Universiteit van Amsterdam. Baseline Informatiebeveiliging

Maat: px
Weergave met pagina beginnen:

Download "Universiteit van Amsterdam. Baseline Informatiebeveiliging"

Transcriptie

1 Universiteit van Amsterdam Baseline Informatiebeveiliging 2010 Voor akkoord getekend: leidinggevende naam, [functie] klant naam, [functie] d.d. d.d. Bestandsnaam : Baseline IB 2010 V01.doc Auteur : R. Boontje, B. Visser, J. van Dongen 1/26

2 Het lege document Doel van dit document is om het basisstelsel van beveiligingsmaatregelen te beschrijven. Documentbeheer versie datum distributie status wijzigingen op hoofdpunten Concept ter bespreking n.v.t. Bestandsnaam : Baseline IB 2010 V01.doc Auteur : R. Boontje, B. Visser, J. van Dongen 2/26

3 Inhoudsopgave Inhoudsopgave Over de baseline Inleiding Beveiligingsniveaus Classificatie van informatie Het kiezen van een niveau Informatiebeveiliging algemeen Omgaan met studenten Voor aanvang van een studie of cursus Gedurende de studie Omgaan met medewerkers Voor indiensttreding Gedurende het dienstverband Omgaan met derden Geheimhoudingsclausule in overeenkomsten Verantwoordelijkheden voor bedrijfsmiddelen Contact met special interest groepen Controle op naleving Onafhankelijke interne beoordeling Externe controle Inrichting en ontwikkeling van de informatievoorziening Toevoegen van nieuwe ICT functionaliteit Ontwikkeling en/of verwerving van nieuwe ICT systemen Betrokkenheid beveiligingsspecialist Scheiding van test/ontwikkel- en productieomgevingen Gebruik van productiegegevens in test en ontwikkelomgevingen Veiligheids Acceptatie Test Wijzigingsprocedure Inrichting van serversystemen Inrichting van netwerken Inrichting toegangsbeveiliging van ICT systemen Inrichting authenticatie van gebruikers Inrichting van logging Plaatsing van apparatuur Inrichting van server- en archiefruimten Omgeving van de ruimte Locatie Inrichting Brandbestrijdingsmiddelen Binnenklimaat Energievoorziening Inrichting van werkruimten Inrichting van werkstations Inrichting van mobiele toegang/toegang op afstand Mobiele toegang Mobiele apparatuur Beheer en onderhoud van de informatievoorziening Beheer van wijzigingen in de ICT omgeving Toegangsbeheer voor ICT systemen Toegang op netwerk niveau Toegang op systeemniveau Autorisaties op applicatieniveau Toegangsbeheer server- en archiefruimten Bestandsnaam : Baseline IB 2010 V01.doc Auteur : R. Boontje, B. Visser, J. van Dongen 3/26

4 4.4 Aanbrengen van veiligheidsupdates Backup van gegevens Controleren van systeemlogs Registratie en afhandeling van beveiligingsincidenten Capaciteitsbeheer Testen van continuïteitsvoorzieningen Beëindiging van de informatievoorziening Beëindiging personele omgang Na afloop van de studie door student Bij beëindiging van het dienstverband met medewerker Bij beëindiging van contract met derden Afdanken van media Gebruik van de informatievoorziening Gebruiksvoorwaarden UvA ICT voorzieningen Werken in server- of archiefruimten Omgaan met gerubriceerde informatie Uitwisseling van informatie Gebruik op afstand (telewerken/mobiel) Melden van incidenten Bestandsnaam : Baseline IB 2010 V01.doc Auteur : R. Boontje, B. Visser, J. van Dongen 4/26

5 1 Over de baseline 1.1 Inleiding Deze baseline moet beschouwd worden als het algemeen geldend minimumniveau van eisen voor beveiliging binnen de UvA. Hieraan dienen alle informatiesystemen te voldoen, om te beginnen de concerninformatiesystemen. De beschreven maatregelen zijn een combinatie van best-practices, bestaande UvA praktijk en ervaring van de samenstellers. Bij het samenstellen van de inhoud is primair uitgegaan van de laatste versie van de Code voor Informatiebeveiliging (NEN norm), echter de structuur van de Code is omwille van de toegankelijkheid niet aangehouden. Wel is in de baseline elk aandachtsgebied uit de Code beschreven. De structuur die is aangehouden in dit document volgt in grote lijnen de levenscyclus van de informatievoorziening: inrichting, beheer, gebruik en afdanken. De diverse onderwerpen kunnen in de verschillende stadia aan bod komen, echter nergens vindt een herhaling van zetten plaats. D.w.z. alle richtlijnen omtrent het veilig inrichten zijn te vinden onder inrichting, alle richtlijnen t.b.v. beheer zijn te vinden onder beheer enzovoorts. Enkele onderdelen passen niet direct in deze structuur, veelal omdat ze een overkoepelend karakter hebben. Hiervoor is dan ook een hoofdstuk informatiebeveiliging algemeen toegevoegd. Beschreven beveiligingsmaatregelen kunnen verder worden uitgewerkt in specifieke policies, procedures e.d Beveiligingsniveaus Implementatie van het basis beveiligingsniveau (aangehaald als de baseline ) biedt bescherming tegen verlies van vertrouwelijkheid, verlies van integriteit en permanent verlies van gegevens door alledaagse niet-gerichte dreigingen zoals virussen, stroomuitval, hardware fouten, script-kiddie aanvallen en basale fouten van beheerders. Let wel: over beschikbaarheid worden geen expliciete uitspraken gedaan op dit niveau ( best effort ). Soms is meer bescherming nodig dan het basisniveau kan bieden. Bijvoorbeeld tegen gerichte aanvallen een aanvaller wil om een bepaalde reden niet een systeem hacken, maar persé dáat systeem. Of beschikbaarheid is van zo'n groot belang dat best effort niet meer voldoende is. In die gevallen kunnen 1 of meerdere aanvullingen worden geïmplementeerd. De volgende aanvullingen zijn beschikbaar: V-Hoog (aangehaald als de baseline V-Hoog ) Biedt naast de basisbescherming tegen compromittatie van gegevens tevens bescherming tegen toegang tot gegevens door gerichte aanvallen van nietprofessionele aanvallers met een in zekere mate beperkt kennis en middelen niveau en fysieke toegang tot het UvAnet. I-Hoog (aangehaald als de baseline I-Hoog ) Biedt naast de basisbescherming tegen ongeautoriseerde wijziging of vernietiging van gegevens tevens verhoogde bescherming tegen ongeautoriseerde wijziging of vernietiging van gegevens door technisch falen en gericht handelen van personen. Ongeautoriseerde wijziging of vernietiging kan wel optreden, maar is op dit niveau doorgaans tegen redelijke meerkosten te herstellen. B-Hoog ( de baseline B-Hoog ) Bestandsnaam : Baseline IB 2010 V01.doc Auteur : R. Boontje, B. Visser, J. van Dongen 5/26

6 Biedt naast de basisbescherming tegen uitval en verlies tevens een verhoogde bescherming tegen verlies en uitval als gevolg van technisch falen door middel van toepassing van noodstroom (geschikt om langdurige stroomonderbreking op te vangen) en redundante voedingen/voedingslijnen. Op dit niveau is nog geen sprake van algehele systeem-redundantie of bescherming tegen bewust veroorzaakte uitval. Uitval is dus wel mogelijk, maar de kans is aanzienlijk kleiner t.o.v. het basisniveau door toepassing van noodstroom en enige redundantie op hardware niveau. Dit niveau is tegen redelijke meerkosten te realiseren. V-Zeer Hoog De baseline beschrijft geen maatregelen voor dit niveau, voor dit niveau is altijd sprake van maatwerk. Het biedt naast de bescherming van niveau V-Hoog tevens bescherming tegen toegang tot gegevens door gerichte aanvallen van professionele aanvallers met veel kennis en middelen en fysieke toegang tot het UvAnet. Toegang tot gegevens is op dit niveau zeer lastig. Het realiseren van dit niveau brengt echter doorgaans (zeer) hoge kosten met zich mee en levert vaak aanzienlijk ongemak op voor de eindgebruiker. I-Zeer Hoog. De baseline beschrijft geen maatregelen voor dit niveau, voor dit niveau is altijd sprake van maatwerk. Het biedt naast de bescherming van niveau I-Hoog tevens bescherming tegen wijziging of vernietiging van gegevens door ernstig technisch falende apparatuur of gerichte aanvallen van professionele frauderende handelingen. Het realiseren van dit niveau brengt doorgaans hoge kosten met zich mee. B-Zeer Hoog De baseline beschrijft geen maatregelen voor dit niveau, voor dit niveau is altijd sprake van maatwerk. Het biedt naast de basisbescherming van niveau B-Hoog tegen uitval en verlies tevens een zeer hoge bescherming tegen verlies en uitval (ongeacht de oorzaak, al dan niet moedwillig) door o.a. algehele systeemredundantie en noodstroomvoorzieningen (geschikt om langdurige stroomonderbreking op te vangen) Daarnaast kan gedacht worden aan het afsluiten van hoogwaardige servicecontracten met leveranciers (bv. 7 dagen per week) en het 7 dagen per week monitoren van het systeem. Uitval is bij dit beschermingsniveau zeer zeldzaam. Het realiseren van dit niveau brengt doorgaans hoge kosten met zich mee. De B staat voor Beschikbaarheid, de I staat voor Integriteit en de V staat voor Vertrouwelijkheid. In de baseline wordt voor iedere maatregel een minimale richtlijn beschreven en optioneel aanvullende richtlijnen voor de genoemde aanvullingen. NOOT: in deze versie van de baseline ligt het accent op het basisniveau. In volgende versies worden aanvullende normen en maatregelen per verantwoordelijkheidsgebied uitgewerkt om daardoor op een hoger beveiligingsniveau uit te komen. 1.3 Classificatie van informatie In het beleidsdocument voor informatiebeveiliging zijn de drie beveiligingsaspecten vertrouwelijkheid, integriteit en beschikbaarheid nader toegelicht. Deze spelen een rol bij de classificatie van informatie. De UvA onderscheidt de volgende informatieklassen ten aanzien van gevoeligheid/vertrouwelijkheid van informatie: Bestandsnaam : Baseline IB 2010 V01.doc Auteur : R. Boontje, B. Visser, J. van Dongen 6/26

