Interprovinciale Baseline Informatiebeveiliging. Document Versie: 1.0 (definitief)

Maat: px
Weergave met pagina beginnen:

Download "Interprovinciale Baseline Informatiebeveiliging. Document Versie: 1.0 (definitief)"

Transcriptie

1 Interprovinciale Baseline Informatiebeveiliging Document Versie: 1.0 (definitief)

2 1 Colofon Deelnemers expertgroep CIBO: Jos Bell, provincie Friesland Michel Wekema, provincie roningen Peter Tak, provincie roningen Willem van den Boogaart, provincie Drenthe Freddie Janssen, provincie elderland Peter Hepp, provincie Overijssel Jan-Willem Jorritsma, provincie Overijssel William ijse, provincie Noord-Holland Erik-Jan Oskam, provincie Zuid-Holland René Reith, provincie Zuid-Holland Annemarie van runsven, provincie Utrecht Ruben Weel, provincie Flevoland Peter van de Boogaart, provincie Noord-Brabant Leon Deben, provincie Limburg Eindredacteurs: Annemarie van runsven, Provincie Utrecht Michel Wekema, Provincie roningen Paul Peursum, DNV-CIBIT Versiebeheer Datum Versie Auteur Opmerkingen September Paul Peursum, Michel Wekema, Annemarie van runsven Documenten Titel Auteur Jaartal Omschrijving NEN-ISO/IEC-27001/27002 NEN 2005 De landelijke standaard voor informatiebeveiliging/ de code van informatiebeveiliging Business Impact Analyse ISF 2007 PETRA De provinciale referentiearchitectuur NORA 2.0 uido Bayens 2007 Nederlandse Overheid Referentie Architectuur ITIL security Management: Spruit, M. (HEC) een kritische beschouwing. RASCI Best Practice Normen Informatiebeveiliging voorzieningen Jaap van der Veen 2009, versie 1.0 itilsecman.pdf 2

3 Inhoudsopgave 1 Colofon Inleiding Informatiebeveiliging, waarom nu? De definitie van Informatiebeveiliging De scope van informatiebeveiliging Mens en Organisatie Basisinfrastructuur Integratie is belangrijk Standaard werkwijze en richtlijn voor maatregelen Doelgroep en gebruik De baseline, uitgangspunten De baseline als onderdeel van PETRA, de provinciale referentie architectuur De baseline, standaardmethode Standaard Business Impact Analyse Standaard maatregelensets De baseline is een groeidocument, maatregelen passen bij ontwikkelingsniveau De baseline, gebruik Eigen basisniveau maatregelen voor iedere provincie Bepalen van het benodigde beveiligingsniveau Maatregelen uit de baseline selecteren Verantwoordelijkheden toewijzen De baseline, overzicht van maatregelen Compleet overzicht Verwijsindex Beheer en Onderhoud CIBO IPO Bijlage A. BIA A.1 Handleiding invullen formulieren A.2 Business Impact Referentie Tabel Provincies A.3 Business Impact Analyse formulieren A.4 Formulier Beschikbaarheid A.5 Formulier Integriteit A.6 Formulier Vertrouwelijkheid A.7 Formulier Samenvatting, Overall Rating Bijlage B. Baseline uitgebreid B.1 Beveiligingsbeleid B.2 Organisatie van Informatiebeveiliging B.3 Beheer van Bedrijfsmiddelen B.4 Beveiliging van Personeel B.5 Fysieke beveiliging en beveiliging van de omgeving B.6 Beheer van communicatie- en bedieningsprocessen B.7 Toegangsbeveiliging B.8 Verwerving, ontwikkeling en onderhoud van informatiesystemen B.9 Beheer van informatiebeveiligingsincidenten B.10 Bedrijfscontinuïteitsbeheer B.11 Naleving Bijlage C. RASCI

4 2 Inleiding Door de toenemende digitalisering is het zorgvuldig omgaan met de gegevens van burgers, bedrijven en partners ook voor provincies van groot belang. Daarom is er nu de Interprovinciale Baseline Informatiebeveiliging. De baseline is bedoeld om alle provincies op een vergelijkbare manier te laten werken met Informatiebeveiliging. Het geeft een standaard werkwijze waarmee per bedrijfsproces of per informatiesysteem bepaald wordt, welke beveiligingsmaatregelen getroffen moeten worden. De Interprovinciale Baseline Informatiebeveiliging is tot stand gekomen door een intensieve samenwerking van elf provincies, in opdracht van het IPO. 2.1 Informatiebeveiliging, waarom nu? Een betrouwbare informatievoorziening is essentieel voor het goed functioneren van de processen van de provincie. Informatiebeveiliging is het proces dat deze betrouwbare informatievoorziening borgt. Dat is, in twee zinnen, de bestaansreden van informatiebeveiliging. Het opnemen van informatiebeveiliging als normaal kwaliteitscriterium voor een gezonde bedrijfsvoering is tegenwoordig niet langer een keuze, maar een noodzaak. Deze noodzaak komt onder meer voort uit de toenemende digitalisering van de provinciale dienstverlening, waardoor de afhankelijkheid van de geautomatiseerde informatieverwerking steeds verder groeit. Maar het is niet alleen de automatisering. De samenwerking met andere overheden (in ketensamenwerking) en contacten met burgers en bedrijven wordt steeds vaker digitaal van aard. Dit legt (deels nieuwe) eisen op aan de kwaliteit van de informatievoorziening van de provincie. Al was het maar dat van digitale dienstverlening vaak verwacht wordt dat deze 24 uur per dag en 7 dagen per week beschikbaar is. Daarnaast spelen wet- en regelgeving is een belangrijke rol. De WBP (Wet Bescherming Persoonsgegevens) en de Archiefwet zijn voorbeelden van wetten die eisen stellen aan de verwerking en opslag van informatie. Tot slot is er de maatschappelijke verantwoordelijkheid die een overheidsinstantie tegenover de inwoners en bedrijven heeft. Van de provincie mag verwacht worden dat zij zorgvuldig omgaat met de gegevens die zij beheert, en dat de gegevens die zij levert juist, accuraat en tijdig zijn. Kortom, structurele aandacht voor de betrouwbaarheid van de informatievoorziening, het domein van informatiebeveiliging, helpt de provincie bij een goede invulling van haar maatschappelijke taken. Een goede borging van informatiebeveiliging zorgt voor een betere betrouwbaarheid van de informatievoorziening en een grotere continuïteit van de provinciale bedrijfsvoering. 2.2 De definitie van Informatiebeveiliging Informatiebeveiliging is het behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. - Integriteit is de eigenschap dat de nauwkeurigheid en volledigheid van bedrijfsmiddelen wordt beveiligd. - Vertrouwelijkheid is de eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, entiteiten of processen. - Beschikbaarheid is het kenmerk dat iets toegankelijk en bruikbaar is op verzoek van een bevoegde entiteit. NEN-ISO/IEC en

5 2.3 De scope van informatiebeveiliging Informatiebeveiliging gaat over de betrouwbaarheid van de informatievoorziening van een organisatie, en heeft tot doel risico s tot een acceptabel niveau terug te brengen. Voor een juiste borging van dit kwaliteitsaspect is een evenwichtig stelsel van maatregelen nodig. Deze maatregelen zijn divers van aard, en verspreid over alle onderdelen en hiërarchische niveaus van een organisatie. Dit wordt geïllustreerd in het architectuurmodel van NORA. Beveiliging Beheer Organisatie Diensten Producten Processen Provinciale Missie Visie Strategie Beleid Medewerkers Applicaties Berichten egevens Informatieuitwisseling Technische Componenten egevensopslag Netwerk Figuur 1 NORA Architectuurraamwerk voor bedrijfsinrichting Informatiebeveiliging reikt dan ook verder dan alleen de geautomatiseerde informatiesystemen en de -infrastructuur. Zaken zoals toegangsbeveiliging, personeel, beleid en bureauveiligheid horen ook tot haar werkgebied. Informatiebeveiliging kan daarom niet alleen het domein van de afdeling I&A zijn. Informatiebeveiliging omvat alle informatie die een organisatie nodig heeft om haar processen naar behoren uit te kunnen voeren. Naast procedurele en technische maatregelen is met name het gedrag van mensen van belang voor een effectieve informatiebeveiliging. Ook dat is een reden waarom informatiebeveiliging niet de verantwoordelijkheid van één directie of afdeling kan zijn. Vaak worden maatregelen alleen getroffen op technisch gebied. Informatiebeveiliging bestaat echter uit de aandachtsgebieden: mens en organisatie, basisinfrastructuur en Mens en Organisatie Hierbij gaat het om werkwijzen (manieren, routines, gewoonten, gedrag). Maatregelen bestaan uit procedures (AO) en het creëren van bewustzijn voor informatiebeveiliging Basisinfrastructuur De basisinfrastructuur betreft onder meer: - Elektriciteitsvoorziening; - Telecommunicatievoorzieningen; - ebouwen en toegang. Een voorbeeld van een beveiligingsmaatregel is de noodstroomvoorziening Bij gaat het om: - Applicaties en gegevensverzamelingen; - infrastructuur (computers, netwerkapparatuur en randapparatuur); - programmatuur van de infrastructuur (diverse besturingsprogramma s). Beveiligingsmaatregelen in dit vlak zijn bijvoorbeeld het opstellen van reserveapparatuur (redundantie) en het installeren van antivirusprogramma s. 5

