Basiskennis Informatiebeveiliging SYSQA

Maat: px
Weergave met pagina beginnen:

Download "Basiskennis Informatiebeveiliging SYSQA"

Transcriptie

1 Organisatie SYSQA B.V. Pagina 1 van 27 Basiskennis Informatiebeveiliging SYSQA SYSQA B.V. Almere Datum : Status : Definitief Opgesteld door :

2 Organisatie SYSQA B.V. Pagina 2 van 27 Inhoudsopgave 1. Inleiding Doel en veronderstelde voorkennis Indeling van het document Algemeen Security versus Informatiebeveiliging Informatiesystemen en kwaliteitseisen Informatiebeveiliging en Risicobeheersing Dreigingen Risico s Risicoanalyse Beveiligingsmaatregelen Fysieke maatregelen Technische maatregelen Organisatorische maatregelen Informatiebeveiliging en Beleid Strategieën IB standaarden Beleidsvorming Wet- en regelgeving Wet Bescherming Persoonsgegevens Telecommunicatiewet Wet elektronische handtekeningen ISO/IEC / Wetgeving in de zorg De Wet ComputerCriminaliteit Code Tabaksblat Sarbaness-Oxley Act Voorschrift Informatiebeveiliging Rijksdienst (VIR) Speciale aandachtsgebieden Cloud Social Media Social Engineering Bijlage: woordenlijst Bronvermelding:...27

3 Organisatie SYSQA B.V. Pagina 3 van Inleiding 1.1. Doel en veronderstelde voorkennis Bij de term security hebben veel mensen wel een bepaald beeld. Het gebruik van elektronische apparaten die niet voor iedereen bedoeld zijn. Het lezen van documenten die niet iedereen mag lezen. Ergens niet naar binnen mogen omdat de deur op slot is of omdat er waardevolle spullen liggen. Of juist wel ergens naar binnen gaan, inbreken in een woning, hacken van systemen en apparaten, informatie diefstal. Al deze zaken hebben in een of andere mate verband met Informatiebeveiliging. Dit document geeft de lezer basiskennis op het gebied van Informatiebeveiliging. Er wordt een algemene beschrijving gegeven van de belangrijkste onderdelen binnen dit vakgebied. De beschrijvingen binnen dit document zijn niet uitputtend. Voor meer informatie over Informatiebeveiliging vanuit andere perspectieven wordt verwezen naar de volgende documenten welke op de SYSQA kennisbank te vinden zijn: Informatiebeveiliging voor Requirementsanalist.pdf Informatiebeveiliging voor Kwaliteitsmanager.pdf Informatiebeveiliging voor Testmanagement.pdf Informatiebeveiliging voor Functioneel Beheerd.pdf In onderstaande afbeelding is te zien hoe dit document zich verhoudt tot de overige documenten op de SYSQA kennisbank. Het introductiedocument is enkel bedoeld om mensen aan te zetten tot het lezen van de overige documenten en biedt geen extra kennis ten opzichte van dit document. Introductie Informatiebeveiliging Basiskennis Informatiebeveiliging Informatiebeveiliging voor Requirementsanalist Informatiebeveiliging voor Testmanagement Informatiebeveiliging voor Functioneel Beheer Informatiebeveiliging voor Kwaliteitsmanager Figuur 1: Documentoverzicht met verschillende rollen: Requirementsanalist, Kwaliteitsmanager, Testmanager, Functioneel Beheerder

4 Organisatie SYSQA B.V. Pagina 4 van Indeling van het document In het eerste stuk van het document zit een algemene definitie met bijbehorende informatie over informatiesystemen. Daarna wordt dieper ingegaan op risico s, dreigingen, beheersmaatregelen en beleidsvorming. In het laatste stuk zitten onderwerpen die voor verschillende partijen belangrijk zijn zoals wet- en regelgeving maar ook speciale aandachtsgebieden die in het kader van informatiebeveiliging meer aandacht vragen. In de bijlage is een verklarende woordenlijst opgenomen. In deze lijst worden veel termen die in het document langskomen (opnieuw) kort omschreven.

5 Organisatie SYSQA B.V. Pagina 5 van Algemeen 2.1. Security versus Informatiebeveiliging Velen hebben bij de term Security een bepaald beeld, bijvoorbeeld hacken of juist fysieke beveiliging van gebouwen. In dit document wordt daarom de term Informatiebeveiliging gebruikt om specifieker aan te duiden waar op gefocust wordt. Fysieke beveiliging is wel degelijk een onderdeel van het totale spectrum waarmee informatie beveiligd kan worden maar daar wordt in dit document verder niet teveel op ingezoomd. Definitie van Informatiebeveiliging (verder aangeduid als IB): Een verzamelnaam voor processen die ingericht worden om de betrouwbaarheid van de al dan niet geautomatiseerde- informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen (opzettelijk) onheil Informatiesystemen en kwaliteitseisen Er zit een verschil tussen de termen informatie, gegevens en data. Data zijn gegevens die in informatietechniek verwerkt kunnen worden. Gegevens worden pas informatie zodra ze geïnterpreteerd worden tot een zinvolle boodschap voor een specifieke gebruiker. We spreken van een informatiesysteem zodra dit systeem het doel heeft informatie over te dragen. Dit is vaak van de ene partij op de andere partij maar is niet noodzakelijk. Dit betekent niet per definitie dat met informatiesystemen enkel ICT systemen bedoeld worden. Ook archiefkasten, mobiele telefoons, randapparatuur zijn onderdelen van of soms op zichzelf staande informatiesystemen. In het kader van informatiebeveiliging is een informatiesysteem het geheel van middelen, procedures, regels en mensen dat de informatievoorziening (IV) voor een bedrijfsproces verzorgt. Zodra gegevens omgezet zijn naar informatie krijgt het waarde. Elk stukje informatie heeft voor een ontvanger zijn eigen waarde. Voor veel mensen zal een heleboel informatie weinig waarde hebben, maar voor de juiste persoon kan een klein stukje informatie enorm waardevol zijn. Denk aan bedrijfsgeheimen die voor simpele werknemers niet van belang zijn maar voor de concurrent juist een heel waardevol. Of de samenstelling van een klantenbestand voor een marketeer. Informatie wordt hierdoor een productiefactor welke gebruikt kan worden bij bedrijfsvoering. Informatie wordt in een groot aantal takken van dienstverlening zelfs gezien als core business. Voor informatiebeveiliging wordt vaak gebruik gemaakt van de afkorting BIV, staande voor Beschikbaarheid, Integriteit en Vertrouwelijkheid. Bij het beschermen van informatie wordt naar deze drie factoren gekeken als de kwaliteitseisen die gesteld worden aan informatie. In het Engels zijn dit Confidentiality, Integrity en Availability (CIA). Aangezien bovenstaande factoren allemaal kwaliteitsaspecten zijn kan gesteld worden dat IB onderdeel is van kwaliteitszorg. Het is echter niet alleen dat, het valt ook onder de interne beheersing van organisaties (Corporate Governance). Het aantoonbaar in control zijn, expliciet bevestigd door het management.