7 Openbaar: Kennisneming brengt geen schade toe aan de belangen van de UvA, haar medewerkers of haar klanten; UvA intern: Kennisneming door enig lid van de UvA gemeenschap brengt geen schade toe aan de belangen van de UvA, haar medewerkers of haar klanten. Kennisneming door personen buiten de UvA gemeenschap kan mogelijk enig ongemak/lichte schade veroorzaken voor de UvA, haar medewerkers of haar klanten maar is vooral niet nodig. De categorie UvA intern verdient wellicht een toelichting. Een voorbeeld kan zijn een applicatie voor het reserveren van zaaltjes t.b.v. overleg. In beginsel is het niet erg dat een ieder via Internet kennis kan nemen van de diverse reserveringen (wijzigen is wellicht een ander verhaal). Aan de andere kant: wat hebben niet-uva'-medewerkers er mee te maken? En het is een kleine moeite om vrije toegang te beperken tot de UvA gemeenschap en daarmee wordt eventueel misbruik wellicht niet voorkomen, maar wel beter beheersbaar gemaakt; Vertrouwelijk: Kennisneming door niet-gerechtigden kan schade toebrengen aan de belangen van de UvA, haar medewerkers, haar klanten of andere betrokkenen; Zeer vertrouwelijk of geheim: Kennisneming door niet-gerechtigden kan ernstige schade toebrengen aan de belangen van de UvA, haar medewerkers, haar klanten of andere betrokkenen. Ten aanzien van juistheid, tijdigheid en volledigheid van informatie, d.w.z. integriteit, worden de volgende klassen onderscheiden: Niet vitaal: Ongewenste toevoeging, wijziging of vernietiging van gegevens brengt geen merkbare schade toe aan de belangen van de UvA, haar medewerkers of haar klanten; Vitaal: Ongewenste toevoeging, wijziging of vernietiging van gegevens brengt merkbare schade toe aan de belangen van de UvA, haar medewerkers of haar klanten, maar is niet onomkeerbaar; Zeer vitaal: Ongewenste toevoeging, wijziging of vernietiging van gegevens kan ernstige of onomkeerbare schade toebrengen aan de belangen van de UvA, haar medewerkers, haar klanten of andere betrokkenen. Ten aanzien van het belang van informatie, hetgeen tot uiting komt in beschikbaarheidseisen, worden de volgende klassen onderscheiden: Niet vitaal: algeheel niet beschikbaar zijn van deze informatie gedurende langer dan 1 week brengt geen merkbare schade toe aan de belangen van de UvA, haar medewerkers of haar klanten; Vitaal: algeheel niet beschikbaar zijn van deze informatie gedurende langer dan 1 week brengt merkbare schade toe aan de belangen van de UvA, haar medewerkers of haar klanten; Zeer vitaal: algeheel niet beschikbaar zijn van deze informatie gedurende langer dan 1 etmaal brengt merkbare schade toe aan de belangen van de UvA, haar medewerkers of haar klanten. 1.4 Het kiezen van een niveau Welk beveiligingsniveau geschikt is voor een bepaald informatiesysteem hangt af van de classificatie van de informatie die het systeem verwerkt. Bedoeld wordt informatie in elke verschijningsvorm. Dit is ongeacht het medium (zoals beeldscherm, papier, USB-stick, etc.). Bestandsnaam : Baseline IB 2010 V01.doc Auteur : R. Boontje, B. Visser, J. van Dongen 7/26

8 De classificatie dient door of namens de eigenaar van het betreffende informatiesysteem of verantwoordelijkheidsgebied (hierna: Eigenaar) te worden bepaald. Onderstaande tabel geeft weer welk beveiligingsniveau bij welke klasse van informatie behoort: Vertrouwelijkheid Openbaar UvA-Intern Vertrouwelijk Zeer vertrouwelijk Integriteit Niet vitaal Vitaal Zeer vitaal Beschikbaarheid Niet vitaal Vitaal Zeer vitaal Basisbescherming Basisbescherming Hoog Zeer Hoog Basisbescherming Hoog Zeer Hoog Basisbescherming Hoog Zeer Hoog Bestandsnaam : Baseline IB 2010 V01.doc Auteur : R. Boontje, B. Visser, J. van Dongen 8/26

9 2 Informatiebeveiliging algemeen 2.1 Omgaan met studenten Voor aanvang van een studie of cursus Elke student die gebruik zal maken van UvA ICT-faciliteiten, ontvangt daarvoor een UvAnetID en wordt uiterlijk bij aanvang van het gebruik door of namens de verantwoordelijke gemandateerde verzocht akkoord te gaan met het Reglement UvAnet en bijbehorende ICT-gedragsregels Gedurende de studie Op UvA niveau worden onder verantwoordelijkheid van de Manager Informatiebeveiliging ten behoeve van studenten periodiek bewustwordingsactiviteiten op het gebied van informatiebeveiliging georganiseerd. Bij het overtreden van beveiligingsvoorschriften kunnen corrigerende maatregelen genomen worden, waarbij gebruik gemaakt wordt van een standaard procedure conform paragraaf 7.2 (Naleving) uit het informatiebeveiligingsbeleid. 2.2 Omgaan met medewerkers Voor indiensttreding Elke medewerker die werkzaam zal zijn voor de UvA en gebruik zal maken van UvA ICT-faciliteiten ontvangt daarvoor een UvAnetID en wordt uiterlijk bij aanvang van het gebruik door of namens de gemandateerde (veelal de leidinggevende) verzocht akkoord te gaan met het Reglement UvAnet en bijbehorende ICT-gedragsregels. Voor aangestelde of gecontracteerde kandidaten die binnen de UvA als onderdeel van hun werk toegang zullen krijgen tot als Vertrouwelijk of hoger geclassificeerde informatie, zorgt P&O voor tenminste de volgende controles: controleren van tenminste 2 referenties (nabellen); originele diploma's laten zien (geen kopie); origineel paspoort tonen (geen kopie); een VOG (verklaring omtrent gedrag), profiel onderwijs Gedurende het dienstverband Op UvA niveau worden onder verantwoordelijkheid van de manager informatiebeveiliging ten behoeve van het personeel periodiek bewustwordingsactiviteiten op het gebied van informatiebeveiliging georganiseerd. Bij het overtreden van beveiligingsvoorschriften kunnen corrigerende maatregelen genomen worden, waarbij gebruik gemaakt wordt van een standaard procedure conform paragraaf 7.2 uit het informatiebeveiligingsbeleid. 2.3 Omgaan met derden In contracten met derden zijn de noodzakelijke informatiebeveiligingsvoorwaarden opgenomen. De verantwoordelijkheid hiervoor ligt bij de in het contract genoemde gemandateerde namens de UvA. Bestandsnaam : Baseline IB 2010 V01.doc Auteur : R. Boontje, B. Visser, J. van Dongen 9/26

10 In deze voorwaarden zijn tenminste opgenomen: De redenen, eisen en voordelen die de toegang door derden noodzakelijk maken; Beschrijving van de diensten die beschikbaar moeten worden gesteld; Respectievelijke aansprakelijkheden van de partijen in de overeenkomst; Toegestane toegangsmethoden en beheer en gebruik van toegangscodes en wachtwoorden; Autorisatieproces voor gebruikerstoegang en privileges van gebruikers; Indien de gebruikersadministratie niet door de UvA plaats vindt: de verplichting tot het bijhouden van een overzicht van personen die bevoegd zijn de ter beschikking gestelde dienst te gebruiken, en wat hun rechten en privileges zijn ten aanzien van een degelijk gebruik; De opmerking dat alle toegang die niet expliciet is toegestaan, verboden is; Een proces om toegangsrechten te herroepen of de verbinding tussen systemen af te breken; Gestelde eisen t.a.v. uitwisseling van informatie (conform paragraaf 5.4). Medewerkers van gecontracteerde derden dienen verwezen te worden naar het Reglement UvAnet en bijbehorende ICT gedragsregels. Van deze medewerkers kan een verklaring verlangd worden ten aanzien van geheimhouding en het voldoen aan het reglement en de gedragsregels. Controle en beoordeling van dienstverlening door (medewerkers van )derden is eveneens een taak van de in het contract genoemde gemandateerde. Hij behoort te waarborgen dat de voorwaarden van de overeenkomsten voor de informatiebeveiliging worden nageleefd en dat informatiebeveiligingsincidenten en problemen goed worden afgehandeld. Hiertoe draagt hij zorg voor een goede relatie tussen de UvA en de dienstverlenende partij en verifieert hij steekproefsgewijs of afspraken worden nagekomen. 2.4 Geheimhoudingsclausule in overeenkomsten In aanstellingen en overeenkomsten waarbij geheimhouding van informatie vereist is worden expliciete eisen opgenomen om vertrouwelijkheid van informatie te waarborgen. Deze overeenkomsten moeten in overeenstemming zijn met geldende wet- en regelgeving op dit gebied. In de eisen worden tenminste vastgelegd: Definitie, eigendom en toegestaan gebruik van vertrouwelijke informatie; Duur van de overeenkomst, verantwoordelijkheden van betrokkenen; Het recht om activiteiten inzake waarborging van vertrouwelijkheid te controleren; Vereiste activiteiten ter waarborging van de vertrouwelijkheid; Rapportage bij overtreding en sanctiebepalingen bij overtreding. 2.5 Verantwoordelijkheden voor bedrijfsmiddelen De verschillende verantwoordelijkheden op dit vlak zijn beschreven in hoofdstuk 2 van het informatiebeveiligingsbeleid. Kortheidshalve wordt hiernaar verwezen. Bestandsnaam : Baseline IB 2010 V01.doc Auteur : R. Boontje, B. Visser, J. van Dongen 10/26

