Risico Analyse. Een verkenning. Publicatie van de CIO Interest Group Informatiebeveiliging

Maat: px
Weergave met pagina beginnen:

Download "Risico Analyse. Een verkenning. Publicatie van de CIO Interest Group Informatiebeveiliging"

Transcriptie

1 Risico Analyse Een verkenning Publicatie van de CIO Interest Group Informatiebeveiliging CIO Platform Nederland, september CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september 2012

2 Van de opstellers De aandacht voor informatiebeveiliging bij de leden van het CIO Platform neemt exponentieel toe. Cyberaanvallen zijn aan de orde van de dag en zelfs partijen die beveiligingscertificaten uitgeven lijken niet meer veilig (lees daarover ook onze publicatie Digitale veiligheid, juni 2012). Om als organisatie periodiek te kunnen meten of je voldoende maatregelen hebt getroffen op gebied van informatiebeveiliging is voor de leden van het platform de ledenbenchmarktool BMTool ontwikkeld. De BMTool is een perfect tool is om periodiek te kunnen meten hoe je er als organisatie voorstaat. Het is daarnaast ook noodzakelijk om tijdig te kunnen sturen en anticiperen op risico s die we als organisaties lopen. Daarom hebben wij, op verzoek van veel leden, als Interest Group Informatiebeveiliging publicatie gemaakt over Risico Analyse. Dit document beschrijft welke methoden voor risico analyse er bestaan en in hoofdstuk vijf beschrijven we mogelijkheden om de resultaten uit de BMTool te kunnen gebruiken voor de uitvoering van een risico analyse. Het uitwerken van dit onderwerp is voor ons een leerzaam traject geweest. We zijn er van overtuigd dat we met deze publicatie nog meer waarde kunnen toevoegen aan het gebruik van de BMTool en jou als lezer inzichten kunnen bieden op gebied van risico analyse en risico management. De opstellers (zie pagina 56). CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 2 van 58

3 Managementsamenvatting Het CIO Platform onderkent het grote belang van informatiebeveiliging voor de informatievoorziening van haar leden. Om haar leden te ondersteunen bij het inrichten van informatiebeveiliging heeft ze in het recente verleden een benchmarktool (BMTool) ontwikkeld. De BMTool stelt leden in staat om onderling de status van informatiebeveiliging te vergelijken op basis van de door de leden getroffen beveiligingsmaatregelen. Om de ingevoerde resultaten daadwerkelijk te kunnen vergelijken is het van belang te weten om welke redenen een organisatie beveiligingsmaatregelen heeft getroffen. De onderbouwing voor de maatregelen is een risicoanalyse. De werkgroep Informatiebeveiliging heeft daarom een taakgroep ingesteld met als opdracht het thema risicoanalyse te verkennen. Dit rapport bevat de resultaten van deze verkenning. De resultaten van de werkgroep zijn: Afbakening van het onderwerp risicoanalyse op basis van internationale standaarden Beschrijving van methodes voor de uitvoering van risicoanalyse Aanbeveling voor een methode voor risicoanalyse voor de leden De relatie tussen risicoanalyse en de BMTool Aanbeveling voor het uitbreiden van de BMTool met vragen over de risicoanalyse uitgevoerd door de organisatie. Het onderwerp risicoanalyse is terug te vinden in de internationale standaard voor risicomanagement: ISO Hierin wordt de risicoanalyse aangeduid als risicobeoordeling. ISO is een norm voor risicomanagement, het overkoepelend proces voor het beheersen van risico's. Voor risicoanalyse alleen bestaat ook een andere norm ISO Samen met ISO en wordt een volledig managementsysteem voor informatiebeveiliging gevormd. In dit rapport staat het begrip risicoanalyse voor een drietal deelprocessen: risico-identificatie, risicoschatting en risico-evaluatie. De eerste activiteit, risico-identificatie, betreft het in kaart brengen van de relevante risico s. De omvang van de geïdentificeerde risico s uit stap 1 wordt vervolgens bepaald tijdens de tweede stap, risicoschatting. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 3 van 58

4 De laatste stap, risico-evaluatie, richt zich op het vergelijken van de omvang van de geïdentificeerde risico s met de van te voren bepaalde risico criteria. De 3 deelprocessen komen zowel in ISO31000 als in ISO voor. De BMTool is gebaseerd op de set maatregelen uit ISO Omdat dit rapport de relatie met de BMTool wil aangeven, wordt ISO gevolgd. Het rapport behandelt 4 basismethodes voor risicoanalyse en geeft een aanbeveling voor een integrale RA methode. Deze methode begint met het uitvoeren van een baselinetoets door middel van een business impact analyse. In deze toets wordt bepaald of de standaard maatregelen in de baseline afdoende zijn om de risico s te beheersen. De baselinetoets is gebaseerd op een BIV classificatie van de informatie die deel uitmaakt van de scope. De impact wordt daarbij uitgedrukt in de van te voren bepaalde risico criteria. De BIV score wordt vervolgens vergeleken met de BIV score van de baseline. Als de score lager is dan de baseline volstaan de baseline maatregelen. Als de BIV score hoger is dan die van de baseline is het noodzakelijk om een uitgebreide risicoanalyse uit te voeren. Als geen statistische data beschikbaar is, resteert een kwalitatieve risicoschatting. De BMTool voorziet in het vastleggen van het basis beveiligingsniveau, het scoren van de volwassenheid van de beveiligingsmaatregelen en het kunnen vergelijken met de aangesloten branchegenoten. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 4 van 58

5 Het vastleggen van het beveiligingsniveau zou gebaseerd moeten zijn op een risicoanalyse. De output van de risicoanalyse zou dus als input moeten dienen voor de BMTool. De vergelijkbaarheid van de resultaten van de BMTool, vooral tussen organisaties onderling is gebaat bij een indicatie van de kwaliteit van het proces dat geleid heeft tot de selectie van maatregelen, de risicoanalyse. De volgende aspecten zijn hierbij bepalend: Scope: toepassingsgebied (scope) waar de maatregelen ingevuld in de BMTool betrekking op hebben Risicobehandeling: risicoattitude van de organisatie (Risk appetite) Kwaliteit: conformiteit met ISO Voor deze drie aspecten geeft dit rapport vragen en stellingen die kunnen worden opgenomen in de BMTool. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 5 van 58

6 Inhoudsopgave 1 Inleiding Aanleiding Probleemstelling Doelstelling en Opdracht Werkwijze Leeswijzer Risicoanalyse in context Risicoanalyse in ISO Risicoanalyse in ISO Risicoanalyse in ISO Overzicht van normen Methodes voor Risicoanalyse Conformiteit van een risicoanalyse Risicoanalyse methodes Relevante criteria Aanbeveling voor een RA methode Risicoanalyse en de BMTool BMTool, platform voor benchmarking RA output is BMTool input Verklaring van toepasselijkheid weergeven in de BMTool BMTool en risicoanalyse Uitbreiding van de BMTool Toepassingsgebied van de maatregelen Risicoattitude van de organisatie Kwaliteit van de risicoanalyse Referenties Bijlage 1: Essentiële maatregelen uit ISO Bijlage 2: Risicomanagement conform ISO Bijlage 3: Risicomanagement conform ISO Bijlage 4: Kwaliteit van RA methode Deelnemers CIG Informatiebeveiliging CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 6 van 58