6 Organisatie SYSQA B.V. Pagina 6 van Informatiebeveiliging en Risicobeheersing 3.1. Dreigingen Een dreiging of bedreiging is een proces of een gebeurtenis die in potentie een verstorende invloed heeft op de betrouwbaarheid van een object. Dreigingen kunnen vervolgens ingedeeld worden in verschillende categorieën. Indeling naar beveiligingsaspect (zoals in hoofdstuk 2.2 eerder aangegeven): (B)eschikbaarheid (Availability) = de mate waarin gegevens of functionaliteit op de juiste momenten beschikbaar is voor gebruikers (I)ntegriteit (Integrity) = de mate waarin gegevens of functionaliteit juist ingevuld zijn. (V)ertrouwelijkheid (Confidentiality)= de mate waarin de toegang tot gegevens of functionaliteit beperkt is tot degenen die daartoe bevoegd zijn. Onderstaande tabel geeft een aantal voorbeelden voor kenmerken van de aspecten (op basis van ISO25010) en ook een idee van testsoorten die inzicht geven / maatregelen bieden: Aspect Kenmerk Dreiging Voorbeeld van Dreiging Test Beschikbaarheid Tijdigheid Vertraging Overbelasting van Load- /stresstest infrastructuur Continuïteit Uitval Defect in infrastructuur Performance test Integriteit Correctheid Wijziging Ongeautoriseerd wijzigen Functionele test van gegevens; Virusinfectie; Typefout Volledigheid Verwijdering Ongeautoriseerd wissen Functionele test Toevoeging van gegevens Ongeautoriseerd toevoegen van gegevens Geldigheid Veroudering Gegevens niet up-to-date Functionele test houden Onweerlegbaarheid Verloochening Ontkennen bepaald Functionele test (non-repudiation) bericht te hebben verstuurd Vertrouwelijkheid Onthulling Misbruik Afluisteren van netwerk; Hacking Privégebruik Penetratietest Tabel 1: Voorbeeldoverzicht aspecten, kwaliteitskenmerken, dreigingen en mogelijke testsoorten De bovenstaande drie aspecten kunnen ook uitgebreid worden naar een zestal welke onder de naam Parkerian Hexad bekend zijn. Deze voegt eigenlijk drie elementen toe aan de klassieke BIV-driehoek. Bezit of Controle (Possession) = De mate van eigendom van de informatie. (Voorbeeld: het verlies van brieven met wachtwoorden. Ongeacht of deze geopend zijn is er wel verlies van controle. Het is echter nog geen inbreuk op vertrouwelijkheid) Authenticiteit (Authenticity) = De verifieerbaarheid van een claim over de oorsprong of auteur van informatie. (Voorbeeld: fysieke of digitale handtekeningen voor een document. Het document zelf kan wel integer zijn maar niet authentiek) Utiliteit (Utility) = De bruikbaarheid van de informatie (Voorbeeld: Het verlies van een wachtwoord voor versleutelde gegevens zorgt ervoor dat ze beschikbaar zijn maar niet bruikbaar omdat ze niet ontsleuteld kunnen worden. Een ander voorbeeld is opslag in foutieve bestandsformaten)

7 Organisatie SYSQA B.V. Pagina 7 van 27 Figuur 2 Parkerian Hexad Een geheel andere indeling van bedreigingen is die naar de bron (veroorzaker) van de bedreiging: Menselijke bedreigingen: Onopzettelijk foutief handelen, door gebruikers, beheerders, gasten of extern personeel. Misbruik en criminaliteit, zoals diefstal, inbraak, hacking, sabotage of fraude. Niet menselijke bedreigingen: Invloed van buitenaf, zoals aardbeving, storm, bliksem, wateroverlast of brand. Storingen in de basisinfrastructuur, zoals uitval van elektriciteit of airconditioning. Storingen in apparatuur, programmatuur of gegevensbestanden. Voor de malafide dimensie van menselijke dreigingen (de zogeheten aanvallers ) is er nog onderscheid te maken tussen de volgende varianten: De Amateur: Deze persoon heeft algemene kennis van beveiliging en informatiesystemen en heeft slechts de beschikking over eenvoudige, vrij verkrijgbare middelen. De Professional: Deze persoon heeft inside -kennis van de aan te vallen systemen en/of beschikt over professionele middelen. De Criminele organisatie: Deze groep beschikt over (zeer ruime) financiële middelen, waarmee ze in staat is om op uitgebreide schaal professionele mensen en middelen in te zetten. Als laatste onderdeel van dreigingen is de kwetsbaarheid te noemen. Dit is de mate waarin het betreffende object gevoelig is voor de betreffende dreiging. Deze gevoeligheid ontstaat doordat één of meer karakteristieken van het object het mogelijk maken dat de bedreiging een negatieve invloed uit kan oefenen op het object.

8 Organisatie SYSQA B.V. Pagina 8 van 27 De tabel hieronder toont een aantal voorbeelden hiervan: Bedreiging Beschikbaarheid Integriteit Vertrouwelijkheid Diefstal Sabota ge Kortsluiti ng Typefout Fraude Virus Afluis teren Hacking Object Documentatie ooo o - ooo oo Tekstverwerki ngspakket o ooo - o oo ooo - ooo ooo PC ooo ooo oo o oo ooo ooo ooo ooo Elektriciteitsvo orziening o oo ooo Tabel 2 Voorbeelden negatieve invloed. Gevoeligheid: -: nvt, o: licht, oo: gemiddeld, ooo: zwaar. Bij documentatie kan geen kortsluiting optreden en een volledige elektriciteitsvoorziening is gevoeliger voor kortsluiting dan een enkele pc. Dit zijn slechts enkele voorbeelden hoe een risicomatrix ingevuld kan worden voor de verschillende aspecten Risico s Beveiligen wordt altijd ergens tegen gedaan. Zonder een risico of dreiging is het beveiligen van een object overbodig. Door middel van risicomanagement kan achterhaald worden welke type risico s op welke manier beveiligd moeten worden. Een dreiging of bedreiging is een proces of een gebeurtenis die in potentie een verstorende invloed heeft op de betrouwbaarheid van een object. Een dreiging kan ook omschreven worden als een mogelijke situatie die ongewenste resultaten geeft. Als een dreiging werkelijkheid wordt geeft dit een incident of calamiteit. Zonder waarde van een object is er echter ook niets te beveiligen. De waarde van gegevens voor een organisatie kan afhangen van een aantal factoren: Privé gebr uik Het belang van bedrijfsprocessen: De mate waarin bedrijfsprocessen, die gebruik maken van de betreffende gegevens, van belang zijn voor de organisatie; De onmisbaarheid voor de bedrijfsprocessen: het belang van de betreffende gegevens voor de bedrijfsprocessen die er gebruik van maken; De herstelbaarheid: de mate waarin ontbrekende, incomplete, of onjuiste gegevens gereproduceerd, respectievelijk hersteld, kunnen worden. Een risico kan dan ook omschreven worden als de gemiddelde schade over een tijdsperiode, die verwacht wordt doordat één of meer bedreigingen leiden tot een verstoring van één of meer objecten van de Informatievoorziening. Dit is ook te omvatten in de volgende formule: Risico = Kans X Schade Een schadeverwachting op jaarbasis wordt aangeduid met de eenheid JSV (Jaarlijkse Schade Verwachting) of ALE (Annual Loss Expectancy). De in aanmerking te nemen schade kan al dan niet van financiële aard zijn en omvat: Directe schade aan rechtstreeks getroffenen, zoals personen, apparatuur, programmatuur, gegevensverzamelingen en gebouwen. Indirecte schade, oftewel gevolgschade, zoals verstoring van bedrijfsprocessen, het overtreden van wetten, verlies van opdrachten en imagoschade.

