11 december 2014 Jule Hintzbergen, IBD De Baseline Informatiebeveiliging en kleine gemeenten Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Hoe om te gaan met de BIG als kleine gemeente

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013. Anita van Nieuwenborg

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013. Anita van Nieuwenborg INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013 Anita van Nieuwenborg Agenda 1. De IBD 2. Doelen van de IBD 3. Dienstverlening van de IBD 4. Aansluiting bij de IBD 5. Vragen 2 1. De IBD

Nadere informatie

Handreiking Beveiligingsmaatregelen SURF Juridisch Normenkader (Cloud)services, bijlage C

Handreiking Beveiligingsmaatregelen SURF Juridisch Normenkader (Cloud)services, bijlage C Handreiking Beveiligingsmaatregelen SURF Juridisch Normenkader (Cloud)services, bijlage C Utrecht, oktober 2016 Versienummer: 2.0 Colofon Handreiking Beveiligingsmaatregelen SURF SURF Juridisch Normenkader

Nadere informatie

Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector. sambo-ict conferentie, 2 oktober 2015

Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector. sambo-ict conferentie, 2 oktober 2015 Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector sambo-ict conferentie, 2 oktober 2015 Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark

Nadere informatie

HET CENTRALE SECURITY PLATFORM

HET CENTRALE SECURITY PLATFORM HET CENTRALE SECURITY PLATFORM Wat komt er vandaag de dag op bedrijven af? Meldplicht datalekken Malware Spam Ddos-aanvallen Phishing Zwakke wachtwoorden Auditdruk Meldplicht datalekken Ingegaan op 1 januari

Nadere informatie

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen

Nadere informatie

Handleiding Risico management

Handleiding Risico management Handleiding Risico management IBPDOC29 Verantwoording Opdrachtgever Kennisnet / sambo-ict Dit document is geschreven voor IT managers, IT security officers, Information officers binnen de MBO sector. Dit

Nadere informatie

Norm ICT-beveiligingsassessments DigiD

Norm ICT-beveiligingsassessments DigiD Norm ICT-beveiligingsassessments DigiD Versie 1.0 Datum 21 februari 2012 Status Definitief Colofon Projectnaam DigiD Versienummer 1.0 Contactpersoon Servicecentrum Logius Organisatie Logius Postbus 96810

Nadere informatie

Baseline Informatiebeveiliging Waterschappen. Strategisch en Tactisch normenkader WS versie 1.0

Baseline Informatiebeveiliging Waterschappen. Strategisch en Tactisch normenkader WS versie 1.0 Baseline Informatiebeveiliging Waterschappen Strategisch en Tactisch normenkader WS versie 1.0 Baseline Informatiebeveiliging Waterschappen Strategisch en Tactisch normenkader WS versie 1.0 1 Inhoudsopgave

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Handleiding Risicomanagement

Handleiding Risicomanagement Handleiding Risicomanagement IBPDOC29 Verantwoording Opdrachtgever Kennisnet / sambo-ict Dit document is geschreven voor IT managers, IT security officers, Information officers binnen de MBO sector. Dit

Nadere informatie

Informatiebeveiliging & Privacy - by Design

Informatiebeveiliging & Privacy - by Design Informatiebeveiliging & Privacy - by Design Steven Debets Verdonck, Klooster & Associates Even voorstellen e steven.debets@vka.nl m 0651588927 Informatiebeveiliging Informatiebeveiliging houdt zich bezig

Nadere informatie

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid Beveiligingsbeleid 5,1 Informatiebeveiligingsbeleid 5.1.1 Beleidsdocument voor informatiebeveiliging 5.1.2 Beoordeling van het informatiebeveiligingsbeleid Organiseren van informatiebeveiliging 6,1 Interne

Nadere informatie

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz Informatiebeveiliging: de juridische aspecten Anton Ekker juridisch adviseur Nictiz 20 september 2012 Onderwerpen beveiligingsplicht Wbp aandachtspunten implementatie IAM en BYOD wat te doen bij een datalek?