7 1 Inleiding De CIO Interest Group Informatie Beveiliging (CIG-IB) is een van de interest groups van het CIO Platform Nederland. De CIG-IB dient als kennisplatform op het gebied van Informatie Beveiliging (IB). Een van de onderwerpen opgepakt door deze werkgroep is het onderling kunnen vergelijken van organisaties, welke lid zijn van het CIO Platform Nederland, op het gebied van informatiebeveiliging. Binnen de CIG-IB is de werkgroep Benchmarking samengesteld om een benchmark methodiek te ontwikkelen inclusief bijpassende tooling. Deze tooling wordt Benchmark Tool, kortweg BMTool genoemd. De BMTool maakt het mogelijk om de beheersmaatregelen voor informatiebeveiliging, ingevoerd bij de verschillende deelnemers, onderling te vergelijken. De maatregelen in de benchmark tool zijn gebaseerd op de de-facto standaard voor informatiebeveiliging, NEN-ISO (NEN-ISO, 2007). Conform deze norm moet de selectie van maatregelen gebaseerd zijn op een risicoanalyse. Het CIO Platform heeft daarom de CIG-IB verzocht de relatie tussen risicoanalyse en de BMTool nader te verkennen. Dit document beschrijft de resultaten van deze verkenning. 1.1 Aanleiding Een presentatie van Ton Arrachart (CIO van Van Oord Dredging), gegeven tijdens de CIG-IB bijeenkomst van 6 oktober 2010, vormt de aanleiding tot het instellen van de werkgroep. Ton wil op een efficiëntere en kortcyclische manier meten waar zijn organisatie staat op het gebied van risicoanalyse en informatiebeveiliging. De vraagstelling richt zich daarbij in eerste instantie op uitwisseling van ervaringen op het gebied van metrieken. Tijdens de CIG-IB vergadering van 24 november 2010 lichtten een aantal leden daarom de binnen hun organisatie gebruikte metrieken toe. Tijdens deze vergadering worden er twee werkgroepen geformeerd. Een werkgroep zal zich richten op het uitwerken van een methodiek voor risicoanalyse die algemeen toepasbaar is en te koppelen aan de BMTool. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 7 van 58

8 De andere werkgroep zal zich richten op de definitie van Key Perfomance Indicatoren (KPI's). Dit document beschrijft de resultaten van de eerste werkgroep. De andere werkgroep is nog niet van start gegaan. Uit de discussies in de werkgroep is gebleken dat het noodzakelijk is om een relatie te leggen tussen risico s en maatregelen. Dit rapport bevat hiervoor al enkele resultaten, die vooral gebaseerd zijn op de werkzaamheden van de leden van het CIO Platform werkzaam in de academische ziekenhuizen. 1.2 Probleemstelling Het doel van het BMTool is het onderling kunnen vergelijken van het niveau van Informatiebeveiliging. De tool volgt de maatregelen volgens de standaard NEN- ISO (NEN-ISO, 2007) in de vorm van stellingen. De beantwoording van de stellingen geeft een oordeel over het niveau van de implementatie van de maatregelen binnen de organisatie. Deze beantwoording maakt daarbij gebruik van een volwassenheidsmodel. Een organisatie kan haar volwassenheid vergelijken met andere organisaties door haar antwoorden op de stellingen te vergelijken met de antwoorden van andere organisaties. Maar is de vergelijking wel zinvol als niet duidelijk is op grond van welke overwegingen de maatregelen zijn getroffen en de antwoorden zijn gegeven? Conform de gehanteerde norm dient de selectie van maatregelen gebaseerd te zijn op een risicoanalyse. Een organisatie zou dus ter onderbouwing van de genomen maatregelen ten minste een risicoanalyse moeten hebben uitgevoerd. Er bestaan daarnaast ook nog verschillende methodes voor risicoanalyse. Het is dus niet alleen de vraag of een organisatie een risicoanalyse uitvoert, maar het is ook relevant te weten of die risicoanalyse voldoende diepgang heeft. Voldoende diepgang betekent hierin dat de diepgang passend is voor het te analyseren risico. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 8 van 58

9 Ten slotte geeft een organisatie in de BMTool aan welke maatregelen zij heeft genomen. Het is daarbij relevant voor welke onderdeel (of systemen) van de organisatie deze maatregelen genomen zijn. Een organisatie kan bijvoorbeeld besluiten om aan te geven wat het basisniveau van informatiebeveiliging is binnen haar organisatie. Dit basisniveau is het stelsel van maatregelen dat getroffen wordt voor al haar systemen. Een andere organisatie kan besluiten de maatregelen genomen voor haar meest kritische systemen in de BMTool op te nemen. Deze maatregelen zullen in het algemeen uitgebreider zijn dan het basisniveau. Als deze twee organisaties het niveau van informatiebeveiliging met elkaar willen vergelijken, leidt het verschil in scope allicht tot verkeerde conclusies. Naast de onderbouwing door middel van een risicoanalyse, is het daarom ook noodzakelijk een uitspraak te doen over de scope (reikwijdte) van de genomen maatregelen. Tenslotte worden maatregelen genomen om risico te mitigeren. Bepaalde risico s kunnen voor de ene organisatie volkomen acceptabel zijn en voor een andere totaal niet. De risicoacceptatie (risicoattitude) van een organisatie speelt daarom een beslissende rol in welke risico s een organisatie wil mitigeren door het treffen van beheersmaatregelen. 1.3 Doelstelling en Opdracht De werkgroep risicoanalyse stelt zich tot doel de leden van het CIO Platform een handreiking te bieden bij het uitvoeren van risicoanalyse. Deze handreiking zal de deelnemers hulp bieden bij het uitvoeren van risicoanalyses. De handreiking moet ook de vergelijkbaarheid van de resultaten opgenomen in de BMTool verhogen. Uiteraard draagt het uitvoeren van de risicoanalyse zelf bij tot het ontstaan van een betere balans tussen de genomen maatregelen en het dreigingenniveau. De opdracht voor de werkgroep kan als volgt worden geformuleerd: Werk vanuit risicoperspectief eisen en methoden uit om de vergelijkbaarheid van de resultaten van de BMTool te vergroten. De aspecten scope van de risicoanalyse, de risicoacceptatie en de volwassenheid van de risicoanalyse dienen hierbij te worden belicht. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 9 van 58

10 Geef aan hoe de invoer in de BMTool onderbouwd kan worden door middel van een (soort) risicoanalyse (of extra antwoorden) Geef aan welke eigenschappen een risicoanalyse moet hebben om vergelijkbaarheid van maatregelen te kunnen beoordelen Kort samengevat is de opdracht: Pak het thema risicoanalyse op, werk een methode uit die algemeen toepasbaar is en die te koppelen is aan de BMTool 1.4 Werkwijze In een aantal vergaderingen met wisselende bezetting heeft de werkgroep de vraagstelling uitgediept. Allereerst is de relatie tussen risicoanalyse en de BMTool verkend. Door bronnenonderzoek en een enquête onder deelnemers van CIG-IB is het proces van risicoanalyse en methodieken in kaart gebracht. De eerste resultaten zijn tijdens de CIG-IB vergadering van 16 maart 2011 gepresenteerd. Daar is besloten dat de werkgroep de volgende verdiepingslag zal maken: zichtbaar maken van verschillen tussen methodieken voor risicoanalyse vaststellen eisen aan methodieken en tooling toetsen bestaande methodieken aan eisen kiezen voor een methodiek uiteindelijk keuze voor aanschaf of nieuwbouw tooling die past bij methodiek. Het laatste onderdeel is tijdens de daaropvolgende vergadering van de CIG-IB op 18 mei 2011 vooralsnog buiten scope geplaatst. De werkgroep heeft tijdens de verdere uitwerking van de probleemstelling besloten om aan te geven op welke wijze de bestaande BMTool uitgebreid kan worden. Deze aanvullingen richten zich op het verhogen van de vergelijkbaarheid van organisaties die gebruik maken van de BMTool. Deze uitbreidingen richten zich op het beschrijven van het toepassingsgebied (scope) van de ingevulde maatregelen, de risicohouding (risicoacceptatie) van de organisatie en de volwassenheid van de organisatie in het uitvoeren van de risicoanalyse. Deze uitbreidingen komen aan de orde in het laatste hoofdstuk van dit rapport. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 10 van 58