11 2.6 Contact met special interest groepen De UvA informatiebeveiligingsfunctionarissen nemen deel in het landelijke overleg van informatiebeveiligers in het hoger onderwijs (Surf IBO). CERT-UvA onderhoudt nauwe samenwerkingscontacten met Surfnet-CERT en CERT-teams van andere universiteiten. Daarnaast nemen de UvA informatiebeveiligingsfunctionarissen deel aan professionaliseringsactiviteiten bij organisaties zoals Platform voor Informatiebeveiliging (PvIB), e.d. 2.7 Controle op naleving Onafhankelijke interne beoordeling De onafhankelijke interne beoordeling van de implementatie van het informatiebeveiligingsbeleid wordt uitgevoerd door de afdeling Concern Control. In overleg tussen Central Security Officer en Hoofd Concern Control worden uit te voeren beoordelingsactiviteiten afgesproken. Jaarlijks neemt de afdeling Concern Control de in dit kader uit te voeren activiteiten in haar audit jaarplan op. Rapportage is gericht aan de Central Security Officer Externe controle De externe controle van belangrijke onderdelen van het beveiligingsstelsel en de maatregelen zal in het kader van de werkzaamheden op het gebied van de jaarrekening jaarlijks plaatsvinden. Rapportage vindt plaats aan het CvB, de Central Security Officer en Directeur IC. Aanvullende externe beoordeling van de algemene kwaliteit van de informatiebeveiliging vindt in opdracht van de Central Security Officer plaats door een onafhankelijke externe partij. Rapportage vindt plaats aan de Central Security Officer. Bestandsnaam : Baseline IB 2010 V01.doc Auteur : R. Boontje, B. Visser, J. van Dongen 11/26

12 3 Inrichting en ontwikkeling van de informatievoorziening 3.1 Toevoegen van nieuwe ICT functionaliteit Bij het opnemen van nieuwe ICT functionaliteit binnen de heersende ICT architectuur dient toestemming te zijn verkregen van zowel de Eigenaar als de Directeur IC. Tevens dient de goedkeuringsprocedure (zie 4.1) te worden gerespecteerd en dienen de diverse testen te zijn afgerond (zie 3.2.4). 3.2 Ontwikkeling en/of verwerving van nieuwe ICT systemen Betrokkenheid beveiligingsspecialist Bij iedere nieuwe ontwikkeling dient vanaf het begin een beveiligingsspecialist betrokken te zijn. Afhankelijk van de aard van het systeem kan dit een Applicatie Specialist IB en/of een Infrastructuur Specialist IB zijn (zie hoofdstuk 2 van het informatiebeveiligingsbeleid). De betrokken beveiligingsspecialist en de projectleider voeren gezamenlijk een veiligheidsintake uit. Tijdens deze intake wordt bepaald welke beveiligingsaspecten van belang zijn en op welke wijze toetsing hiervan dient plaats te vinden. Gedurende het ontwikkelingstraject dienen deze aspecten getoetst te worden aan de hand van de tijdens de intake vastgestelde criteria. Voor systemen waarvoor het beveiligingsniveau Hoog is, geldt dat als onderdeel van het ontwikkelingstraject een onafhankelijke (d.w.z. niet bij de ontwikkeling/verwerving betrokken) informatiebeveiligingsdeskundige het systeem aan een algeheel veiligheidsonderzoek moet onderwerpen. Alle tijdens dit onderzoek ontdekte manco's moeten ofwel worden verholpen of door zowel de Eigenaar als de bij het project betrokken Specialist Informatiebeveiliging als geaccepteerd risico aangemerkt worden. Van de bevindingen alsmede eventueel geaccepteerde risico's wordt rapport opgemaakt. Dit rapport wordt ter beschikking gesteld aan de Eigenaar en aan de Manager Informatiebeveiliging. Het beschikbaar zijn van dit rapport is een criterium voor het slagen van de veiligheids acceptatie test Scheiding van test/ontwikkel- en productieomgevingen Er moeten verschillende, gescheiden omgevingen zijn voor testen/ontwikkeling en productie e.d. Tijdens transporten tussen de omgevingen dienen de vereiste beveiligingsmaatregelen gehandhaafd te blijven (zie ook 4.1 Beheer van wijzigingen in de ICT omgeving) Gebruik van productiegegevens in test en ontwikkelomgevingen Gegevens uit de productieomgevingen mogen niet gebruikt worden in test of ontwikkelomgevingen behoudens met de expliciete toestemming van zowel de Eigenaar als de Manager Informatiebeveiliging. Zij kunnen deze toestemming zowel onvoorwaardelijk als onder voorwaarden (bijvoorbeeld: dé-personificeren) verlenen. Indien deze toestemming in het geheel niet wordt verkregen zal in de test- of ontwikkelomgeving gewerkt moeten worden met speciaal voor dat doel samengestelde gegevensverzamelingen Veiligheids Acceptatie Test Alvorens een nieuw (of aanzienlijk gewijzigd) ICT systeem toe te voegen aan de productie omgeving moet expliciet geverifieerd worden of alle aspecten die bij de start Bestandsnaam : Baseline IB 2010 V01.doc Auteur : R. Boontje, B. Visser, J. van Dongen 12/26

13 van de ontwikkeling (tijdens de intake, zie 3.2.1) zijn aangemerkt als belangrijk, ook daadwerkelijk getoetst zijn en voldoen aan de gestelde criteria. Van deze check wordt apart rapport opgemaakt en dit rapport wordt ter beschikking gesteld aan de Eigenaar en de Manager Informatiebeveiliging Wijzigingsprocedure Voor het aanbrengen van wijzigingen aan de bestaande ICT omgeving is formele goedkeuring nodig. Zie hiervoor Inrichting van serversystemen Serversystemen worden ingericht op basis van een inrichtingsstandaard. Deze standaard wordt vastgesteld (i.c. goedgekeurd) door de Infrastructuur Specialist IB. Aanbevolen wordt om hierbij gebruik te maken van reeds beschikbare en betrouwbare bronnen zoals de baselines van o.a. leveranciers. Ook moet bij de inrichting van serversystemen rekening gehouden worden met het kunnen voldoen aan de vereisten voor het maken van backups van gegevens (zie paragraaf 4.5), het aanbrengen van veiligheidsupdates (zie paragraaf 4.4), logging (zie paragraaf 3.7), authenticatie van gebruikers (zie paragraaf 3.6) en het voeren van capaciteitsbeheer (zie paragraaf 4.8). Ten behoeve van het detecteren van ongewenste wijzigingen dienen alle serversystemen voorzien te zijn van een host-based intrusion detection systeem dat tenminste periodiek de integriteit van alle belangrijke systeembestanden verifieert. Tevens dienen maatregelen genomen te worden om de integriteit van de door deze systemen gebruikte database met checksums te waarborgen 1. Ten behoeve van capaciteitsbeheer dienen alle serversystemen voorzien te zijn van middelen om het CPU en geheugen gebruik centraal te kunnen monitoren. Voor servers welke bedoeld zijn om ingezet te worden op beveiligingsniveau B- Hoog is het noodzakelijk dat deze zijn uitgerust met redundant uitgevoerde voeding en opslag. Houdt tevens rekening met het gestelde in paragraaf 3.5 aangaande het least privilege beginsel. 3.4 Inrichting van netwerken Voor de inrichting van netwerken gelden vanuit het oogpunt van beveiliging de volgende richtlijnen: netwerken moeten worden verdeeld in segmenten met een gelijk functioneel doel en/of gelijk gebruiksrisico 2 ; verkeer tussen de verschillende segmenten is alleen toegestaan indien noodzakelijk en legitiem ( deny by default ); middels technische maatregelen moet zoveel als (technisch) mogelijk worden afgedwongen dat alleen bekende/vertrouwde systemen in een netwerksegment aanwezig zijn 3 ; Een mogelijkheid is om deze database op een ander systeem te bewaren en steeds vlak voor de check deze te laten downloaden. Denk hierbij aan laptops, wel/niet door IC beheerde werkstations, gasten, serversystemen etc. Een laptop net voor bijvoorbeeld bezoekers of de eigen laptop van studenten zou een uitzondering op deze regel kunnen zijn. In voorkomende gevallen zal echter het verkeer van en naar dit segment zeer strikt moeten worden gereguleerd. Bestandsnaam : Baseline IB 2010 V01.doc Auteur : R. Boontje, B. Visser, J. van Dongen 13/26

