I N F O R M AT I E B E V E I L I G I N G S P L A N &

Maat: px
Weergave met pagina beginnen:

Download "I N F O R M AT I E B E V E I L I G I N G S P L A N 201 1 &"

Transcriptie

1 I N F O R M AT I E B E V E I L I G I N G S P L A N & R I S I C O A N A L Y S E ( D E F I N I T I E F )

2 Inhoudsopgave REVISIE HISTORIE... 3 MANAGEMENTSAMENVATTING HET INFORMATIEBEVEILIGINGSPLAN RISICOANALYSE WERKWIJZE STRUCTUUR VAN DE RAPPORTAGE DREIGINGSANALYSE BEVEILIGINGSBELEID (5) ORGANISATIE VAN INFORMATIEBEVEILIGING (6) BEHEER VAN BEDRIJFSMIDDELEN (7) BEVEILIGING VAN PERSONEEL (8) FYSIEKE BEVEILIGING EN BEVEILIGING VAN DE OMGEVING (9) BEHEER VAN COMMUNICATIE- - EN BEDIENINGSPROCESSEN (10) TOEGANGSBEVEILIGING (11) VERWERVING, ONTWIKKELING EN ONDERHOUD VAN INFORMATIESYSTEMEN (12) BEHEER VAN INFORMATIEBEVEILIGINGSINCIDENTEN (13) BEDRIJFSCONTINUÏTEITSBEHEER (14) NALEVING (15)... 30

3 3 MAATREGELEN BIJLAGE 1, 34 BRONNEN... Revisie historie ManagementsamenvaIng Sinds de vorige versie van dit informawebeveiligingsplan is er op het gebied van informawebeveiliging behoorlijk wat veranderd in de gemeente. Waar in 2007 het onderwerp nog hoofdzakelijk bij team ICT lag, is het nu breder in de organisawe belegd. Daarnaast is er nu een informawebeveiligings- - beleid dat de ambiwe op gebied van informawebeveiliging voor de gemeente vastlegt. Ook de gemeentebrede en integrale aanpak van het onderwerp, dat daardoor niet meer door een aantal afdelingen onaaankelijk wordt ingevuld, is onderdeel van deze verandering. Het is nu Wjd deze vernieuwing door te zeben, en een volgende stap te maken op het gebied van informawebeveiliging. Dit plan is het uitgangspunt voor die volgende stap. Een eenvoudige stap die er grotendeels uit bestaat om door te gaan op de huidige weg, en de acwepunten uit dit plan in gang te zeben. Een toelichwng hierop. Die toelichwng begint met de constatering uit de risicoanalyse die voor dit informawebeveiligingsplan is gemaakt, dat er in de tussenwjd weinig nieuwe risico s zijn ontstaan, en dat risico s die men nu ziet ook al in de risicoanalyse en het informawebeveiligingsplan in 2007 zijn geadresseerd. Enkele voorbeelden: De afdeling Publiek en Sociaal geeg aan dat men zich zorgen maakt over de gevolgen van een uitval van IT apparatuur. Men is van mening dat informawesystemen te vaak uitvallen en dat storingen niet snel genoeg opgelost worden. Dit kan ondervangen worden door maatregel 5.10, een interne SLA waarbij de afspraken tussen team ICT en de organisawe worden vastgelegd en vervolgens kunnen worden gemeten. Door het maken van de SLA ontstaat afstemming tussen vraag en aanbod in de zin dat de organisawe duidelijk maakt wat men verwacht en team ICT vastlegt op welke dienstverlening de organisawe kan rekenen. In een tussenwjdse risicoanalyse t.b.v. de GBA audit in 2008 wordt brand in de computerruimte als belangrijk risico genoemd. Het punt is al benoemd in het informawebeveiligingsplan in 2007 middels punt 5.8. Sindsdien is uitvoering van deze maatregel blijven liggen. In diezelfde risicoanalyse, en door iedereen die in de gemeente bij informawebeveiliging betrokken is, wordt bewustwording en houding en gedrag gezien als punt dat meer aandacht nodig heeg. Juist omdat de factor mens van grote invloed is op de betrouwbaarheid van de informawevoorziening. Ook dit punt is reeds in het plan uit 2007 opgenomen en sindsdien niet structureel opgepakt. Het doel van de voorbeelden hierboven is niet om te wijzen of beschuldigen. Het laat zien dat geleidelijke uitvoering van de maatregelen uit dit plan een eenvoudige manier

4 is om de betrouwbaarheid van de informawevoorziening van de gemeente te verhogen. Dit is van groot belang in een Wjd waar de dienstverlening van gemeenten in toenemende mate aaankelijk is van (geautomawseerde) informawesystemen. Deze toename is al in het plan in 2007 genoemd en bestaat nog steeds. De digitalisering van dienstverlening en de samenwerking met ketenpartners blijg in ontwikkeling en zal de aaankelijkheid nog verder vergroten. Als laatste moet nog gezegd worden dat bij het uitvoeren van de risico analyse geen onaanvaardbare risico s aangetroffen zijn. Over het algemeen zijn de noodzakelijke maatregelen getroffen. 1 Het informalebeveiligingsplan 2011 Dit document is de ediwe 2011 van het informawebeveiligingsplan van de gemeente. Het plan bevat naast een beschrijving van de huidige status van de informawebeveiliging een plan voor de verbetering daarvan. Een risicoanalyse inventariseert daartoe de huidige situawe en de knelpunten daarin. Aan de hand van de knelpunten van de risico analyse zijn een reeks maatregelen geformuleerd. Deze worden in de planperiode projectmawg uitgevoerd. Het plan kan daarom worden opgevat als een implementaweplan van nog te treffen maatregelen. Dit beveiligingsplan is een integraal onderdeel van het stelsel van documenten dat de gemeente in het kader van informawebeveiliging heeg opgesteld. De basis van dat stelsel is het InformaWebeveiligingsbeleid Voor meer achtergrond over informawebeveiliging en de inrichwng daarvan in de gemeente wordt daarom verwezen naar dat beleid waar ook de funcwe en betekenis van dit plan nader omschreven staan. Het figuur hiernaast, overgenomen vanuit het informawe- - beveiligingsbeleid, schets de hiërarchie van documenten rond informawebeveiliging. Dit plan is een nieuwe versie van het plan uit Enkele onderdelen uit die voorgaande versie ontbreken in deze ediwe omdat ze inmiddels onderdeel uitmaken van de gemeentebrede documenten. Het gaat hierbij met name om de paragraaf over informawebeveiligingsbeleid, de brede beschrijving van taken, bevoegdheden en verantwoordelijkheden. Deze onderdelen staan immers in het informawebeveiligingsbeleid dat sindsdien gemaakt is. Daarnaast is de gedetailleerde beschrijving van reden en inhoud van de maatregelen uit de vorige versie van de risicoanalyse in deze versie niet herhaald. De maatregelen zijn te vinden in het maatregelenoverzicht in de bijlage bij dit plan. Indien gewenst kan de gedetailleerde beschrijving InformaWebeveili gingsbeleid InformaWebeveili gingsplan en de achtergrond voor de maatregelen in de vorige versie van het informawebeveiligingsplan worden opgezocht. Drie constateringen uit de risicoanalyse die

5 voorheen onderdeel uitmaakte van het Beveiligingsplan Reisdocumenten en Rijbewijzen Procedure: xyzp rocedure: xyz2 zijn meegenomen in de nieuwe gemeentebrede risicoanalyse. Het zijn sogware storingen, fysiek geweld en verbaal geweld. Daarnaast zijn voor deze risicoanalyse de resultaten van de separate risicoanalyse die in 2008 ten behoeve van de GBA audit is gedaan bekeken. 2 Risicoanalyse Dit hoofdstuk bevat het resultaat van de risico analyse op het gebied van informawebeveiliging zoals die in januari 2011 in de gemeente is uitgevoerd. Op basis van deze risico analyse zijn nieuwe of aanvullende maatregelen gekozen voor het informawebeveiligingsplan van de gemeente. Die maatregelen staan omwille van de overzichtelijkheid ook in dit hoofdstuk. 2.1 Werkwijze De basis van deze risicoanalyse bestaat, net zoals in de versie van 2007, uit een risico inventarisawe op basis van de code voor informawebeveiliging. Aanvullend op de risicoanalyse is voor dit informawebeveiligingsplan ook een dreigingsanalyse uitgevoerd. Door bij de risicoanalyse de code voor informawebeveiliging als uitgangspunt en leidraad te nemen is op eenvoudige wijze gegarandeerd dat het hele spectrum van informawebeveiliging wordt gedekt. Bij de risico inventarisawe is per doelstelling (paragraaf) en beheersmaatregel (sub- - paragraaf) van de code voor informawebeveiliging de situawe bij de gemeente vastgelegd. Na de inventarisawe is een maatregelenanalyse uitgevoerd. Daar waar de huidige situawe afwijkt van hetgeen de code voor informawebeveiliging suggereert, is gekeken of er, aanvullend op de maatregelen in de risicoanalyse uit 2007, nieuwe aanvullende maatregelen nodig zijn. Bovendien is voor dit informawebeveiligingsplan ook een dreigingsanalyse uitgevoerd. De resultaten van die dreigingsanalyse zijn gebruikt als uitgangspunt bij het bepalen van de prioriteit van de maatregelen De risicoanalyse van dit plan is gebaseerd op de laatste versie van de code voor informawebeveiliging, die uit 2007 (ISO norm NEN- - ISO/IEC 27002:2007). Bij de risicoanalyse in 2007 is gebruik gemaakt van de toen gangbare versie uit De versies zijn inhoudelijk vrijwel idenwek. In de versie uit 2007 zijn enkele beheersmaatregelen in een andere hoofdstuk gezet, en zijn er enkele beheersmaatregelen bijgekomen. Dit is in de risicoanalyse verwerkt. 2.2 Structuur van de rapportage Dit informawebeveiligingsplan (en de risicoanalyse er in) bestaat uit een