11 1.5 Leeswijzer Deze publicatie is als volgt opgebouwd: Hoofdstuk 1: Inleiding Beschrijft zaken als aanleiding, doelstelling en werkwijze. Hoofdstuk 2: Risicoanalyse in Context Geeft een afbakening van het onderwerp en duidt de relatie met (internationale, erkende) standaarden. Hoofdstuk 3: Overzicht van RA methodes Beschrijft de eigenschappen waaraan een RA methode moet voldoen om vergelijkbaarheid van de resultaten in de BMTool te ondersteunen en beschrijft een aantal RA methodes en hun eigenschappen. Hoofdstuk 4: Aanbeveling voor een RA methode Biedt een RA methode aan voor organisaties die nog geen methode hebben of op zoek zijn naar een verbeterde methode. Hoofdstuk 5: Relatie Risicoanalyse en BMTool Beschrijft de samenhang tussen de (resultaten van de) risicoanalyse en de maatregelen in de BMTool. Hoofdstuk 6: Uitbreiding BMTool Beschrijft mogelijke uitbreidingen van de BMTool die een onderbouwing geven van de selectie maatregelen en die de vergelijkbaarheid verhogen. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 11 van 58

12 2 Risicoanalyse in context Informatiebeveiliging richt zich op het beheersen van de risico's voor een organisatie voortkomend uit het gebruik van informatie als bedrijfsmiddel. Informatiebeveiliging kan daarom beschouwd worden als een van de disciplines die zich richt op het beheersen van operationele risico's. Operationele risico's zijn de risico's geassocieerd met de bedrijfsvoering van een organisatie. Dit hoofdstuk verkent eerst de rol van de risicoanalyse in het overkoepelend proces voor het beheersen van risico's: risicomanagement. Dit proces wordt beschreven aan de hand van de internationale standaard voor risicomanagement, ISO (NEN-ISO, 2009). Daarna wordt de rol van risicoanalyse in informatiebeveiliging beschreven. Deze beschrijving maakt gebruik van de standaard voor informatiebeveiliging, ISO (NEN-ISO, 2005), en de gerelateerde standaard voor het management van informatiebeveiligingsrisico s, ISO (NEN-ISO, 2011). De laatste sectie van dit hoofdstuk bevat een samenvattend overzicht van de besproken normen. 2.1 Risicoanalyse in ISO ISO (NEN-ISO, 2009), de internationale standaard voor risicomanagement, biedt een uitgebreide beschrijving voor het uitvoeren van risicomanagement in een organisatie. Omdat deze standaard breed geaccepteerd wordt, gebruiken we deze als uitgangspunt voor de afbakening van het onderwerp van dit rapport: risicoanalyse. Een overzicht van risicomanagement conform ISO is weergegeven in Bijlage 2. ISO onderkent twee onderdelen (of processen) voor risicomanagement. Het eerste proces, aangeduid met raamwerk, richt zich op het inrichten en onderhouden van het gehele managementsysteem voor risicomanagement. Dit proces biedt daarmee een raamwerk (framework) voor risicomanagement. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 12 van 58

13 Het andere proces bevat de daadwerkelijke uitvoering van risicomanagement. Dit proces wordt aangeduid als Process. Dit uitvoerende proces voor risicomanagement bestaat uit drie hoofdactiviteiten: het bepalen van de context voor het risicomanagement, het beoordelen (assessment) van de risico s en de behandeling (treatment) van de risico's (maatregelen). Daarnaast zijn er nog twee flankerende activiteiten: monitoren en evaluatie communicatie De beoordeling van risico s is onderverdeeld in drie deelactiviteiten: risicoidentificatie, risicoanalyse en risico-evaluatie. Het eerste onderdeel, risico-identificatie, betreft het in kaart brengen van de relevante risico s. De omvang van de geïdentificeerde risico s worden vervolgens tijdens de tweede stap, risicoanalyse, geschat. De laatste stap richt zich op het vergelijken van de omvang van de geïdentificeerde risico s met de van te voren bepaalde risico criteria. Tijdens deze stap wordt bepaald of het risico acceptabel is. Als het risico niet acceptabel is, zal in de volgende activiteit (risicobehandeling) bepaald gaan worden op welke wijze het risico zal worden afgehandeld. Voorbeelden van afhandeling zijn daarbij het risico mijden, het risico overdragen of maatregelen nemen om de omvang van het risico te verkleinen. Het onderwerp van dit rapport is risicoanalyse. Conform de definitie van ISO31000 zou dit betekenen dat dit rapport alleen het schatten van risico s behandelt. Tijdens de discussies van de werkgroep is echter gebleken dat dit een te beperkte interpretatie is. Dit rapport richt zich op alle stappen van de activiteit risicobeoordeling, zoals omschreven in ISO Om verwarring te voorkomen zal in de rest van dit rapport het woord risicoanalyse worden gebruikt voor deze risicobeoordeling. De deelactiviteit risicoanalyse, onderdeel van risicobeoordeling, zal verder worden aangeduid met risicoschatting. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 13 van 58

14 2.2 Risicoanalyse in ISO ISO (NEN-ISO, 2005) is de toonaangevende standaard voor informatiebeveiliging. Deze standaard beschrijft de wijze waarop een organisatie grip kan krijgen op risico's gerelateerd aan het gebruik van informatie in haar bedrijfsvoering. De standaard stelt daarbij het inrichten van een managementsysteem voor informatiebeveiliging (Information Security Management System) centraal. Dit managementsysteem is gebaseerd op de welbekende Deming-cirkel. Deze cirkel bestaat uit vier fases: plan, do, check en act. De plan fase van het ISMS bevat de activiteiten gerelateerd aan het identificeren en analyseren van de risico's. De plan fase omvat daartoe de volgende activiteiten: 1. Vaststellen welke benadering voor risicobeoordeling wordt gekozen; 2. Risico s identificeren; 3. De risico s analyseren en beoordelen; 4. Opties voor de behandeling van de risico s identificeren en beoordelen; 5. Beheersdoelstellingen en maatregelen voor de risico s kiezen; 6. Goedkeuring van de directie verkrijgen voor de voorgestelde overblijvende risico s. De bovenstaande activiteiten kunnen als volgt afgebeeld worden op het model voor risicomanagement conform ISO 31000: Activiteit 1 valt onder het opzetten van het raamwerk voor risicomanagement. De activiteiten 2 en 3 zijn af te beelden op het onderdeel risicobeoordeling van ISO De activiteiten 4, 5 en 6 vallen onder de hoofdactiviteit afhandeling van risico s van ISO Zoals in de voorgaande paragraaf richt dit rapport zich op de hoofdactiviteit risicobeoordeling. Dit betekent dat dit rapport zich beperkt tot de activiteiten 2 en 3 van de plan fase voor het opstellen van een ISMS. ISO bevat ook definities van risicoanalyse, risicobeoordeling en risicoevaluatie. De definities opgenomen in ISO zijn overgenomen uit ISO/IEC Guide (NEN-ISO, 2002). Deze begrippen worden als volgt gedefinieerd: CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 14 van 58

15 CIG Informatiebeveiliging Risicobeoordeling: het proces van risicoanalyse en risico-evaluatie Risicoanalyse: systematisch gebruik van informatie om bronnen te identificeren en risico s in te schatten Risico-evaluatie: proces waarin het ingeschatte risico wordt afgewogen tegen vastgestelde risicocriteria om te bepalen in welke mate het risico significant is De gegeven definities wijken enigszins af van de onderverdeling in ISO Dit is een gevolg van het feit dat ISO van een latere datum is dan ISO Zoals in de voorgaande paragraaf al aangegeven zullen wij de term risicoanalyse hanteren voor alle activiteiten vallend onder risicobeoordeling. In dit rapport zijn risicoanalyse en risicobeoordeling synoniem. 2.3 Risicoanalyse in ISO Het onderwerp informatiebeveiliging heeft sinds enkele jaren een afzonderlijke normenreeks in de ISO. De reeks gereserveerd voor informatiebeveiliging is de reeks. De ISO 27001, besproken in de voorgaande paragraaf, heeft als onderwerp het managementsysteem voor informatiebeveiliging. Andere normen in deze reeks behandelen onderdelen van het managementsysteem in detail. ISO (NEN-ISO, 2007) behandelt bijvoorbeeld de maatregelen, de best practices, die opgenomen kunnen zijn in het managementsysteem. ISO bevat dus de maatregelen om de risico s te beheersen (risicobehandeling conform ISO 31000). ISO beschrijft het proces en technieken voor het managen van risico s. Deze meest recente versie van deze norm is opgesteld in Deze versie is uitgebracht nadat ISO is opgesteld. Het risicomanagement proces beschreven in ISO sluit daarom naadloos aan op ISO Dit geldt ook voor de in ISO gehanteerde terminologie. Zoals in de voorgaande paragraaf geconstateerd wijkt ISO daarentegen deels af van ISO Conform de inleiding van ISO biedt de standaard richtlijnen voor het inrichten van informatie risicomanagement. De standaard geeft daarbij vooral invulling aan de eisen die ISO stelt aan dit proces. De standaard geeft echter geen specifieke methode voor het inrichten van het risico management proces zelf. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 15 van 58