6 2.4 Integratie is belangrijk Het is van belang dat de focus op het geheel van de aandachtsgebieden Mens en Organisatie, Basisinfrastructuur en gericht wordt. Het nemen van technische maatregelen alleen, is onvoldoende. Veelal wordt gesteld dat het bewustzijn van de gebruiker de belangrijkste basis is voor een goede informatiebeveiliging. Inderdaad: onbewuste gebruikers, nemen onbewust veel risico s. Er zijn ook gebruikers die bewust risico lopen zoals de medewerker die nog even een rapport op tijd af wil krijgen en vertrouwelijke informatie op een USB-stick zet om er thuis verder aan te werken. Dit is met beveiliging op het gebied van en toegangsbeveiliging slechts ten dele weg te nemen. De diverse maatregelen (uit de aandachtsgebieden Mens en Organisatie, Basisinfrastructuur en ) moeten daarom in samenhang worden genomen. Alleen op deze wijze kan er sprake zijn van een goed informatiebeveiligingsbeleid Standaard werkwijze en richtlijn voor maatregelen Bij het treffen van maatregelen moet altijd een afweging gemaakt worden tussen enerzijds de werkbaarheid en anderzijds de (noodzakelijke) beveiliging van de informatie in het proces. De te nemen maatregelen moeten in verhouding staan tot de grootte van het risico. Het proces mag bijvoorbeeld niet gefrustreerd worden door maatregelen die slechts een marginale verlaging van een risico betekenen. Dus maatregelen moeten gericht zijn op het garanderen van continuïteit en betrouwbaarheid van de informatievoorziening op een niveau dat past bij de behoefte vanuit de primaire provinciale organisatie. Daarom worden maatregelen geselecteerd op basis een risicoanalyse/risicoafweging die in de primaire organisatie wordt gemaakt. De Coördinator Informatiebeveiliging heeft hierbij een adviserende en faciliterende rol. De organisatie maakt daarbij gebruik van de Interprovinciale Business Impact Analyse (zie Bijlage A) en de Interprovinciale Baseline Informatiebeveiliging (dit document) als richtlijn voor de te nemen maatregelen. Deze Interprovinciale Baseline Informatiebeveiliging geeft een standaard werkwijze waarmee per bedrijfsproces of per informatiesysteem bepaald wordt, welke beveiligingsmaatregelen getroffen moeten worden. Daarmee zorgt de Interprovinciale Baseline Informatiebeveiliging ervoor dat: - Alle provincies op een vergelijkbare manier werken met Informatiebeveiliging; - Het duidelijk is voor ketenpartners welke eisen provincies stellen aan informatiebeveiliging; - Provincies een sterkere positie kunnen innemen bij leveranciers van -systemen en diensten door deze eisen aan informatiebeveiliging mee te nemen. 2.6 Doelgroep en gebruik Het document is bedoeld voor specifieke functionarissen zoals: informatiebeveiligingscoördinatoren, architecten, organisatie- en procesontwerpers, programmamanagers, projectleiders, applicatieontwerpers, functioneel en technisch beheerders van systemen. De Interprovinciale Baseline Informatiebeveiliging is te gebruiken als: - Richtlijn voor inrichten van een basisbeveiligingsniveau; - Toetsingskader bij de aanvang en uitvoering van projecten; - Instrument voor risicobeheersing; - Instrument voor ondersteuning inkoop; - Richtlijn voor samenhang in de resultaten die via projecten bereikt worden; - Ontwerprichtlijn voor onder meer proces-, DIV- en applicatieontwerpers. 1 De standaard NEN-ISO/IEC-27001/27002 heeft de integratie van de drie aandachtsgebieden ook als basis. 6

7 3 De baseline, uitgangspunten Deze Interprovinciale Baseline Informatiebeveiliging geeft een standaard werkwijze waarmee per bedrijfsproces of per informatiesysteem bepaald wordt, welke beveiligingsmaatregelen getroffen moeten worden. Het zorgt voor een uniforme werkwijze voor alle provincies op het gebied van informatiebeveiliging. Daarmee hebben de provincies een duidelijk communicatiemiddel naar ketenpartners en leveranciers van -systemen over de door de provincies gehanteerde beveiligingseisen. 3.1 De baseline als onderdeel van PETRA, de provinciale referentie architectuur De provinciale architectuur is het fundament voor de bedrijfsinrichting van een provincie. Daarbij gaat het om het organisatie- en procesontwerp (de business), om het ontwerp van de informatievoorziening, de applicaties en de technische infrastructuur. Een professionele ontwerpfunctie geeft inzicht in de opbouw en samenhang van de samenstellende delen van een organisatie. Hierdoor wordt het mogelijk om wijzigingen sneller en beheerst door te voeren. Dit laatste is vooral nodig omdat ontwikkelingen als elektronische dienstverlening, samenwerking met andere overheidsorganen en internationalisering in steeds hoger tempo langskomen. De complexiteit van werkprocessen en informatiehuishouding neemt hierdoor toe. De PETRA zorgt voor overzicht en daarmee een blijvende borging van een optimale samenhang tussen diensten, processen, organisatie, besturing en informatievoorziening. De PETRA is een provinciale verbijzondering van de NORA. In de onderstaande figuur is het NORA Architectuurraamwerk voor bedrijfsinrichting weergegeven. Informatiebeveiliging is een onderliggende laag voor alle domeinen van de referentiearchitectuur. Het is dus een breed onderwerp dat alle aspecten van de bedrijfsinrichting raakt. In de PETRA is ook een hoofdstuk Informatiebeveiliging opgenomen. De Interprovinciale Baseline Informatiebeveiliging zal op termijn dit onderdeel in de PETRA vervangen. Beveiliging Beheer Organisatie Diensten Producten Processen Provinciale Missie Visie Strategie Beleid Medewerkers Applicaties Berichten egevens Informatie - uitwisseling Technische Componenten egevensopslag Netwerk Figuur 2 NORA Architectuurraamwerk voor bedrijfsinrichting 7