6 aantal onderdelen. De resterende paragrafen van dit hoofdstuk bevaben de resultaten van de zojuist genoemde drie analyses: De resultaten van de dreigingsanalyse staan in 2.3 De risicoanalyse, risico inventarisawe op basis van de de code voor informawebeveiliging, staat in de paragrafen 2.4 t/m Per hoofdstuk uit de code voor informawebeveiliging is in de betreffende paragraaf de situawe vastgelegd. De resultaten van de maatregelenanalyse zijn telkens per paragraaf van de risicoanalyse ( 2.4 t/m 2.15) opgenomen. Direct na de beschrijving van een hoofdstuk uit de code worden de voorgestelde nieuwe of aanvullende maatregelen opgesomd. Dit voorkomt geblader tussen de situawebeschrijving en maatregelen. De voorgestelde maatregelen zijn telkens aan het einde van een paragraaf in een tabel weergegeven. Per maatregel is ook aangegeven of het een organisatorische of technische maatregel is, en wat de prioriteit van de maatregel is. De prioriteit is mede bepaald op basis van de dreigingsanalyse. Een groter risico voor de gemeente betekent een grotere prioriteit bij het uitvoeren van de maatregelen. Bij een deel van de maatregelen is een toelichwng opgenomen. Het resultaat van deze analyses, het overzicht van acwviteiten en te nemen maatregelen heeg de vorm van een Excel spreadsheet en wordt als apart bestand verspreid. De tabel bevat zowel de maatregelen van de vorige risicoanalyse als van deze risicoanalyse. Voor het bepalen van de prioriteiten en het vaststellen van de volgorde waarin de maatregelen worden uitgevoerd is het resultaat van de dreigingsanalyse als uitgangspunt gebruikt. 2.3 Dreigingsanalyse Werkwijze dreigingsanalyse De dreigingsanalyse is uitgevoerd door voor een aantal globale bedreigingen een inschaong te maken voor zowel de waarschijnlijkheid dat de bedreiging manifest wordt, als de omvang van de gevolgschade. De combinawe van beide factoren bepaalt de prioriteit die aan het tegengaan van de bedreiging wordt gegeven. Bij het prioriteren van de maatregelen is daarom het resultaat van de dreigingsanalyse als basis genomen. Het bepalen van de categorie voor waarschijnlijkheid en effect van elke bedreiging is uitgevoerd door de informawebeveiligingsbeheerder van de gemeente die daarvoor met diverse managers en afdelingshoofden heeg gesproken Categorieën voor waarschijnlijkheid en effect Voor waarschijnlijkheid en effect is de onderstaande categorie- - indeling gebruikt: Waarschijnlijkheid Effect 1, Onbeduidend 1, Onbeduidend geen geregistreerde of aantoonbare incidenten; geen recente incidenten. geen meetbaar effect;

7 te verwaarlozen invloed op imago bij het publiek 2, Laag 2, Gering zeer weinig geregistreerde incidenten; wel vermoeden maar geen aantoonbare incidenten er zijn aantoonbare kosten op lokaal niveau, niet op centraal niveau; implicawe voor imago bij het publiek op lokaal niveau. 3, Gemiddeld 3, Beduidend regelmawg geregistreerde incidenten of een zichtbare trend; sterke aanwijzing uit meerdere bronnen. kan een merkbaar gevolg hebben op de bedrijfsvoering; serieuze schade aan het imago bij het publiek met aanmerkelijke kosten voor herstel. 4, Hoog 4, Kri9ek aantal incidenten wijst op een kriweke ernswge ontwrichwng van de bedrijfsvoering; situawe of een campagne tegen de gemeente; bedrijfsvoering op lange termijn wordt aangetast; grote waarschijnlijkheid van toekomswge ernswge aantaswng van het imago van de incidenten gebaseerd op geïdenwficeerde factoren. gemeente bij het publiek met hoge kosten en grote inspanning voor herstel Bedreigingen en waardering In de volgende tabel staan de bedreigingen en de vastgestelde waarden voor waarschijnlijkheid en effect, en de daaruit volgende risico- - omvang Risico 1 Te laag bewustzijn informawebeveiliging Capaciteitsprobleem personeel Computervirus Stroomstoring / blikseminslag Brand + koeling computerruimte Externe calamiteiten (vliegverkeer / chloortrein) Capaciteitsprobleem spanningsvoorziening Fraude intern Fraude extern Terreur 1 4 4

8 11 Wateroverlast Extern personeel Afvoeren gegevensdragers FuncWescheiding + wachtwoorddiscipline Externe toegang netwerk / hackers Beveiligingsbeleid (5) Vanaf deze paragraaf zijn de resultaten van de risicoinventarisawe en maatregelenanalyse vastgelegd. In deze paragraaf worden de doelstellingen van het eerste hoofdstuk van de code voor informawebeveiliging met als onderwerp beveiligingsbeleid, besproken InformaLebeveiligingsbeleid Beleidsdocument voor informa2ebeveiliging De gemeente beschikt over een door het college vastgesteld informawebeveiligingsbeleid vastgelegd in het document InformaWebeveiligingsbeleid 2010 [1]. Het document bevat alle voor de gemeente noodzakelijke elementen die vanuit de code voor informawebeveiliging en wet en regelgeving aan zo n beleid gesteld worden. Het gemeentebrede en integrale beleid is van toepassing op de gehele organisawe en neemt de noodzaak weg voor apart beleid voor informawebeveiliging per afdeling. Beoordeling en evalua2e In het InformaWebeveiligingsbeleid 2010 is een hoofdstuk gewijd aan de organisawe van informawebeveiliging. Daar is ook beschreven met welke frequenwe en onder welke voorwaarden het beleid wordt beoordeeld en gereviseerd. Maatregelen Ref O / T Prio - - Op het gebied van beveiligingsbeleid zijn geen nieuwe of aanvullende maatregelen nodig. Toelich2ng: Door het opstellen van het informawebeveiligingsbeleid in 2010 zijn een groot deel van de maatregelen uit het plan van 2007, van 1, Beveiligingsbeleid gerealiseerd. 2.5 OrganisaLe van informalebeveiliging (6) De gemeente heeg de organisawe van informawebeveiliging beschreven in het informawebeveiligingsbeleid De daadwerkelijke invulling van alle rollen en bijbehorende taken, bevoegdheden en verantwoordelijkheden is nog in uitvoering Interne organisale Betrokkenheid van de direc2e bij informa2ebeveiliging Coördina2e van

9 informa2ebeveiliging Toewijzing van verantwoordelijkheden voor informa2ebeveiliging Zijn beschreven in het informawebeveiligingsbeleid. Uitvoering dient nog ter hand genomen te worden. Goedkeuringsproces voor IT- - voorzieningen De coördinator van het team ICT is budgethouder voor de IT voorzieningen. De huidige werkwijzen waarborgen dat nieuwe informawesystemen (apparatuur en programmatuur) op een beheerste wijze en met toestemming van het betrokken management in gebruik worden genomen. Er wordt een vast proces gebruikt. Dit proces is niet formeel vastgelegd. Geheimhoudingsovereenkomst De gemeente kent geen geheimhoudingsverklaringen voor medewerkers. Sinds 2009 wordt wel de eed of geloge afgelegd. Contact met overheidsinstan2es Contact met speciale belangengroepen Voor zover noodzakelijk worden deze contacten onderhouden door de informawebeveiligingsfuncwonaris en de informawebeveiligingsbeheerder. Deze verantwoordelijkheid is in het informawebeveiligingsbeleid vastgelegd. Op dit moment is het aantal en de omvang van incidenten geen aanleiding om uitsluitend t.b.v. informawebeveiliging structurele communicawe in te richten met instanwes voor wetshandhaving, regelgevende instanwes, leveranciers van informawediensten en telecommunicawe- - bedrijven, om ervoor te zorgen dat in geval van een incident snel de benodigde acwe kan worden ondernomen en advies kan worden ingewonnen. Bovendien ontbreekt hiervoor, gezien de omvang van de organisawe, de menskracht. OnaCankelijke beoordeling van informa2ebeveiliging Vanuit de GBA- - audit wordt de informawebeveiliging elke 3 jaar door een externe auditor beoordeeld. Zij het met een beperking tot het werkgebied van de GBA. Echter, doordat informawebeveiliging nu integraal en gemeentebreed is ingericht worden bij deze audit ook de diverse gemeentebrede aspecten en documenten zoals informawebeveiligingsbeleid en informawebeveiligingsplan in de audit betrokken. Bovendien is om dit informawebeveiligingsplan te kunnen maken de informawebeveiliging van de gemeente door een onaaankelijke parwj onderzocht en beoordeeld Externe parljen Iden2fica2e van risico's die betrekking hebben op externe par2jen Beveiliging behandelen in de omgang met klanten Beveiliging behandelen in overeenkomsten met een derde par2j Toegang door derden tot ICT voorzieningen, burgers, andere bezoekers, leveranciers, etc. is met diverse maatregelen omgeven. Aan de getroffen maatregelen ligt geen theorewsche risicoanalyse ten grondslag. De maatregelen komen voort uit ervaringen, en worden in de dagelijkse prakwjk getoetst en waarnodig aangepast (aangescherpt of afgezwakt).