9 Organisatie SYSQA B.V. Pagina 9 van 27 JSV = totale schade (direct+indirect) / hoeveel keer per tijd (in jaren) Voorbeeld: / 10j = 2000 p/j Alle risico s uitgedrukt in JSV met betrekking tot de objecten van de Informatievoorziening kunnen bij elkaar opgeteld worden tot de JSV voor de gehele informatievoorziening (indien omgerekend naar waarde) Risicoanalyse De risicoanalyse is een onderdeel van risicomanagement. Het is een manier waarop inzichtelijk gemaakt kan worden welke dreigingen relevant zijn voor bedrijfsprocessen en welke risico s hiermee gepaard gaan. Een risicoanalyse heeft vier hoofddoelen: 1: Het identificeren van middelen en hun waarde; 2: Het vaststellen van kwetsbaarheden en dreigingen; 3: Het vaststellen van het risico dat dreigingen werkelijkheid worden en daarmee het bedrijfsproces verstoren; 4: Het vaststellen van een evenwicht tussen de kosten van een incident en de kosten van een beveiligingsmaatregel. De risicoanalyse voorziet hiermee in een kosten/baten verhouding. De periodieke kosten die beveiligingsmaatregelen met zich meebrengen worden vergeleken met het potentiële verlies wat optreedt als dreigingen werkelijkheid worden. Risicoanalyses zijn onder te verdelen in eenvoudige en uitgebreidere varianten. Eenvoudige varianten: Quick Scan: op basis van standaard (externe) vragenlijsten snel een normering afgeven Baseline Checklist: op basis van specifieke checklists kijken of aan de set van beveiligingsmaatregelen die in de organisatie gebruikt worden voldaan wordt. Voor grondigere risicoanalyses zijn er eigenlijk twee soorten, de kwantitatieve en kwalitatieve risicoanalyse. De kwantitatieve risicoanalyse probeert voor elk element in een bedrijfsproces de waarde vast te stellen en op basis daarvan de beveiligingsmaatregelen te definiëren. Aangezien voor lang niet alle elementen een waarde te vinden is werkt de kwalitatieve risicoanalyse op basis van scenario s en situaties. De kansen dat een dreiging uitkomt worden dan op gevoel bekeken. Dit levert dan wel een subjectief dreigingsgevoel op. Voor-/nadelen Quick scan Baseline Checklist Kwalitatieve analyse Kwantitatieve analyse Eenvoudig X X Normeerbaar X Maatwerk X Up-to-date X X X One size does not X X fit all Statisch X X Misbruikbaar X Complex X X Informatieoverload X Tabel 3 Voor- /nadelen van verschillende methodes (niet uitputtend) Kwantitatieve analyse Voordelen Nadelen

10 Organisatie SYSQA B.V. Pagina 10 van 27 Objectief Elk object is vergelijkbaar Kosten/baten zijn meetbaar Kwalitatieve analyse Voordelen Bruikbaar bij niet-kwantificeerbare objecten Vergelijkingen op scenario s niet enkel op objecten Tijdrovend Niet bruikbaar bij niet-kwantificeerbare objecten (bijv. imagoschade) Nadelen Subjectief Tabel 4 Verschil kwantitatieve en kwalitatieve risicoanalyses Onderliggende objecten zijn niet goed vergelijkbaar Voor meer informatie over het uitvoeren van risicoanalyses wordt verwezen naar dit boek: Figuur 3: Boek Risicomanagement op basis van M_o_R en NEN/ISO31000

11 Organisatie SYSQA B.V. Pagina 11 van Beveiligingsmaatregelen Er zijn verschillende typen beveiligingsmaatregelen te definiëren. Elk hebben ze hun eigen doel en er wordt op basis van de vraag wat willen we bereiken? gekeken welke maatregel het beste geschikt is. Reduceren: het verminderen van de dreiging zelf / wegnemen van de dreiging (extern gericht); Preventieve maatregelen: deze zijn gericht op het voorkomen van incidenten (intern gericht); Detectieve maatregelen: deze zijn gericht op het waarnemen van incidenten; Repressieve maatregelen: deze zijn bedoeld om de gevolgen van een incident te kunnen stoppen (of verminderen); Correctieve maatregelen (of herstel): deze zijn bedoeld om de ontstane schade te herstellen. Verzekeren: anderen het risico laten dragen omdat zelf nemen van maatregelen te kostbaar is Accepteren: het risico (en de daarbij behorende schade) accepteren. In onderstaand plaatje is te zien hoe de verschillende maatregelen zich tot elkaar verhouden. Figuur 4: Beveiligingsmaatregelen

12 Organisatie SYSQA B.V. Pagina 12 van 27 Een risico vanuit een dreiging kan drie routes volgen. Preventie, verzekeren of accepteren. Ondanks preventie kan het toch een incident worden, waarna detectie, repressie en herstel kunnen plaats vinden. Een alternatief plaatje hiervoor: Figuur 5: Beveiligingsmaatregelen alternatief Hier is te zien hoe een bedreiging werkelijkheid wordt, tot schade leidt en weer hersteld wordt. De verschillende maatregelen grijpen in op de verschillende onderdelen binnen de cyclus. Hiermee wordt ook het belang van periodiek controleren zichtbaar Fysieke maatregelen Fysieke beveiligingsmaatregelen zijn in principe in te delen in drie typen, een zogeheten OBE-mix waarbij dit voor Organisatorische, Bouwkundige en Elektronische maatregelen staat. Al deze maatregelen moeten met elkaar samenhangen. De fysieke maatregelen beginnen al buiten het pand of tegenwoordig zelfs in de volledige buitenwereld. Het onderstaande plaatje maakt dit enigszins duidelijk

13 Organisatie SYSQA B.V. Pagina 13 van 27 Figuur 6: Maatregelen Object: Het te beschermen bedrijfsmiddel; Werkruimte: De ruimtes binnen een pand; Gebouw: De toegang tot een pand; Buitenring: Alles in de omgeving van een pand, tot aan veel verder naar buiten toe. (Deze laatste categorie is in het licht van de hedendaagse draagbare media in dit document uitgebreid tot allesomvattend buiten het pand, denk bijvoorbeeld aan WiFi welke tot buiten het pand reikt) In de onderstaande tabel staan een aantal voorbeelden van fysieke maatregelen en tot welke categorie en locatie ze (kunnen) behoren. Maatregel Omschrijving O B E Ring Elektronisch Toegangsbeheer X Gebouw/Ruimte Draagplicht toegangsbeheeritem X Gebouw Bewaking X Gebouw/Ruimte Indringerdetectie X Gebouw/Ruimte Koeling X Gebouw/Ruimte Noodstroom X Gebouw/Ruimte Brandmaatregelen (blussers, rookmelders) X X X Gebouw/Ruimte Clear Desk Policy X Ruimte Brandkast/waardekast X Object Alarmapparatuur X Alles 4.2. Technische maatregelen Onder de technische maatregelen wordt voornamelijk de beveiliging van de ICTinfrastructuur verstaan. Een van de manieren om risicobeheersing toe te passen is door controle uit te oefenen op veranderingen die mogelijk risicovol zijn. Er zijn verschillende methoden en modellen, zoals bijvoorbeeld COBIT en ITIL, die handvatten bieden voor