16 Het staat een organisatie vrij zelf invulling te geven aan dit proces. CIG Informatiebeveiliging In overeenstemming met ISO definieert ISO een risico als het effect van onzekerheid op doelstellingen. Vanwege deze definitie kunnen risico s zowel een positief effect hebben als ook een negatief effect. Risico s met een positief effect worden vaak ook aangeduid als kansen. De meeste organisaties zullen informatie risicomanagement vooral inzetten voor het managen van risico s met negatieve effecten1. Het meenemen van risico s met positief effect is in het merendeel van de organisaties nog onderbelicht en zal in dit document niet verder aan de orde komen. ISO biedt geen invulling van het proces om te komen tot het raamwerk of proces voor risicomanagement (het linkerdeel van de figuur uit Bijlage 1). Vanuit een abstract standpunt kan ISO beschouwd worden als het middel om invulling te geven aan dat deel van de figuur. ISO beschrijft immers het managementsysteem (het raamwerk) voor het behandelen van risico s in het domein informatiebeveiliging. De processtappen weergeven in het linkerdeel van de figuur kunnen beschouwd worden als het doorlopen van de plan-do-check-act fases van het ISMS voor informatiebeveiliging. Het verkrijgen van commitment is daarbij onderdeel van de start van het opzetten van een ISMS. ISO biedt vervolgens richtlijnen voor de invulling van het proces voor risicomanagement (het rechterdeel van de figuur uit Bijlage 2). ISO bevat een waardevolle, alternatieve weergave van het risicomanagement proces. De weergave in ISO breidt de weergave opgenomen in ISO uit met twee beslispunten: Een beslispunt na de risicobeoordeling Een beslispunt na de risicobehandeling Deze weergave legt de nadruk op het iteratieve karakter van risicomanagement. Na de risicobeoordeling is er een beslispunt waarin bepaald wordt of de risicobeoordeling afdoende is geweest. 1 De nieuwe versie van de ISO27001 (verwacht in 2013) gaat daarom ook in op kansen en niet alleen op bedreigingen. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 16 van 58

17 Als deze beoordeling afdoende is, kan overgegaan worden tot risicobehandeling. Als deze beoordeling niet afdoende is, kan de risicobeoordeling nogmaals worden doorlopen. In de volgende iteratie kunnen daarbij andere methodes worden ingezet. Daarnaast kan in een volgende iteratie specifieke risico s in een groter detail worden geanalyseerd. Het beslispunt na risicobehandeling heeft een vergelijkbaar doel. Als na risicobehandeling blijkt dat het restrisico niet acceptabel is, kan in een volgende iteratie het restrisico verder worden gereduceerd. Bijlage 3 geeft een overzicht van ISO De figuur geeft ook aan hoe deze zich verhoudt tot ISO De figuur laat duidelijk zien dat ISO een iteratieve benadering hanteert voor het risicoanalyse proces. ISO introduceert op de beschreven wijze een risicogedreven aanpak in het risicomanagement proces zelf. De iteratieve aanpak biedt namelijk de mogelijkheid om eerst alle risico s in algemene zin in kaart te brengen en vervolgens de grootste risico s in een volgende iteratie in een grotere mate van detail te gaan beoordelen. Het eerste beslispunt in het risicoproces van ISO (zie bijlage 3) wordt daarbij gebruikt om de diepgang van de risicoanalyse te laten variëren. De eerste iteratie zal daarbij gebruik moeten maken van een methode die per risico relatief weinig inspanning vergt. De volgende iteratie zal gebruik maken van een methode waarmee risico s beter beoordeeld kunnen worden, bijvoorbeeld een methode waarbij de omvang van het risico beter geschat kan worden. Deze iteratieve aanpak leidt ertoe dat de organisatie haar inspanning in risicomanagement zal richten op het aanpakken van de voor haar significante risico s. ISO adopteert de processtappen voor risicobeoordeling zoals ook opgenomen in ISO De risicobeoordeling bestaat uit de stappen risicoidentificatie, risicoanalyse (risicoschatting) en risico-evaluatie. Deze stappen worden in het volgende hoofdstuk nader beschreven. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 17 van 58

18 2.4 Overzicht van normen De onderstaande tabel vat de beschrijvingen van de normen uit de voorgaande secties samen. De tabel geeft voor elk van de normen het toepassingsgebied van de norm, de relatie van de norm tot het onderwerp van dit rapport (risicoanalyse) en de processtappen voor de risicoanalyse conform de norm. Norm ISO ISO ISO Toepassings- gebied Risicomanagement Informatiebeveiliging Risicomanagement toegespitst op informatiebeveiliging Relatie tot risicoanalyse Managementsysteem (Raamwerk) en Processtappen Managementsysteem voor beheersing IB risico s Processtappen voor risicomanagement Processtappen Risico-identificatie Risicoanalyse (Risicoschatting in dit rapport) Risicoanalyse (omvat risico-identificatie en risicoschatting) Risico-evaluatie Conform ISO31000 Risico-evaluatie Kort samengevat kan gesteld worden dat ISO samen met ISO invulling geeft aan ISO voor het risicogebied informatiebeveiliging. ISO beschrijft immers een managementsysteem voor het beheersen van het betreffende risicogebied en ISO geeft invulling aan het specifieke proces voor risicobehandeling. ISO kan dus afgebeeld worden op de linkerkant (het raamwerk) van ISO zoals weergegeven in Bijlage 2 en ISO op de rechterkant van dezelfde afbeelding. Het volgende hoofdstuk zal verder ingaan op de verschillende aspecten die in een risicoanalyse moeten worden meegenomen. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 18 van 58

19 3 Methodes voor Risicoanalyse Het voorgaande hoofdstuk heeft geleid tot een afbakening van het onderwerp van dit document, namelijk de risicoanalyse als onderdeel van het hele proces voor risicomanagement. Het bevat daarnaast ook een beschrijving van de ISO Dit hoofdstuk richt zich op het beschrijven van verschillende methodes voor het uitvoeren van een risicoanalyse. Uitgangspunt is daarbij dat een methode in principe zou moeten voldoen aan de stappen zoals beschreven in ISO Deze keuze is gebaseerd op het feit dat de ISO serie de de-facto standaard is voor informatiebeveiliging. Deze conclusie heeft ertoe geleid dat de BMTool zich baseert op ISO 27002, de set met maatregelen. Naar analogie hiervan wordt de ISO geadopteerd als standaard voor risicoanalyse. Dit hoofdstuk gaat daarom allereerst verder in op de relevante stappen uit ISO Vervolgens worden een aantal mogelijkheden voor het uitvoeren van risicoanalyses beschreven. Het hoofdstuk eindigt met een overzicht van voor- en nadelen van de gepresenteerde methodes. De vergelijking met ISO evenals het overzicht van voor- en nadelen leidt tot een aantal criteria van een risicoanalyse methode. Leden die nog niet over een methodiek beschikken kunnen deze criteria gebruiken om een methode te kiezen. De gepresenteerde criteria zijn ook de basis voor de opzet van een integrale methode. Deze methode wordt verder uitgewerkt in het volgende hoofdstuk. 3.1 Conformiteit van een risicoanalyse Zoals bovenstaand aangegeven stellen we dat een risicoanalyse methode dient te voldoen aan de richtlijnen voortkomend uit ISO Deze standaard beschrijft vooral de processtappen die onderdeel uitmaken van een adequate risicoanalyse. De belangrijkste eigenschap van een risicoanalyse methode is daarmee conformiteit aan ISO Conformiteit aan ISO definiëren we als de mate waarin een methode alle relevante aspecten van de risicobeoordeling zoals beschreven in ISO invult. Deze sectie werkt dit aspect nader uit. De basis hiervoor is de beschrijving van CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 19 van 58