10 Beveiliging behandelen in overeenkomsten met een derde par2j Er wordt gebruik gemaakt van de standaard paragrafen die leveranciers over beveiliging in hun contracten hebben opgenomen. De salarisverwerking (P&O) en de aanslagvervaardiging voor belaswngen zijn uitbestedingen waarbij de verantwoordelijkheid voor de informaweverwerking bij een derde ligt. In beide gevallen betreg het grote gespecialiseerde organisawes die deze dienstverlening aanbieden, en is aannemelijk gemaakt dat in de contracten goede waarborgen voor beveiliging en privacy zijn opgenomen. De contracten zijn in het kader van deze risicoanalyse niet inhoudelijk beoordeeld. Maatregelen Ref O / T Prio 2.7 Bewaak de invoering van de organisawe van informawebeveiliging zoals in het beleid beschreven O H Het informawebeveiligingsbeleid legt de basis voor een goede informawebeveiliging. De daadwerkelijke gemeentebreder implementawe van informawebeveiliging, zoals in dat beleid beschreven in het hoofdstuk De organisawe van informawebeveiliging is van doorslaggevend belang voor het succes van informawebeveiliging. Het is de eerste stap die er toe leidt dat informawebeveiliging een normaal kwaliteitsaspect van de bedrijfsvoering van de gemeente wordt. 2.6 Beheer van bedrijfsmiddelen (7) Doel van dit onderdeel is het bereiken en handhaven van een adequate bescherming van bedrijfsmiddelen, waaronder de informawe, van de organisawe. Bij afdelingen zoals Publiek en Sociaal, waar privacy en vertrouwelijkheid van belang zijn, zijn vanuit de eigen afdeling de nodige procedures en maatregelen ingericht. Bij team ICT worden enkele backups, bijvoorbeeld die met gegevens over belaswngen en van de GBA, met grotere zorgvuldigheid dan de overige tapes behandeld. In het informawebeveiligingsbeleid 2010 is het classificawesysteem van de gemeente beschreven. De invulling van het beleid dient nog ter hand genomen te worden. Samenvabend. Daar waar noodzakelijk zijn reeds de juiste maatregelen getroffen. Het beleid, beschreven in het classificawesysteem in het informawebeveiligingsbeleid moet nog uitgevoerd worden. De standaard acwviteiten die hiervoor in de code voor informawebeveiliging zijn opgenomen (hieronder opgesomd) worden waarnodig ingevuld. Het gaat om: Verantwoordelijkheid voor bedrijfsmiddelen Inventarisa2e van bedrijfsmiddelen Eigendom van bedrijfsmiddelen Aanvaardbaar gebruik van bedrijfsmiddelen ClassificaWe van informawe Richtlijnen voor classifica2e Labeling en verwerking van informa2e

11 Maatregelen Ref O / T Prio Voor het beheer van bedrijfsmiddelen zijn geen nieuwe of aanvullende maatregelen nodig. 2.7 Beveiliging van personeel (8) Doel van dit onderdeel is bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden begrijpen, en geschikt zijn voor de rollen waaraan zij invulling geven Voorafgaand aan het dienstverband Rollen en verantwoordelijkheden In funcweomschrijvingen zijn geen specifieke eisen over het omgaan met (vertrouwelijke) informawe opgenomen. De verantwoordelijkheden rond informawebeveiliging zijn specifiek beschreven in het InformaWebeveiligingsbeleid en daarnaast in documenten zoals het Beveiligingsplan Reisdocumenten en Rijbewijzen. Screening Van elke nieuwe medewerker wordt een VOG gevraagd. Benoeming is alwjd onder voorbehoud. (Bij team ICT is in het verleden een benoeming niet definiwef kunnen worden omdat een medewerker geen VOG kon overleggen.). Arbeidsvoorwaarden Alle vaste medewerkers vallen onder de ambtenarenwet. Daarnaast hanteert de gemeente het CAR- - UWO van de VNG. Zowel in de ambtenarenwet als in het CAR- - UWO zijn verplichwngen over het vertrouwelijk omgaan met gevoelige informawe vastgelegd. Tijdelijke medewerkers, uitzendmedewerkers, gedetacheerden en consultants, vallen onder eigen arbeidsregelingen Tijdens het dienstverband Direc2everantwoordelijkheid De direcwe is hoofdverantwoordelijke voor informawebeveiliging. Dit is zowel in wet en regelgeving als in het informawebeveiligingsbeleid van de gemeente vastgelegd. In dat beleid worden tevens de verantwoordelijkheden voor alle medewerkers beschreven. Bewustzijn, opleiding en training ten aanzien van informa2ebeveiliging Er zijn afspraken met personeelszaken dat informawebeveiliging ter sprake komt bij de introducwe van nieuwe medewerkers. Het is onbekend of dat op dit moment nog gebeurt. De afdeling Publiek en Sociaal heeg in het Beveiligingsplan Reisdocumenten en Rijbewijzen vastgelegd dat elke nieuwe medewerker op de hoogte wordt gebracht van de beveiligingsmaatregelen op de afdeling. Specifieke trainingen gericht op informawebeveiligingsbewustzijn of juist gedrag dat informawebeveiliging bevordert worden niet gehouden.

12 Beveiliging en beveiligingsbewustzijn zijn niet opgenomen als competenwes. Disciplinaire maatregelen Een (formeel) disciplinair proces voor aaandeling van inbreuk op de beveiliging is vastgelegd in de arbeidsvoorwaarden (CAR- - UWO) en ambtenarenwet. Het is daarnaast in nader uitgewerkt en toegelicht in het Integriteitbeleid gemeente en in het Protocol Elektronische CommunicaWe Beëindiging of wijziging van dienstverband Beëindiging van verantwoordelijkheden Voor zover bekend worden medewerkers die vertrekken er niet specifiek op gewezen dat bepaalde verantwoordelijkheden, zoals geheimhouding en vertrouwelijkheid van gegevens ook na het dienstverband nog blijven doorlopen. Retournering van bedrijfsmiddelen Dit vormt een onderdeel van de vaste stappen die bij het einde van een dienstverband worden gevolgd. Blokkering van toegangsrechten De afdelingsmanager moet dit melden aan de team ICT. In de prakwjk wordt het nog wel eens vergeten. Vanwege de omvang van de organisawe gaat dit meestal wel goed. Ook omdat het relawef weinig voorkomt dat mensen de organisawe verlaten. Het zicht op Wjdelijke en ingehuurde medewerkers is minder dan dat op vaste medewerkers. Maatregelen Ref O / T Prio Neem in de procedure die gevolgd wordt voor vertrekkende medewerkers op dat aandacht besteed wordt aan het feit dat bepaalde verantwoordelijkheden doorlopen na afloop van de aanstelling of het (Wjdelijke) dienstverband O L 2.8 Fysieke beveiliging en beveiliging van de omgeving (9) Voorkomen van onbevoegde fysieke toegang tot, schade aan of verstoring van het terrein en de informawe van de organisawe is het doel van dit onderdeel Beveiligde ruimten Fysieke beveiliging van de omgeving Er is een parkeergarage onder het gemeentehuis die in principe voor iedereen toe- - gankelijk is. De parkeergarage is voorzien van brandmelders, heeg geen camerabewaking, en geen automawsche brandblusinstallawe. De deur die vanuit de parkeerkelder toegang tot het gemeentehuis verleent, is be- - veiligd met een elektronsch slot en kaartlezer. Alleen met een tag met de juiste au- - torisawe kan de deur worden geopend.

13 Fysieke toegangsbeveiliging Het gemeentehuis is beveiligd met een elektronisch toegangssysteem. Medewerkers hebben een tag (pasje) voor toegang tot het gemeentehuis en een deel van de werkvertrekken. Er zijn twee zones. Een publiek toegankelijke, en één met de werkvertrekken. De Afdeling Publiek en Sociaal is aanvullend voorzien van een apart af te sluiten deur. De deur is buiten kantoorwjden en Wjdens de lunch of op andere momenten dat er niemand op de afdeling is, afgesloten. (zie voor details het Beveiligingsplan Reisdocumenten en Rijbewijzen) Ook bij team ICT is de kamer gesloten bij afwezigheid van het team. Er is een recepwe aanwezig. Bezoekers moeten zich eerst melden bij de recepwe. Bezoekers moeten door een medewerker uit de openbare zone worden opgehaald, en daar na afloop van het bezoek weer worden teruggebracht. Buiten de openingsuren van het gemeentehuis (8:30 17:00 en op donderdag tot 19:00) zijn buitendeuren alleen te openen met een tag. Om 23:00 schakelt het alarm in. Beveiliging van kantoren, ruimten en voorzieningen De afdeling Publiek en Sociaal heeg een publieksbalie. Vanuit een eerdere risicoanalyse door de afdeling is gebleken dat fysiek en verbaal geweld tegen medewerkers van de gemeente als risico wordt gezien. Het aantal daadwerkelijke incidenten valt mee, maar medewerkers geven aan dat training en opleiding op dit gebied meer structureel aangepakt zou moeten worden. Er is een bliksemafleidingsinstallawe op het gemeentehuis geïnstalleerd. Geleiders staan vrijwel recht boven de computerruimte geïnstalleerd. Het is niet bekend of dit een risico voor de computerapparatuur oplevert. Er is hierover geen afstemming geweest tussen de installateur van de bliksemafleider en team ICT. Door het hele gemeentehuis heen hangen brandmelders. Doormelding naar alarmcentrale en brandweer is voorzien. Op de eerste verdieping hangen in alle gangen en hallen en op de kamer van team ICT bewegingsmelders. Op de begane grond hangen ze in alle werkvertrekken. Bij alarm wordt direct doorgemeld naar de alarmcentrale, die op haar beurt de melding aan de poliwe doorgeeg. De aircondiwoning waarvan in 2007 werd geconstateerd dat deze niet geschikt was voor conwnue gebruik in een computerruimte (bedoeld voor winkels), is inmiddels vervangen door een geschikt exemplaar. De computerruimte is een voormalige kluis. De ruimte is rondom van beton en waterdicht. Er is één raam, en één deur. Beide zijn brandwerend. In de computerruimte is een rookmelder geïnstalleerd. Deze is aangesloten op de brandmeldinstallawe van het gemeentehuis. Meldingen gaan naar de meldkamer van het beveiligingsbedrijf. In de computerruimte is in eigen beheer een temperatuursensor geïnstalleerd. De installawe geeg een alarm via een SMS door aan de systeembeheerders. Werken in beveiligde ruimten Het gemeentehuis kent twee ruimtes met aanvullende beveiliging, de afdeling Publiek en Sociaal, en de werkruimte van team ICT.