8 3.2 De baseline, standaardmethode De baseline bestaat uit de volgende onderdelen: 1) Business Impact Analyse 2) Maatregelensets Standaard Business Impact Analyse De Business Impact Analyse (BIA) is een hulpmiddel om vast te stellen wat de impact op een informatiesysteem of bedrijfsproces is indien de informatiebeveiliging van de informatie niet gewaarborgd of zelfs geschaad is. Met de BIA wordt het classificatieniveau van een proces bepaald. De BIA is gebaseerd op de Business Impact Analyse van het Information Security Forum (een vooraanstaand internationaal forum op het gebied van informatiebeveiliging) en is door het CIBO vertaald naar de provinciale situatie Standaard maatregelensets Deze Interprovinciale Baseline Informatiebeveiliging standaardiseert op methode (werkwijze): Elk bedrijfsproces of informatiesysteem krijgt middels de provinciale Business Impact Analyse een classificatie mee. Op basis van deze classificatie wordt een standaardpakket aan beveiligingsmaatregelen toegewezen in de Interprovinciale Baseline Informatiebeveiliging. Tevens bevat de Interprovinciale Baseline Informatiebeveiliging zogenaamde enerieke maatregelen: maatregelen die niet gekoppeld zijn aan een bepaald niveau van Beschikbaarheid, Integriteit of Vertrouwelijkheid, maar altijd genomen moeten worden. De term Interprovinciale Baseline Informatiebeveiliging suggereert één basisniveau aan maatregelen voor informatiebeveiliging voor àlle provincies, dus maatregelen die je verwacht altijd aan te treffen. Dit kan echter verschillend geïnterpreteerd worden. 1) Dit basisniveau aan maatregelen geldt altijd en hoort dus ook altijd geïmplementeerd te zijn: dit zijn dan de enerieke maatregelen en maatregelen behorend bij de classificatie Beschikbaarheid, Integriteit of Vertrouwelijkheid = Laag. 2) Dit basisniveau aan maatregelen geldt specifiek voor dat bedrijfsproces of informatiesysteem waarvoor een provinciale Business Impact Analyse is uitgevoerd: dit zijn dan de enerieke maatregelen én de juiste maatregelen behorend bij de classificatie Beschikbaarheid, Integriteit of Vertrouwelijkheid op basis van de provinciale Business Impact Analyse. De gedachte van deze Interprovinciale Baseline Informatiebeveiliging is dat ieder Provincie begint met de implementatie van de enerieke maatregelen en maatregelen behorend bij de classificatie Beschikbaarheid, Integriteit of Vertrouwelijkheid = Laag. Daarnaast wordt per bedrijfsproces of informatiesysteem een provinciale Business Impact Analyse uitgevoerd, waardoor duidelijk wordt of aanvullende maatregelen uit de Interprovinciale Baseline Informatiebeveiliging nodig zijn. Zie hoofdstuk 4. Wanneer deze analyses gedaan worden op procesniveau wordt het mogelijk om onderling af te stemmen welke classificatie generiek gehanteerd kan worden voor alle provincies. Uit de totale set van maatregelen zal daarmee ook één uniform standaardpakket van basismaatregelen voor alle provincies vloeien. Een risicoanalyse op systeemniveau is niet toepasbaar omdat de concrete technische invulling voor de procesondersteuning per provincie kan verschillen. Op termijn is het dus de verwachting dat de basisniveaus van de provincies gelijk worden. Voor nu werken we met een standaardmethode, waarmee iedere provincie het classificatieniveau kan bepalen. 8

9 Het groeipad is daarmee ook vastgesteld: voor de volgende versie van dit document willen we de risicoanalyses op procesniveau uitvoeren zodat het uniforme standaardpakket aan maatregelen vastgesteld kan worden NEN-ISO/IEC-27001/27002 en NORA De inhoud van de Interprovinciale Baseline Informatiebeveiliging is gebaseerd op de landelijke standaard NEN-ISO/IEC-27001/27002 (ook wel de code van informatiebeveiliging genoemd). De Interprovinciale Baseline Informatiebeveiliging heeft de code als uitgangspunt, en is aangepast voor gebruik door de provincies: - Sommige maatregelen uit de code zijn niet van toepassing voor de provincies: deze zijn weggelaten in de Interprovinciale Baseline Informatiebeveiliging; - Andere maatregelen uit de code zijn onveranderd van toepassing voor de provincies: naar de betreffende passage in de code wordt verwezen vanuit de Interprovinciale Baseline Informatiebeveiliging; - Weer andere maatregelen uit de code zijn niet geheel of anders van toepassing op de provincies: de aanpassing is vermeld in de Interprovinciale Baseline Informatiebeveiliging; - Niet elke maatregelen is altijd van toepassing, maar slechts bij of vanaf een bepaald beveiligingsniveau. Het bijbehorende beveiligingsniveau is vermeld in de Interprovinciale Baseline Informatiebeveiliging. Daarnaast is gebruik gemaakt van de zogenaamde NORA aanpak (best practices). 9

10 3.3 De baseline is een groeidocument, maatregelen passen bij ontwikkelingsniveau De maatregelen voor informatiebeveiliging passen bij het ontwikkelingsniveau van provincies. Binnen alle provincies is het noodzakelijk dat Informatiebeveiliging nu verder geprofessionaliseerd wordt. Het is nu veelal op onbekend/ontluikend niveau ingericht, en moet zich naar een beheerst/professioneel niveau ontwikkelen. Ontwikkelstadium Onbezorgd Onbekend Ontluikend Beheerst Professioneel Status van informatiebeveiliging Effectieve werkwijze Verantwoordelijke Infomatiebeveiliging wordt niet in overweging genomen; er is geen budget voor informatiebeveiliging Informatiebeveiliging wordt nuttig geacht, maar heeft geen duidelijke positie in de organisatie; oplossingen worden ad-hoc gekozen Informatiebeveiliging heeft een duidelijke positie in de organisatie; het is een stafaangelegenheid Informatiebeveiliging wordt geacht integraal onderdeel te zijn van ieder proces; het is een lijnmanagementaangelegenheid Informatiebeveiliging wordt geacht integraal onderdeel te zijn van de bedrijfsvoering; het is een directieaangelegenheid en een continu aandachtspunt. Ad hoc: Er zijn geen eenduidige processen te onderkennen. Herhaald: Er wordt wel procesmatig gewerkt, maar deze zijn niet beschreven. edefinieerd: Er wordt procesmatig gewerkt en deze zijn beschreven in formele procedures. econtroleerd: Er wordt gemeten en bijgestuurd op basis van prestatie-indicatoren. eoptimaliseerd: Er wordt geoptimaliseerd ten behoeve van de ondersteunde primaire processen. Tabel 1: niveaus naar volwassenheid, bijbehorende werkwijzen en verantwoordelijken (Uit: ITIL security Management: een kritische beschouwing. M. Spruit) Beschermengel Ad hoc specialist Staffunctionaris Lijnmanagement Directie Die stap kunnen we niet in één keer zetten, daarvoor is deze te groot. Dit betekent dat we informatiebeveiliging geleidelijk verder moeten ontwikkelen. Deze eerste versie Interprovinciale Baseline Informatiebeveiliging is een eerste stap. Omdat er nog vele stappen moeten volgen, is de Interprovinciale Baseline Informatiebeveiliging een groeidocument. De inhoud van de Interprovinciale Baseline Informatiebeveiliging zal mee moeten groeien met het ontwikkelingsniveau van de provincies. De eerste versie van de Interprovinciale Baseline Informatiebeveiliging omvat een standaardmethode, waarbij alle provincies op dezelfde wijze informatiebeveiligingsmaatregelen toekennen aan hun bedrijfsprocessen. Het biedt echter nog niet de standaardwijze waarop provincies informatiebeveiliging opnemen als integraal onderdeel van de bedrijfsvoering. Daarnaast is het ontwikkelingsniveau op het gebied van informatiebeveiliging per provincie verschillend. En daarmee zullen de benodigde maatregelen ook nog verschikkend zijn. Dat betekent dat één algemene maatregelenset voor alle provincies nu nog niet mogelijk is, maar later wel. 10