14 Organisatie SYSQA B.V. Pagina 14 van 27 het uitoefenen van controle. In deze modellen zijn een aantal gezamenlijke elementen te vinden: Afspraken over hoe met bedrijfsmiddelen omgegaan wordt; Afspraken (processen) over hoe veranderingen tot stand komen; Afspraken over wie de wijzigingen (changes) mag initiëren en uitvoeren en hoe de wijzigingen getest zullen worden Organisatorische maatregelen Veel van de organisatorische maatregelen gaan hand in hand met de voorgaand genoemde technische en/of fysieke maatregelen maar niet allemaal. Veelal zijn deze maatregelen ook kaderstellend voor de andere. Informatiebeveiligingsbeleid: een document met regelingen, procedures, richtlijnen en standaarden die gevolgd moeten worden om een correct gebruik van informatie te sturen; Werkvoorschriften: Ondersteunende documentatie die aangeven hoe om te gaan met zaken (bijvoorbeeld een werkvoorschrift voor papiervernietiging).

15 Organisatie SYSQA B.V. Pagina 15 van Informatiebeveiliging en Beleid 5.1. Strategieën Er zijn door organisaties verschillende strategieën te kiezen om met risico s om te gaan. Door het treffen van beveiligingsmaatregelen is het mogelijk om de gelopen risico s te verkleinen. Bijvoorbeeld: Door kans van een bedreiging te verkleinen Door kwetsbaarheid van een object te verkleinen Figuur 7: Risicostrategieën Bovenstaand figuur geeft mogelijke strategiekeuzes aan en hoe deze zich verhouden tot schade en kosten van maatregelen: Risicomijdend laag risico, hogere kosten voor maatregelen; Risiconeutraal gemiddeld risico, gemiddelde kosten voor maatregelen; Risicodragend men durft meer risico te lopen, lagere kosten voor maatregelen. Uiteraard is het mogelijk om verschillende strategieën te gebruiken voor verschillende niveaus/onderdelen binnen een organisatie. De schade bij bedrijfskritische gegevens zal vaak hoger liggen dan relatiegegevens. Mogelijk is het ene risico wel acceptabel (en dus een risicodragende strategie) en het andere niet (en dus een risicomijdende strategie). Over de gehele organisatie heen kan dan gezegd worden dat de strategie risiconeutraal is. Naar mate de tijd vordert kan het natuurlijk gebeuren dat de wereld verandert. De strategie is gebaseerd op een inschatting, een momentopname. Hieruit volgt ook dat het proces van IB, en het komen tot strategieën en een pakket van maatregelen ook niet een eenmalige actie is maar een periodieke cyclus van handelingen. Een maatregel kan nu voldoende zijn maar morgen overbodig of niet toereikend. Een advies is dan ook om de strategie periodiek (elk kwartaal bijvoorbeeld) te herzien en te beoordelen of deze nog overeenstemt met de wereld om ons heen. (zie ook figuur 5)

16 Organisatie SYSQA B.V. Pagina 16 van IB standaarden Voor IB zijn er verscheidene typen standaarden te vinden/definiëren in de volgende categorieën: Bedrijfsspecifieke standaard: Door een organisatie zelf opgezette standaard Industriespecifieke standaard: Door een groep bedrijven opgezette standaard De facto standaard: Door de markt bepaalde standaard De jure standaard: Door een bevoegd overheidsorgaan bepaald Hieronder volgen kort een aantal van de meer bekende standaarden voor IB. Het is geen uitputtende lijst: ISO 27001: Specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System ISO27002: Ook bekend als de Code voor Informatiebeveiliging, beschrijft normen en maatregelen, die van belang zijn voor het realiseren van een afdoend niveau van IB. NIST SP : Recommended Security Control for Federal Information Systems. NIST is een onderdeel van het Amerikaanse Ministerie van Economische Zaken. In deze standaard worden minimale beveiligingsmaatregelen opgesomd voor het realiseren van een acceptabel niveau van IB SGOP van het ISF: Standard of Good Practice van het Information Security Forum. Een internationale onafhankelijke non-profit organisatie welke gedetailleerde beschrijvingen biedt van best practices voor IB. ISACA: Information Systems Audit and Control Association. Deze Amerikaanse organisatie heeft samen met het IT Governance Institute het CoBiT framework ontwikkeld. Control Objectives for Information and related Technology. Dit framework biedt ook handvatten voor IB. Voor een meer gedetailleerde omschrijving van deze standaarden en een algeheel selectie mechanisme wordt verwezen naar de PvIB Expertbrief-Januari (Zie bronvermelding) 5.3. Beleidsvorming Voor het opzetten van beleid rondom Informatiebeveiliging zijn er een aantal zaken waar rekening mee gehouden moet worden, te beginnen met de keuze voor welke standaarden gehanteerd worden als raamwerk. Deze keuze bepaalt namelijk een groot gedeelte van hoe het verdere beleid uitgewerkt kan worden. Een tweede aspect is de wetgeving waar een organisatie aan dient te voldoen. Voor veel organisaties schept dit al een groot kader waar het beleid voor ingevuld kan worden. Een ander aspect is de plek van het beleid. Binnen sommige organisaties valt de beveiliging binnen het algehele Informatiebeleid. In andere organisaties worden juist de Informatiebeveiliging randvoorwaardelijk gesteld voor het verdere Informatiebeleid. Het is in dit geval ook geen kwestie van goed of fout maar de mate waarin het binnen de organisatie te positioneren is. Het beleid moet in ieder geval vanaf het hoogste niveau opgezet worden. Een aangrenzende keuze die hier bij zal komen is de organisatorische inrichting van taken/bevoegdheden. Hoe kleiner de organisatie is, hoe moeilijker het zal zijn om een aparte afdeling voor Informatiebeveiliging in te richten. Een van de vormen van beleidsvorming en bijbehorende organisatorische inrichting is een SOC, een Security Operations Center. Binnen een SOC kunnen een veelvoud aan taken belegd worden, maar afhankelijk van welke taken kan ook de positie van de SOC zelf anders zijn. Het is bijvoorbeeld mogelijk om een SOC te hebben welke onder een IT afdeling valt. In dit voorbeeld wordt het moeilijk om onafhankelijke analyses uit te voeren. Vaker zal een SOC dan ook als stafafdeling ingericht worden. Het is echter ook

17 Organisatie SYSQA B.V. Pagina 17 van 27 mogelijk om meerdere niveaus van SOC s te hebben waarbij de verschillende taken belegd worden. Binnen het totale beleid voor Informatiebeveiliging moet in ieder geval opgenomen worden wie er eigenaar is van informatie en wie er verantwoordelijkheden heeft voor alle onderdelen binnen het beleid. Op het daadwerkelijk samenstellen van beleid wordt in dit document verder niet ingegaan. Er zijn legio cursussen bij verschillende trainingsproviders die uiteindelijk tot examinering (bijvoorbeeld bij EXIN) kunnen leiden. In het document voor Kwaliteitsmanager zit ook een verdiepingsslag voor het verder invullen voor beleid.