14 ten behoeve van netwerkbeheer dient voorzien te zijn in middelen om de hoeveelheid en de aard van het netwerkverkeer op en tussen de verschillende segmenten te kunnen monitoren. 3.5 Inrichting toegangsbeveiliging van ICT systemen De zichtbaarheid van een systeem moet zoveel als technisch mogelijk is beperkt worden tot die gebruikers die legitiem toegang hebben tot het systeem. Systemen waarvoor het beveiligingsniveau V-Hoog of I-Hoog geldt, mogen niet benaderbaar zijn over Internet of via draadloze netwerkverbindingen, behoudens via de UvA VPN faciliteit. Gebruikers van ICT systemen dienen altijd geauthenticeerd te zijn alvorens toegang wordt verkregen tot een systeem. Uitzonderingen op bovenstaande vormen publiek toegankelijke websites, die voor een ieder zichtbaar moeten zijn en waarvoor anonieme toegang is toegestaan in voorkomende gevallen dient echter de toegang tot alleen-lezen beperkt te zijn. Verder dient het ICT systeem af te dwingen dat gebruikers en processen die op het systeem draaien alleen die handelingen kunnen uitvoeren waarvoor zij expliciet geautoriseerd zijn (zie ook 4.2 toegangsbeheer voor ICT systemen). Hierbij geldt een denied by default -policy. Dus als niet is komen vast te staan dat een gebruiker de voor een handeling benodigde autorisaties heeft, wordt de handeling niet toegestaan. Dit staat bekend als het least privilege beginsel. Bovenstaande geldt tevens voor operationeel beheerders van systemen voor zover het taken zijn die routinematig en met regelmaat moeten worden uitgevoerd zal bij de inrichting van een systeem een overzicht van deze taken en de benodigde rechten worden opgesteld. Operationeel beheerders krijgen vervolgens die rechten toegewezen die nodig zijn voor het uitvoeren van de gespecificeerde taken. 3.6 Inrichting authenticatie van gebruikers Authenticatie van gebruikers (daaronder ook te verstaan beheerders) vindt plaats middels een persoonsgebonden gebruikersnaam en een wachtwoord. Voor systemen waarvoor het beveiligingsniveau Hoog geldt en voor toegang op systeemniveau (zie 4.2.2) zijn aanvullende factoren vereist (bijvoorbeeld 2-factor authenticatie). Alle systemen maken gebruik van UvAnetID en, indien vereist, 2-factor authenticatie. In alle gevallen gelden de volgende regels voor wachtwoorden: Het wachtwoord heeft minimaal 8 karakters; Het wachtwoord bestaat uit tenminste 1 hoofdletter, 1 cijfer en 1 leesteken; Het wachtwoord is: o geen bestaand woord; o niet gelijk aan, of afgeleid van het UvAnetID van de gebruiker; o niet gelijk aan, of afgeleid van de achternaam of voornaam van de gebruiker. Bestandsnaam : Baseline IB 2010 V01.doc Auteur : R. Boontje, B. Visser, J. van Dongen 14/26

15 Het wachtwoord heeft een geldigheidsduur van maximaal 1 jaar. Wachtwoorden worden alleen in versleutelde vorm opgeslagen en alleen versleuteld getransporteerd over het netwerk. Hierbij dient een cryptografisch sterk hashing algoritme gebruikt te worden 4. De wachtwoord eisen worden afgedwongen door het authenticatiesysteem. Aan gebruikers wordt tijdig gemeld dat het wachtwoord verloopt. Per account zijn slechts 5 achtereenvolgende foutieve inlogpogingen toegestaan per termijn van minimaal 15 minuten. Indien dit aantal wordt overschreden, wordt het account voor minimaal 15 minuten geblokkeerd. Bij het aanmaken van een nieuw wachtwoord of bij verlies van een wachtwoord, wordt een wachtwoord voor eenmalige toegang gegenereerd, met als doel dat de gebruiker z.s.m. na ontvangst een nieuw persoonlijk wachtwoord kan instellen. 3.7 Inrichting van logging Activiteiten van gebruikers, uitzonderingen en informatiebeveiligingsgebeurtenissen behoren te worden vastgelegd in audit logbestanden. Deze informatie kan gebruikt worden voor audit doeleinden en voor het verhelpen van incidenten. Deze logbestanden behoren gedurende tenminste 3 maanden te worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. De Eigenaar kan verzoeken om logbestanden voor een bepaald systeem langer te bewaren. Voor alle systemen moeten tenminste de navolgende gebeurtenissen worden geregistreerd: mislukte aanlog pogingen zowel op systeemniveau als op toepassingsniveau (indien de toepassing inloggen vereist); alle vormen van directe toegang op systeemniveau; reboots van het systeem en het stoppen en starten van toepassingen; afwijkingen als gedetecteerd door file-integriteits checks alsmede het feit of de check heeft plaatsgevonden. Voor systemen welke het beveiligingsniveau Hoog vereisen dienen tevens alle gebeurtenissen of combinatie van gebeurtenissen welke kunnen duiden op fraude te worden geregistreerd. De Eigenaar is verantwoordelijk voor het opstellen van een lijst van dergelijke gebeurtenissen tijdens het ontwikkelproces (zie 3.4). In de audit logbestanden behoren de volgende gegevens te worden vastgelegd: gebruikers-id's; data, tijdstippen en details van de geregistreerde gebeurtenissen; waar mogelijk de identiteit van de computerterminal of de locatie. Tijdstippen in logbestanden moeten worden vastgelegd in UTC. Alle informatiesystemen dienen hun beveiligingsgerelateerde log informatie naar een centraal beheerd log systeem te versturen. De technisch beheerder van dit log systeem heeft geen systeembeheer-toegang tot andere systemen behalve het centrale log systeem (functiescheiding). 4 De door Windows gebruikte algoritmen (lmhash, nthash) voldoen niet. LM-Hash dient in geheel niet meer toegepast te worden Begin 2007 komt hiervoor bij nieuwe ontwikkeling alleen SHA-256/384/512 in aanmerking. Voor bestaande systemen zijn MD5 en SHA-1 ook nog acceptabel, echter voor 2010 zou het gebruik bij voorkeur zijn uitgefaseerd. Bestandsnaam : Baseline IB 2010 V01.doc Auteur : R. Boontje, B. Visser, J. van Dongen 15/26

16 De beheerder van het centrale log systeem zal er op toezien dat het systeem steeds voldoende capaciteit heeft. 3.8 Plaatsing van apparatuur Apparatuur zoals servers en netwerkcomponenten (welke niet bedoeld zijn voor persoonsgebonden gebruik) dienen geplaatst te worden in een speciaal daartoe ingerichte serverruimte (zie hierna 3.9 Inrichting van server- en archiefruimten). 3.9 Inrichting van server- en archiefruimten Ruimten waar zich grote hoeveelheden belangrijke informatie cq. belangrijke ICT infrastructuur bevinden, zoals serverruimten of archiefruimten, dienen als beveiligde ruimte aangewezen worden. Beveiligde ruimten moeten zijn beveiligd tegen ongeautoriseerde toegang, schade en verstoring. Iedere beveiligde ruimte heeft een beheerder. Deze beheerder is verantwoordelijk voor het naleven van de richtlijnen. Op of naast de deur van een dergelijke ruimte dient een bordje of sticker te zijn aangebracht met daarop de naam en contactgegevens van de beheerder en eventueel aangestelde sleutelbeheerder (zie 4.2 Toegangsbeheer voor ICT systemen) Omgeving van de ruimte De omgeving van beveiligde ruimten, de zogenaamde beveiligde zone, dient te voldoen aan de volgende richtlijnen: De grenzen van de beveiligde zone behoren duidelijk te worden gedefinieerd (in de administratieve zin) maar niet als zodanig zichtbaar te zijn; Het gebouw of locatie waarin zich beveiligde zones/ruimtes bevinden behoort fysiek deugdelijk te zijn. Aanbevolen wordt aan te sluiten bij de eisen zoals die worden opgesteld in de Nederlandse Praktijk Richtlijn voor Computerruimtes en Datacenters die ontwikkeld wordt door de NEN werkgroep ; Alle branddeuren in een beveiligde zone behoren te zijn voorzien van een alarm, te worden gecontroleerd en getest in combinatie met de muren, om overeenkomstig nationale, regionale of internationale normen het vereiste brandwerendheid niveau vast te stellen; ze behoren volgens de plaatselijke brandvoorschriften faalveilig te functioneren; ICT-voorzieningen of archieven die door de organisatie zelf worden beheerd, behoren fysiek te zijn gescheiden van systemen die door derden worden beheerd Locatie De locatie van de beveiligde ruimte dient zo gekozen te worden dat de kans op schade door bedreigingen van buitenaf, zoals brand, overstroming, molest etc. minimaal is. Dit houdt in: boven straatniveau en, indien realiseerbaar, boven NAP; indien op de begane grond: niet direct grenzend aan de publieke ruimte (bijvoorbeeld straat); niet in de nabijheid van een ruimte waar erg brandbare of anderszins gevaarlijke materialen worden opgeslagen (de wenselijke afstand is afhankelijk van het soort materiaal dat opgeslagen ligt hier dient bij de inrichting naar gekeken te worden. Echter zeker niet direct aangrenzend); Bestandsnaam : Baseline IB 2010 V01.doc Auteur : R. Boontje, B. Visser, J. van Dongen 16/26