11 4 De baseline, gebruik De Interprovinciale Baseline Informatiebeveiliging bestaat uit een standaardisatie van methoden, en (nog) niet van maatregelen. De volgende paragrafen beschrijven de interprovinciale afspraken. 4.1 Eigen basisniveau maatregelen voor iedere provincie Alle provincies bepalen (vooralsnog) hun eigen basisniveau van beveiligingsmaatregelen. Dit doen zij op basis van de in de Interprovinciale Baseline Informatiebeveiliging onderscheiden maatregelen (welke gekoppeld zijn aan de classificatieniveaus). 4.2 Bepalen van het benodigde beveiligingsniveau Bij het bepalen van het benodigde beveiligingsniveau van een bedrijfsproces wordt gebruik gemaakt van de interprovinciale Business Impact Analyse (BIA, zie Bijlage A). Dit betekent dat een bedrijfsproces een classificatie meekrijgt op het gebied van: Het vereiste beschikbaarheidsniveau (hoog, midden of laag) Het vereiste integriteitsniveau (hoog, midden of laag) Het vereiste vertrouwelijkheidsniveau (hoog, midden of laag) De Business Impact Analyse (BIA) is een hulpmiddel om vast te stellen wat de impact op een informatiesysteem of bedrijfsproces is indien de informatiebeveiliging van de informatie niet gewaarborgd of zelfs geschaad is. Op basis hiervan kunnen de risico s in kaart gebracht worden en kunnen maatregelen genomen worden ter vermindering of opheffing van deze risico s. De business Impact Analyse wordt vastgesteld tijdens een gesprek met de verantwoordelijke proceseigenaar. Dit gesprek wordt gevoerd aan de hand van de formulierenset uit Bijlage A. 4.3 Maatregelen uit de baseline selecteren Aan de hand van de vereiste niveaus, worden de voorgeschreven maatregelen uit de Interprovinciale Baseline Informatiebeveiliging geselecteerd en toegepast. Daarbij kan een afweging gemaakt worden tussen kosten van de maatregelen en de af te dekken risico s. Hierdoor kan in uitzonderlijke gevallen (beargumenteerd) worden afgeweken van de voorgeschreven maatregelen uit de Interprovinciale Baseline Informatiebeveiliging. Het risico wordt dan op een andere manier afgedekt of geaccepteerd. Dit wordt, met argumentatie, vastgelegd en periodiek geëvalueerd. 4.4 Verantwoordelijkheden toewijzen Alle provincies wijzen zelf de verantwoordelijkheden toe voor informatiebeveiliging. De overeengekomen methode daarbij is RASCI. De Interprovinciale Baseline Informatiebeveiliging heeft zich beperkt tot toewijzing van de R ( Responsible ) aan de diverse onderdelen. De overige verantwoordelijkheden verschillen per provincie omdat de organisatiestructuur per provincie verschilt. Verantwoordelijkheden zijn gekoppeld aan het provinciale bedrijfsfunctiemodel en de NEN-ISO/IEC-27001/ De RASCI-methode is een afkorting voor de rollen die binnen een organisatie aanwezig zijn. De methode gaat uit van het principe dat er vijf soorten rollen bestaan richting een activiteit: R Responsible Wie is verantwoordelijk voor het uitvoeren van de activiteit? A Accountable Aan wie moet verantwoording afgelegd worden? S Supportive Wie kan support geven? C Consulted Wie moet geraadpleegd worden? I Informed Wie moet geïnformeerd worden? Tabel 2 RASCI rollen Een verdere uitwerking van de RASCI methode is opgenomen in Bijlage C. 11

12 Voor het beleggen van de verantwoordelijkheden is in dit document gestandaardiseerd op het gebruik van RASCI, én op een gelimiteerde lijst van verantwoordelijke eenheden (zie Tabel 3). In figuur 3 is het bedrijfsfunctiemodel uit de PETRA weergegeven. In figuur 4 is de gelimiteerde lijst van verantwoordelijke eenheden afgebeeld op het bedrijfsfunctiemodel uit de PETRA. S/PS Klant - contacten Strategie ontwikkelen Besluiten Verant - woorden Sturen en organiseren Planning & control Ondersteunen S/PS Besturen Bedrijf Ontwikkelen Architectuur Projec - ten Data Primaire functies (waarde toevoegen) burger bedrijf dienstverlenings management Stimuleren burgerparticipatie Uitvoeren omgevingsbeleid Informeren Adviseren & stimuleren (doen) onderzoeken Voorlichten Toetsen plannen Bezwaar & beroep Handhaven Beleid ontwikkelen Opstellen regels Beschrijven uitvoering Inrichten en beheren omgeving Opdracht - verlening uitvoering werken Opdracht - verlening beheer eo -informatie makelaar Toezicht gemeenten Klant/ Verlenen vergunningen Verlenen subsidies Co ö rdineren Jeugdzorg Uitvoeren EU- regelingen overheid Secundaire functies (ondersteunen, beheren) COPAFIJTH Communi Perso - Finan Facili - neel ciën Inkoop - catie teiten Figuur 3: Bedrijfsfunctiemodel, PETRA versie 0.9 Responsible Directie CIB Auditor ebruikersorganisatie Proceseigenaren Direct leidinggevende COM PO FO JZ Inkoop DIV Omschrijving De directie van de provinciale organisatie Coördinator Informatiebeveiliging (deze heeft een centrale coördinerende rol, en rapporteert aan directie). onafhankelijke interne auditor alle gebruikers (werknemers) van de provinciale informatievoorziening De eigenaar voor (bedrijfs)proces De leidinggevende van een werknemer de afdeling communicatie De personele organisatie De -beheer- en ontwikkelorganisatie De facilitaire organisatie Juridische zaken Inkoop Documentaire informatievoorziening Tabel 3: Verantwoordelijkheden binnen Informatiebeveiliging en bedrijfsfunctiemodel 12

13 S/PS Klantcontacten DIRECTIE Strategie ontwikkelen Sturen en organiseren Verant - AUDITOR Planning Ondersteun- Besluiten woorden & control en S/PS Besturen Bedrijf Ontwikkelen CIB Projec - Architectuur ten Data Primaire functies (waarde toevoegen) burger bedrijf dienstverlenings management Klant/ Stimuleren burgerparticipatie Uitvoeren omgevingsbeleid Informeren Adviseren & stimuleren (doen) onderzoeken Verlenen vergunningen Voorlichten Toetsen plannen Bezwaar & beroep Handhaven Verlenen subsidies Beleid ontwikkelen Opstellen regels Beschrijven uitvoering Inrichten en beheren omgeving Opdracht - verlening uitvoering werken Opdracht - verlening beheer eo informatie - makelaar Toezicht gemeenten Co ö rdineren Jeugdzorg Uitvoeren EU - regelingen Direct leidinggevenden Proceseigenaren ebruikersorganisatie overheid COM PO Secundaire functies (ondersteunen, beheren) COPAFIJTH FO Inkoop Communi Perso - Finan Facili - neel ciën JZ DIV Inkoop - catie teiten Figuur 4: Bedrijfsfunctiemodel, PETRA versie 0.9 aangevuld met verantwoordelijken in Informatiebeveiliging 13

14 5 De baseline, overzicht van maatregelen 5.1 Compleet overzicht Bijlage B werkt de Interprovinciale Baseline Informatiebeveiliging in meer detail uit. De Interprovinciale Baseline Informatiebeveiliging is gebaseerd op de Nederlandse norm NEN- ISO/IEC-27002:2007. Deze norm bevat elf onderdelen, en elk onderdeel bevat: een beheersdoelstelling die vermeldt wat er moet worden bereikt, en een of meer beheersmaatregelen die kunnen worden toegepast om de beheersdoelstelling te realiseren. De beschrijving van beheersmaatregelen is als volgt gestructureerd: Beheersmaatregel: Definieert de specifieke maatregel om aan de beheersdoelstelling te voldoen. Implementatierichtlijnen: even nadere informatie om de implementatie van de beheersmaatregel te ondersteunen en om de beheersdoelstelling te realiseren. Sommige richtlijnen zullen niet in alle gevallen van toepassing zijn; andere manieren om de beheersmaatregel te implementeren kunnen daarom geschikter zijn. Per beheersmaatregel wordt een implementatierichtlijn beschreven die specifiek voor de Provinciale omgeving geldt. In de meeste gevallen wordt verwezen naar de tekst uit de norm NEN- ISO/IEC-27002:2007, de Code. In het geval dat de Code meerdere implementatierichtlijnen geeft, zal dit beschreven zijn als opties a, b, c, et cetera. In sommige gevallen zijn er twee opsommingen beschreven, in dat geval wordt het onderscheid aangegeven met een - bij de tweede opsomming. Voorbeeld: a,c,d,-a,-b geeft aan: Implementatierichtlijnen a, c en d uit de eerste opsomming in de Code, Implementatierichtlijnen a en b uit de tweede opsomming in de Code Voorbeeld: NEN-ISO/IEC