14 De computerruimte is alleen toegankelijk vanuit het werkvertrek van de het team ICT. De deur van de computerruimte is standaard gesloten en voorzien van een mechanisch en elektronisch slot. De sleutels van de sloten worden beheerd door de medewerkers van het team ICT De computerruimte wordt ook gebruikt als kluis door team Beheer van de afdeling Financiën, toegang vindt alleen plaats onder begeleiding van een medewerker van team ICT Openbare toegang en gebieden voor laden en lossen N.v.t Beveiliging van apparatuur Plaatsing en bescherming van apparatuur Is niet beschreven. Door de omvang van de organisawe is er alwjd een medewerker van team ICT op de hoogte van, en aanwezig bij de installawe van apparatuur in de computerruimte. Er is een parkeergarage onder het gemeentehuis die in principe voor iedereen toegankelijk is. Nutsvoorzieningen De computerapparatuur en netwerkapparatuur is voorzien van UPS (Uninteruptable Power Supply, Ononderbreekbare Spanningsvoorziening) Voor een langdurige stroomstoring beschikt het gemeentehuis over een eigen Noodstroom- - aggregaat (NSA). Het aggregaat wordt onderhouden en regelmawg getest. (Door onderhoud gemeentelijke gebouwen, M. Veenstra) Mocht het NSA niet aanschakelen dan verzorgen de UPS en een gecontroleerd afsluiten van alle serverapparatuur. Beveiliging van kabels Alle bekabeling tussen servers is intern in de computerruimtes. De bekabeling tussen werkstawons en de computerruimte loopt door gesloten goten. De bekabeling is niet voorzien van aanvullende fysieke beveiliging. Andere maatregelen zoals de vercijfering van alle netwerkverkeer naar en van de Citrix werkstaw- - ons, maken het risico op een inbreuk van het netwerk via de kabels gering. Alle dataverkeer tussen server en Citrix werkstawons is vercijferd. In de de parkeerkelder lopen de kabels voor alle externe verbinding door één onbe- - schermde kabelgoot. Onderhoud van apparatuur Voor een deel van de apparatuur in de computerruimte zijn servicecontracten afgesloten met de respecwevelijke leveranciers. Er is contractueel vastgelegd dat binnen 8 uur wordt gereageerd. Over het algemeen zijn geen gegarandeerde herstelwjden vastgelegd. Voor de Citrix servers is geen onderhoudscontract. Er is een reservemachine op locawe beschikbaar. Beveiliging van apparatuur buiten het terrein Op dit moment wordt buiten de organisawe weinig apparatuur gebruikt die gegevens van de organisawe bevat. Er zijn enkele laptops in gebruik, voornamelijk voor presentawes. Het is onbekend of deze laptops bedrijfsgegevens of documenten van de gemeente bevaben. De laptops kunnen niet als een normaal werkstawon op het

15 netwerk gebruikt worden, dat kan alleen via de afgeschermde Citrix omgeving. Thuiswerk vindt plaats via thuis geplaatste Citrix werkstawons over een (beveiligde) VPN verbinding of via de beveiligde Citrix web interface. In beide gevallen worden lokaal geen gegevens opgeslagen. Er zijn enkele PDA s en Smart Phones in gebruik. Agenda en contacten kunnen worden gesynchroniseerd via een speciale beveiligde toegang in de DMZ (een apart van de rest van het netwerk geïsoleerd netwerksegment). Veilig verwijderen of hergebruiken van apparatuur Zie Behandeling van media, Beheer van verwijderbare media Verwijdering van bedrijfseigendommen Een beleid of protocol waarin is aangegeven onder welke voorwaarden apparatuur, sogware, informawe, documenten, etc. buiten de organisawe mogen worden meegenomen ontbreekt. Maatregelen Ref O / T Prio 5.14 Evalueer samen met de medewerkers aan de publieksbalie de opleidingen en trainingen op het gebied van omgaan met fysiek en verbaal geweld aan die balie O H 2.9 Beheer van communicale- - en bedieningsprocessen (10) Dit onderdeel moet een correcte en veilige bediening van IT- - voorzieningen waarborgen Bedieningsprocedures en verantwoordelijkheden Gedocumenteerde bedieningsprocedures Vanuit de eisen voor GBA zijn enkele werkinstrucwes gemaakt. Team ICT onderhoudt de overige werkinstrucwes. Wijzigingsbeheer Wijzigingen worden gepland en uitgevoerd in overleg met de betrokken applicawebeheerder of gebruikers. Wijzigingsbeheer is niet als proces ingericht. Door de omvang van de ICT infrastructuur zijn de gevolgen van wijzigingen meestal wel door team ICT te beoordelen. De omvang van de organisawe brengt met zich mee dat voor elke applicawe bekend is wie de gebruikers zijn. De toenemende complexiteit van de ICT infrastructuur betekent dat het beoordelen van wijzigingen steeds moeilijker wordt. Voorbeelden zijn de onderlinge relawes tussen applicawes, maar ook het toenemende aantal organisawes buiten de gemeente zoals ketenpartners waarmee moet worden samengewerkt. Patch management, het installeren van reparawesogware voor (onder meer) kwetsbaarheden en veiligheidsgaten, wordt automawsch gedaan met behulp van een Microsog WSUS server. Dit voor een aantal PC werkplekken met het Windows O.S.

16 Voor de thin client werkstawons is gezien het kleine risico geen patchmanagement nodig. Voor de servers worden patches van de systeemsogware handmawg geïnstalleerd. Func2escheiding De organisawe is niet groot genoeg voor funcwescheiding bij het beheer van ICT infrastructuur. Om het gebrek aan funcwescheiding te compenseren kan logging en controle op de logs worden toegepast. Dat is op dit moment niet ingericht. Scheiding van voorzieningen voor ontwikkeling, testen en produc2e De gemeente ontwikkelt geen eigen sogware. Althans niet voor de primaire processen. Ten behoeve van enkele administrawes, zoals verkeersbesluiten en maatregelen, bosbeheer en wegenbeheer zijn elektronische kaartenbakken met MS- - Access gemaakt. Aanpassingen op deze applicawes zijn zeldzaam en worden in een separate ontwikkelomgeving uitgevoerd Beheer van de dienstverlening door een derde parlj Dienstverlening De salarisverwerking (P&O) en de aanslagvervaardiging voor belaswngen zijn uitbestedingen waarbij de verantwoordelijkheid voor de informaweverwerking bij een derde ligt. In beide gevallen betreg het grote gespecialiseerde organisawes die deze dienstverlening aanbieden, en is aannemelijk gemaakt dat in de contracten goede waarborgen voor beveiliging en privacy zijn opgenomen. De contracten zijn in het kader van dit informawebeveiligingsplan niet bekeken. Controle en beoordeling van dienstverlening door een derde par2j Een structurele of periodieke rapportage hiervan vind niet plaats. Beheer van wijzigingen in dienstverlening door een derde par2j Doordat het proces wijzigingsbeheer niet is ingevuld vind dit niet plaats Systeemplanning en - - acceptale Capaciteitsplanning Twee maal per jaar wordt door één van de medewerkers van team ICT een analyse van de capaciteit van de ICT infrastructuur gedaan. Hierbij wordt geen vaste procedure of proces gevolgd. Accepta2e van systemen Grote updates van sogware worden door de applicawebeheerder van de sogware getest. Daarvoor wordt eerst voorafgaand aan de test een testomgeving met de nieuwe sogware ingericht. Na akkoord door de applicawebeheerder wordt de sogware buiten kantoorwjden geïnstalleerd. Voorafgaand aan de installawe wordt een backup gemaakt zodat de oorspronkelijke situawe alwjd te herstellen is. Omdat op het testsysteem niet alle voorzieningen zoals externe verbindingen aanwezig zijn is, is een volledige test niet alwjd mogelijk. Kleine updates van gebruikte sogware worden zonder gebruikerstest geïnstalleerd. Ook weer op een wijze waarbij herstel van de oorspronkelijke situawe mogelijk is Bescherming tegen virussen en mobile code

17 Maatregelen tegen virussen Maatregelen tegen mobile code Op elke werkplek is de toegang naar de buitenwereld (CD, DVD, USB poorten) standaard afgesloten. Alleen indien funcwoneel noodzakelijk zijn deze middelen toegankelijk. Elke server en elke werkplek (werkstawon) met een koppeling naar de buitenwereld, via netwerk, CD e.d. wordt voorzien van het AnW Virus pakket Sophos. Overige werkstawons en servers zijn niet van anw virus sogware voorzien Back- - up Reservekopieën maken (back- - ups) Op elke werkplek is de toegang naar de buitenwereld (CD, DVD, USB poorten) standaard afgesloten. Alleen indien funcwoneel noodzakelijk zijn deze middelen toegankelijk. Elke server en elke werkplek (werkstawon) met een koppeling naar de buitenwereld, via netwerk, CD e.d. wordt voorzien van het AnW Virus pakket Sophos. Overige werkstawons en servers zijn niet van anw virus sogware voorzien Beheer van netwerkbeveiliging Maatregelen voor netwerken Beveiliging van netwerkdiensten Het beheer van het netwerk wordt gedaan door team ICT. Taken en verantwoordelijkheden op dit gebied zijn niet expliciet vastgelegd. Team ICT beheert het netwerk op basis van eigen inzicht over de eisen en wensen van de organisawe en de webelijke verplichwngen. Afspraken met de organisawe over de service eisen waaraan het netwerk bijvoorbeeld op het gebied van beschikbaarheid en vertrouwelijkheid moet voldoen zijn onder meer vastgelegd in opgeleverde kengetallen en een nowwe aan de direcwe over het beheer van de ICT voorzieningen. Ook het informawebeveiligingsbeleid legt eisen voor beschikbaarheid, integriteit en vertrouwelijkheid vast. Eén document met daarin alle afspraken over betrouwbaarheid van de ICT- - infrastructuur tussen team- - ICT en de organisawe, een SLA (Service Level Agreement) of de Nederlandse variant DNO (Dienst Niveau Over- - eenkomst) is niet opgesteld. Het netwerk bevat ingebouwde redundanwe doordat kerncomponenten dubbel uitgevoerd zijn. Er zijn diverse maatregelen genomen om het netwerk af te schermen voor onrechtmawg gebruik en toegang van buitenaf. De belangrijkste hiervan is de Cisco Firewall. Pogingen om ongeautoriseerd toegang te verkrijgen tot het netwerk en netwerkbeheerfuncwes worden geregistreerd. Deze registrawe wordt echter niet geanalyseerd. Op elke werkplek is de toegang naar de buitenwereld (CD, DVD, USB poorten) standaard afgesloten. Alleen indien funcwoneel noodzakelijk zijn deze middelen toegankelijk Behandeling van media