17 niet in de directe nabijheid, en zeker niet onder, natte ruimten zoals bijvoorbeeld toiletgroepen. Indien dit onvermijdelijk is dienen aanvullende maatregelen genomen te worden om schade door overstroming te voorkomen. Denk dan aan veel vrije ruimte onder de verhoogde vloer (dus geen stopcontacten op de ondervloer) en/of een extra overkapping over kasten of racks zodat eventueel van boven instromend water gekanaliseerd kan worden; bij voorkeur niet direct op het zuiden of direct onder het (platte) dak indien dit onvermijdelijk is dient extra aandacht te worden besteed aan koeling Inrichting Er mogen geen water-, gas- of elektriciteitsleidingen door of vlak boven de beveiligde ruimte lopen, anders dan welke nodig zijn voor voorzieningen in de ruimte zelf. Indien dit onvermijdelijk is (bijvoorbeeld in bestaande bouw) dient de aanwezigheid en locatie van deze leidingen duidelijk gedocumenteerd en gemarkeerd te worden Brandbestrijdingsmiddelen In de ruimte dienen adequate brandbestrijdingsmiddelen aanwezig te zijn in lijn met de heersende wet- en regelgeving. Evenwel mogen de toegepaste blusmiddelen niet schadelijk zijn voor de in de ruimte aanwezige systemen of archieven Binnenklimaat Het binnenklimaat van beveiligde ruimten dient beheerst te worden. Voor ruimten waarin ICT-systemen of papieren archieven zijn ondergebracht geldt: een constante temperatuur van graden Celsius (met een absoluut maximum van 30 graden Celsius); een constante relatieve luchtvochtigheid van idealiter 50-55% (maar minimaal 30% en maximaal 70%). Tevens dient het binnenklimaat bewaakt te worden. Bij afwijkingen van de vereiste waarden dient de beheerder van de ruimte gealarmeerd te worden. De beheerder dient vervolgens correctieve actie te ondernemen Energievoorziening Met name voor server- en datacomruimten geldt dat voorzien moet zijn in een deugdelijke energievoorziening. Iedere kast moet voorzien zijn van een stroomvoorziening met een capaciteit die toereikend is voor de in de kast geïnstalleerde apparatuur. Tevens dient voorzien te zijn in een UPS welke tenminste voldoende capaciteit biedt om een stroomonderbreking van een half uur op te vangen (teneinde alle systemen gecontroleerd af te kunnen sluiten). Voor niveau B-Hoog en hoger dient de stroomvoorziening dubbel uitgevoerd te worden middels twee voedingslijnen uit verschillende schakelkasten. Tevens dient te zijn voorzien in een noodstroomvoorziening welke, zonder menselijke tussenkomst, minimaal een onderbreking van 24 uur kan overbruggen. De benodigde capaciteit is sterk afhankelijk van het beoogde gebruiksdoel van de ruimte en zal tijdens het inrichtingstraject moeten worden ingeschat Inrichting van werkruimten Werkruimten waar met vertrouwelijke informatie wordt gewerkt dienen afsluitbaar te zijn en tevens te zijn voorzien van afsluitbare opbergmiddelen van toereikende capaciteit. Bestandsnaam : Baseline IB 2010 V01.doc Auteur : R. Boontje, B. Visser, J. van Dongen 17/26

18 De afsluiting van een werkruimte of opbergmiddel hoeft niet zodanig zwaar te worden uitgevoerd dat toegang wordt voorkomen, maar is bedoeld om te zorgen dat ongeautoriseerde toegang niet kan geschieden zonder duidelijke sporen van braak Inrichting van werkstations Werkstations dienen zo ingericht te worden dat: Gebruikers geen onnodige beheerdersrechten hebben; Het beeldscherm na 10 minuten in-activiteit wordt geblokkeerd, waarna de gebruiker opnieuw zijn wachtwoord moet ingeven om opnieuw toegang te verkrijgen; In situaties waarin de standaard schermbeveiliging niet goed werkbaar blijkt te zijn, dienen zodanige alternatieve maatregelen te worden genomen dat voorkomen wordt dat onbevoegd gebruik kan worden gemaakt van werkstations of dat anderszins onbevoegde inzage in geclassificeerde (vertrouwelijk en hoger) gegevens kan worden verkregen. Maatregelen kunnen bijvoorbeeld bestaan uit (een combinatie van): Werkstations onder toezicht te stellen Onbewaakte werkstations in een afgesloten ruimte opstellen en de toegang beperken tot een vooraf gedefinieerde groep geautoriseerde personen Onbewaakte werkstations ontdoen van de mogelijkheden om de getoonde gegevens te veranderen of te verwijderen. Deze optie geldt slechts in het geval er openbare gegevens worden getoond, immers voor geclassificeerde gegevens (vertrouwelijk en hoger) gelden altijd beperkte toegangsrechten. Geen informatie kan worden opgeslagen op het lokale systeem, zodat gebruikers gedwongen zijn om gebruik te maken van netwerkopslag; Maatregelen zijn genomen tegen de besmetting van het werkstation met virussen, wormen en andere malware; Maatregelen zijn genomen ter spoedige detectie van een eventuele besmetting met malware. In een aantal gevallen zal bovenstaande niet (volledig) gerealiseerd kunnen worden. In voorkomende gevallen dient dit feit als uitzondering te worden aangemerkt en dient de gebruiker schriftelijk op de hoogte te worden gesteld van de extra verantwoordelijkheid die hij hierdoor draagt Inrichting van mobiele toegang/toegang op afstand Mobiele toegang Toegang tot systemen van de UvA waarvoor het beveiligingsniveau V-Hoog of I- Hoog geldt, is in beginsel alleen toegestaan vanaf vertrouwde segmenten van het UvAnet. Toegang via Internet mag alleen via UvAVPN (dit is een minimum eis er kunnen aanvullende eisen worden gesteld aan de toegang en het gebruik). Met betrekking tot laptops welke niet onder beheer van het IC staan geldt dat deze worden beschouwd als gelijk aan een willekeurig systeem op Internet. Deze systemen krijgen alleen toegang via UvAdraadloos of een laptopnetwerk (bedrade UvAnet). Zowel UvAdraadloos als het laptopnetwerk wordt niet beschouwd als een vertrouwd segment van het UvAnet. Bestandsnaam : Baseline IB 2010 V01.doc Auteur : R. Boontje, B. Visser, J. van Dongen 18/26

19 Mobiele apparatuur Aangaande verwijderbare massa media als USB-sticks en mobiele apparatuur zoals laptops, PDA's en smartphones, e.d. geldt dat deze in beginsel niet mogen worden gebruikt voor de opslag en/of verwerking van vertrouwelijke informatie. Indien hier wel behoefte aan is, is maatwerk vereist. Door UvA beheerde mobiele apparatuur wordt voorzien van toegangsbeveiliging. Er wordt gebruik gemaakt van een lock-out policy. Vertrouwelijke informatie wordt uitsluitend versleuteld opgeslagen op mobiele apparatuur. Transport van vertrouwelijke informatie tussen mobiele apparatuur en UvA systemen vindt altijd plaats middels beveiligde communicatieprotocollen.. De gebruiker van mobiele apparatuur dient te worden gewezen op de risico's van opslag van vertrouwelijke informatie op mobiele apparaten (bewustwording). De gebruiker dient maatregelen te nemen om het risico van diefstal zoveel mogelijk te beperken. Er is een procedure voor het melden en afhandelen van diefstal of verlies van door de UvA beheerde mobiele apparatuur. 4 Beheer en onderhoud van de informatievoorziening 4.1 Beheer van wijzigingen in de ICT omgeving Voor de installatie van nieuwe ICT-voorzieningen of wijziging van bestaande voorzieningen wordt door de procescoördinator wijzigingsbeheer een goedkeuringsprocedure vastgesteld. In deze procedure is vastgelegd dat ongeautoriseerde voorzieningen niet mogen worden geïnstalleerd of gebruikt en dat elke installatie en bijbehorend doel en gebruik formeel moeten worden goedgekeurd op zakelijk en technisch niveau. Zakelijke goedkeuring wordt verleend door de betreffende Eigenaar, technische goedkeuring door de managers die verantwoordelijk zijn voor onderhoud en beheer van de voorziening. Naleving van de goedkeuringsprocedure wordt jaarlijks gecontroleerd door of namens de Manager Informatiebeveiliging. In een dienst die wordt verleend door een derde partij, is het beheer van wijzigingen de verantwoordelijkheid van de manager onder wiens verantwoordelijkheid de overeenkomst met de derde partij is aangegaan. Steeds geldt dat tijdens en na een wijziging een situatie moet bestaan welke voldoet aan de gestelde (beveiligings)eisen. 4.2 Toegangsbeheer voor ICT systemen Toegang op netwerk niveau Wijzigingen in de toegang op netwerk niveau t.o.v. de oorspronkelijke inrichting zijn alleen mogelijk met instemming van de Eigenaar en een positief advies van de infrastructuur specialist IB. Bestandsnaam : Baseline IB 2010 V01.doc Auteur : R. Boontje, B. Visser, J. van Dongen 19/26