18 Organisatie SYSQA B.V. Pagina 18 van Wet- en regelgeving Er zijn vanuit wet- en regelgeving veel onderdelen welke invloed hebben op informatiebeveiliging. Voor een aantal sectoren zijn specifieke wetten opgesteld waaraan men moet voldoen om te garanderen dat informatie en het beheer ervan een bepaalde kwaliteit heeft. Bijvoorbeeld privacy van persoonsgegevens of financiële bijsluiters. Hieronder volgen een aantal specifieke sectoren met daarbij gestandaardiseerde beveiligingsitems Wet Bescherming Persoonsgegevens De Wet Bescherming Persoonsgegevens (WBP) heeft als doel het beschermen van persoonsgegevens die geregistreerd worden. Vastleggen van gegevens wordt door een verscheidenheid aan instanties gedaan. Het vastleggen zelf is niet het probleem maar het gebruik en inzage in deze gegevens is wel aan banden gelegd. Deze wet heeft betrekking op de verwerking van persoonsgegevens, hieronder valt het gehele traject van opslag tot vernietiging van gegevens. Een van de aspecten van deze wet is dat de verwerking van persoonsgegevens een vooraf gesteld doel dient te hebben. Een ander aspect is dat de verzamelde gegevens enkel gebruikt mogen worden voor het vooraf gestelde doel en nergens anders voor. Gegevens op basis waarvan gediscrimineerd kan worden zoals ras, godsdienst, strafblad mogen enkel door specifieke instanties opgeslagen worden. De WBP geeft aan welke organisatorische en technische maatregelen genomen moeten zijn om gegevens te beveiligen. Het college voor bescherming persoonsgegevens (CBP) ziet hier op toe en biedt kaders voor de manier van invullen Telecommunicatiewet De Telecommunicatiewet regelt sinds 1998 allerlei zaken met betrekking tot gegevensverkeer over openbare netwerken. De wet gaat in op een aantal onderwerpen waarvan de maatschappelijke belangen, het beschermen van de privacy van gebruikers en bevoegd aftappen van communicatie de belangrijkste onderdelen zijn. In deze wet wordt onder meer geregeld hoe netwerkoperators om moeten gaan met persoons- en verkeersgegevens. Deze gegevens hebben een rechtstreekse link met de Wet Bescherming Persoonsgegevens en in de praktijk zullen deze twee ook nauw verwant beschouwd worden. Voor het aftappen van gegevens (wat in feite een inbreuk is op de Integriteit en/of Vertrouwelijkheid) is geregeld in welke situaties dit mag voorkomen en door wie. In de regel vindt dit plaats op bevel van een officier van Justitie Wet elektronische handtekeningen De term elektronische handtekening (niet exact hetzelfde als digitale handtekening) is een wettelijke definitie voor diverse, niet noodzakelijk cryptografische, methoden om de identiteit van iemand die een elektronisch bericht zendt te bevestigen. Dit omvat behalve een digitale handtekening ook bijvoorbeeld telegram en teleadressen en een handgeschreven handtekening op een gefaxt document. Een voorbeeld hiervan is de DIGID. In Europa is de digitale handtekening gelijkgeschakeld aan een papieren handtekening. (zie ook Richtlijn 99/93/EG op moment van schrijven). In Nederland is sinds 8 mei 2003 de wet elektronische handtekeningen tot stand gekomen. Een elektronische handtekening is betrouwbaar als aan de volgende voorwaarden is voldaan: Op unieke wijze aan de eigenaar verbonden; Het mogelijk maken de ondertekenaar te identificeren; Totstandkoming met middelen die de ondertekenaar onder zijn uitsluitende controle heeft;

19 Organisatie SYSQA B.V. Pagina 19 van 27 Op zodanige wijze aan een elektronisch document is verbonden, dat wijziging achteraf kan worden ontdekt. Al deze elementen hebben ook verband met het non-repudiation/onweerlegbaarheids aspect wat ook uit de ISO25010 norm naar voren komt. Dit is onderdeel van de integriteit en authenticiteit van de informatie ISO/IEC / De ISO/IEC (in NL NEN-ISO/IEC 27001:2005) norm is een standaard voor informatiebeveiliging management systemen welke in oktober 2005 gepubliceerd is. Een organisatie kan hierop een audit laten uitvoeren om daarmee aan te tonen dat ze aan deze standaard voldoen. De standaard vereist dat management de volgende zaken uitvoert: Systematisch nagaan van de informatiebeveiligingsrisico s, rekening houdend met dreigingen en impact; Ontwikkelen en implementeren van een samenhangende en begrijpelijke set aan informatiebeveiliging maatregelen om de onacceptabele risico s te adresseren; en Een overkoepelend management proces inrichten om zeker te stellen dat de maatregelen continue invulling geven om de beveiliging benodigdheden van de organisatie te waarborgen. De ISO/IEC getiteld Information technology - Security techniques - Code of practice for information security management geeft best practices voor het opzetten, implementeren en onderhouden van een Information Security Management System (ISMS). Een aantal van de onderdelen in deze norm zijn in de norm ook verwerkt. De normen worden ook vaak tegelijk gebruikt als er invulling gegeven wordt aan informatiebeveiliging. Organisaties die security controls hebben conform zullen vaak de standaard van halen maar missen mogelijk overkoepelende management systeem elementen. Het tegenovergestelde is ook waar, een organisatie die gecertificeerd is geeft aan dat er een security management systeem is maar geeft weinig inzicht over de absolute staat van informatiebeveiliging. Technische controles zoals antivirus en firewalls worden niet meegenomen in audits. Het is dus goed om te realiseren wat de subtiele verschillen tussen beide normen zijn Wetgeving in de zorg De NEN7510 en 7511 normen zijn gebaseerd op de 'Code voor Informatiebeveiliging' (gepubliceerd als NEN-ISO/IEC en nu aangeduid als NEN-ISO/IEC 27002) en toegesneden op de Nederlandse gezondheidssector. Onder informatiebeveiliging in de zorg wordt verstaan: het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die nodig is om patiënten verantwoorde zorg te kunnen bieden. De 7512: Vertrouwensbasis voor Gegevensuitwisseling norm is in twee opzichten een aanvulling op de richtlijnen die NEN 7510 aan organisaties in de zorg geeft voor hun informatiebeveiliging. In de eerste plaats richt deze norm zich op de zekerheid die partijen elkaar moeten bieden als voorwaarde voor vertrouwde gegevensuitwisseling. Ten tweede levert deze norm een nadere invulling voor een aantal van de richtlijnen van NEN Dat betreft dan vooral de aanzet tot risicoclassificatie en de uitwerking van de eisen over identificatie en authenticatie die behoren bij een bepaalde risicoklasse. Het toepassingsgebied van deze norm is de elektronische communicatie in de zorg, tussen zorgverleners en zorginstellingen onderling en met patiënten en cliënten, met zorgverzekeraars en andere partijen die bij de zorg zijn betrokken. NEN 7512 geeft een schematische benadering voor het classificeren van communicatieprocessen naar het risico dat zij voor de gezondheidszorg met zich meebrengen. Aansluitend bij die classificatie worden voor uitwisseling van gegevens