15 Per beheersmaatregel wordt aangeven wie de eindverantwoordelijke is ( Responsible ) voor het uitvoeren van een bepaalde maatregel. Zie ook 4.4. Zie Tabel 3: Verantwoordelijkheden binnen Informatiebeveiliging en bedrijfsfunctiemodel voor een compleet overzicht van de mogelijke eindverantwoordelijken. Tot slot is per beheersmaatregel aangegeven of deze maatregel eneriek is, of specifiek geldt voor een bepaald niveau van Beschikbaarheid, Integriteit en/of Vertrouwelijkheid. Indien een maatregel eneriek is, houdt dit in dat deze te allen tijde geïmplementeerd moet worden. Bij een specifieke maatregel wordt aangegeven vanaf welk niveau de implementatierichtlijn geldt. De onderkende niveaus zijn Laag, Midden en Hoog. Zie de Business Impact Analyse Provincies als referentie. Als een bepaalde implementatierichtlijn opgesomd staat bij Beschikbaarheid=Midden, dan geldt deze ook bij Beschikbaarheid=Hoog. Evenzo: een implementatierichtlijn bij Integriteit=Laag geldt ook bij Integriteit=Midden en Integriteit=Hoog. 5.2 Verwijsindex De Interprovinciale Baseline Informatiebeveiliging is ook in MS-Excel vorm beschikbaar. Deze bevat geen detailinformatie, maar kan vooral als verwijsindex gebruikt worden. De MS-Excel sheet is voorzien van een autofilter, waardoor op eenvoudige manier allerlei doorsneden gemaakt kunnen worden. Je kunt de MS-Excel sheet gebruiken om bijvoorbeeld : alle maatregelen voor een bepaalde verantwoordelijke te tonen: Selecteer bij de betreffende verantwoordelijke de optie (NonBlanks) in het filter. De X betekent Responsible uit RASCI; alle Beschikbaarheid=Midden maatregelen te tonen: Selecteer bij Beschikbaarheid=Midden de optie (NonBlanks) in het filter. Let op: o o Als een maatregel al geldt vanaf het niveau Beschikbaarheid=Laag, dan staat deze ook in de getoonde selectie want deze moet dan ook geïmplementeerd worden; Of: Beschikbaarheid=Laag, Beschikbaarheid=Midden én Beschikbaarheid=Hoog is ingevuld. In geval van Beschikbaarheid=Midden moeten de Beschikbaarheid=Laag én Beschikbaarheid=Midden maatregelen geïmplementeerd worden. 15

16 6 Beheer en Onderhoud De Interprovinciale Baseline Informatiebeveiliging is een groeidocument. Dit betekent dat er regelmatig een update moet plaatsvinden. 6.1 CIBO Het CIBO is het interprovinciaal overleg voor Informatiebeveiliging. In dit overleg zijn 11 van de 12 provincies vertegenwoordigd. De deelnemers zijn allen werkzaam op het gebied van informatiebeveiliging in hun provincie. Het CIBO is inhoudelijk verantwoordelijk voor de Interprovinciale Baseline Informatiebeveiliging. Zij streeft naar een jaarlijkse update van de Interprovinciale Baseline Informatiebeveiliging (op voorwaarde van voldoende capaciteit en financiële middelen). 6.2 IPO Het IPO (of een door haar aangewezen partij, zoals BO-provincies) is procesverantwoordelijk. Zij draagt zorgt voor toewijzing van capaciteit en middelen die het CIBO nodig heeft om de Interprovinciale Baseline Informatiebeveiliging actueel te houden. 16

17 Bijlage A. BIA Hoe weet u als verantwoordelijke of de zaken op orde zijn? Zijn uw ketenpartners wel zuinig op de informatie van uw organisatie? En gaat u zorgvuldig om met de informatie van de ketenpartners? Of misschien wel belangrijker: Kunt u zich naar de buitenwereld verantwoorden over de situatie? Om een antwoord te geven op bovenstaande vragen, zijn enkele zaken nodig. Allereerst dient vastgesteld te worden wat de impact op een informatiesysteem of bedrijfsproces is, indien de informatiebeveiliging van de informatie niet gewaarborgd of zelfs geschaad is. Vervolgens dienen de risico s in kaart gebracht te worden en kunnen maatregelen genomen worden ter vermindering of opheffing van deze risico s. Bij de selectie van maatregelen wordt rekening gehouden met de waarde van de informatie voor de Provincie. Hoe hoger de waarde, hoe zwaarder de maatregelen om deze informatie te beschermen. Om de waarde van de informatie vast te stellen wordt een gesprek aangegaan met de verantwoordelijken aan de bedrijfsmatige kant. Tijdens dit gesprek wordt de waarde uitgedrukt in kwalitatieve zin, dat wil zeggen in termen als hoog, midden of laag, niet in geld. Hierin wordt vanuit een informatiebeveiliginginsteek gelet op de beschikbaarheid, de integriteit en de vertrouwelijkheid van de informatie. Om dit gesprek zo goed mogelijk te faciliteren, wordt gebruik gemaakt van de formulierenset uit de Interprovinciale Business Impact Analyse (BIA). De formulieren zijn te vinden in een apart document, genaamd: Business Impact Analyse Provincies 1.0.doc. Door de formulierenset stipt te volgen worden de gesprekspartners van de bedrijfsmatige kant geholpen in het bepalen van de waarde van de informatie voor hun bedrijfsproces. Zij hoeven dan geen inhoudelijke kennis van het vakgebied informatiebeveiliging te hebben. Informatiebeveiliging is de bescherming van informatie tegen een breed scala bedreigingen om bedrijfscontinuïteit te waarborgen, bedrijfsrisico s te minimaliseren en investeringsrendementen en bedrijfskansen zo groot mogelijk te maken. A.1 Handleiding invullen formulieren In de bijlage treft u vijf formulieren aan. In het kort worden deze formulieren gebruikt voor de volgende doeleinden: Formulier 1: Business Impact Referentie Tabel Provincies. Dit formulier wordt gebruikt om voor de Provincie en per onderwerp te bepalen wanneer exact de impact aangeduid kan worden met de classificatie hoog, midden of laag. Formulier 2: Business Impact Analyse Beschikbaarheid. Dit formulier wordt gebruikt om voor de Provincie aan te geven wat de impact is van het wegvallen van beschikbaarheid op het betreffende provinciale proces. Formulier 3: Business Impact Analyse Integriteit. Dit formulier wordt gebruikt om voor de Provincie aan te geven wat de impact is van het wegvallen van integriteit op het betreffende provinciale proces. Formulier 4: Business Impact Analyse Vertrouwelijkheid. Dit formulier wordt gebruikt om voor de Provincie aan te geven wat de impact is van het wegvallen van vertrouwelijkheid op het betreffende provinciale proces. Formulier 5: Samenvatting, Overall Rating. Dit formulier wordt gebruikt als samenvatting van de scores uit de vorige formulieren. 17