Nadere informatie

FS 141216.5E. Forum Standaardisatie. Verkennend onderzoek NEN-ISO/IEC 27001 en 27002. Datum 27 november 2014

FS 141216.5E. Forum Standaardisatie. Verkennend onderzoek NEN-ISO/IEC 27001 en 27002. Datum 27 november 2014 FS 141216.5E Forum Standaardisatie Verkennend onderzoek NEN-ISO/IEC 27001 en 27002 Datum 27 november 2014 Colofon Projectnaam Verkennend onderzoek NEN-ISO/IEC 27001 en 27002 Versienummer 0.9 Locatie Organisatie

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld

Nadere informatie

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND SAFEHARBOUR Audit en Security ISO 27001/ NEN7510 implementatie Projectadvies Risicoanalyses Zorg en overheden @djakoot @safeharbour_nl WAAROM DIGID-AUDIT? DAAROM DIGID-AUDIT

Nadere informatie

NORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013

NORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013 NORA werkdocument Sessie 4 In stappen naar een BBO Baseline Beveiliging Overheid Bijgewerkte versie 10 april. 2013 katern Beveiliging Jaap van der Veen Agenda Sessie 4 1. Terugkoppeling afstemming met

Nadere informatie

Resultaten SURFaudit benchmark 2015

Resultaten SURFaudit benchmark 2015 Auteur(s): Bart Bosma Versie: 1.0 Datum: juni 2016 Moreelsepark 48 3511 EP Utrecht Postbus 19035 3501 DA Utrecht 088 787 30 00 admin@surfnet.nl www.surfnet.nl ING Bank NL54INGB0005936709 KvK Utrecht 30090777

Nadere informatie

STRATEGISCHE BASELINE INFORMATIEBEVEILIGING NEDERLANDSE GEMEENTEN

STRATEGISCHE BASELINE INFORMATIEBEVEILIGING NEDERLANDSE GEMEENTEN STRATEGISCHE BASELINE INFORMATIEBEVEILIGING NEDERLANDSE GEMEENTEN Meer informatie Heeft u vragen over onderhavig document? De Informatiebeveiligingsdienst voor gemeenten beantwoordt deze graag via IBD@kinggemeenten.nl

Nadere informatie

Informatiebeveiliging als proces

Informatiebeveiliging als proces Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Handreiking Beveiligingsmaatregelen SURF Juridisch Normenkader (Cloud)services, bijlage C

Handreiking Beveiligingsmaatregelen SURF Juridisch Normenkader (Cloud)services, bijlage C Handreiking Beveiligingsmaatregelen SURF Juridisch Normenkader (Cloud)services, bijlage C Utrecht, 20-04-2018 Versienummer: 3.0 Colofon Handreiking Beveiligingsmaatregelen SURF SURF Juridisch Normenkader

Nadere informatie

Informatiebeveiliging: Hoe voorkomen we issues?

Informatiebeveiliging: Hoe voorkomen we issues? Informatiebeveiliging: Hoe voorkomen we issues? Workshop C Remco de Boer (Kennisnet) Ludo Cuijpers (MBO Taskforce IBB) Inhoud 1. Voorstelronde 2. Over uw rol 3. Maatregelen 4. De diepte in Voorstelronde

Nadere informatie

HANDREIKING PROCES WIJZIGINGSBEHEER

HANDREIKING PROCES WIJZIGINGSBEHEER HANDREIKING PROCES WIJZIGINGSBEHEER Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Handreiking proces wijzigingsbeheer

Nadere informatie

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW)

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW) RAAK-project Veilig Water Programma Informatieveiligheid Marcel Spruit (HHS), Michiel Dirriwachter (UvW) Michiel Dirriwachter? Dit doet een waterschap Een Waterschap? Een Waterschap? Een Waterschap? Een

Nadere informatie

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie)

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) 1) Welke documenten registraties zijn vereist? De onderstaande lijst toont de minimale set van documenten en registraties

Nadere informatie

THIRD PARTY MEDEDELING 2015 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: E-DIENSTVERLENING VERSIE 6.1

THIRD PARTY MEDEDELING 2015 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: E-DIENSTVERLENING VERSIE 6.1 THIRD PARTY MEDEDELING 2015 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: E-DIENSTVERLENING VERSIE 6.1 KENMERK: 1603R.AH46 DATUM: 30 MAART 2016 INHOUDSOPGAVE 1. Assurancerapport van de onafhankelijke auditor...