18 Beheer van verwijderbare media Een beleid of regeling waarin het beheer van computermedia die de organisawe verlaten en de gegevens die daar op staan, ontbreekt. Team ICT past voor media onder haar beheer eigen regels toe. Ook voor informawe op papier ontbreekt een organisawebreed beleid. Per afdeling wordt naar eigen inzicht gehandeld. Volgens één van de geïnterviewden belanden privacygevoelige brieven regelmawg in de prullenbak. Alle papier dat in speciaal daarvoor bestemde papierbakken zit wordt gecontroleerd afgevoerd. Verwijdering van media Team ICT laat tapes en harde schijven door een gespecialiseerd bedrijf verniewgen. CD s en DVD s worden versnipperd. Harde schijven die stuk gaan worden vaak door de leverancier vervangen. De oorspronkelijke media gaan terug naar de leverancier. Voor zover bekend zijn er geen aanvullende afspraken met de leverancier van de kopieermachines over de gegevens op de schijven van die machines. (Veel moderne MulW FuncWonals bevaben een schijf waarop af te drukken informawe Wjdelijk wordt bewaard en lang na het afdrukken / kopiëren nog leesbaar blijg.) Paspoorten en rijbewijzen worden door de afdeling Publiek en Sociaal zelf verniewgd. Papierafval dat in de papierbak gaat, wordt centraal verzameld en door een gespecialiseerd en gecerwficeerd bedrijf verniewgd. Daarom zijn alle decentrale eigen papierversnipperaars in de afgelopen Wjd weggehaald. Beleid en eisen rond de afvoer van media zijn niet vastgelegd. Procedures voor de behandeling van informa2e Vanuit de normale bedrijfsvoering van de gemeente zijn diverse maatregelen genomen om bedrijfseigen gegevens juist te behandelen. Beveiliging van systeemdocumenta2e Alle papieren systeemdocumentawe staat in kasten op de kamer van team ICT. Elektronische systeemdocumentawe staat op een plek op het netwerk die uitsluitend voor leden van team ICT toegankelijk is SysteemdocumentaWe van sogware die onder verantwoordelijkheid van een applicawebeheerder valt wordt door die applicawebeheerder beheerd. Elektronische systeemdocumentawe van toepassingssogware onder beheer van een applicawebeheerder staat op een plek op het netwerk die uitsluitend voor die applicawebeheerder en leden van team ICT toegankelijk is Uitwisseling van informale Beleid en procedures voor informa2e- - uitwisseling Dit onderdeel van de code gaat over het uitwisselen van gegevens en programmatuur op verwisselbare media die vervolgens op enigerlei wijze verstuurd worden. Verstrekking van GBA gegevens via alternaweve media worden, conform de voorschrigen in de WGBA, aangetekend verzonden aan de afnemers. Een

19 begeleidingsbrief is onderdeel van elke verzending. Vanuit de wet WOZ (Waardering Onroerende Zaken) vind gegevensuitwisseling plaats met TaxaWebureaus, waterschappen, de BelasWngdienst en het CBS. Het betreg webelijk gereguleerde uitwisselingen op basis van een Standaard Uitwisselings Formaat Uitwisselingsovereenkomsten Voor de meeste organisawes waarmee (elektronische) gegevens worden uitgewisseld zijn de voorwaarden daarvan webelijk bepaald, dan wel door de andere organisawe opgelegd. Het betreg hier namelijk veelal andere overheden zoals UWV, BelasWngdienst, RDW etc. Een overzicht van alle instanwes waarmee contractueel is vastgelegd gegevens uit te wisselen of waarmee de gemeente op basis van wet- - en regelgeving gegevens uit moet wisselen ontbreekt. Fysieke media die worden getransporteerd Media met backups worden uitsluitend door medewerkers van team ICT vervoerd. Aanvullende maatregelen zoals vercijferen van de data of vervoeren in beveiligde containers zijn niet getroffen. Elektronisch berichtenuitwisseling Er zijn geen aanvullende technische maatregelen getroffen om de authenwciteit en integriteit van berichten vast te stellen. In het Protocol Elektronische CommunicaWe, zijn regels vastgelegd over hoe men zich dient te uiten en gedragen bij het versturen en beantwoorden van e- - mail. In de regeling wordt ook ingegaan op de risico s van e- - mail (inzage door onbekenden). Het beleid bevat geen regels over de soort gegevens die via e- - mail verstuurd mogen worden en welke aanvullende technische maatregelen bij versturen van vertrouwelijke gegevens moeten worden genomen. Bijvoorbeeld voor het via e- - mail versturen van een GBA selecwe. Team ICT heeg enkele technische maatregelen getroffen rond e- - mail. Zo is een conten{ilter geïnstalleerd dat inkomende en uitgaande e- - mail op bepaalde termen filtert. Daarnaast zijn beperkingen ingesteld op omvang en type van de bijlagen. Vercijferde bijlagen zijn niet toegestaan en worden door het e- - mail filter tegengehouden. Niet alle e- - mail wordt systemawsch en automawsch gearchiveerd. Externe inkomende en uitgaande e- - mail wordt automawsch een half jaar bewaard. Interne e- - mail wordt niet gearchiveerd. Daarnaast is archivering van e- - mail procedureel geregeld via het Protocol Elektronische CommunicaWe, en de daarin genoemde instrucwe E- - mail en archivering. Systemen voor bedrijfsinforma2e Het beleid en de procedures om informawe te beschermen die een rol speelt bij de onderlinge koppeling van systemen voor bedrijfsinformawe die deze beheersmaatregel voorschrijg, is niet als dusdanig beschreven. In de prakwjk worden de risico s die bij deze uitwisseling spelen wel alwjd onderzocht, en worden waarnodig procedures en maatregelen ingevoerd Diensten voor e- - commerce

20 Onlinetransac2es Elektronische vormen van gemeentelijke dienstverlening zijn ondertussen een vanzelfsprekend onderdeel van die dienstverlening. De gebruikte systemen worden veelal afgenomen van leveranciers die ook beveiliging voor hun rekening nemen. Specifieke aanvullende maatregelen binnen de gemeente zijn vastgelegd in de projectdocumentawe van de betreffende projecten. Openbaar beschikbare informa2e Beveiliging van de website is in handen van de hoswng provider van de website. Het beheer van de inhoud van de gemeentelijke website ligt bij de afdeling communicawe. De sterke groei van digitale dienstverlening bij gemeenten leidt tot een sterke groei van publiek toegankelijke systemen. Een juiste beveiliging van de bedrijfsgegevens van de gemeente begint met een beleid hierover. Zo n beleid, dat domeinen onderscheidt, voorwaarden voor onderlinge informawe- - uitwisseling vastlegt en de beveiliging normeert, is er nu niet. Het Protocol Elektronische CommunicaWe legt vast hoe om te gaan met informaweuitwisseling via communicawekanalen als telefoon, fax, e- - mail, internet en sociale media. Bovendien is de verantwoordelijkheden voor medewerkers op dit gebied vastgelegd in wet en regelgeving zoals ambtenarenwet, WPB en WGBA Controle Aanmaken audit- - logbestanden Het systemawsch maken van logbestanden met het doel onbevoegde handelingen te signaleren of achteraf aan te kunnen tonen, gebeurt voor enkele applicawes zoals onder meer de GBA applicawe. Op de meeste systemen (o.a. het windows domein) worden logs bijgehouden van alle aanmeldingen en aanmeldpogingen. Er is geen standaard vastgesteld waarin is vastgelegd welke gegevens worden gelogd en welke bewaartermijn wordt gebruikt. Controle van systeemgebruik Systeemlogs worden niet systemawsch bekeken of (automawsch) geanalyseerd. Er wordt niet gecontroleerd of de IT systemen juist en veilig worden gebruikt In het kader van wetgeving worden op de afdeling Publiek en Sociaal vanuit GBA en de Paspoortwet controles uitgevoerd op de eigen processen. Bescherming van informa2e in logbestanden De logbestanden die worden bijgehouden zijn niet beschermd door ongeautoriseerde wijzigingen. Logbestanden van administrators en operators De handelingen van systeembeheerders worden automawsch gelogd. Daarnaast houden de systeembeheerders zelf bij welke werkzaamheden waarom verricht zijn. Registra2e van storingen Indien systemen dit ondersteunen worden storingen in logbestanden vastgelegd. Synchronisa2e van systeemklokken SynchronisaWe van systeemklokken is van belang voor het analyseren van

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid Beveiligingsbeleid 5,1 Informatiebeveiligingsbeleid 5.1.1 Beleidsdocument voor informatiebeveiliging 5.1.2 Beoordeling van het informatiebeveiligingsbeleid Organiseren van informatiebeveiliging 6,1 Interne

Nadere informatie

VVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord

VVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord VVT - Broad Horizon CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, 29-08-2017 Voorwoord Voorwoord Voor u ligt de verklaring van toepasselijkheid. De verklaring van toepasselijkheid vloeit voort uit de risicobeoordeling

Nadere informatie

ISO 27001:2013 INFORMATIE VOOR KLANTEN

ISO 27001:2013 INFORMATIE VOOR KLANTEN ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en

Nadere informatie

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm Beheersmaatregelen volgens Bijlage A van de ISO/IEC 27001 norm A.5.1.1 Beleidsdocumenten voor informatiebeveiliging A.5.1.2 Beoordeling van het Informatiebeveiligingsbeleid A.6.1.1 Informatiebeveiligings

Nadere informatie

Verklaring van Toepasselijkheid

Verklaring van Toepasselijkheid Verklaring van Toepasselijkheid Parantion Groep B.V. ISO27001:2013 Verklaring van toepasselijkheid_openbaar Extern vertrouwelijk Versie: 3.0 Parantion Groep B.V. Pagina 1 van 9 Datum: maart 2016 Document

Nadere informatie

Hoe operationaliseer ik de BIC?