18 A.2 Business Impact Referentie Tabel Provincies De Business Impact Referentie Tabel Provincies wordt gebruikt om voor de Provincie en per onderwerp te bepalen wanneer exact de impact aangeduid kan worden met de classificatie hoog, midden of laag. De tabel is reeds ingevuld, waarbij de financiële vertaling van hoog, midden of laag (zie bij F1 tot en met F4) tussen haakjes is aangegeven als mogelijk voorbeeld. De bedoeling van de invulling van deze tabel is dat het zo specifiek en meetbaar mogelijk is. De inhoud van deze tabel wordt bij de andere formulieren weer gebruikt. A.3 Business Impact Analyse formulieren De formulieren zijn allemaal opgebouwd uit vragen in 4 categorieën. De categorieën zijn op elk formulier gelijk, en staan ook zodanig in de Business Impact Referentie Tabel Provincies. De categorieën zijn: Financieel (F): 4 vragen, F1 tot en met F4 Operationeel (O): 5 vragen, O1 tot en met O5 Klant gerelateerd (K): 3 vragen, K1 tot en met K3 Werknemer gerelateerd (W): 2 vragen, W1 en W2 De exacte bewoording bij elke vraag (F1 tot en met W2) kan verschillen, en is in lijn gebracht met het betreffende onderwerp, zijnde beschikbaarheid, integriteit of vertrouwelijkheid. Elke vraag kan beantwoord worden door een X te zetten in de juiste kolom. Bij de formulieren voor Integriteit en Vertrouwelijkheid is voor het gemak de inhoud van de Business Impact Referentie Tabel Provincies overgenomen. Vervang deze inhoud dan door de X. Bij elke vraag is ruimte opgenomen voor kort commentaar. ebruik dit veld om aan te geven waarom men tot deze conclusie/keuze is gekomen. Onderaan de formulieren, na de laatste vraag, staat een Overall Rating. Neem hier de hoogste score over van de vragen F1 tot en met W2. Hiermee wordt de essentie van het formulier dus terug gebracht tot 1 classificatie: hoog, midden of laag. A.4 Formulier Beschikbaarheid Het formulier over de Business Impact Analyse Beschikbaarheid wordt gebruikt om voor de Provincie aan te geven wat de impact is van het wegvallen van beschikbaarheid op het betreffende provinciale proces. De vragen zijn zo gesteld dat beantwoording gedaan wordt door een kruisje te zetten in die juiste kolom. Daarbij moet gekeken worden naar de Business Impact Referentie Tabel Provincies om te zien of de keuze dan ook overeenkomt met de impact classificatie. Er zijn vijf tabellen waaruit gekozen kan worden, elk met een verschillende nietbeschikbaarheids periode. Bij impact hoog wordt uit gegaan van problemen bij een niet-beschikbaarheid van maximaal 1 dag. Bij impact midden wordt uit gegaan van problemen bij een niet-beschikbaarheid van 2 à 3 dagen. Bij impact laag wordt uit gegaan dat er pas problemen ontstaan bij een nietbeschikbaarheid van 1 week of meer. De grootte van het probleem moet dan (gevoelsmatig) wel overeenkomen met de waarde zoals die in de Business Impact Referentie Tabel Provincies is opgenomen. Sluit het formulier af met de Overall Rating: de hoogste score in het formulier, en beantwoord twee additionele vragen: 1. Wat is het kritieke tijdspad voor het herstel van dit systeem (welke duur van niet beschikbaarheid is onacceptabel voor het betreffende provinciale proces)? 18

19 Dit komt ook weer overeen met de hoogste score in de tabel: is dit geweest bij een niet-beschikbaarheid van 1 uur, 1 dag, 2 à 3 dagen, 1 week of 1 maand? 2. Wat is de maximale toelaatbare gegevens verlies periode bij een ernstige calamiteit (gegevens kwijt geraakt doordat men terug moet naar de laatst herstelbare situatie)? In het geval van een ernstige niet-beschikbaarheid kan het voorkomen dat men dit moet herstellen door terug te gaan naar de laatst herstelbare situatie, bijvoorbeeld door een back-up terug te zetten. Hierbij zullen de gegevens die zijn ontstaan of aangepast in het tijdstip tussen de laatst herstelbare situatie en tijdstip optreden van de niet-beschikbaarheid, verloren gaan. eef hier aan wat een maximaal toelaatbare periode is voor het betreffende provinciale proces. A.5 Formulier Integriteit Het formulier over de Business Impact Analyse Beschikbaarheid wordt gebruikt om voor de Provincie aan te geven wat de impact is van het wegvallen van integriteit op het betreffende provinciale proces. De vragen zijn zo gesteld dat beantwoording gedaan wordt door een kruisje te zetten in die juiste kolom. A.6 Formulier Vertrouwelijkheid Het formulier over de Business Impact Analyse Beschikbaarheid wordt gebruikt om voor de Provincie aan te geven wat de impact is van het wegvallen van vertrouwelijkheid op het betreffende provinciale proces. De vragen zijn zo gesteld dat beantwoording gedaan wordt door een kruisje te zetten in die juiste kolom. A.7 Formulier Samenvatting, Overall Rating Het formulier wordt gebruikt als samenvatting van de scores uit de vorige formulieren. Neem in dit formulier de samenvattende gegevens uit de andere formulieren over. Noteer tevens andere gegevens op dit formulier, zoals: Voor welk provinciaal proces is deze analyse gedaan; Met welke personen is deze analyse uitgevoerd; Wie heeft de begeleiding gedaan; Wanneer is deze analyse uitgevoerd. 19

20 20

21 21

22 22

23 23

24 24

Document Versie: 1.0

Document Versie: 1.0 Bepaling van benodigde Beschikbaarheid, Integriteit en Vertrouwelijkheid van een systeem ter ondersteuning van een provinciaal proces. Document Versie: 1.0 1 Inhoudsopgave INTRODUCTIE... 3 HANDLEIDING

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein

Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein Strategisch Informatiebeveiligingsbeleid Gemeenten IJsselstein, Montfoort en Nieuwegein Versie: 0.9 (definitief concept) Datum: 18 december 2012 Inhoudsopgave 1. MANAGEMENTSAMENVATTING... 1 2. INTRODUCTIE...

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Informatiebeveiligingsbeleid 2015-2018

Informatiebeveiligingsbeleid 2015-2018 Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Inhoudsopgave 1 Goedkeuring informatiebeveiligingsbeleid en distributie (BH1) 2 2 Inleiding 2 2.1 Toelichting 2 2.2 Definitie van informatiebeveiliging 2 2.3 Samenhang tussen

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Het BiSL-model. Een whitepaper van The Lifecycle Company

Het BiSL-model. Een whitepaper van The Lifecycle Company Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Informatieveiligheid. Onderzoeksopzet

Informatieveiligheid. Onderzoeksopzet Informatieveiligheid Onderzoeksopzet Amsterdam, september 2015 Inhoudsopgave 1. Aanleiding... 3 2. Achtergrond... 5 3. Probleemstelling en onderzoeksvragen... 7 4. Afbakening... 8 5. Beoordelingskader...

Nadere informatie

ITIL Security Management: een kritische beschouwing

ITIL Security Management: een kritische beschouwing ITIL Security Management: een kritische beschouwing Marcel Spruit, Informatiebeveiliging is een beheerproces dat zich richt op het beschermen van de informatievoorziening. Het ligt voor de hand om voor

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

Presentatie NORA/MARIJ

Presentatie NORA/MARIJ Presentatie NORA/MARIJ 6 november 2009 Peter Bergman Adviseur Architectuur ICTU RENOIR RENOIR = REgie NuP Ondersteuning Implementatie en Realisatie Overzicht presentatie Families van (referentie-)architecturen

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Praktisch Implementeren van EA bij Gemeenten

Praktisch Implementeren van EA bij Gemeenten Praktisch Implementeren van EA bij Gemeenten Edwin de Vries 3 juni 2008 Praktisch Implementeren van Enterprise Architectuur bij Gemeenten Waarom Architectuur bij Gemeenten? Praktische aanpak Invulling

Nadere informatie

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van NORA-3. Het bevat doelen, de Ist en Soll situatie van het NORA katern beveiliging en als laatste sheet de producten die

Nadere informatie

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement Rapportage Pizzasessie Functioneel-beheer.com Alle deelnemers hebben hun functienaam opgegeven. De volgende functienamen zijn gemeld: Specialisten o Functioneel beheerder (9x) o Functioneel applicatiebeheerder

Nadere informatie

Doxis Informatiemanagers

Doxis Informatiemanagers Substitutie Doxis Informatiemanagers Grootste adviesburo op het gebied van informatiemanagement in Nederland Zelfstandig bedrijfsonderdeel van Ernst & Young Jarenlange ervaring bij NL Overheid Gedegen

Nadere informatie

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Informatiebeveiligingsbeleid Heemstede

Informatiebeveiligingsbeleid Heemstede Informatiebeveiligingsbeleid Heemstede Definitieve versie April 2013 Verseonnummer 607112 Inhoudsopgave DEEL 1: BELEIDSKADERS INFORMATIEBEVEILIGING 3 1. Inleiding 3 2. Definities en belang van informatiebeveiliging

Nadere informatie

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen NORA Sessie 5 29 mei 2013 in Amersfoort Agenda en een samenvatting Jaap van der Veen Agenda 29-5-2013 1. Welkom 2. Presentatie Eric Brouwer en Joris Dirks over Kennismodel NORA-Wiki en hoe we onze informatie