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Checklist informatieveiligheid. 12 januari versie 1.1

Checklist informatieveiligheid. 12 januari versie 1.1 Checklist informatieveiligheid 12 januari 2017 - versie 1.1 ICT-Beveiligingsrichtlijnen voor webapplicaties Beschrijving van de beveiligingsrichtlijn Is informatiebeveiliging als een proces ingericht in

Nadere informatie

30-06-2015 GASTVRIJ EN ALERT

30-06-2015 GASTVRIJ EN ALERT AANPAK MET VISIE 30-06-2015 GASTVRIJ EN ALERT AGENDA 1. Voorstellen 2. Risicoanalyse of Best Practice 3. Informatiebeveiliging op de VU (in vogelvlucht) 4. De Surfaudit 5. Toch een product 6. Laatste 5

Nadere informatie

Energiemanagement actieplan. Van Schoonhoven Infra BV

Energiemanagement actieplan. Van Schoonhoven Infra BV BV Leusden, oktober 2013 Auteurs: G.J. van Schoonhoven D.J. van Boven Geaccordeerd door: D.J. van Boven Directeur eigenaar INLEIDING Ons bedrijf heeft een energiemanagement actieplan conform NEN-ISO 50001.

Nadere informatie

Handleiding Risico management

Handleiding Risico management Handleiding Risico management IBPDOC29 Verantwoording Opdrachtgever Kennisnet / sambo-ict Dit document is geschreven voor IT managers, IT security officers, Information officers binnen de MBO sector. Dit

Nadere informatie

Auditdienst Rijk. Ministerie van Fincuicièn. Io,.Z.e. Raad van State. Afdeling IT-beheer. Postbus-ziju i EA Den Haag

Auditdienst Rijk. Ministerie van Fincuicièn. Io,.Z.e. Raad van State. Afdeling IT-beheer. Postbus-ziju i EA Den Haag Io,.Z.e 2500 EA Den Haag Postbus-ziju i to Afdeling IT-beheer Raad van State Korte Voorhout 7 www.rljksoverheilj.nl 2500 EE Den Haag Postbus 20201 2511CW Oen Haag Audïtdlenst Rijk Ministerie van Fincuicièn

Nadere informatie

Security en Privacy. Agenda

Security en Privacy. Agenda Security en Privacy Benchmark#SURFaudit#2013##44###EPV HO#Security#congres#20144#Alf#Moens Agenda Resultaten#SURFaudit#benchmark#2013 De#ervaringen#van#TU#Eindhoven SURFaudit#2020:#een#vooruitblik Privacy

Nadere informatie

Voorstel Informatiebeveiliging beleid Twente

Voorstel Informatiebeveiliging beleid Twente Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)

Nadere informatie

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Information Security Management

Nadere informatie

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Information Security Management

Nadere informatie

"Baselines: eigenwijsheid of wijsheid?"

Baselines: eigenwijsheid of wijsheid? "Baselines: eigenwijsheid of wijsheid?" Een afrondende 'beschouwende' presentatie Ing. Ernst J. Oud CISA CISSP Philips Toshiba Crypsys Data Security Getronics Business Continuity (a.k.a. CUC) Urenco Deloitte

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 Anita van Nieuwenborg Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 De IBD Gezamenlijk initiatief VNG en KING Opgericht vanuit behoefte van gemeenten aan coördinatie en ondersteuning

Nadere informatie

Taskforce Informatiebeveiligingsbeleid.