20 Organisatie SYSQA B.V. Pagina 20 van 27 minimumeisen gesteld met betrekking tot de bron van de gegevens, het transportkanaal en de ontvanger van de gegevens. Bron en ontvanger kunnen personen zijn, maar ook organisaties of hun informatiesystemen. Als overkoepelend begrip wordt hiervoor in deze norm de term "entiteiten" gebruikt. In deze norm wordt aangegeven welke zekerheid over de identiteit van de te vertrouwen partij voor de onderscheiden risicoklassen voldoende wordt geacht. Een te vertrouwen partij zal zijn identiteit en eventueel kwalificaties moeten aantonen en de vertrouwende partij moet die kunnen controleren. Door deze authenticatie wordt de vereiste zekerheid bereikt. Bij elk van de risicoklassen geeft deze norm de minimaal vereiste wijze van authenticatie en de bijbehorende bewijsstukken. Voor de acceptatie van bewijsstukken is vertrouwen nodig in de uitgevende instantie en in de mate waarin het bewijsstuk bestand is tegen vervalsing en onrechtmatig gebruik De Wet Computercriminaliteit De Wet Computercriminaliteit (WCC) heeft met name te maken met computervredebreuk. Binnendringen in een daartegen beveiligd computersysteem; Het wederrechtelijk wijzigen en toevoegen van gegevens in een computer, ook als ze niet beveiligd zijn; Het opzettelijk of door nalatigheid beschadigen of onbruikbaar maken of storen van een computersysteem dat wordt gebruikt ten algemenen nutte. In alle drie de bovenstaande zaken wordt een van de zaken van IB aangetast tot op het punt dat het strafrechtelijk vervolgbaar is. Volgens deze wet dient er een redelijke mate van beveiliging te zijn welke afgestemd moet zijn op het doel en gebruik van het computersysteem. Een minimale eis is het gebruik van wachtwoorden maar bij specifieke instellingen als banken of universiteiten zijn er zwaardere eisen Code Tabaksblat De Nederlandse corporate governance code, vaak aangeduid als code-tabaksblat is een gedragscode voor beursgenoteerde bedrijven. Deze bevat regels voor taken, werkwijzen, hoogtes van beloningen voor bestuurders en commissarissen. Om de naleving van deze code te bevestigen is het noodzakelijk om aan te tonen dat informatie over de onderwerpen hiervoor beschikbaar is. Een van de hoofdregels binnen de code is het pas toe of leg uit principe: beursgenoteerde bedrijven moeten in het jaarverslag aangeven of zij alle voorschriften toepassen en zo niet, waarom niet. Alle onderdelen binnen deze code stellen hun eigen eisen aan de informatiebeveiliging. Niet voldoen aan de code kan negatieve gevolgen hebben op de beurs, bijvoorbeeld een daling van de koersen Sarbanes-Oxley Act De Sarbanes-Oxley act (afgekort tot SOx) is een Amerikaanse wet welke naar aanleiding van een aantal grote bestuursschandalen meer bijval kreeg. Belangrijke artikelen binnen deze act zijn de 302 en de : Behandelt de controle van verspreiding van informatie. De leiding van een bedrijf dient periodiek te rapporteren over de effectiviteit van de controles op verschillende niveaus 404: Behandelt regels voor interne controle en financiële rapportering. Het management wordt verplicht om jaarlijks expliciet een uitspraak te doen over de betrouwbaarheid van de interne controles die in het bedrijf gehanteerd worden. De cijfers welke opgeleverd worden door accountants zijn hierin cruciaal. Aangezien het vaak voorkomt dat cijfers door softwareprogrammatuur opgeleverd worden moeten er ook bewijzen aangeleverd worden om aan te tonen dat deze op deugdelijke wijze tot stand zijn gekomen. Zaken waar rekening mee gehouden moet worden: Welke software is er aangepast?;

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Introductie Informatiebeveiliging

Introductie Informatiebeveiliging Introductie Informatiebeveiliging SYSQA B.V. Almere Datum : 25 april 2013 Status : Definitief Opgesteld door : Organisatie: SYSQA B.V. Pagina 2 van 13 Inhoudsopgave 1 Leeswijzer... 3 2 Inleiding... 4 3

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Dataprotectie op school

Dataprotectie op school Dataprotectie op school ook een taak van het management Jacques Verleijen Wat is informatieveiligheid? Mogelijke actoren Netwerkschijven Cloud Backup- en restoremogelijkheden Encryptie Servers Firewalls

Nadere informatie

Advies informatiebeveiligings analyse HvA

Advies informatiebeveiligings analyse HvA Advies informatiebeveiligings analyse HvA Wouter Borremans - 0461911 - v1.1 1 Juni 2005 1 Inleiding Dit document is geschreven met als doel om de Hogeschool van Amsterdam[5] (HvA) te voorzien van een advies

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

Informatiebeveiliging voor de requirementsanalist

Informatiebeveiliging voor de requirementsanalist voor de requirementsanalist SYSQA B.V. Almere Datum : 15 april 2013 Versie : 1.0 Status : Definitief Opgesteld door : Organisatie: SYSQA BV Pagina 2 van 11 Inhoudsopgave Inhoudsopgave... 2 1 Inleiding...

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Zwaarbewolkt met kans op neerslag

Zwaarbewolkt met kans op neerslag 8 ControllersMagazine januari - februari 2015 automatisering Zwaarbewolkt met kans op neerslag Cloud was het woord van 2014. Het gaat hierbij om hard- en software die niet meer hoeft te worden aangeschaft

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging Informatiebeveiliging Informatiemanagement Rob Poels Beschikbaarheid Integriteit Vertrouwelijkheid Risico s logisch fysiek organisatorisch Maatregelen Onderwerpen informatiebeveiliging Actueel Hacking

Nadere informatie

nadere regels voor technische en organisatorische maatregelen bij elektronische gegevensuitwisseling tussen zorgaanbieders

nadere regels voor technische en organisatorische maatregelen bij elektronische gegevensuitwisseling tussen zorgaanbieders nadere regels voor technische en organisatorische maatregelen bij elektronische gegevensuitwisseling tussen zorgaanbieders Wij Willem - Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van

Nadere informatie

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam PRIVACYBELEID Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam Inhoudsopgave Inhoudsopgave... 1 1. Documentinformatie... 2 1.1. Documentgeschiedenis... 2 2. Privacybeleid Pseudonimiseer

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

Informatiebeveiliging voor functioneel beheerders. SYSQA B.V. Almere. Datum : 16-04-2013 Versie : 1.0. Opgesteld door :

