Inrichtingsvoorstel SURFaudit April 2011 Versie 1.2, Alf Moens, voor advies naar CIO Beraad, CvDUR en Comit

Maat: px
Weergave met pagina beginnen:

Download "Inrichtingsvoorstel SURFaudit April 2011 Versie 1.2, Alf Moens, voor advies naar CIO Beraad, CvDUR en Comit"

Transcriptie

1 pagina 1 / 9 Inrichtingsvoorstel SURFaudit April 2011 Versie 1.2, Alf Moens, voor advies naar CIO Beraad, CvDUR en Comit In juni 2010 heeft het bestuur van het platform ICT en Bedrijfsvoering ingestemd met een procesmatige invulling van SURFaudit. Dit voorstel beschrijft een aantal keuzes voor de inrichting van SURFaudit. Na verwerking van de adviezen van CIO beraad, CvDUR en Comit wordt het inrichtingsvoorstel door de Stuurgroep SURFaudit voorgelegd aan het Platformbestuur voor accordering. De Stuurgroep SURFaudit vraagt het CIO Beraad, de CvDUR en de Comit in te stemmen met doelstelling en ambitie van SURFaudit (hoofdstuk 3), en met de keuzes ten aanzien van de soorten assessments (5.1), het normenkader (5.2) en het scoringsmechanisme (5.3), en een positief advies over de invoering te geven aan het bestuur van het Platform ICT en Bedrijfsvoering. 1. Samenvatting Voor SURFaudit is een normenkader opgesteld dat bestaat uit de belangrijkste elementen van ISO Als scoringsmechanisme wordt voorgesteld om CMM te gebruiken. SURFaudit komt beschikbaar in een aantal vormen, van self- assessment tot beoordelende, onafhankelijke audit. Op korte termijn worden tools geselecteerd die het gebruik van SURFaudit ondersteunen. Gebruik van het BMtool van het CIO Platform (zie par. 8.2) lijkt het meest voor de hand te liggen. Ook zal het CMM- niveau dat wordt nagestreefd, nog vastgesteld moeten worden. Het normenkader wordt in de komende periode nader uitgewerkt. Daarbij wordt een directe relatie gelegd tussen beveiligingsmaatregelen en de toetsing daarvan. 2. Wat hier aan vooraf ging In 2008 is het niveau van informatiebeveiliging van een flink aantal Hoger Onderwijs instellingen gemeten. Dit leverde voor zowel de instellingen als voor SURF een schat aan informatie op. In 2009 en 2010 zijn nog verschillende metingen uitgevoerd en is er voor het eerst een referentiekader gebruikt, om aan te geven waar een instelling eigenlijk zou moeten staan. De projectmatige benadering van de metingen is in 2010 afgesloten met een besluit op bestuurlijk niveau om voor de komende vier jaar op een procesmatige manier de volwassenheid van informatiebeveiliging te meten. 3. Doelstelling en Ambitie 3.1 Doel SURFaudit 2 SURF stelt zich ten doel om in de komende planperiode ( ) het niveau van informatiebeveiliging in de sector Hoger Onderwijs te verbeteren en te borgen. Informatiebeveiliging is van groot belang voor onderwijsinstellingen omdat: 1 ISO27002, Code voor Informatiebeveiliging, internationale standard voor informatiebeveiliging. 2 Zoals beschreven in de notitie Vertrouwen in Informatiebeveiliging in het Hoger Onderwijs, In- Control met SURFaudit, april 2010.