Nadere informatie

NORA dossier Informatiebeveiliging. Architectuur Aanpak

NORA dossier Informatiebeveiliging. Architectuur Aanpak Architectuur Aanpak Architectuur Aanpak Auteur Versie Status Den Haag, Jaap van der Veen en Bart Bokhorst; Belastingdienst 1.3 Definitief 01-09-2010 3/16 Inhoud 1 Inleiding 4 2 Modelleringaanpak 5 3 Model

Nadere informatie

ISMS (Information Security Management System)

ISMS (Information Security Management System) ISMS (Information Security Management System) File transfer policy: richtlijnen voor uitwisseling van bestanden en documenten tussen openbare instellingen van de sociale zekerheid (OISZ) en geautoriseerde

Nadere informatie

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW)

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW) RAAK-project Veilig Water Programma Informatieveiligheid Marcel Spruit (HHS), Michiel Dirriwachter (UvW) Michiel Dirriwachter? Dit doet een waterschap Een Waterschap? Een Waterschap? Een Waterschap? Een

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Documentenanalyse Veiligheidsvisitatiebezoek

Documentenanalyse Veiligheidsvisitatiebezoek Ingevuld door: Naam Instelling: Documentenanalyse Veiligheidsvisitatiebezoek In de documentenanalyse wordt gevraagd om verplichte documentatie en registraties vanuit de NTA 8009:2007 en HKZ certificatieschema

Nadere informatie

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth De taak van de raad onder het dualisme Kaders stellen (WMO, Jeugdwet, handhaving) Budgetteren (begroting) Lokale wetgeving

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

Kwaliteitszorg met behulp van het INK-model.

Kwaliteitszorg met behulp van het INK-model. Kwaliteitszorg met behulp van het INK-model. 1. Wat is het INK-model? Het INK-model is afgeleid van de European Foundation for Quality Management (EFQM). Het EFQM stelt zich ten doel Europese bedrijven

Nadere informatie

NEN 7510: Een kwestie van goede zorg

NEN 7510: Een kwestie van goede zorg NEN 7510: Een kwestie van goede zorg Menig zorginstelling geeft aan nog niet te voldoen aan de NEN 7510 omdat deze (nog) niet verplicht is. Wettelijk is dit wellicht het geval, maar wat nu als men dit

Nadere informatie

ADDENDUM: betreffende het ontwikkelen, aansluiten, integreren en gebruiken van standaarden voor decentralisaties in het sociaal domein.

ADDENDUM: betreffende het ontwikkelen, aansluiten, integreren en gebruiken van standaarden voor decentralisaties in het sociaal domein. ADDENDUM: betreffende het ontwikkelen, aansluiten, integreren en gebruiken van standaarden voor decentralisaties in het sociaal domein. tussen KING en Leveranciers van gemeentelijke softwareproducten Inhoud

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

DOORSTAAT UW RISICOMANAGEMENT DE APK?

DOORSTAAT UW RISICOMANAGEMENT DE APK? WHITEPAPER DOORSTAAT UW RISICOMANAGEMENT DE APK? DOOR M. HOOGERWERF, SENIOR BUSINESS CONS ULTANT Risicomanagement is tegenwoordig een belangrijk onderdeel van uw bedrijfsvoering. Dagelijks wordt er aandacht

Nadere informatie

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...

Nadere informatie

De visie van Centric op datamanagement

De visie van Centric op datamanagement De visie van Centric op datamanagement De vijf elementen om optimaal invulling te geven aan datamanagement Inhoudsopgave 1 Inleiding 2 2 Wat is datamanagement? 2 2.1 Actuele en statische data 3 3 De vijf

Nadere informatie

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007 Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Inhoud Aanleiding en Historie VIR 2007 Invoeringsaspecten 2 Aanleiding en historie

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Informatiebeveiliging voor functioneel beheerders. SYSQA B.V. Almere. Datum : 16-04-2013 Versie : 1.0. Opgesteld door :

Informatiebeveiliging voor functioneel beheerders. SYSQA B.V. Almere. Datum : 16-04-2013 Versie : 1.0. Opgesteld door : voor functioneel beheerders SYSQA B.V. Almere Datum : 16-04-2013 Versie : 1.0 Status : Definitief Opgesteld door : Organisatie: SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 Inleiding... 3 1.2 Doel en veronderstelde

Nadere informatie

Bijlage A: Beheersmaatregelen & Toetsingscriteria Toetsingskader Informatieveiligheid in de Zorg

Bijlage A: Beheersmaatregelen & Toetsingscriteria Toetsingskader Informatieveiligheid in de Zorg Bijlage A: Beheersmaatregelen & Toetsingscriteria Toetsingskader Informatieveiligheid in de Zorg 4 Aanpak van de informatiebeveiliging 4.1 Managementsysteem voor informatiebeveiliging: ISMS 4.1 Managementsysteem

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

Mobiel Internet Dienstbeschrijving

Mobiel Internet Dienstbeschrijving Mobiel Internet Dienstbeschrijving o ktober 2013 INHOUD MOBIEL INTERNET 3 ABONNEMENTEN 3 BASISAANBOD 3 OPTIONELE MODULES VOOR MOBIEL INTERNET 5 TARIEVEN 5 INFORMATIEBEVEILIGING 5 MOBIEL INTERNET De tijd

Nadere informatie

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD De Baseline Informatiebeveiliging & grote gemeenten 6 oktober 2014 John van Huijgevoort, IBD Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): Samenhang Instrumenten Hoe om te gaan

Nadere informatie

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved. 1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?

Nadere informatie

Ordening van processen in een ziekenhuis

Ordening van processen in een ziekenhuis 4 Ordening van processen in een ziekenhuis Inhoudsopgave Inhoud 4 1. Inleiding 6 2. Verantwoording 8 3. Ordening principes 10 3.0 Inleiding 10 3.1 Patiëntproces 11 3.2 Patiënt subproces 13 3.3 Orderproces

Nadere informatie

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Contractmanagement Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk)

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) 2 april 2015, versie 2.1 Artikel 1 begrippen en afkortingen De hierna met een hoofdletter aangeduide begrippen hebben in deze

Nadere informatie

RISICOMANAGEMENT. Wat voegt risicomanagement toe?

RISICOMANAGEMENT. Wat voegt risicomanagement toe? RISICOMANAGEMENT Risicomanagement ondersteunt op een gestructureerde manier het behalen van doelstellingen en het opleveren van projectresultaten. Dit kan door risico s expliciet te maken, beheersmaatregelen

Nadere informatie

CONCEPT ISO/IEC 27002: 2005 Grafimedia Implementatie van Informatietechnologie, Beveiligingstechnieken en de Code voor Informatiebeveiliging

CONCEPT ISO/IEC 27002: 2005 Grafimedia Implementatie van Informatietechnologie, Beveiligingstechnieken en de Code voor Informatiebeveiliging CONCEPT ISO/IEC 27002: 2005 Grafimedia Implementatie van Informatietechnologie, Beveiligingstechnieken en de Code voor Informatiebeveiliging Uitgave van de Stichting Certificatie Grafimedia branche (SCGM)

Nadere informatie

Stichting Hogeschool van Arnhem en Nijmegen. Rapport definitieve bevindingen

Stichting Hogeschool van Arnhem en Nijmegen. Rapport definitieve bevindingen POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl Stichting Hogeschool van Arnhem en Nijmegen

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 Stichting Pensioenfonds Wolters Kluwer Nederland Compliance program Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 1 Inleiding In dit Compliance Program is de inrichting van de

Nadere informatie

Snel naar NEN7510 met de ISM-methode

Snel naar NEN7510 met de ISM-methode Snel naar NEN7510 met de ISM-methode Cross-reference en handleiding Datum: 2 april 2011 Versie: 1.0 Auteur: J. van Bon Integrated Service Management Snel naar NEN7510 met de ISM-methode! Informatiebeveiliging

Nadere informatie

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011 Programma doorontwikkeling veiligheidshuizen Informatiemanagement en privacy 21 november 2011 Presentatie Privacy Binnen het programma doorontwikkeling veiligheidshuizen is Privacy een belangrijk onderwerp.