Hoe operationaliseer ik de BIC? Hoe operationaliseer ik de BIC? Baseline Informatiebeveiliging Corporaties UTRECHT, 14 November 2017. Code voor Informatiebeveiliging NEN/ISO 27001; Informatietechnologie - Beveiligingstechnieken - Managementsystemen

Nadere informatie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie : Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen

Nadere informatie

0.1 Opzet Marijn van Schoote 4 januari 2016

0.1 Opzet Marijn van Schoote 4 januari 2016 Vragenlijst Cyber ISPS Versie Revisiebeschrijving Auteur Datum 0.1 Opzet Marijn van Schoote 4 januari 2016 0.99 Finale concept versie Marijn van Schoote 11 februari 2016 Doelstelling: De doelstelling van

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

De maatregelen in de komende NEN Beer Franken

De maatregelen in de komende NEN Beer Franken De maatregelen in de komende NEN 7510 Beer Franken Twee delen in komende NEN 7510 Deel 1: het infosec management system (ISMS) hoofdstuk 4 in huidige NEN 7510 Deel 2: de maatregelen hoofdstukken 5 t/m

Nadere informatie

Preview. Informatie- Beveiligingsbeleid NEN-ISO/IEC 27002 (CvI / BIG)

Preview. Informatie- Beveiligingsbeleid NEN-ISO/IEC 27002 (CvI / BIG) Preview Informatie- Beveiligingsbeleid NEN-ISO/IEC 27002 (CvI / BIG) Gemeentelijk Efficiency Adviesbureau bv Schoonouwenseweg 10 2821 NX Stolwijk 0182-341350 info@gea-bv.nl Versie: preview Datum: oktober

Nadere informatie

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Databeveiligingsmaatregelen voor verenigingen

Databeveiligingsmaatregelen voor verenigingen Databeveiligingsmaatregelen voor verenigingen Fysieke toegang... 2 Toegangsrechten/autorisatie... 2 Netwerkbeveiliging... 2 Verenigingswifi-netwerk... 2 Beheer van IT-middelen... 2 Toegang tot IT... 3

Nadere informatie

DIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT

DIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT DIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT Service Level Agreement (SLA) - BC Online Boekhouden Artikel 1. Definities Leverancier: BusinessCompleet.nl

Nadere informatie

Beknopt overzicht van bedreigingen en maatregelen

Beknopt overzicht van bedreigingen en maatregelen Beknopt overzicht van bedreigingen en maatregelen Dit voorbeelddocument omvat een beknopt overzicht van bedreigingen en maatregelen. De opgesomde componenten, bedreigingen en maatregelen zijn bedoeld om

Nadere informatie

Algemene voorwaarden ZORG. Algemene gebruiks- en servicevoorwaarden. Zorgrapportage.nl. RAPPORTAGE.nl.

Algemene voorwaarden ZORG. Algemene gebruiks- en servicevoorwaarden. Zorgrapportage.nl.   RAPPORTAGE.nl. Bladzijde 1/7 Algemene gebruiks- en servicevoorwaarden Zorgrapportage.nl Zorgrapportage.nl en irespond zijn handelsnamen van (M/V) ontwerp, ingeschreven bij de Kamer van Koophandel onder nummer 33228947.

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Gedragsregels gebruik ICT-voorzieningen Bonhoeffer College. 1.1 Algemeen

Gedragsregels gebruik ICT-voorzieningen Bonhoeffer College. 1.1 Algemeen Gedragsregels gebruik ICT-voorzieningen Bonhoeffer College 1.1 Algemeen Ieder die gebruik maakt van het Bonhoeffer College (haar gebouwen, terreinen en andere voorzieningen) daaronder begrepen materiële-,

Nadere informatie

Saxion Data Security Beleid. Het data security beleid voor afvoer of hergebruik van gegevensdragers

Saxion Data Security Beleid. Het data security beleid voor afvoer of hergebruik van gegevensdragers Saxion Data Security Beleid Het data security beleid voor afvoer of hergebruik van gegevensdragers Mei 2015 Documenteigenschappen Documentrevisies Saxion Alle rechten voorbehouden. Niets uit deze uitgave

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Privacy Policy v Stone Internet Services bvba

Privacy Policy v Stone Internet Services bvba Privacy Policy v09.16 Stone Internet Services bvba Stone Internet Services Privacy Policy Dit document heeft als doel te beschrijven hoe Stone Internet Services bvba omgaat met het opslaan en beheren van

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

en alle aan haar gelieerde entiteiten, waaronder maar niet uitsluitend ESJ Accounting &

en alle aan haar gelieerde entiteiten, waaronder maar niet uitsluitend ESJ Accounting & 1. Algemeen In deze privacy voorwaarden wordt verstaan onder: 1.1 Dienstenvoorwaarden: de Dienstenvoorwaarden van Bewerker, die onverkort van toepassing zijn op iedere afspraak tussen Bewerker en Verantwoordelijke

Nadere informatie

Privacy Statement Welzijn Stede Broec

Privacy Statement Welzijn Stede Broec Privacy Statement Welzijn Stede Broec Privacy Statement Welzijn Stede Broec Dit is het Privacy Statement van Welzijn Stede Broec. Om u goed van dienst te zijn en om ons werk zo efficiënt en effectief mogelijk

Nadere informatie

POP locatie. Straatkast. i-box. i-box NOC. i-box. Datacenter

POP locatie. Straatkast. i-box. i-box NOC. i-box. Datacenter Straatkast POP locatie Datacenter Het beheer van uw telecomruimten neemt veel tijd in beslag en is een kostbaar proces. U heeft immers 24/7 personeel nodig dat alle processen nauwkeurig in de gaten houdt.

Nadere informatie

Beschrijving maatregelen Informatie beveiliging centrale omgeving

Beschrijving maatregelen Informatie beveiliging centrale omgeving Beschrijving maatregelen Informatie beveiliging centrale omgeving Versie: 2.1 Datum: november 2017 Status: Concept Inhoud Inleiding... 3 Doelstelling... 3 Informatiebeveiliging... 3 Algemene verordening

Nadere informatie

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Informatiebeveiliging En terugblik op informatiebeveiliging 2016 Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen

Nadere informatie

Informatiebeveiligingsplan Dentpoint Centrum voor Mondzorg

Informatiebeveiligingsplan Dentpoint Centrum voor Mondzorg Informatiebeveiligingsplan Praktijkadres Silvoldseweg 29a 7061 DL Terborg Praktijkadres De Maten 2 7091 VG Dinxperlo Praktijkadres F.B. Deurvorststraat 40 7071 BJ Ulft Bijlage 1 Inhoud Informatiebeveiligingsplan

Nadere informatie

Informatiebeveiligingsbeleid extern

Informatiebeveiligingsbeleid extern ISO 27001:2013 Informatiebeveiligingsbeleid extern 25 oktober 2016 Status document: versie 1.0 Auteur: Frankie Lipsius CONCLUSION LEARNING CENTERS Postbus 85030 3508 AA Utrecht Nederland T +31 (0)30 744

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Overzicht Informatiebeveiliging Inlichtingenbureau GGK Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende

Nadere informatie

Scenario 1: risico s. competenties; 1. Onveilige configuraties op IT-systemen en IT-infrastructuur; 2. Gebrek aan netwerkscheiding;

Scenario 1: risico s. competenties; 1. Onveilige configuraties op IT-systemen en IT-infrastructuur; 2. Gebrek aan netwerkscheiding; Scenario 1: risico s 1. Onveilige configuraties op IT-systemen en IT-infrastructuur; 2. Gebrek aan netwerkscheiding; 3. Verouderde software op IT-systemen; 4. Geen bijgewerkte antivirus; 5. IT-leverancier

Nadere informatie

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten.