Informatiebeveiliging voor functioneel beheerders. SYSQA B.V. Almere. Datum : 16-04-2013 Versie : 1.0. Opgesteld door : voor functioneel beheerders SYSQA B.V. Almere Datum : 16-04-2013 Versie : 1.0 Status : Definitief Opgesteld door : Organisatie: SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 Inleiding... 3 1.2 Doel en veronderstelde

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

ICT in de zorg. Over de impact van wet- en regelgeving

ICT in de zorg. Over de impact van wet- en regelgeving ICT in de zorg Over de impact van wet- en regelgeving Impact van weten regelgeving op ICT in de zorg Voldoen aan wet- en regelgeving is voor ICT-afdelingen in de zorgsector een steeds vaker terugkerend

Nadere informatie

Handreiking classificatie. Universiteit Leiden

Handreiking classificatie. Universiteit Leiden Handreiking classificatie Universiteit Leiden 1 Versie beheer Versie 0.1 14 april 2015 Eerste concept door Marco Gosselink Versie 0.2 21 april 2015 Tweede concept na opmerkingen J-W Brock. Versie 0.3 12

Nadere informatie

Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein

Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein Strategisch Informatiebeveiligingsbeleid Gemeenten IJsselstein, Montfoort en Nieuwegein Versie: 0.9 (definitief concept) Datum: 18 december 2012 Inhoudsopgave 1. MANAGEMENTSAMENVATTING... 1 2. INTRODUCTIE...

Nadere informatie

O2 Veilig of niet? Dat is de vraag! Wat betekent NEN7510 in relatie tot uw praktijk?

O2 Veilig of niet? Dat is de vraag! Wat betekent NEN7510 in relatie tot uw praktijk? O2 Veilig of niet? Dat is de vraag! Wat betekent NEN7510 in relatie tot uw praktijk? 7 Redenen om NEN 7510 in te voeren 1. Iedere zorginstelling is verplicht zich te houden aan de Wet bescherming persoonsgegevens.

Nadere informatie

Factsheet Penetratietest Webapplicaties

Factsheet Penetratietest Webapplicaties Factsheet Penetratietest Webapplicaties Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

Baseline informatiebeveiliging (minimale maatregelen)

Baseline informatiebeveiliging (minimale maatregelen) Baseline informatiebeveiliging (minimale maatregelen) 1 Versie beheer Versie 0.1 9 september 2013 1 e concept Versie 0.2 23 september 2013 2 e concept na review door Erik Adriaens Versie 0.3 8 oktober

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Document Versie: 1.0

Document Versie: 1.0 Bepaling van benodigde Beschikbaarheid, Integriteit en Vertrouwelijkheid van een systeem ter ondersteuning van een provinciaal proces. Document Versie: 1.0 1 Inhoudsopgave INTRODUCTIE... 3 HANDLEIDING

Nadere informatie

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie)

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) 1) Welke documenten registraties zijn vereist? De onderstaande lijst toont de minimale set van documenten en registraties

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

NEN 7510: Een kwestie van goede zorg

NEN 7510: Een kwestie van goede zorg NEN 7510: Een kwestie van goede zorg Menig zorginstelling geeft aan nog niet te voldoen aan de NEN 7510 omdat deze (nog) niet verplicht is. Wettelijk is dit wellicht het geval, maar wat nu als men dit

Nadere informatie

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007 Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Inhoud Aanleiding en Historie VIR 2007 Invoeringsaspecten 2 Aanleiding en historie

Nadere informatie

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management

Nadere informatie

Gelijkwaardigheid van niet-geaccrediteerde laboratoria (conform NEN-EN ISO/IEC 17025)

Gelijkwaardigheid van niet-geaccrediteerde laboratoria (conform NEN-EN ISO/IEC 17025) Gelijkwaardigheid van niet-geaccrediteerde laboratoria (conform NEN-EN ISO/IEC 17025) NEa, 20-07-2012, versie 1.0 INTRODUCTIE In artikel 34 van de Monitoring en Rapportage Verordening (MRV) is beschreven

Nadere informatie

Informatiebeveiligingsbeleid 2015-2018

Informatiebeveiligingsbeleid 2015-2018 Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Privacy in Instituut Verbeeten

Privacy in Instituut Verbeeten Privacy Privacy in Instituut Verbeeten Ook uw gegévens behandelen wij met zorg Wij gebruiken privacygevoelige gegevens van u. We vinden het daarom ook belangrijk dat u weet dat uw gegevens bij ons in goede

Nadere informatie

Vragenlijst ten behoeve van opstellen continuïteitsplan

Vragenlijst ten behoeve van opstellen continuïteitsplan Vragenlijst ten behoeve van opstellen continuïteitsplan Soorten risico s Data (digitaal of op papier) zijn voor langere tijd niet beschikbaar Applicaties (software) zijn voor langere tijd niet beschikbaar

Nadere informatie

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie

Nadere informatie

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved. 1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?

Nadere informatie

Sr. Security Specialist bij SecureLabs

Sr. Security Specialist bij SecureLabs Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

Beknopt overzicht van bedreigingen en maatregelen

Beknopt overzicht van bedreigingen en maatregelen Beknopt overzicht van bedreigingen en maatregelen Dit voorbeelddocument omvat een beknopt overzicht van bedreigingen en maatregelen. De opgesomde componenten, bedreigingen en maatregelen zijn bedoeld om

Nadere informatie

WHITE PAPER. Informatiebeveiliging

WHITE PAPER. Informatiebeveiliging WHITE PAPER Informatiebeveiliging Door een goede, geïntegreerde inrichting van de informatiebeveiliging wordt een onderneming geholpen op een flexibele, kostenbewuste manier klanten beter te bedienen.

Nadere informatie

Doxis Informatiemanagers

Doxis Informatiemanagers Substitutie Doxis Informatiemanagers Grootste adviesburo op het gebied van informatiemanagement in Nederland Zelfstandig bedrijfsonderdeel van Ernst & Young Jarenlange ervaring bij NL Overheid Gedegen

Nadere informatie

Actualiteitendag Platform Deelnemersraden Risicomanagement

Actualiteitendag Platform Deelnemersraden Risicomanagement Actualiteitendag Platform Deelnemersraden Risicomanagement Benne van Popta (voorzitter Detailhandel) Steffanie Spoorenberg (adviseur Atos Consulting) Agenda 1. Risicomanagement 2. Risicomanagement vanuit

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 16990 20 juni 2014 Regeling van de Staatssecretaris van Volksgezondheid, Welzijn en Sport van 12 juni 2014, kenmerk 376061-121125-WJZ,

Nadere informatie

Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers

Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

NS in beweging, Security als business enabler september 2008

NS in beweging, Security als business enabler september 2008 NS in beweging, Security als business enabler september 2008 Rien Dijkstra Enterprise IT Architect Informatiemangement & Technologie .. de noodzaak en uitdagingen van een topvervoerder, onder eigen regie,

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

WBP Zelfevaluatie. Privacygedragscode (VPB)

WBP Zelfevaluatie. Privacygedragscode (VPB) WBP Zelfevaluatie Privacygedragscode (VPB) April 2004 1. Inleiding In haar beschikking van 13 januari 2004 heeft het College Bescherming Persoonsgegevens (CBP) verklaard dat de in de privacygedragscode

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Aanvraagformulier Cyber en Data Risks verzekering by Hiscox

Aanvraagformulier Cyber en Data Risks verzekering by Hiscox A Algemeen 1. Gegevens aanvrager Naam: Adres: Dochter- Bedrijven 50% aandel of meer: Heeft u een vestiging in de VS/ Canada Graag een opgave van uw activiteiten: Graag een opgave van uw website(s) : 2.