20 4.2.2 Toegang op systeemniveau Toegang op systeemniveau is voorbehouden aan de technische beheerders. Beheerders krijgen naast het persoonlijke UvAnetID tevens de beschikking over een persoonlijk beheeraccount. Bij de inrichting van een systeem wordt een overzicht opgesteld van uit te voeren operationele beheertaken en de bijhorende rechten. Deze rechten worden toegevoegd aan het persoonlijk beheeraccount van de betreffende operationeel beheerders. Toegang met het algemene administrator of root account is niet toegestaan. 5 Een beperkte groep technisch beheerders krijgt middels hun persoonlijke beheeraccount rechten die vergelijkbaar zijn met administrator of root Autorisaties op applicatieniveau Autorisaties op applicatieniveau worden volgens het least privilege beginsel (zie 3.5 Inrichting toegangsbeveiliging) verstrekt door of namens de Eigenaar, waarbij deze tevens rekening houdt met eventueel vereiste functiescheiding. Hiertoe wordt door de Eigenaar voor iedere applicatie een procedure ingericht voor het aanvragen en verkrijgen van de benodigde autorisaties. Periodiek (tenminste 1x per kwartaal) wordt door de functioneel beheerder een overzicht geproduceerd van alle uitgegeven autorisaties. Deze worden vervolgens door de Eigenaar geverifieerd. Indien bepaalde autorisaties niet meer actueel blijken te zijn worden deze per direct ingetrokken. Voor systemen met meer dan 50 gebruikers kan worden volstaan met een relevante steekproef. 4.3 Toegangsbeheer server- en archiefruimten Toegang tot beveiligde ruimten moet worden beheerst en behoort te worden beperkt tot bevoegd personeel. Hierbij kan gekozen worden uit twee methoden: 1. persoonsgebonden elektronische toegangspasjes; 2. klassieke veiligheidssloten met een bijhorend sluitend sleutelplan en een sleuteluitgifteprocedure. Het verkrijgen van autorisaties voor het betreden van een beveiligde ruimte verloopt via de beheerder van de ruimte. Voor de uitvoering van deze bepaling kan de beheerder van de ruimte desgewenst een sleutelbeheerder aanstellen. Toegangsrechten tot beveiligde ruimten dienen tenminste ieder kwartaal te worden beoordeeld en wanneer nodig te worden ingetrokken. Dit is een verantwoordelijkheid van de betreffende beheerder. 4.4 Aanbrengen van veiligheidsupdates De technisch beheerder van een systeem draagt zorg voor het opstellen, documenteren en uitvoeren van een procedure waarmee de door hem beheerde systemen steeds zo snel als mogelijk, nodig en verantwoord voorzien worden van door de leverancier/auteur uitgebrachte veiligheidsupdates. 4.5 Backup van gegevens Van centraal, onder beheer van het IC, opgeslagen gegevens wordt tenminste eenmaal per dag een backup gemaakt. Deze gegevens worden tenminste 30 dagen bewaard. Op verzoek van de Eigenaar is het mogelijk om hier voor archiefdoeleinden een 5 Voor windows systemen kan hiervoor gebruik gemaakt worden van het geldende rechtenssyteem. Voor unix systemen wordt het gebruik van 'sudo' aanbevolen. Bestandsnaam : Baseline IB 2010 V01.doc Auteur : R. Boontje, B. Visser, J. van Dongen 20/26

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Minimale Maatregelen Universiteit Leiden Versie 5 8 juli 2004 Inhoudsopgave 1 Inleiding 3 1.1 Uitgangspunten 3 1.2 Minimumniveau van beveiliging 3 2 Minimale set maatregelen

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Remote Toegang Policy VICnet/SPITS

Remote Toegang Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Remote Toegang Policy VICnet/SPITS 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Systeemconfiguratie Policy VICnet/SPITS

Systeemconfiguratie Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Systeemconfiguratie Policy VICnet/SPITS 15 Februari 2005 Eindverantwoordelijkheid Opgesteld Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

Gedragsregels. ICT-voorzieningen

Gedragsregels. ICT-voorzieningen Gedragsregels ICT-voorzieningen Gedragsregels gebruik ICT-voorzieningen Jac. P. Thijsse College 1. Algemeen De onderstaande regels zijn geldig voor iedereen die gebruik maakt van de ICT-voorzieningen van

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Privacy Verklaring versie 01-10-2015

Privacy Verklaring versie 01-10-2015 Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,

Nadere informatie

PRIVACY- EN COOKIEBELEID MKB Webhoster gepubliceerd op 1 januari 2015

PRIVACY- EN COOKIEBELEID MKB Webhoster gepubliceerd op 1 januari 2015 PRIVACY- EN COOKIEBELEID MKB Webhoster gepubliceerd op 1 januari 2015 MKB Webhoster erkent dat privacy belangrijk is. Dit Privacy- en Cookiebeleid (verder: Beleid) is van toepassing op alle producten diensten

Nadere informatie

Gedragsregels gebruik ICT-voorzieningen Bonhoeffer College. 1.1 Algemeen

Gedragsregels gebruik ICT-voorzieningen Bonhoeffer College. 1.1 Algemeen Gedragsregels gebruik ICT-voorzieningen Bonhoeffer College 1.1 Algemeen Ieder die gebruik maakt van het Bonhoeffer College (haar gebouwen, terreinen en andere voorzieningen) daaronder begrepen materiële-,

Nadere informatie

ROC Leeuwenborgh. Gedragscode computergebruik en gebruik van Sociale Media

ROC Leeuwenborgh. Gedragscode computergebruik en gebruik van Sociale Media ROC Leeuwenborgh Gedragscode computergebruik en gebruik van Sociale Media Documentstatus Datum: Aard wijziging: Door: Toelichting: 26 februari 2013 Bert Wetzels Instemming OR Deze gedragscode geeft de

Nadere informatie

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Veilige afvoer van ICT-middelen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari 2005. Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren.

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari 2005. Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren. Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat DMZ Policy 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren Geaccepteerd Manager SPITS

Nadere informatie

Privacy reglement publieke XS-Key

Privacy reglement publieke XS-Key Privacy reglement publieke XS-Key Dit is het Privacy reglement behorend bij XS-Key Systeem van Secure Logistics BV (hierna te noemen SL ). 1. Definities In dit reglement worden de navolgende begrippen

Nadere informatie

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Overzicht Informatiebeveiliging Inlichtingenbureau GGK Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende

Nadere informatie

Beknopt overzicht van bedreigingen en maatregelen

Beknopt overzicht van bedreigingen en maatregelen Beknopt overzicht van bedreigingen en maatregelen Dit voorbeelddocument omvat een beknopt overzicht van bedreigingen en maatregelen. De opgesomde componenten, bedreigingen en maatregelen zijn bedoeld om

Nadere informatie

Privacyreglement Hulp bij ADHD

Privacyreglement Hulp bij ADHD Privacyreglement Hulp bij ADHD Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens (Staatsblad

Nadere informatie

Algemene voorwaarden voor het gebruik van de NCDR database en website

Algemene voorwaarden voor het gebruik van de NCDR database en website ALGEMENE VOORWAARDEN VAN NCDR Algemene voorwaarden voor het gebruik van de NCDR database en website 1. Definities 1.1 De hierna met een hoofdletter aangeduide begrippen hebben de volgende betekenis: a.

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Privacy Reglement Flex Advieshuis

Privacy Reglement Flex Advieshuis Privacy Reglement Flex Advieshuis Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In aanvulling op de Wet bescherming persoonsgegevens en het Besluit Gevoelige Gegevens wordt in dit reglement

Nadere informatie

Privacy-AO voor een beveiliger Martin Romijn

Privacy-AO voor een beveiliger Martin Romijn Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de gegevensbescherming Security Officer Onderwerpen AO van Security Officer (SO) Kader Incidenten en vragen AO Functionaris Gegevensbescherming

Nadere informatie

Rapport definitieve bevindingen

Rapport definitieve bevindingen POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl Stichting Hogeschool Utrecht Onderzoek

Nadere informatie

Versie: 1.0 Datum: 1 oktober 2011. Integriteitscode ICT

Versie: 1.0 Datum: 1 oktober 2011. Integriteitscode ICT Versie: 1.0 Datum: 1 oktober 2011 Integriteitscode ICT Toelichting Voor u ligt de 'Integriteitscode ICT van de Erasmus Universiteit Rotterdam (EUR). De integriteitscode bevat een overzicht van de huidige

Nadere informatie

Doel van de opleiding informatieveiligheid

Doel van de opleiding informatieveiligheid Doel van de opleiding informatieveiligheid Het netwerk voor elektronische uitwisseling van persoonsgegevens tussen de diverse instellingen van de sociale zekerheid, dat door de Kruispuntbank wordt beheerd,

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/11/135 ADVIES NR 11/16 VAN 8 NOVEMBER 2011 BETREFFENDE DE AANVRAAG VAN HET NATIONAAL ZIEKENFONDS PARTENA

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/13/159 ADVIES NR 13/66 VAN 2 JULI 2013 BETREFFENDE DE AANVRAAG VAN XERIUS KINDERBIJSLAGFONDS VOOR HET VERKRIJGEN

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

BEWERKERSOVEREENKOMST EMATTERS

BEWERKERSOVEREENKOMST EMATTERS BEWERKERSOVEREENKOMST EMATTERS Ondergetekenden: [NAAM KLANT], gevestigd [ADRES] te [PLAATS] en ingeschreven bij de Kamer van Koophandel onder nummer [KVKNUMMER], hierbij rechtsgeldig vertegenwoordigd door

Nadere informatie

SLA Hosting camerabeelden

SLA Hosting camerabeelden SLA Hosting camerabeelden DAXIS WEB B.V. Maagdenburgstraat 22 7421 ZC Deventer 1 DEFINITIES 3 2 BESCHIKBAARHEID DIENSTEN 5 2.1 BESCHIKBAARHEID DATACENTER 5 2.2 ALGEMENE BESCHIKBAARHEID VAN HET NETWERK