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten. Model Bewerkersovereenkomst Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten. Testmedia verwerkt Persoonsgegevens voor en in opdracht van de Klant. Testmedia

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging Informatiebeveiliging HKZ, november 2016 Wie ik ben: adviseur/trainer/qarebase begeleiden bij kwaliteitsmanagement en certificering Lead Auditor Kiwa, o.a. HKZ, ISO 9001, ZKN, VMS, NEN 7510 en NEN-ISO

Nadere informatie

Patiënten dossier & dataveiligheid Europese Privacy Verordening + ISO / NEN 7510

Patiënten dossier & dataveiligheid Europese Privacy Verordening + ISO / NEN 7510 Patiënten dossier & dataveiligheid Europese Privacy Verordening + ISO 27001 / NEN 7510 dataveiligheid Waveland.nu Doel van deze bijeenkomst: Inzicht in drie onderwerpen: 1. beveiligen van patiëntengegevens

Nadere informatie

Gedragsregels. ICT-voorzieningen

Gedragsregels. ICT-voorzieningen Gedragsregels ICT-voorzieningen Gedragsregels gebruik ICT-voorzieningen Jac. P. Thijsse College 1. Algemeen De onderstaande regels zijn geldig voor iedereen die gebruik maakt van de ICT-voorzieningen van

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld

Nadere informatie

Verbeterplan. Informatiebeveiliging. Versie november 2011

Verbeterplan. Informatiebeveiliging. Versie november 2011 Verbeterplan Informatiebeveiliging Versie 0.1 29 november 2011 Ten geleide Het Verbeterplan Informatiebeveiliging wordt beheerd door de Beveiligingsfunctionaris. Het plan wordt periodiek conform het Handboek

Nadere informatie

Checklist Beveiliging Persoonsgegevens

Checklist Beveiliging Persoonsgegevens Checklist Beveiliging Persoonsgegevens Beveiliging is een één van de belangrijkste vereisten binnen het privacyrecht. Iedere organisatie zal passende technische en organisatorische maatregelen moeten treffen

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid 2-Control B.V. +31 (0)76 50 194 70 Haagse Markt 1 www.2-control.nl 4813 BA Breda info@2-control.nl The Netherlands Informatiebeveiligingsbeleid Concept Datum Versiebeheer Versie Datum Status Naam Toelichting

Nadere informatie

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging Informatiebeveiligings- en privacy beleid Haagsche Schoolvereeniging 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...

Nadere informatie

PRIVACY PROTOCOL. Esther Jörg People Development. Esther Jörg People Development

PRIVACY PROTOCOL. Esther Jörg People Development. Esther Jörg People Development PRIVACY PROTOCOL Wij hechten veel waarde aan de privacy en de veiligheid van onze klanten en personen die gebruik maken van onze dienstverlening en/of deelnemen aan onze trajecten (hierna gezamenlijk te

Nadere informatie

Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0

Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0 Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0 Informatiebeveiling Zie ook het Privacyregelement 1. Beroepsgeheim De huisartsen, psycholoog en POH s hebben als BIG

Nadere informatie

Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging. 1. Inleiding

Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging. 1. Inleiding Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging 1. Inleiding Doel van dit document is het verzamelen van alle aspecten die relevant zijn in het kader van personeelsbeleid en NEN 7510, en

Nadere informatie

PRIVACY POLICY. Savvy Congress APRIL 26, SAVVY CONGRESS Postbus 226, 3340 AE, Hendrik-Ido-Ambacht, Nederland

PRIVACY POLICY. Savvy Congress APRIL 26, SAVVY CONGRESS Postbus 226, 3340 AE, Hendrik-Ido-Ambacht, Nederland PRIVACY POLICY Savvy Congress APRIL 26, 2018 SAVVY CONGRESS Postbus 226, 3340 AE, Hendrik-Ido-Ambacht, Nederland Inhoudsopgave Wat voor gegevens verzamelen wij?... 3 Waarom verzamelen wij deze gegevens?...

Nadere informatie

Gemeente Alphen aan den Rijn

Gemeente Alphen aan den Rijn Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid

Nadere informatie

Beleid Informatiebeveiliging InfinitCare

Beleid Informatiebeveiliging InfinitCare Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie

Nadere informatie

2.1 Borgen van rechten van betrokkenen Betrokkenen hebben het recht op inzage, correctie en dataportabiliteit van persoonsgegevens.

2.1 Borgen van rechten van betrokkenen Betrokkenen hebben het recht op inzage, correctie en dataportabiliteit van persoonsgegevens. Protocol AVG Buro Noorderlingen 1. Inleiding Dit protocol beschrijft het beleid dat door Buro Noorderlingen wordt gevoerd in het kader van de Algemene verordening gegevensbescherming (AVG). De verordening

Nadere informatie

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC Toelichting NEN7510 Informatiebeveiliging in de zorg Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC Inhoud Toelichting informatiebeveiliging Aanpak van informatiebeveiliging

Nadere informatie

1 Dienstbeschrijving all-in beheer

1 Dienstbeschrijving all-in beheer 1 Dienstbeschrijving all-in beheer De all-in beheer overeenkomst van Lancom is modulair opgebouwd. U kunt bij Lancom terecht voor deelgebieden zoals helpdesk ondersteuning of backup, maar ook voor totale

Nadere informatie

Preview. Algemeen Handboek Informatiebeveiliging NEN-ISO/IEC 27002 (CvI / BIG) Gemeentelijk Efficiency Adviesbureau bv

Preview. Algemeen Handboek Informatiebeveiliging NEN-ISO/IEC 27002 (CvI / BIG) Gemeentelijk Efficiency Adviesbureau bv Preview Algemeen Handboek Informatiebeveiliging NEN-ISO/IEC 27002 (CvI / BIG) Gemeentelijk Efficiency Adviesbureau bv Schoonouwenseweg 10 2821 NX Stolwijk 0182-341350 info@gea-bv.nl Versie: preview Datum:

Nadere informatie

Privacyverklaring, Disclaimer & Copyright

Privacyverklaring, Disclaimer & Copyright Privacyverklaring, Disclaimer & Copyright 1. Privacyverklaring onder de Algemene Verordening Gegevensbescherming (AVG). 25 mei 2018 treedt de wet Algemene Verordening Gegevensbescherming (AVG) in werking,

Nadere informatie

Databeveiliging en Hosting Asperion

Databeveiliging en Hosting Asperion Databeveiliging en Hosting Asperion www.asperion.nl info@asperion.nl Het Asperion Datacenter Uw gegevens veilig en professioneel bewaard Administraties bevatten vertrouwelijke informatie en daar moet vanzelfsprekend

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

van de Tactische Baseline van de Tactische Baseline

van de Tactische Baseline van de Tactische Baseline sorteersleutel Compleet Suwi Audit BRP BAG Faciltair HRM Inkoop Categorie Sub-Categorie Vraag 3 i800.79687 Vragenlijst BIG hs 3: Implementatie Vragen hs 3.1 Benoem 3.1.a Is er een integraal implementatieplan?

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Wij verzamelen de volgende gegevens van u als sollicitant: - Naam; - Adres; - adres; - Andere gegevens door uw via uw cv aan ons verstrekt;

Wij verzamelen de volgende gegevens van u als sollicitant: - Naam; - Adres; -  adres; - Andere gegevens door uw via uw cv aan ons verstrekt; Privacy Verklaring Tausch brand sensations Tausch brand sensations (hierna Tausch ) houdt zich bezig met het adviseren van klanten om hun (commerciële) ruimtes succesvol te benutten. Tausch is gevestigd

Nadere informatie

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds <Leverancier>

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds <Leverancier> Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds Plaats : Organisatie : Datum : Status : Definitief Versie : 1.0 1 De ondergetekenden:

Nadere informatie

Handleiding Back-up Online

Handleiding Back-up Online Handleiding Back-up Online April 2015 2015 Copyright KPN Zakelijke Markt Alle rechten voorbehouden. Zonder voorafgaande schriftelijke toestemming van KPN Zakelijke Markt mag niets uit dit document worden

Nadere informatie

Information Security Management System ISMS ISO / NEN 7510

Information Security Management System ISMS ISO / NEN 7510 Information Security Management System ISMS ISO 27001 / NEN 7510 Uw (digitale) Informatie beveiligen 2 Uw (digitale) Informatie beveiligen Belang van uw patiënten Bescherming van uw onderneming Wettelijke

Nadere informatie

Systeemconfiguratie Policy VICnet/SPITS

Systeemconfiguratie Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Systeemconfiguratie Policy VICnet/SPITS 15 Februari 2005 Eindverantwoordelijkheid Opgesteld Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

Beleid uitwisseling van informatie

Beleid uitwisseling van informatie Beleid uitwisseling van informatie Documentcode: Versie: 1.0 Versiedatum 03-05-2017 Gemaakt door: Goedgekeurd door: V-Classificatie: Coördinator informatiebeveiliging College van Burgemeester en Wethouders

Nadere informatie

Privacy Statement. Stichting Sectorinstituut Transport en Logistiek, en Sectorinstituut Transport en Logistiek B.V. en STL Werk B.V.

Privacy Statement. Stichting Sectorinstituut Transport en Logistiek, en Sectorinstituut Transport en Logistiek B.V. en STL Werk B.V. Privacy Statement Stichting Sectorinstituut Transport en Logistiek, en Sectorinstituut Transport en Logistiek B.V. en STL Werk B.V. Beleid over de bescherming van persoonsgegevens en waarborgen voor de

Nadere informatie

PRIVACY. Welke informatie vergaart de applicatie en hoe wordt het gebruikt?