Nadere informatie

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement Rapportage Pizzasessie Functioneel-beheer.com Alle deelnemers hebben hun functienaam opgegeven. De volgende functienamen zijn gemeld: Specialisten o Functioneel beheerder (9x) o Functioneel applicatiebeheerder

Nadere informatie

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Bijlage 1 Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Uitgeverij Zwijsen B.V. is een educatieve uitgeverij die verschillende digitale producten en diensten ( digitale leermiddelen

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy Help, een datalek, en nu? IKT-College 16 februari 2016 Mirjam Elferink Advocaat IE, ICT en privacy Inleiding Voorbeelden recente datalekken - Medische gegevens online door fout scanbedrijf (Bron: R. van

Nadere informatie

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth De taak van de raad onder het dualisme Kaders stellen (WMO, Jeugdwet, handhaving) Budgetteren (begroting) Lokale wetgeving

Nadere informatie

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging Informatiebeveiliging Jeroen van Luin 30-11-2011 jeroen.van.luin@nationaalarchief.nl Wat is informatiebeveiliging? Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve

Nadere informatie

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Implementatie BIR Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Praktisch omgaan met Privacy & Security en het Wbp

Praktisch omgaan met Privacy & Security en het Wbp 2-daagse praktijktraining Praktisch omgaan met Privacy & Security en het Wbp Programma Praktisch omgaan met Privacy & Security en het Wbp De training Praktisch omgaan met Privacy & Security en het Wbp

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Cursusdag ICT-standaarden in de zorg. Nieuwegein, 20 mei 2014

Cursusdag ICT-standaarden in de zorg. Nieuwegein, 20 mei 2014 Cursusdag ICT-standaarden in de zorg Nieuwegein, 20 mei 2014 Toelichting NEN 7510 Informatiebeveiliging in de zorg Drs. J.W.R. Schoemaker CISSP CISO / Business Continuity Manager Erasmus MC Inhoud Toelichting

Nadere informatie

Business Continuity Management

Business Continuity Management Business Continuity Management Aart Bitter - 14 januari 2014 SAFER, SMARTER, GREENER Praktijk case Wij zijn als bierbrouwerij voorgedragen om onze producten te leveren aan het Holland House tijdens het

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

NETQ Healthcare: Voor inzicht in het effect van therapie

NETQ Healthcare: Voor inzicht in het effect van therapie NETQ Healthcare: Voor inzicht in het effect van therapie INHOUD Inleiding 3 Eisen vanuit NEN 7510 en de Wet Bescherming Persoonsgegevens 4 Beheerst wijzigingsproces 4 Toegankelijkheid geautoriseerde gebruikers

Nadere informatie

Privacy in Instituut Verbeeten

Privacy in Instituut Verbeeten Privacy Privacy in Instituut Verbeeten Ook uw gegévens behandelen wij met zorg Wij gebruiken privacygevoelige gegevens van u. We vinden het daarom ook belangrijk dat u weet dat uw gegevens bij ons in goede

Nadere informatie

Snel naar NEN7510 met de ISM-methode

Snel naar NEN7510 met de ISM-methode Snel naar NEN7510 met de ISM-methode Cross-reference en handleiding Datum: 2 april 2011 Versie: 1.0 Auteur: J. van Bon Integrated Service Management Snel naar NEN7510 met de ISM-methode! Informatiebeveiliging

Nadere informatie

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG Post Bits of Freedom Bank 55 47 06 512 M +31 (0)6 13 38 00 36 Postbus 10746 KvK 34 12 12 86 E ton.siedsma@bof.nl 1001 ES Amsterdam W https://www.bof.nl Ivo Opstelten Minister van Veiligheid en Justitie

Nadere informatie

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015 De Meldplicht Datalekken mr. N. Falot 8 oktober 2015 Over Considerati Wij zijn het leidend juridisch adviesbureau gespecialiseerd in Privacy, ICT recht en Beleidsvraagstukken Uitgebreide ervaring met privacy

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Inhoudsopgave 1 Goedkeuring informatiebeveiligingsbeleid en distributie (BH1) 2 2 Inleiding 2 2.1 Toelichting 2 2.2 Definitie van informatiebeveiliging 2 2.3 Samenhang tussen

Nadere informatie

Factsheet DATALEKKEN COMPLIANT Managed Services

Factsheet DATALEKKEN COMPLIANT Managed Services Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.

Nadere informatie

Onderzoeksresultaten infosecurity.nl

Onderzoeksresultaten infosecurity.nl Onderzoeksresultaten infosecurity.nl Pagina 1 Introductie Tijdens de beurs infosecurity.nl, die gehouden werd op 11 en 12 oktober 2006, heeft Northwave een onderzoek uitgevoerd onder bezoekers en exposanten.

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

Het ISACA RISK IT Framework voor Testers. Omgaan met risico s Risk Appetite Onderzoeken Maatregelen

Het ISACA RISK IT Framework voor Testers. Omgaan met risico s Risk Appetite Onderzoeken Maatregelen 1 Het ISACA RISK IT Framework voor Testers Omgaan met risico s Risk Appetite Onderzoeken Maatregelen 2 Wie is Jaap Ir. J. van der Leer CRISC CGEIT CISA 43 jaar in de IT werkzaam. 22 jaar ervaring in IT

Nadere informatie

Doel van de opleiding informatieveiligheid

Doel van de opleiding informatieveiligheid Doel van de opleiding informatieveiligheid Het netwerk voor elektronische uitwisseling van persoonsgegevens tussen de diverse instellingen van de sociale zekerheid, dat door de Kruispuntbank wordt beheerd,

Nadere informatie

Wet Bescherming Persoonsgegevens : WBP AANGESLOTEN BIJ:

Wet Bescherming Persoonsgegevens : WBP AANGESLOTEN BIJ: AANGESLOTEN BIJ: Btw nummer 086337798 B01 K.v.K. nr. 14096082 Maastricht Wet Bescherming Persoonsgegevens : WBP Kwaliteit Per 1 september 2001 is de Wet Persoonsregistraties vervangen door de Wet Bescherming

Nadere informatie

DATAPRIVACY. Wet- en regelgeving, Cloud, beveiligingpersoonsgegevens. Whitepaper ````

DATAPRIVACY. Wet- en regelgeving, Cloud, beveiligingpersoonsgegevens. Whitepaper ```` Naar aanleiding van de recente onthullingen rondom de NSA, de Patriot act en PRISM is er veel onduidelijkheid voor organisaties of hun gegevens wel veilig en voldoende beschermd zijn. Op 1 januari 2016

Nadere informatie