Nadere informatie

Preview. Informatie- Beveiligingsbeleid NEN-ISO/IEC 27002 (CvI / BIG)

Preview. Informatie- Beveiligingsbeleid NEN-ISO/IEC 27002 (CvI / BIG) Preview Informatie- Beveiligingsbeleid NEN-ISO/IEC 27002 (CvI / BIG) Gemeentelijk Efficiency Adviesbureau bv Schoonouwenseweg 10 2821 NX Stolwijk 0182-341350 info@gea-bv.nl Versie: preview Datum: oktober

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Derden-mededeling Overstapservice Onderwijs

Derden-mededeling Overstapservice Onderwijs Mededeling over de betrouwbaarheid van de Overstapservice Onderwijs Onlangs heeft Infoseccon BV een rapport over het geautomatiseerde systeem van Overstapservice Onderwijs (OSO) uitgebracht. Infoseccon

Nadere informatie

Informatiebeveiliging als proces

Informatiebeveiliging als proces Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 22 mei 2014 Raymond Slot raymond.slot@hu.nl nl.linkedin.com/in/raymondslot VRAAG: Top bedreigingen Continuïteit? Continuïteitsbedreiging

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie DIENST Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie Advies over en ondersteuning bij het initieel inrichten/optimaliseren

Nadere informatie

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie)

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) 1) Welke documenten registraties zijn vereist? De onderstaande lijst toont de minimale set van documenten en registraties

Nadere informatie

BCM Volwassenheid. Het VKA BCM Maturity Model. 15-02-2006 Steven Debets

BCM Volwassenheid. Het VKA BCM Maturity Model. 15-02-2006 Steven Debets BCM Volwassenheid Het VKA BCM Maturity Model 15-02-2006 Steven Debets Inhoud Aanleiding BCM Maturity model en Quick Scan Resultaten Marktscan 2 3 4 Effectieve implementatie; Een goede blauwdruk als basis.

Nadere informatie

DUTO Normenkader Duurzaam Toegankelijke Overheidsinformatie

DUTO Normenkader Duurzaam Toegankelijke Overheidsinformatie DUTO Normenkader Duurzaam Toegankelijke Overheidsinformatie Erik Saaman (projectleider DUTO) NORA Gebruikersraad, 9 juni 2015 normenkader@nationaalarchief.nl Duurzaam toegankelijke overheidsinformatie

Nadere informatie

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Toelichting op GAP-analyse Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Beknopt overzicht van bedreigingen en maatregelen

Beknopt overzicht van bedreigingen en maatregelen Beknopt overzicht van bedreigingen en maatregelen Dit voorbeelddocument omvat een beknopt overzicht van bedreigingen en maatregelen. De opgesomde componenten, bedreigingen en maatregelen zijn bedoeld om

Nadere informatie

FUNCTIEBESCHRIJVING: WIJKMANAGER. Algemeen. Datum voorlopige vaststelling: 29-04-2015. Organisatie: Stichting Actiezorg en Magentazorg

FUNCTIEBESCHRIJVING: WIJKMANAGER. Algemeen. Datum voorlopige vaststelling: 29-04-2015. Organisatie: Stichting Actiezorg en Magentazorg FUNCTIEBESCHRIJVING: WIJKMANAGER Algemeen Organisatie: Stichting Actiezorg en Magentazorg Organisatorische eenheid: raad van bestuur Opsteller functiebeschrijving: adviseur P&O Datum voorlopige vaststelling:

Nadere informatie

NEN-ISO/IEC 27001 (nl)

NEN-ISO/IEC 27001 (nl) Nederlandse norm NEN-ISO/IEC 27001 (nl) Informatietechnologie - Beveiligingstechnieken - Managementsystemen voor informatiebeveiliging - Eisen (ISO/IEC 27001:2005,IDT) Information technology - Security

Nadere informatie

Service Niveau Overeenkomst Digikoppeling

Service Niveau Overeenkomst Digikoppeling Service Niveau Overeenkomst Digikoppeling Versie 1.3 Datum 26 mei 2015 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl

Nadere informatie

SVHT-IT. Mission statement

SVHT-IT. Mission statement SVHT-IT Mission statement Wij leveren oplossingen en diensten aan het MKB op het gebied van ICT, waarbij service, flexibiliteit en een persoonlijke relatie met de klant voorop staan SVHT-IT is een onderneming

Nadere informatie

Uitgangspunten procescriteria: waar dienen ze wel en waar dienen ze niet toe? Methode: hoe zijn de criteria opgebouwd en hoe zijn we daartoe gekomen?

Uitgangspunten procescriteria: waar dienen ze wel en waar dienen ze niet toe? Methode: hoe zijn de criteria opgebouwd en hoe zijn we daartoe gekomen? 5 Procescriteria In dit hoofdstuk komen achtereenvolgens aan de orde: Uitgangspunten procescriteria: waar dienen ze wel en waar dienen ze niet toe? Methode: hoe zijn de criteria opgebouwd en hoe zijn we

Nadere informatie

Normenkader Informatiebeveiliging MBO

Normenkader Informatiebeveiliging MBO Normenkader Informatiebeveiliging MBO IBBDOC2 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Met dank aan: Maturity Werkgroep SURFibo: Hans Alfons (Vrije Universiteit) Ludo

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk

Nadere informatie

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam PRIVACYBELEID Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam Inhoudsopgave Inhoudsopgave... 1 1. Documentinformatie... 2 1.1. Documentgeschiedenis... 2 2. Privacybeleid Pseudonimiseer

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Implementatie BIR Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

6.6 Management en informatiebeveiliging in synergie

6.6 Management en informatiebeveiliging in synergie 6.6 Management en informatiebeveiliging in synergie In veel organisaties ziet men dat informatiebeveiliging, fysieke beveiliging en fraudemanagement organisatorisch op verschillende afdelingen is belegd.

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

Voorstel Informatiebeveiliging beleid Twente

Voorstel Informatiebeveiliging beleid Twente Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)

Nadere informatie

MBO toetsingskader Informatiebeveiliging Handboek MBOaudit

MBO toetsingskader Informatiebeveiliging Handboek MBOaudit MBO toetsingskader Informatiebeveiliging Handboek MBOaudit IBBDOC3+ Toelichting Kenmerkend voor het vakgebied auditing is dat een onderzoek plaatsvindt ten opzichte van een eerder opgesteld en afgestemd

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal INFORMATIEVEILIGHEID een uitdaging van ons allemaal PUBLIEKE DIENSTVERLENING & INFORMATIEVEILIGHEID noodzakelijke kennis of onnodige ballast? Informatieveiligheid een uitdaging van ons allemaal Start Publieke

Nadere informatie

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VERSLAG PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Verslag PIA Versienummer 1.0 Versiedatum April 2014

Nadere informatie

Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging. 1. Inleiding

Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging. 1. Inleiding Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging 1. Inleiding Doel van dit document is het verzamelen van alle aspecten die relevant zijn in het kader van personeelsbeleid en NEN 7510, en

Nadere informatie

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het NKI-Antoni van Leeuwenhoek

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het NKI-Antoni van Leeuwenhoek Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het NKI-Antoni van Leeuwenhoek Ziekenhuis te Amsterdam op 13 juni 2007 Juli 2008 2 INSPECTIE

Nadere informatie

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Atrium MC te Heerlen op 10 juli

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Atrium MC te Heerlen op 10 juli Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Atrium MC te Heerlen op 10 juli 2007 Juli 2008 2 INSPECTIE VOOR DE GEZONDHEIDSZORG /

Nadere informatie

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 16990 20 juni 2014 Regeling van de Staatssecretaris van Volksgezondheid, Welzijn en Sport van 12 juni 2014, kenmerk 376061-121125-WJZ,

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

Contractmanagement in Nederland anno 2011

Contractmanagement in Nederland anno 2011 Contractmanagement in Nederland anno 2011 Samenvatting Mitopics Theo Bosselaers NEVI René van den Hoven Februari 2012 1 Periodiek onderzoekt Mitopics de professionaliteit waarmee Nederlandse organisaties

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

Overleven in een digitale wereld

Overleven in een digitale wereld P a g i n a 1 Projecten in de spotlight Overleven in een digitale wereld Gemeente Venlo heeft zich een stevige ambitie opgelegd. Niet alleen moet het imago van Venlo verbeterd worden, met de Floriade 2012

Nadere informatie

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 1 Besluit tot wijziging van de Nadere voorschriften controle- en overige standaarden Vastgesteld

Nadere informatie