20 risicoanalyse zoals opgenomen in de ISO De ISO beschrijft de risicoanalyse door voor elk onderdeel de input, de actie en de output weer te geven. De beoordeling van de conformiteit richt zich op het bepalen of alle relevantie acties (activiteiten) daadwerkelijk zijn uitgevoerd. ISO werkt elk van de processtappen van het risicomanagement proces uit in een hoofdstuk. De processtap risicoanalyse is uitgewerkt in hoofdstuk 8 van de standaard. De risicoanalyse is gebaseerd op een dreigingen- en kwetsbaarhedenanalyse. De identificatie van risico s omvat daarom de volgende activiteiten (met bijbehorend hoofdstuk / sectie uit ISO 27005): Identificatie van informatie en informatiehulpmiddelen (assets) (8.2.2) Identificatie van mogelijke dreigingen en bronnen voor deze dreigingen (8.2.3) Identificatie van bestaande maatregelen (8.2.4) Identificatie van kwetsbaarheden (8.2.5) Identificatie van de gevolgen van het optreden van een dreiging die een kwetsbaarheid exploiteert. (8.2.6) Nadat de risico s geïdentificeerd zijn, wordt in de risicoschatting de omvang van de risico s bepaald. De standaard onderscheidt daarbij een kwalitatieve en een kwantitatieve risicoschatting. Een kwalitatieve schatting drukt risico s uit in algemene termen, zoals hoog, middel en laag. De omvang van een risico zal vaak geschat worden door zowel de gevolgen (impact) van een risico als ook de kans op optreden (likelihood) van een risico eerst afzonderlijk te schatten. Vervolgens wordt de omvang van het risico afgeleid uit deze afzonderlijke schattingen gebruik makend van een tabel. Een kwantitatieve risicoanalyse drukt risico s uit in numerieke waardes. Vergelijkbaar met een kwantitatieve risicoanalyse kunnen daarbij ook eerst de gevolgen en de kans op optreden afzonderlijk worden geschat. De omvang volgt dan door de twee uitkomsten van deze schattingen met elkaar te vermenigvuldigen. De laatste stap van de risicoanalyse, de risico-evaluatie, richt zich op het evalueren van de risico s, gebruik makend van de risico evaluatie criteria. Deze stap resulteert in een prioritering van de risico s in lijn met de risico evaluatiecriteria. CIG Informatiebeveiliging- Risico Analyse - CIO Platform Nederland - september pagina 20 van 58

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................

Nadere informatie

Advies informatiebeveiligings analyse HvA

Advies informatiebeveiligings analyse HvA Advies informatiebeveiligings analyse HvA Wouter Borremans - 0461911 - v1.1 1 Juni 2005 1 Inleiding Dit document is geschreven met als doel om de Hogeschool van Amsterdam[5] (HvA) te voorzien van een advies

Nadere informatie

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van NORA-3. Het bevat doelen, de Ist en Soll situatie van het NORA katern beveiliging en als laatste sheet de producten die

Nadere informatie

Energiemanagementsysteem

Energiemanagementsysteem Energiemanagementsysteem BVR Groep B.V. Roosendaal, 20-06-2014. Auteur(s): H. Schrauwen, Energie & Technisch adviseur. Geaccordeerd door: M. Soenessardien,Manager KAM, Personeel & Organisatie Pagina 1

Nadere informatie

Hoezo dé nieuwe ISO-normen?

Hoezo dé nieuwe ISO-normen? De nieuwe ISO-normen Dick Hortensius Senior consultant Managementsystemen NEN Milieu & Maatschappij dick.hortensius@nen.nl 1 Hoezo dé nieuwe ISO-normen? 2 1 De cijfers voor Nederland (eind 2013) Norm Aantal

Nadere informatie

Energiemanagement actieplan. Van Schoonhoven Infra BV

Energiemanagement actieplan. Van Schoonhoven Infra BV BV Leusden, oktober 2013 Auteurs: G.J. van Schoonhoven D.J. van Boven Geaccordeerd door: D.J. van Boven Directeur eigenaar INLEIDING Ons bedrijf heeft een energiemanagement actieplan conform NEN-ISO 50001.

Nadere informatie

Energiemanagement actieplan. Baggerbedrijf West Friesland

Energiemanagement actieplan. Baggerbedrijf West Friesland Baggerbedrijf West Friesland Gebruikte handelsnamen: Baggerbedrijf West Friesland Grond & Cultuurtechniek West Friesland Andijk, februari-mei 2014 Auteurs: M. Komen C. Kiewiet Geaccordeerd door: K. Kiewiet

Nadere informatie

Energie management Actieplan

Energie management Actieplan Energie management Actieplan Conform niveau 3 op de CO 2 -prestatieladder 2.2 Auteur: Mariëlle de Gans - Hekman Datum: 30 september 2015 Versie: 1.0 Status: Concept Inhoudsopgave 1 Inleiding... 2 2 Doelstellingen...

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Energiemanagementsysteem. Van de Kreeke Beheer BV en Habets-van de Kreeke Holding BV

Energiemanagementsysteem. Van de Kreeke Beheer BV en Habets-van de Kreeke Holding BV Van de Kreeke Beheer BV en Habets-van de Kreeke Holding BV Nuth,20augustus 2015 Auteur(s): Tom Kitzen Theo Beckers Geaccordeerd door: Serge Vreuls Financieel Directeur C O L O F O N Het format voor dit

Nadere informatie

Risicomanagement en NARIS gemeente Amsterdam

Risicomanagement en NARIS gemeente Amsterdam Risicomanagement en NARIS gemeente Amsterdam Robert t Hart / Geert Haisma 26 september 2013 r.hart@risicomanagement.nl / haisma@risicomanagement.nl 1www.risicomanagement.nl Visie risicomanagement Gemeenten

Nadere informatie

Energiemanagement actieplan

Energiemanagement actieplan Energiemanagement actieplan Vandervalk+degroot-groep Waalwijk, 15 oktober 2013 Auteur(s): Arend-Jan Costermans Ed den Breejen Antoine Steentjes Joni Ann Hardenberg Geaccordeerd door: Leo van der Valk Algemeen

Nadere informatie

Energiemanagement actieplan. Koninklijke Bammens

Energiemanagement actieplan. Koninklijke Bammens Maarssen, 16 februari 2015 Auteur(s): Niels Helmond Geaccordeerd door: Simon Kragtwijk Directievertegenwoordiger Milieu / Manager Productontwikkeling C O L O F O N Het format voor dit document is opgesteld

Nadere informatie

Energiemanagementprogramma HEVO B.V.

Energiemanagementprogramma HEVO B.V. Energiemanagementprogramma HEVO B.V. Opdrachtgever HEVO B.V. Project CO2 prestatieladder Datum 7 december 2010 Referentie 1000110-0154.3.0 Auteur mevrouw ir. C.D. Koolen Niets uit deze uitgave mag zonder

Nadere informatie

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Mike de Bruijn roduct Owner Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Energiemanagement Actieplan 1.A.1-1.A.2-1.A.3 2.A.1-2.A.2-2.A.3 2.C.2 3.B.2

Energiemanagement Actieplan 1.A.1-1.A.2-1.A.3 2.A.1-2.A.2-2.A.3 2.C.2 3.B.2 1.A.1-1.A.2-1.A.3 2.A.1-2.A.2-2.A.3 2.C.2 3.B.2 Opdrachtgever Van der Waal & Partners B.V. Colofon Opdrachtgever Van der Waal & Partners B.V. Projectnaam Energiemanagement Actieplan Projectnummer 9222

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

De beheerrisico s van architectuur

De beheerrisico s van architectuur De beheerrisico s van architectuur Een overzicht van de ArChimate Risico Extensie versie 0.2 Bert Dingemans Inleiding Het implementeren van een (enterprise) architectuur brengt altijd risico s met zich

Nadere informatie

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD De Baseline Informatiebeveiliging & grote gemeenten 6 oktober 2014 John van Huijgevoort, IBD Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): Samenhang Instrumenten Hoe om te gaan

Nadere informatie

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

Balanced Scorecard. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. Balanced Scorecard Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3 2 DE

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Organisatieprestatiescan. Deze techniek wordt gebruikt in de focus- en analysefase bij het analyseren van de huidige situatie.