PRIVACY. Welke informatie vergaart de applicatie en hoe wordt het gebruikt? PRIVACY EN GEBRUIKSVOORWAARDEN Het in dit document bepaalde is van toepassing op uw gebruik van de software applicatie ProjeQtive Scan voor mobiele apparaten die is gemaakt door ProjeQtive BV. De applicatie

Nadere informatie

Privacy Statement Double You Media

Privacy Statement Double You Media Privacy Statement Double You Media Dit is het Privacy Statement van Double You Media. Om u goed van dienst te zijn en om ons werk zo efficiënt en effectief mogelijk uit te voeren, verwerkt Double You Media

Nadere informatie

Informatiebeveiligingsplan

Informatiebeveiligingsplan Voorwoord Het, de en de vallen elk onder een verschillend bevoegd gezag. Op het niveau van bestuur en intern toezicht is er sprake van een zogeheten personele unie: de directeur-bestuurder van het is tevens

Nadere informatie

HRM in GDPR. 06 feb 2017 Gent. Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo. V-ICT-OR Vlaamse ICT Organisatie

HRM in GDPR. 06 feb 2017 Gent. Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo. V-ICT-OR Vlaamse ICT Organisatie HRM in GDPR Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo 06 feb 2017 Gent V-ICT-OR Vlaamse ICT Organisatie 16 stappen (roadmap) voor de implementatie (Algemene Verordening Gegevensbescherming)

Nadere informatie

Informatiebeveiligingsbeleid Coöperatie Dichtbij (511-1)

Informatiebeveiligingsbeleid Coöperatie Dichtbij (511-1) Informatiebeveiligingsbeleid Coöperatie Dichtbij (511-1) 2 juli, 2018 Voorwoord Als zorgcoöperatie zijn wij verantwoordelijk voor patiëntenzorg. Het leveren van kwaliteit staat bij het uitvoeren van deze

Nadere informatie

Privacyverklaring Slimmerik Versie december 2018

Privacyverklaring Slimmerik Versie december 2018 Privacyverklaring Slimmerik Versie december 2018 Inleiding Slimmerik is een kleine organisatie die ondersteuning biedt bij autisme. Slimmerik is gecontracteerd jeugdzorgaanbieder bij alle gemeenten in

Nadere informatie

Privacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep)

Privacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep) Onderdeel van Privacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep) Introductie Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door

Nadere informatie

Algemene Verordening Gegevensbescherming (AVG) -Verwerkingsregister- -1-

Algemene Verordening Gegevensbescherming (AVG) -Verwerkingsregister- -1- Algemene Verordening Gegevensbescherming (AVG) -Verwerkingsregister- -1- INHOUD 1. Inleiding 3 2. Privacy statement 3 2.1 Welke persoonsgegevens verwerkt Garage van Dijk B.V?.3 2.2 Voor welke doeleinden

Nadere informatie

ISO 27001:2013 Informatiebeveiligingsbeleid extern

ISO 27001:2013 Informatiebeveiligingsbeleid extern ISO 27001:2013 Informatiebeveiligingsbeleid extern Utrecht: 24 januari 2018 Versie: 2.0 Inhoud Pagina BEGRIPPENLIJST 3 1. INLEIDING 4 2. WAT IS INFORMATIEBEVEILIGING? 5 3. GEDRAGSCODE 6 4. BELEIDSPRINCIPES

Nadere informatie

Bijlage: Verwerkersovereenkomst

Bijlage: Verwerkersovereenkomst Bijlage: Verwerkersovereenkomst Deze Verwerkersovereenkomst is een bijlage bij "Algemene Voorwaarden van Internet Service Europe BV en alle deel uitmakende bedrijven c.q. dochterondernemingen" (hierna:

Nadere informatie

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7 Company statement Algemene verordening gegevensbescherming AVG Informatie voor professionele relaties (v2018.02) 1 / 7 Algemene verordening gegevensbescherming Inleiding Op 25 mei 2018 treedt de Algemene

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk)

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) 2 april 2015, versie 2.1 Artikel 1 begrippen en afkortingen De hierna met een hoofdletter aangeduide begrippen hebben in deze

Nadere informatie

Besluit van het college van burgemeester en wethouders van de gemeente Oegstgeest houdende regels voor Basisregistratie Personen Beheerregeling BRP

Besluit van het college van burgemeester en wethouders van de gemeente Oegstgeest houdende regels voor Basisregistratie Personen Beheerregeling BRP CVDR Officiële uitgave van Oegstgeest. Nr. CVDR600609_1 15 december 2016 Besluit van het college van burgemeester en wethouders van de gemeente Oegstgeest houdende regels voor Basisregistratie Personen

Nadere informatie

ISO27001:2013 Verklaring van toepasselijkheid

ISO27001:2013 Verklaring van toepasselijkheid ITB-Kwadraat B.V. Pagina 1 van 15 A.5 Beveiligingsbeleid A.5.1 Managementaanwijzing voor informatiebeveiliging A.5.1.1 A.5.1.2 Beleidsregels voor informatiebeveiliging Beoordeling van het Informatiebeveiligingsbeleid

Nadere informatie

SERVICE LEVEL AGREEMENT SERVICE LEVEL AGREEMENT ADDENDUM MANTELOVEREENKOMST BIT B.V. VERSIE

SERVICE LEVEL AGREEMENT SERVICE LEVEL AGREEMENT ADDENDUM MANTELOVEREENKOMST BIT B.V. VERSIE SERVICE LEVEL AGREEMENT SERVICE LEVEL AGREEMENT ADDENDUM MANTELOVEREENKOMST BIT B.V. VERSIE 2018-08-09 Inhoudsopgave 1. Definities...3 1.1. Beschikbaarheid...3 1.2. Gepland onderhoud...3 1.3. Kantooruren...3

Nadere informatie

Bemmel Container Service b.v. PRIVACY VERKLARING VERSIE 1, 25 mei 2018

Bemmel Container Service b.v. PRIVACY VERKLARING VERSIE 1, 25 mei 2018 Bemmel Container Service b.v. PRIVACY VERKLARING VERSIE 1, 25 mei 2018 Bemmel Container Service b.v. neemt alle zorgvuldigheid in acht bij het samenstellen en onderhouden van het Handboek Privacy en maakt

Nadere informatie

ISO 27001 met Qmanage

ISO 27001 met Qmanage A : Auke Vleerstraat 6D I : www.quarantainenet.nl 7521 PG Enschede E : info@quarantainenet.nl T : 053-7503070 B : NL89 RABO 0317 2867 14 F : 053-7503071 KvK : 08135536 ISO 27001 met Qmanage Inclusief NEN

Nadere informatie

PRIVACY VOORWAARDEN. Pagina 1 6

PRIVACY VOORWAARDEN. Pagina 1 6 PRIVACY VOORWAARDEN 1. Algemeen In deze privacy voorwaarden wordt verstaan onder: 1.1 Algemene voorwaarden: de Algemene voorwaarden van Verwerker, die onverkort van toepassing zijn op iedere afspraak tussen

Nadere informatie

Privacy Policy Beleid (Wet Algemene verordening gegevensbescherming)

Privacy Policy Beleid (Wet Algemene verordening gegevensbescherming) Privacy Policy Beleid (Wet Algemene verordening gegevensbescherming) Wet in een notendop: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/avg_in_een_notendop.pdf Register van verwerkingsactiviteiten

Nadere informatie

Privacy Statement Humanitas Onder Dak

Privacy Statement Humanitas Onder Dak Privacy Statement Humanitas Onder Dak Dit is het Privacy Statement van Humanitas Onder Dak. Om u goed van dienst te zijn en om ons werk zo efficiënt en effectief mogelijk uit te voeren, verwerkt Humanitas

Nadere informatie

Thema-audit Informatiebeveiliging bij lokale besturen

Thema-audit Informatiebeveiliging bij lokale besturen Thema-audit Informatiebeveiliging bij lokale besturen I. Audit Vlaanderen Missie Partner van de organisatie... Onafhankelijk Objectief Bekwaam... bij het beheersen van financiële, wettelijke en organisatorische

Nadere informatie

Datum: 15 mei Privacy statement

Datum: 15 mei Privacy statement Datum: 15 mei 2018 Privacy statement Inhoudsopgave Algemeen... 3 Welke gegevens verzamelen wij en waarvoor gebruiken wij deze gegevens?... 3 Derden... 4 Gegevensbeveiliging... 5 Bewaartermijnen... 5 Uw

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZG/17/123 ADVIES NR 17/26 VAN 7 JUNI 2016 BETREFFENDE DE AANVRAAG VAN DE RIJKSDIENST VOOR JAARLIJKSE VAKANTIE

Nadere informatie

Beveiligingsbeleid. Online platform Perflectie

Beveiligingsbeleid. Online platform Perflectie Beveiligingsbeleid Online platform Perflectie 2018 Beveiligingsbeleid Perflectie Versiebeheer Naam Functie Datum Versie Dimitri Tholen Software Architect 12 december 2014 1.0 Dimitri Tholen Software Architect

Nadere informatie

PRIVACYVERKLARING. JuriZorg

PRIVACYVERKLARING. JuriZorg PRIVACYVERKLARING JuriZorg JuriZorg Goudsesingel 2 3011KA Rotterdam Tel: 010 87 001 87 info@jurizorg.nl JuriZorg is gespecialiseerd in de juridische ondersteuning van instellingen, ondernemers en bedrijven.

Nadere informatie

Privacy Statement MENS De Bilt

Privacy Statement MENS De Bilt Privacy Statement MENS De Bilt Dit is het Privacystatement van MENS De Bilt. Om u goed van dienst te zijn en om ons werk zo efficiënt en effectief mogelijk uit te voeren, verwerkt MENS De Bilt uw persoonsgegevens.

Nadere informatie

Werken zonder zorgen met uw ICT bij u op locatie

Werken zonder zorgen met uw ICT bij u op locatie Werken zonder zorgen met uw ICT bij u op locatie Naast de mogelijkheden om uw programmatuur en gegevens bij Drie-O via Evy 2.0 in de cloud te hosten hebt u ook de mogelijkheid om uw ICT omgeving bij u

Nadere informatie

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht (AVG) Introductie Peter van der Zwan Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht 10:15 AVG, hoe nu verder -

Nadere informatie

Bijlage 2 behorend bij de Algemene Voorwaarden Caresharing B.V.: Security Statement

Bijlage 2 behorend bij de Algemene Voorwaarden Caresharing B.V.: Security Statement Bijlage 2 behorend bij de Algemene Voorwaarden Caresharing B.V.: Security Statement Colofon Document : Security Statement (SS) Service : Caresharing Leverancier : Caresharing B.V. Auteur : Caresharing

Nadere informatie