Taskforce Informatiebeveiligingsbeleid. Taskforce Informatiebeveiligingsbeleid. Cursus 1 2015-2016 plus overnachting Aanleiding: Om het deskundigheidsniveau van instellingen te vergroten, zal een masterclass Privacy georganiseerd worden. Deze

Nadere informatie

Normenkader Informatiebeveiliging MBO

Normenkader Informatiebeveiliging MBO Normenkader Informatiebeveiliging MBO IBBDOC2 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Met dank aan: Maturity Werkgroep SURFibo: Hans Alfons (Vrije Universiteit) Ludo

Nadere informatie

VIAG THEMADAG State of the art internet beveiliging

VIAG THEMADAG State of the art internet beveiliging VIAG THEMADAG State of the art internet beveiliging Marijke Salters Bureau Forum Standaardisatie 27 juli 2014 Aanleiding 2 Standaardiseren doe je niet alleen! Dus actueel 3 Standaarden voor Internet beveiliging

Nadere informatie

Communicatieplan CO 2 -reductie. Baggerbedrijf West Friesland

Communicatieplan CO 2 -reductie. Baggerbedrijf West Friesland Communicatieplan CO 2 -reductie Baggerbedrijf West Friesland Gebruikte handelsnamen: Baggerbedrijf West Friesland Grond & Cultuurtechniek West Friesland Andijk, februari-mei 2014 Auteurs: M. Komen C. Kiewiet

Nadere informatie

CO 2 Managementplan. Den Breejen. Auteur Martin van Andel Autorisatiedatum Versie 2.0

CO 2 Managementplan. Den Breejen. Auteur Martin van Andel Autorisatiedatum Versie 2.0 CO 2 Managementplan Den Breejen Auteur Martin van Andel Autorisatiedatum 19-01-2018 Versie 2.0 Inhoud 1 INLEIDING... 3 2 ENERGIE MEETPLAN... 4 2.1 PLANNING MEETMOMENTEN... 4 2.2 VESTIGINGEN... 4 SCOPE

Nadere informatie

CONTRACTMANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

CONTRACTMANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) CONTRACTMANAGEMENT Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Contractmanagement Versienummer 1.0 Versiedatum

Nadere informatie

ENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017

ENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017 ENSIA en Assurance Van concept naar praktijk Drs. ing. Peter D. Verstege RE RA 31 oktober 2017 Agenda Traject tot 31 oktober 2017 Assurance 2017 Stip aan de horizon Organisatie aan de zijde van NOREA Status

Nadere informatie

informatiebeveiliging

informatiebeveiliging informatiebeveiliging juli 2017 1 inleiding aanleiding Gemeenten hebben als gevolg van de decentralisaties in het sociaal domein steeds meer (bijzondere) persoonsgegevens 1 in beheer. Ook wordt steeds

Nadere informatie

Bijeenkomst DigiD-assessments

Bijeenkomst DigiD-assessments Bijeenkomst DigiD-assessments De weg naar de toekomst 2 december 2014 Agenda DigiD ICT-beveiligingsassessments in beeld DigiD assessment 2014 Rapportage template Third Party Mededelingen Overige toelichtingen

Nadere informatie

CO 2 Managementplan. Ruigrok Nederland. Autorisatiedatum: Versie: 1.1. Handtekening autoriserend verantwoordelijke manager:

CO 2 Managementplan. Ruigrok Nederland. Autorisatiedatum: Versie: 1.1. Handtekening autoriserend verantwoordelijke manager: CO 2 Managementplan Ruigrok Nederland Auteur: J.P.Hesp Autorisatiedatum: 30-11-2018 Versie: 1.1 Handtekening autoriserend verantwoordelijke manager: CO 2 Managementplan 2.C.2 & 3.B.2 Inhoud INHOUD... 2

Nadere informatie

Het VCA-Register. Transparantie en Afrekenbaarheid in Duurzaam Landgebruik en Natuurlijk Kapitaal. Werkconferentie Natuurlijk Kapitaal

Het VCA-Register. Transparantie en Afrekenbaarheid in Duurzaam Landgebruik en Natuurlijk Kapitaal. Werkconferentie Natuurlijk Kapitaal Het VCA-Register Transparantie en Afrekenbaarheid in Duurzaam Landgebruik en Natuurlijk Kapitaal Werkconferentie Natuurlijk Kapitaal Utrecht, 15 december 2015 Zorgen voor onze planeet Overal staat biodiversiteit

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk

Nadere informatie

Informatiebeveiligingsbeleid 2015-2018

Informatiebeveiligingsbeleid 2015-2018 Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen

Nadere informatie

Energiemanagement actieplan. Baggerbedrijf West Friesland

Energiemanagement actieplan. Baggerbedrijf West Friesland Baggerbedrijf West Friesland Gebruikte handelsnamen: Baggerbedrijf West Friesland Grond & Cultuurtechniek West Friesland Andijk, februari-mei 2014 Auteurs: M. Komen C. Kiewiet Geaccordeerd door: K. Kiewiet

Nadere informatie

CO 2 managementplan. Jan Knijnenburg B.V. Auteur: Adviseur MVO Consultants. Versie: 1.0. Handtekening autoriserend verantwoordelijk manager

CO 2 managementplan. Jan Knijnenburg B.V. Auteur: Adviseur MVO Consultants. Versie: 1.0. Handtekening autoriserend verantwoordelijk manager CO 2 managementplan Jan Knijnenburg B.V. Auteur: Adviseur MVO Consultants Versie: 1.0 Datum: xx-xx-2015 Handtekening autoriserend verantwoordelijk manager Authorisatiedatum: Naam:.. Inhoud 1 Inleiding...

Nadere informatie

Technische QuickScan (APK voor het MBO)

Technische QuickScan (APK voor het MBO) Technische QuickScan (APK voor het MBO) IBPDOC30 Verantwoording Opdrachtgever: Kennisnet / sambo-ict Auteurs Leo Bakker Ludo Cuijpers Robbin van den Dobbelsteen Albert Hankel Bart van den Heuvel Frank

Nadere informatie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie : Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen

Nadere informatie

NORA dossier Informatiebeveiliging. Architectuur Aanpak

NORA dossier Informatiebeveiliging. Architectuur Aanpak Architectuur Aanpak Architectuur Aanpak Auteur Versie Status Den Haag, Jaap van der Veen en Bart Bokhorst; Belastingdienst 1.3 Definitief 01-09-2010 3/16 Inhoud 1 Inleiding 4 2 Modelleringaanpak 5 3 Model

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018 Rapportage Informatiebeveiliging 2017 Gemeente Boekel 16 mei 2018 Inleiding Het college van burgemeester en wethouders van de gemeente Boekel legt over het jaar 2017 verantwoording af over de stand van

Nadere informatie

Baseline Informatiebeveiliging Rijksdienst Operationele Handreiking

Baseline Informatiebeveiliging Rijksdienst Operationele Handreiking Baseline Informatiebeveiliging Rijksdienst Operationele Handreiking Versie 1.0 Datum 30 oktober 2013 Inhoudsopgave Inhoudsopgave... 2 1 Inleiding... 5 2 Beveiligingseisen en richtlijnen... 8 2.1 Patroon

Nadere informatie

Verantwoordingsdocument informatiebeveiliging en privacy (ibp) in het mbo.

Verantwoordingsdocument informatiebeveiliging en privacy (ibp) in het mbo. Verantwoordingsdocument informatiebeveiliging en privacy (ibp) in het mbo. IBPDOC1 IBPDOC1, versie 2.1 Pagina 1 van 12 Auteurs Leo Bakker (Kennisnet) Ludo Cuijpers (Leeuwenborgh Opleidingen) Versie 2.1

Nadere informatie

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8 Information Security Management System Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8 Versiebeheer De verantwoordelijke van dit document is Paul den Otter (directielid). Hieronder is het versiebeheer

Nadere informatie

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari 2005. Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren.

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari 2005. Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren. Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat DMZ Policy 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren Geaccepteerd Manager SPITS

Nadere informatie

CO2 managementplan. GWW Houtimport. Auteur: Bianca van den Berg, Margriet de Jong. Versie: 1.0. Handtekening autoriserend verantwoordelijk manager

CO2 managementplan. GWW Houtimport. Auteur: Bianca van den Berg, Margriet de Jong. Versie: 1.0. Handtekening autoriserend verantwoordelijk manager CO2 managementplan GWW Houtimport Auteur: Bianca van den Berg, Margriet de Jong Versie: 1.0 Datum: 01-10-2015 Handtekening autoriserend verantwoordelijk manager Authorisatiedatum: 02-10-2015 Naam: John

Nadere informatie