Organisatieprestatiescan. Deze techniek wordt gebruikt in de focus- en analysefase bij het analyseren van de huidige situatie. 1 Bijlage 2 De organisatieprestatiescan Techniek: Organisatieprestatiescan Toepassingsgebied: Achtergrond: Deze techniek wordt gebruikt in de focus- en analysefase bij het analyseren van de huidige situatie.

Nadere informatie

FS150422.7A. A: Beschrijving van de voorgestelde werkwijze B: Toelichting op het MSP en identificatie proces

FS150422.7A. A: Beschrijving van de voorgestelde werkwijze B: Toelichting op het MSP en identificatie proces FS150422.7A FORUM STANDAARDISATIE 22 april 2015 Agendapunt: 7. Internationaal Stuk 7A. Notitie omgang met standaarden van het Europese Multistakeholder Platform on ICT Standardisation Bijlage A: Beschrijving

Nadere informatie

Risico Reductie Overzicht

Risico Reductie Overzicht Risico Reductie Overzicht Handleiding Auteurs Hellen Havinga en Olivier Sessink Datum 7 juli 2014 Versie 1.0 Inhoudsopgave 1.Risico Reductie Overzicht in vogelvlucht...4 2.Wie kan Wat met een Risico Reductie

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

DE CAPABILITEIT VAN HET KWALITEITSSYSTEEM

DE CAPABILITEIT VAN HET KWALITEITSSYSTEEM Kwaliteit in Bedrijf oktober 0 Tweede deel van tweeluik over de toenemende rol van kwaliteit DE CAPABILITEIT VAN HET KWALITEITSSYSTEEM Om de gewenste kwaliteit te kunnen realiseren investeren organisaties

Nadere informatie

Introductie OHSAS 18001

Introductie OHSAS 18001 Introductie OHSAS 18001 OHSAS 18001 -in het kort OHSAS 18001 is een norm voor een managementsysteem die de veiligheid en gezondheid in en rondom de organisatie waarborgt. OHSAS staat voor Occupational

Nadere informatie

Aan de raad van de gemeente Lingewaard

Aan de raad van de gemeente Lingewaard 6 Aan de raad van de gemeente Lingewaard *14RDS00194* 14RDS00194 Onderwerp Nota Risicomanagement & Weerstandsvermogen 2014-2017 1 Samenvatting In deze nieuwe Nota Risicomanagement & Weerstandsvermogen

Nadere informatie

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007 Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Inhoud Aanleiding en Historie VIR 2007 Invoeringsaspecten 2 Aanleiding en historie

Nadere informatie

Functiepuntanalyse. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

Functiepuntanalyse. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. Functiepuntanalyse Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 8 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3 2 WAT

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst

Nadere informatie

INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY

INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY Leesvervangende samenvatting bij het eindrapport Auteurs: Dr. B. Hulsebosch, CISSP A. van Velzen, M.Sc. 20 mei 2015 In opdracht van: Het

Nadere informatie

Programma 14 november middag. Risicomanagement Modellen. Strategisch risicomanagement

Programma 14 november middag. Risicomanagement Modellen. Strategisch risicomanagement Programma 14 november middag Risicomanagement Modellen Strategisch risicomanagement Kaplan 1www.risicomanagementacademie.nl 2www.risicomanagementacademie.nl Risicomanagement modellen Verscheidenheid normen

Nadere informatie

Grip op Secure Software Development

Grip op Secure Software Development Titel Grip op Secure Software Development De opdrachtgever aan het stuur Marcel Koers 27 mei 2014 Grip op Secure Software Development 1 CIP: Netwerkorganisatie Kennispartners Participanten Vaste kern DG

Nadere informatie

IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM

IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM De tijd dat MVO was voorbehouden aan idealisten ligt achter ons. Inmiddels wordt erkend dat MVO geen hype is, maar van strategisch belang voor ieder

Nadere informatie

De nieuwe ISO-normen: evolutie of revolutie?

De nieuwe ISO-normen: evolutie of revolutie? De nieuwe ISO-normen: evolutie of revolutie? Een goede voorbereiding is het halve werk Wordt de overgang van ISO 9001:2008 naar ISO 9001:2015 voor u een evolutie of een revolutie? In 2000 hadden de wijzigingen

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Duurzaam Vermogensbeheer

Duurzaam Vermogensbeheer Duurzaam Vermogensbeheer Een keuzeafweging Keuze maken, afwegingscriteria Wat zijn de mogelijke afwegingscriteria bij het maken van een keuze uit de mogelijke oplossingen binnen het beleggingsbeleid. Versie:2001-11-02

Nadere informatie

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 22 mei 2014 Raymond Slot raymond.slot@hu.nl nl.linkedin.com/in/raymondslot VRAAG: Top bedreigingen Continuïteit? Continuïteitsbedreiging

Nadere informatie

De nieuwe ISO norm 2015 Wat nu?!

De nieuwe ISO norm 2015 Wat nu?! De nieuwe ISO norm 2015 Wat nu?! Stichting QualityMasters Nieuwland Parc 157 3351 LJ Papendrecht 078-3030060 info@qualitymasters.com www.qualitymasters.com 02-2015 Inhoud Inleiding pagina 3 Van Oud naar

Nadere informatie

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II Confidentieel 1 Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II 1 Inleiding Instellingen die op grond van art. 112, 230 of 231 van de Solvency II richtlijn (richtlijn 2009/139/EC)

Nadere informatie

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...

Nadere informatie

Informatiebeveiliging als proces

Informatiebeveiliging als proces Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

Protocol Bouwen in het gesloten seizoen aan primaire waterkeringen

Protocol Bouwen in het gesloten seizoen aan primaire waterkeringen Protocol Bouwen in het gesloten seizoen aan primaire waterkeringen Plan van Aanpak POV Auteur: Datum: Versie: POV Macrostabiliteit Pagina 1 van 7 Definitief 1 Inleiding Op 16 november hebben wij van u

Nadere informatie

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Ter info (AB) Afdeling: Team: Bedrijfsbureau Beh.door: Bos, M.G. Port.houder: DB, Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Memo Informatiebeveiliging Inleiding Met

Nadere informatie

Wel of niet certificatie? K. de Jongh

Wel of niet certificatie? K. de Jongh K. de Jongh Tijdsduur: 30 minuten Certificatie; ondermeer status 2015 versies De nieuwe norm; HLS en 2015 versies Voorbeelden uit de praktijk HLS en 2015 versies in de praktijk Conclusies? 9-3-2015 2 Certificatie:

Nadere informatie

ISO 31000: nieuw referentiekader voor risicomanagement

ISO 31000: nieuw referentiekader voor risicomanagement ISO 31000: nieuw referentiekader voor risicomanagement Door ISO en IEC zijn eind 2009 twee nieuwe normen voor het onderwerp Risicomanagement gepubliceerd. Het gaat om twee generieke normen met termen en

Nadere informatie

Werkbelevingsonderzoek 2013

Werkbelevingsonderzoek 2013 Werkbelevingsonderzoek 2013 voorbeeldrapport Den Haag, 17 september 2014 Ipso Facto beleidsonderzoek Raamweg 21, Postbus 82042, 2508EA Den Haag. Telefoon 070-3260456. Reg.K.v.K. Den Haag: 546.221.31. BTW-nummer:

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan.