Nadere informatie

VEILIGHEID & BEVEILIGING Facilitaire Dienst - Universiteit Maastricht

VEILIGHEID & BEVEILIGING Facilitaire Dienst - Universiteit Maastricht VEILIGHEID & BEVEILIGING REGLEMENT CAMERATOEZICHT UNIVERSITEIT MAASTRICHT Dit reglement ziet toe op het cameratoezicht op de terreinen en in de panden van de Universiteit Maastricht. Met behulp van camera

Nadere informatie

Gebruiksvoorwaarden Wijzelf

Gebruiksvoorwaarden Wijzelf Gebruiksvoorwaarden Wijzelf Welkom bij Wijzelf. Door gebruik te maken van de dienstverlening van Wijzelf en die van de Wijzelf zorgcoöperaties, onder andere door middel van de website van Wijzelf, gaat

Nadere informatie

uw (bedrijfs)naam, e-mail adres, adres, (statutaire) vestigingsadres, telefoonnummer en geslacht.

uw (bedrijfs)naam, e-mail adres, adres, (statutaire) vestigingsadres, telefoonnummer en geslacht. Privacybeleid Zoek en Vind Algemeen Zoek en Vind maakt voor de exploitatie van haar website en diensten gebruik van persoonsgegevens. Ter bescherming van de persoonsgegevens van de gebruiker heeft Zoek

Nadere informatie

Reglement voor het gebruik van computer- en netwerkfaciliteiten Grafisch Lyceum Rotterdam

Reglement voor het gebruik van computer- en netwerkfaciliteiten Grafisch Lyceum Rotterdam Reglement voor het gebruik van computer- en netwerkfaciliteiten Grafisch Lyceum Rotterdam Artikel 1: Begripsomschrijving In deze gebruiksvoorwaarden wordt verstaan onder: a. Gebruikers: alle onder artikel

Nadere informatie

Checklist calamiteiten

Checklist calamiteiten Checklist calamiteiten Op grond van de Voorbeeld Samenwerkingsovereenkomst Volmacht dienen gevolmachtigde assurantiebedrijven te beschikken over een calamiteitenplan. Het calamiteitenplan moet erin voorzien

Nadere informatie

DataCenter Fryslân. Voorschriften toegangsverlening en gedragsregels voor DataCenter Fryslân, François Haverschmidtwei 3A te Leeuwarden

DataCenter Fryslân. Voorschriften toegangsverlening en gedragsregels voor DataCenter Fryslân, François Haverschmidtwei 3A te Leeuwarden DataCenter Fryslân DataCenter Fryslân, François Haverschmidtwei 3A te Leeuwarden Versie 1.4, februari 2010 1 Afkortingen en begrippen... 3 2 Beveiliging DataCenter... 4 2.1 OBSERVATIE VIA VIDEOSYSTEEM...

Nadere informatie

Bijlage B: Toelichting beveiliging, Security Monitoring en toetsing behandelrelatie

Bijlage B: Toelichting beveiliging, Security Monitoring en toetsing behandelrelatie Bijlage B: Toelichting beveiliging, Security Monitoring en toetsing behandelrelatie De koepels hebben in overleg met Nictiz een doorstartmodel 1.0 opgesteld op basis waarvan de dienstverlening van het

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

Privacyreglement AMK re-integratie

Privacyreglement AMK re-integratie Privacyreglement Inleiding is een dienstverlenende onderneming, gericht op het uitvoeren van diensten, in het bijzonder advisering en ondersteuning van opdrachtgevers/werkgevers in relatie tot gewenste

Nadere informatie

Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0

Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0 Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0 Informatiebeveiling Zie ook het Privacyregelement 1. Beroepsgeheim De huisartsen, psycholoog en POH s hebben als BIG

Nadere informatie

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Drechtsteden Technische Architectuur (DTA) ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Status : Definitief 1.0 Redactie : DTA Datum : 29-08-2007 1 Versiebeheer

Nadere informatie

Informatie over logging gebruik Suwinet-Inkijk

Informatie over logging gebruik Suwinet-Inkijk Inhoudsopgave Inhoudsopgave... 2 1 Inleiding... 3 2 Logging als taak van het BKWI... 3 3 Informeren van gebruikers... 5 4 Rapportage over logging...6 Documenthistorie... 7 Auteur: J.E.Breeman Datum document:

Nadere informatie

Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging. 1. Inleiding

Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging. 1. Inleiding Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging 1. Inleiding Doel van dit document is het verzamelen van alle aspecten die relevant zijn in het kader van personeelsbeleid en NEN 7510, en

Nadere informatie

PRIVACYREGLEMENT. Hoofdstuk 1: Algemene bepalingen

PRIVACYREGLEMENT. Hoofdstuk 1: Algemene bepalingen PRIVACYREGLEMENT Hoofdstuk 1: Algemene bepalingen Artikel 1: Begripsbepaling 1. In dit reglement wordt in aansluiting bij en in aanvulling op de Wet Bescherming Persoonsgegevens (Staatsblad 2000, 302)

Nadere informatie

Rapport Richtlijn gebruik productiegegevens

Rapport Richtlijn gebruik productiegegevens Rapport Richtlijn gebruik productiegegevens Documenthistorie Datum en versienummer Auteur Opmerking Versie 1.0, 20 december 2005 M. van der Werff, B. de Wit Ter vaststelling door DPB Goedkeuring Datum

Nadere informatie

Bewerkersovereenkomst. Afnemer Logius. behorende bij het aanvraagformulier MijnOverheid

Bewerkersovereenkomst. Afnemer Logius. behorende bij het aanvraagformulier MijnOverheid Bewerkersovereenkomst Afnemer Logius behorende bij het aanvraagformulier MijnOverheid De ondergetekenden: [ ], verder te noemen : Afnemer en De Staat der Nederlanden, te dezen rechtsgeldig vertegenwoordigd

Nadere informatie

Hoofdstuk 1 Algemene Bepalingen

Hoofdstuk 1 Algemene Bepalingen Burgemeester en wethouders van de gemeente Grootegast; Gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Besluiten: Vast te stellen de navolgende beheersregeling gemeentelijke

Nadere informatie

PRIVACYVERKLARING PARKINSON VERENIGING

PRIVACYVERKLARING PARKINSON VERENIGING PRIVACYVERKLARING PARKINSON VERENIGING Via de website (www.parkinson-vereniging.nl) en het platform, waar u een Persoonlijk Parkinson Dossier kunt aanmaken, van De Parkinson Vereniging worden privacygevoelige

Nadere informatie

Ieder document direct beschikbaar

Ieder document direct beschikbaar Slide 1 Ieder document direct beschikbaar 4 februari 2016 1 Slide 2 Over Expansion Implementatiespecialist op gebied van digitale documentverwerking en archivering Verantwoordelijk voor volledig implementatietraject

Nadere informatie

Baseline Informatiebeveiliging UvA-HvA

Baseline Informatiebeveiliging UvA-HvA Baseline Informatiebeveiliging UvA-HvA Ronald Boontje (ISM) Bart Visser (ISO) Rein de Vries (extern) Datum: 13 mei 2015 Versie: 1.0 Status: Definitief Documenteigenaar: Directeur ICTS Documentbeheerder:

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/08/195 ADVIES NR 08/18 VAN 2 DECEMBER 2008 BETREFFENDE DE AANVRAAG VAN DE LANDSBOND DER CHRISTELIJKE MUTUALITEITEN

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 16990 20 juni 2014 Regeling van de Staatssecretaris van Volksgezondheid, Welzijn en Sport van 12 juni 2014, kenmerk 376061-121125-WJZ,

Nadere informatie

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen:

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen: Partijen: 1 Het bevoegd gezag van de school, geregistreerd onder een BRIN-nummer bij de Dienst Uitvoering Onderwijs van het Ministerie van Onderwijs, hierna te noemen: Onderwijsinstelling. en 2 de naamloze

Nadere informatie

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo notities Versie: versie datum Onderwerp Aan CC Van Hans Wolters 29 januari 2016 c-n-hawo-0004-20160129 HaWo 1. Leveringsvoorwaarden 1.1. Algemene gegevens ISC Het ICT Servicecentrum (ISC) is voor de Radboud

Nadere informatie

Gedragscode voor leerlingen van RSG Broklede voor gebruik van informatie- en communicatiemiddelen en voorzieningen

Gedragscode voor leerlingen van RSG Broklede voor gebruik van informatie- en communicatiemiddelen en voorzieningen Gedragscode voor leerlingen van RSG Broklede voor gebruik van informatie- en communicatiemiddelen en voorzieningen Vastgesteld door de SL op 2 september 2010 Instemming van de MR op 28 september 2010 De

Nadere informatie

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Bijlage 1 Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Blink is een educatieve uitgeverij die verschillende (digitale) producten en diensten (

Nadere informatie

P.09.02 Versie : 004 Proceduresops Pagina : 1/9 Geldig Printdatum : 18-Aug-15

P.09.02 Versie : 004 Proceduresops Pagina : 1/9 Geldig Printdatum : 18-Aug-15 Proceduresops Pagina : 1/9 Procedure Waarborgen van privacy Proceduresops Pagina : 2/9 Ingangsdatum: januari 2011 1. Doel... 3 2. Procedure... 3 2.1 Algemeen... 3 2.2 Regelgeving om de privacy te waarborgen...