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan. ISO 9001:2015 ISO 9001:2008 Toelichting van de verschillen. 1 Scope 1 Scope 1.1 Algemeen 4 Context van de organisatie 4 Kwaliteitsmanagementsysteem 4.1 Inzicht in de organisatie en haar context. 4 Kwaliteitsmanagementsysteem

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Raad voor Accreditatie (RvA) Accreditatie van monsterneming

Raad voor Accreditatie (RvA) Accreditatie van monsterneming Raad voor Accreditatie (RvA) Accreditatie van monsterneming Documentcode: RvA-T021-NL Versie 3, 27-2-2015 Een RvA-Toelichting beschrijft het beleid en/of de werkwijze van de RvA met betrekking tot een

Nadere informatie

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 ISO Revisions Nieuw en herzien Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 Inleiding Dit document maakt een vergelijking tussen ISO 9001:2008 en de Final Draft International

Nadere informatie

Resultaat Toetsing TNO Lean and Green Awards

Resultaat Toetsing TNO Lean and Green Awards ID Naam Koploper Datum toetsing 174 M. Van Happen Transport BV 2-4-2012 Toetsingscriteria 1. Inhoud en breedte besparingen 2. Nulmeting en meetmethode 3. Haalbaarheid minimaal 20% CO2-besparing na 5 jaar

Nadere informatie

6. Project management

6. Project management 6. Project management Studentenversie Inleiding 1. Het proces van project management 2. Risico management "Project management gaat over het stellen van duidelijke doelen en het managen van tijd, materiaal,

Nadere informatie

Doe eens gek! Houd rekening met de mensen in uw organisatie bij het implementeren van ICT oplossingen.

Doe eens gek! Houd rekening met de mensen in uw organisatie bij het implementeren van ICT oplossingen. Doe eens gek! Houd rekening met de mensen in uw organisatie bij het implementeren van ICT oplossingen. ERP, CRM, workflowmanagement en documentmanagement systemen, ze hebben één ding gemeen: Veel van de

Nadere informatie

Inhoudsopgave. Bijlagen 121 Literatuur 144

Inhoudsopgave. Bijlagen 121 Literatuur 144 Inhoudsopgave 5 Voorwoord 7 Ten geleide 9 1 Inleiding 11 2 De risicoanalyse 25 3 Uitvoeren van de risicoanalyse 65 4 Risicomanagement 77 5 Uitvoeren van risicomanagement 85 6 Implementatie van risicomanagement

Nadere informatie

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth De taak van de raad onder het dualisme Kaders stellen (WMO, Jeugdwet, handhaving) Budgetteren (begroting) Lokale wetgeving

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol. Datum: dd-mm-jj

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol. Datum: dd-mm-jj BUSINESS CASE: Versie Naam opdrachtgever Naam opsteller Datum: dd-mm-jj Voor akkoord: Datum: LET OP: De bedragen in deze business case zijn schattingen op grond van de nu beschikbare kennis en feiten.

Nadere informatie

Beoordelingsformulier projectvoorstellen KFZ

Beoordelingsformulier projectvoorstellen KFZ sformulier voor de projectvoorstellen. sformulier projectvoorstellen KFZ Callronde: Versie 14-02-13 Instelling: Naam project: 1) Algemeen Het beoordelingsformulier wordt gebruikt om de projectvoorstellen

Nadere informatie

MOBI PROCES BESCHRIJVING

MOBI PROCES BESCHRIJVING MOBI METHODIEK VOOR EEN OBJECTIEVE BEVEILIGINGSINVENTARISATIE PROCES BESCHRIJVING HAVENBEDRIJF AMSTERDAM INHOUDSOPGAVE MOBI voor havenfaciliteiten... 2 INLEIDING... 2 ALGEMEEN... 2 PROCES SCHEMA... 5 BIJLAGEN...

Nadere informatie

Competenties met indicatoren bachelor Civiele Techniek.

Competenties met indicatoren bachelor Civiele Techniek. Competenties met indicatoren bachelor Civiele Techniek. In de BEROEPSCOMPETENTIES CIVIELE TECHNIEK 1 2, zijn de specifieke beroepscompetenties geformuleerd overeenkomstig de indeling van het beroepenveld.

Nadere informatie

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved. 1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?

Nadere informatie

Energiemanagement Actieplan

Energiemanagement Actieplan 1 van 8 Energiemanagement Actieplan Datum 18 04 2013 Rapportnr Opgesteld door Gedistribueerd aan A. van de Wetering & H. Buuts 1x Directie 1x KAM Coördinator 1x Handboek CO₂ Prestatieladder 1 2 van 8 INHOUDSOPGAVE

Nadere informatie

Whitepaper implementatie workflow in een organisatie

Whitepaper implementatie workflow in een organisatie Whitepaper implementatie workflow in een organisatie Auteur: Remy Stibbe Website: http://www.stibbe.org Datum: 01 mei 2010 Versie: 1.0 Whitepaper implementatie workflow in een organisatie 1 Inhoudsopgave

Nadere informatie

INLEIDING GEORISICOSCAN 2.0 VOOR TE TOETSEN PROJECTEN

INLEIDING GEORISICOSCAN 2.0 VOOR TE TOETSEN PROJECTEN INLEIDING GEORISICOSCAN 2.0 VOOR TE TOETSEN PROJECTEN Wat is de GeoRisicoScan (GRS) 2.0? De GRS 2.0 is een instrument om de kwaliteit van de toepassing van GeoRM in een project te toetsen. Wat is het doel

Nadere informatie

Prospectieve risicoinventarisatie

Prospectieve risicoinventarisatie Jeannette Knol, Eric Masseus adviseurs kwaliteit Prospectieve risicoinventarisatie SAFER, (H)FMEA Definitie Voorspellende analysemethode om onveilige situaties (risico s) te inventariseren en preventief

Nadere informatie

OVERZICHT VAN TOETSVORMEN

OVERZICHT VAN TOETSVORMEN OVERZICHT VAN TOETSVORMEN Om tot een zekere standaardisering van de gehanteerde toetsvormen en de daarbij geldende criteria te komen, is onderstaand overzicht vastgesteld. In de afstudeerprogramma's voor

Nadere informatie

De SYSQA dienst auditing. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

De SYSQA dienst auditing. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. De SYSQA dienst auditing Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 8 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3

Nadere informatie

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting

Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting xvii Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting Samenvatting IT uitbesteding doet er niet toe vanuit het perspectief aansluiting tussen bedrijfsvoering en IT Dit proefschrift is het

Nadere informatie

Oplossingsvrij specificeren

Oplossingsvrij specificeren Oplossingsvrij specificeren ir. J.P. Eelants, projectmanager Infrabouwproces CROW Samenvatting De methodiek van oplossingsvrij specificeren richt zich niet alleen op het formuleren van functionele eisen.

Nadere informatie

ZELFEVALUATIE VAN DE THEMA S HOOG RISICO MEDICATIE IDENTITOVIGILANTIE

ZELFEVALUATIE VAN DE THEMA S HOOG RISICO MEDICATIE IDENTITOVIGILANTIE COÖRDINATIE KWALITEIT EN PATIËNTVEILIGHEID TWEEDE MEERJARENPLAN 2013-2017 Contract 2013 ZELFEVALUATIE VAN DE THEMA S HOOG RISICO MEDICATIE IDENTITOVIGILANTIE Sp-ziekenhuizen 1 1. Inleiding Hierna volgt

Nadere informatie

Concept NBA-handreiking Publicatie kwaliteitsfactoren 17 april 2015

Concept NBA-handreiking Publicatie kwaliteitsfactoren 17 april 2015 Dit document maakt gebruik van bladwijzers. Concept NBA-handreiking 17 april 2015 Consultatieperiode loopt tot 29 mei 2015 Concept NBA-handreiking NBA-handreiking Van toepassing op: xx Onderwerp xx Datum:

Nadere informatie

CO2 prestatieladder Energie management plan

CO2 prestatieladder Energie management plan CO2 prestatieladder Versie: Definitief Datum: februari 2015 Eis: 2.C.3 Westgaag 42b - 3155 DG Maasland Postbus 285-3140 AG Maassluis Telefoon: 010-5922888 Fax: 010-5918621 E-mail: info@kroes.org Versie:

Nadere informatie

PROJECT INITIATION DOCUMENT

PROJECT INITIATION DOCUMENT PROJECT INITIATION DOCUMENT Versie: Datum: x.x dd-mm-jj DOCUMENTATIE Versie Naam opdrachtgever Naam opsteller Datum: dd-mm-jj Voor akkoord: Datum:. INHOUDSOPGAVE 1. Managementsamenvatting

Nadere informatie

Kennismaking met Risico-analyses. HKZ 18 juni 2015

Kennismaking met Risico-analyses. HKZ 18 juni 2015 Kennismaking met Risico-analyses HKZ 18 juni 2015 kwaliteit en veiligheid zorg-en welzijnssector HKZ, ISO, ZKN 18 jaar ervaring Willy Limpens, adviseur en gekwalificeerd Lead Auditor, o.a. HKZ VMS Agenda

Nadere informatie

4.1 Simulatie in de analysefase

4.1 Simulatie in de analysefase 1 Bijlage 4 Simulatietechnieken Simulatie is een toetstechniek waarmee door middel van het nabootsen van een bepaalde situatie (bijvoorbeeld een herontworpen bedrijfsproces) in een afgeschermde omgeving

Nadere informatie

energiemanagement & kwaliteitsmanagement

energiemanagement & kwaliteitsmanagement Energiemanagement Programma & managementsysteem Het beschrijven van het energiemanagement en kwaliteitsmanagementplan (zoals vermeld in de norm, voor ons managementsysteem). 1 Inleiding Maatschappelijk

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW)

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW) RAAK-project Veilig Water Programma Informatieveiligheid Marcel Spruit (HHS), Michiel Dirriwachter (UvW) Michiel Dirriwachter? Dit doet een waterschap Een Waterschap? Een Waterschap? Een Waterschap? Een

Nadere informatie

Grip op uw bedrijfscontinuïteit

Grip op uw bedrijfscontinuïteit Grip op uw bedrijfscontinuïteit Hoe omgaan met risico s 1 Grip op uw bedrijfsdoelstellingen: risicomanagement Ondernemen is risico s nemen. Maar bedrijfsrisico s mogen ondernemen niet in de weg staan.

Nadere informatie

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw OPERATIONEEL RISKMANAGEMENT Groningen, maart 2016 Wim Pauw Risicomanagement Risicomanagement is steeds meer een actueel thema voor financiële beleidsbepalers, maar zij worstelen vaak met de bijbehorende

Nadere informatie

Taakgebied Bepalen huidige bedrijfsprocessen

Taakgebied Bepalen huidige bedrijfsprocessen Weten wat je doet, maar ook hoe je het doet, is de basis voor elke toekomst. Hoofdstuk 22 Taakgebied Bepalen huidige bedrijfsprocessen V1.1 / 01 september 2015 MCTL v1.1 Hoofdstuk 22... 3 Plaats in het

Nadere informatie

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland OVER OOSTZAAN Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland WORMERLAND. GESCAND OP 13 SEP. 2013 Gemeente Oostzaan Datum : Aan: Raadsleden gemeente Oostzaan Uw BSN : - Uw brief van :

Nadere informatie

De invloed van Vertrouwen, Relatietevredenheid en Commitment op Customer retention

De invloed van Vertrouwen, Relatietevredenheid en Commitment op Customer retention De invloed van Vertrouwen, Relatietevredenheid en Commitment op Customer retention Samenvatting Wesley Brandes MSc Introductie Het succes van CRM is volgens Bauer, Grether en Leach (2002) afhankelijk van

Nadere informatie

Energie Management Actieplan

Energie Management Actieplan Tijssens Electrotechniek B.V. De Boelakkers 25 5591 RA Heeze Energie Management Actieplan 2015 Status: definitief versie 1.0 Datum: november 2015 Datum gewijzigd: n.v.t. Auteur: U.Dorstijn Pagina 1 Inhoud

Nadere informatie

In deze nieuwsbrief. Het belang van Strategisch Risico Management

In deze nieuwsbrief. Het belang van Strategisch Risico Management In deze nieuwsbrief Het belang van Strategisch Risico Management Van Videoanalyse naar Nieuwe Fabrieksinrichting Spelenderwijs de risico s voor een Woningcorporatie bespreken en oplossen Een Team samenstellen?

Nadere informatie

Energie actie- en meetplan 2015

Energie actie- en meetplan 2015 Energie actie- en meetplan 2015 3.B.2 Opgesteld door: Energie actie- en meetplan 2014-2020 Cheryl de Vette Van Beek Infra Groep B.V. CO2 Prestatieladder, versie 2.2 Geaccordeerd door: Peter van Beek Directeur

Nadere informatie

Het BiSL-model. Een whitepaper van The Lifecycle Company

Het BiSL-model. Een whitepaper van The Lifecycle Company Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte

Nadere informatie

Michigan State University inkoopbenchmarkmodel

Michigan State University inkoopbenchmarkmodel pag.: 1 van 5 Michigan State University inkoopbenchmarkmodel In 1993 is Professor R. Monczka aan de Michigan State University (MSU) een benchmarking initiatief gestart, waarin circa 150 (multinationale)

Nadere informatie

Referentieniveaus uitgelegd. 1S - rekenen Vaardigheden referentieniveau 1S rekenen. 1F - rekenen Vaardigheden referentieniveau 1F rekenen

Referentieniveaus uitgelegd. 1S - rekenen Vaardigheden referentieniveau 1S rekenen. 1F - rekenen Vaardigheden referentieniveau 1F rekenen Referentieniveaus uitgelegd De beschrijvingen zijn gebaseerd op het Referentiekader taal en rekenen'. In 'Referentieniveaus uitgelegd' zijn de niveaus voor de verschillende sectoren goed zichtbaar. Door

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Green-Consultant - info@green-consultant.nl - Tel. 06-51861495 Triodos Bank NL17TRIO0254755585 - KvK 58024565 - BTW nummer NL070503849B01 1

Green-Consultant - info@green-consultant.nl - Tel. 06-51861495 Triodos Bank NL17TRIO0254755585 - KvK 58024565 - BTW nummer NL070503849B01 1 Bestemd voor: Klant t.a.v. de heer GoedOpWeg 27 3331 LA Rommeldam Digitale offerte Nummer: Datum: Betreft: CO 2 -Footprint & CO 2 -Reductie Geldigheid: Baarn, 24-08-2014 Geachte heer Klant, Met veel plezier

Nadere informatie

ENERGIEMANAGEMENTPROGRAMMA VDM-GROEP

ENERGIEMANAGEMENTPROGRAMMA VDM-GROEP ENERGIEMANAGEMENTPROGRAMMA VDM-GROEP F.G. van Dijk (Directie) C.S. Hogenes (Directie & lid MVO groep) Opdrachtgever : Van Dijk Maasland Groep Project : CO 2 Prestatieladder Datum : Maart 2011 Auteur :

Nadere informatie

Stakeholder behoeften beschrijven binnen Togaf 9

Stakeholder behoeften beschrijven binnen Togaf 9 Stakeholder behoeften beschrijven binnen Togaf 9 Inventarisatie van concerns, requirements, principes en patronen Bert Dingemans Togaf 9 kent verschillende entiteiten om de behoeften van stakeholders te

Nadere informatie

Energiezorgplan Van Dorp installaties bv 2011 2015. Versie 3.0 (Summary)

Energiezorgplan Van Dorp installaties bv 2011 2015. Versie 3.0 (Summary) Energiezorgplan Van Dorp installaties bv 2011 2015 Versie 3.0 (Summary) Auteurs: Van Dorp Dienstencentrum Datum: Update: Augustus 2013 Inhoudsopgave 1. Inleiding... 2 2. Energiebeleid... 3 2.1 Continue

Nadere informatie