Nadere informatie

Werken zonder zorgen met uw ICT bij u op locatie

Werken zonder zorgen met uw ICT bij u op locatie Werken zonder zorgen met uw ICT bij u op locatie Naast de mogelijkheden om uw programmatuur en gegevens bij Drie-O via Evy 2.0 in de cloud te hosten hebt u ook de mogelijkheid om uw ICT omgeving bij u

Nadere informatie

PRIVACYVERKLARING PARKINSON VERENIGING

PRIVACYVERKLARING PARKINSON VERENIGING PRIVACYVERKLARING PARKINSON VERENIGING Via de website (www.parkinson-vereniging.nl) en het platform, waar u een Persoonlijk Parkinson Dossier kunt aanmaken, van De Parkinson Vereniging worden privacygevoelige

Nadere informatie

PROJECT PLAN VOOR DE IMPLEMENTATIE VAN EEN STANDAARD SITE VOOR DE VERENIGING O3D

PROJECT PLAN VOOR DE IMPLEMENTATIE VAN EEN STANDAARD SITE VOOR DE VERENIGING O3D PROJECT PLAN VOOR DE IMPLEMENTATIE VAN EEN STANDAARD SITE VOOR DE VERENIGING O3D Auteur : P. van der Meer, Ritense B.V. Datum : 17 juli 2008 Versie : 1.3 2008 Ritense B.V. INHOUD 1 VERSIEBEHEER...1 2 PROJECT

Nadere informatie

Digitale Communicatie. Gedragscode voor internet- en e-mailgebruik

Digitale Communicatie. Gedragscode voor internet- en e-mailgebruik Digitale Communicatie Gedragscode voor internet- en e-mailgebruik Gedragscode internet- en e-mailgebruik Deze gedragscode omvat gedrags- en gebruiksregels voor het gebruik van internet- en e-mail op de

Nadere informatie

Stichting Hogeschool van Arnhem en Nijmegen. Rapport definitieve bevindingen

Stichting Hogeschool van Arnhem en Nijmegen. Rapport definitieve bevindingen POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl Stichting Hogeschool van Arnhem en Nijmegen

Nadere informatie

Regeling elektronische informatie- en communicatiemiddelen - leerlingen-

Regeling elektronische informatie- en communicatiemiddelen - leerlingen- Regeling elektronische informatie- en communicatiemiddelen - leerlingen- Vaststelling bevoegd gezag: 10 maart 2009 Artikel 1 Doel en werkingssfeer van deze regeling 1.1 Deze regeling geeft de wijze aan

Nadere informatie

Deze privacy policy is van toepassing op de verwerking van persoonsgegevens van gebruikers van de websites en apps van McDiver.

Deze privacy policy is van toepassing op de verwerking van persoonsgegevens van gebruikers van de websites en apps van McDiver. Privacy Policy Wij respecteren jouw privacy. Jouw gegevens worden niet ongevraagd met derden gedeeld en je kunt zelf beslissen welke gegevens je wel of juist niet online wilt delen. Benieuwd naar alle

Nadere informatie

GEDRAGS- CODE. Gebruik van elektronische communicatiemiddelen

GEDRAGS- CODE. Gebruik van elektronische communicatiemiddelen GEDRAGS- CODE Gebruik van elektronische communicatiemiddelen 2 3 Gedragscode voor het gebruik van elektronische communicatiemiddelen Inhoud 1. Doel van de regeling 2. Werkingssfeer 3. Algemene gedragsregels

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

BIJLAGE 4 Selectiecriteria met een gewogen karakter Perceel Switching

BIJLAGE 4 Selectiecriteria met een gewogen karakter Perceel Switching Europese aanbesteding Netwerkinfrastructuur Hardware, service en ondersteuning BIJLAGE 4 Selectiecriteria met een gewogen karakter Perceel Switching Niet openbare procedure Selectiecriteria met een gewogen

Nadere informatie

Reglement bescherming persoonsgegevens studenten Universiteit van Tilburg

Reglement bescherming persoonsgegevens studenten Universiteit van Tilburg Reglement bescherming persoonsgegevens studenten Universiteit van Tilburg Dit reglement bevat, conform de wet bescherming persoonsgegevens, regels voor een zorgvuldige omgang met het verzamelen en verwerken

Nadere informatie

NETQ Healthcare: Voor inzicht in het effect van therapie

NETQ Healthcare: Voor inzicht in het effect van therapie NETQ Healthcare: Voor inzicht in het effect van therapie INHOUD Inleiding 3 Eisen vanuit NEN 7510 en de Wet Bescherming Persoonsgegevens 4 Beheerst wijzigingsproces 4 Toegankelijkheid geautoriseerde gebruikers

Nadere informatie

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Hardening Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

KLOKKENLUIDERSREGELING EUREKO GROEP

KLOKKENLUIDERSREGELING EUREKO GROEP KLOKKENLUIDERSREGELING EUREKO GROEP Artikel 1. Definities In deze regeling wordt verstaan onder: Eureko: Raad van Bestuur: De medewerker: Externe Vertrouwenspersoon: Interne Vertrouwenspersoon: Vertrouwenscommissie:

Nadere informatie

Elektronische informatie- en communicatiemiddelen (EIC) regeling Gooise Scholen Federatie

Elektronische informatie- en communicatiemiddelen (EIC) regeling Gooise Scholen Federatie Elektronische informatie- en communicatiemiddelen (EIC) regeling Gooise Scholen Federatie augustus 2007 1 Handboek Organisatie GSF Artikel 1 Doel en werkingssfeer van deze regeling 1.1 Deze regeling geeft

Nadere informatie

Socofi Algemene voorwaarden

Socofi Algemene voorwaarden Socofi Algemene voorwaarden Module 5: Application Service Provision / SAAS / Computerservice Socofi Weboplossingen 1. Toepasselijkheid 1.1 De ICT~Office Voorwaarden bestaan uit de module Algemeen aangevuld

Nadere informatie

Privacy reglement Payroll Select Nederland B.V.

Privacy reglement Payroll Select Nederland B.V. Privacy reglement Payroll Select Nederland B.V. Inleiding Per 1 september 2001 is er een nieuwe privacywet in werking getreden: de Wet Bescherming Persoonsgegevens (WBP). Deze wet is ingesteld om de privacy

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/13/187 ADVIES NR 13/77 VAN 3 SEPTEMBER 2013 BETREFFENDE DE AANVRAAG VAN HET RIJKSINSTITUUT VOOR DE SOCIALE

Nadere informatie

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Bijlage 1 Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Uitgeverij Zwijsen B.V. is een educatieve uitgeverij die verschillende digitale producten en diensten ( digitale leermiddelen

Nadere informatie

Beveiligingsbeleid Perflectie. Architectuur & Procedures

Beveiligingsbeleid Perflectie. Architectuur & Procedures Beveiligingsbeleid Perflectie Architectuur & Procedures 30 november 2015 Versiebeheer Naam Functie Datum Versie Dimitri Tholen Software Architect 12 december 2014 0.1 Dimitri Tholen Software Architect

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

Privacyreglement Bureau Streefkerk B.V.

Privacyreglement Bureau Streefkerk B.V. Privacyreglement Bureau Streefkerk B.V. Inleiding Van alle personen die door Bureau Streefkerk worden begeleid, dat wil zeggen geadviseerd en ondersteund bij het zoeken, verkrijgen en behouden van een

Nadere informatie

WBP Zelfevaluatie. Privacygedragscode (VPB)

WBP Zelfevaluatie. Privacygedragscode (VPB) WBP Zelfevaluatie Privacygedragscode (VPB) April 2004 1. Inleiding In haar beschikking van 13 januari 2004 heeft het College Bescherming Persoonsgegevens (CBP) verklaard dat de in de privacygedragscode

Nadere informatie

ISMS (Information Security Management System)

ISMS (Information Security Management System) ISMS (Information Security Management System) File transfer policy: richtlijnen voor uitwisseling van bestanden en documenten tussen openbare instellingen van de sociale zekerheid (OISZ) en geautoriseerde

Nadere informatie

Baseline informatiebeveiliging (minimale maatregelen)

Baseline informatiebeveiliging (minimale maatregelen) Baseline informatiebeveiliging (minimale maatregelen) 1 Versie beheer Versie 0.1 9 september 2013 1 e concept Versie 0.2 23 september 2013 2 e concept na review door Erik Adriaens Versie 0.3 8 oktober

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst Bewerkersovereenkomst Datum: 25-04-2015 Versie: 1.1 Status: Definitief Bewerkersovereenkomst Partijen De zorginstelling, gevestigd in Nederland, die met een overeenkomst heeft gesloten in verband met het

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

HUISREGELS COMPUTERGEBRUIK

HUISREGELS COMPUTERGEBRUIK Informatiebeveiliging NEN 7510 HUISREGELS COMPUTERGEBRUIK 2010 03-08-2010 Hoorn Inleiding In dit document wordt aangegeven welke huisregels binnen het gelden voor het gebruik van informatiesystemen, computers

Nadere informatie

Privacy statement voor de gebruiker van de RadiologieNetwerk-Services

Privacy statement voor de gebruiker van de RadiologieNetwerk-Services Privacy statement voor de gebruiker van de RadiologieNetwerk-Services Missie XS2RA B.V. tevens handelend onder de naam RadiologieNetwerk ( RadiologieNetwerk ) heeft als missie om via haar RadiologieNetwerk

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

Productbeschrijving Remote Backup

Productbeschrijving Remote Backup Juni 2015 Versie 1.3 Auteur : E.C.A. Mouws Pagina 1 Inhoudsopgave BusinessConnect Remote Backup... 3 Abonnementen... 3 Kenmerken... 3 Beperkingen... 4 Geografische dekking... 4 Minimaal dataverkeer...

Nadere informatie