2 pagina 2 / 9 hiermee een belangrijke bijdrage geleverd wordt aan de continuïteit van de bedrijfsvoering; het essentieel is voor de integriteit van de informatiehuishouding; en het een invulling geeft aan de maatschappelijke verantwoordelijkheid van de instelling met betrekking tot de zorg ten aanzien van studenten en medewerkers en ten aanzien van kennisverwerving en kennisdisseminatie. Het doel van SURFaudit is om als HO- instellingen individueel en collectief zicht te krijgen op de zwakke plekken in de informatiebeveiliging en waar zinvol gemeenschappelijk- maatregelen te nemen ter versterking. Doelstelling is om d.m.v. SURFaudit tegelijkertijd te stimuleren en te borgen dat het hoger onderwijs als sector de informatiebeveiliging professionaliseert en op een minimaal niveau waarborgt. Hierbij onderkent SURF dat er grote verschillen zijn tussen de instellingen. SURF zal dan ook actief beleid voeren om alle instellingen op een basis beveiligingsniveau te krijgen, al blijft dit uiteindelijk een verantwoordelijkheid van de instelling zelf. 3.2 Ambitie SURFaudit De ambitie is dat SURFaudit zich tot 2015 ontwikkelt als hét audit instrument om compliance op het gebied van informatiebeveiliging aan te tonen. SURFaudit vervangt uiteindelijk de afzonderlijke audits die HO- instellingen met betrekking tot de informatiebeveiliging inzetten, inclusief het IT- control deel van jaarrekeningen. De HO- instellingen beschikken met SURFaudit over een instrument dat efficiëntie biedt, toegesneden is op het HO en een goede vergelijking mogelijk maakt tussen de HO- instellingen onderling, maar ook met andere sectoren. De SURF- organisatie ondersteunt SURFaudit pro- actief en neemt het instrument als uitgangspunt bij beveiligingseisen van relevante SURF- services als SURFnet, Studielink, SURFfederatie, persoonscertificaten en SURFinternetpinnen. Diepgaande technische tests op individuele informatiesysteem of infrastructuurcomponenten, zoals penetratietesten en code- reviews, worden niet door SURFaudit vervangen. 4. Planning Momenteel, april 2011, zijn het normenkader, het scoringsmechanisme en de assessment methodes uitgewerkt en worden voorgelegd voor besluitvorming, eind mei Hier kunnen instellingen vanaf september 2011 mee aan de slag. In het tweede kwartaal van 2011 wordt het normenkader verder uitgewerkt met toelichtingen en toetsingsvragen. Daarnaast worden in dezelfde periode hulpmiddelen voor assessments geselecteerd of ontwikkeld. Vanaf 2012 wordt het mogelijk beoordelende audits uit te laten voeren. In 2012 wordt beoogd bij 5 instellingen beoordelende audits uit te laten voeren en in 2013 nog eens bij 15. Van alle instellingen wordt verwacht dat zij in 2015 tenminste éénmaal een beoordelende audit hebben laten uitvoeren. Vanaf 2015 wordt gestreefd naar een synchronisatie van de beoordelende audits (zie par. 5.1). In een later stadium kan besloten worden over uitbreiding van het normenkader, van de subset die nu in paragraaf 5.2 beschreven staat, tot, in stappen, de hele set van toetselementen van ISO

3 pagina 3 / 9 5. Voorstel voor Normenkader, Scoring en Assessments Dit hoofdstuk beschrijft voorstellen voor de inrichting van SURFaudit. Aan het Platformbestuur wordt gevraagd hier mee in te stemmen en de inrichting van SURFaudit conform deze voorstellen goed te keuren. 5.1 Soorten Assessments SURFaudit kent 4 soorten assessments, oplopend in zwaarte van self- service tot een onafhankelijke beoordeling. Van iedere instelling wordt verwacht dat zij eenmaal in de 4 jaar een beoordelende audit laat uitvoeren en de resultaten aanlevert voor de benchmarkcijfers. Er wordt naar gestreefd dat alle instellingen in hetzelfde jaar deze audit laten uitvoeren. Een samenvatting van de resultaten van de beoordelende audit van een instelling wordt openbaar 3, de details blijven vertrouwelijk, over verspreiding daarvan beslist een instelling zelf Self- assessment Een instelling bepaalt zelf hoe zij er voor staat. Dat kan op een deelgebied, dat kan voor een deel van de organisatie, dat kan voor een informatiesysteem. De hulpmiddelen van SURFaudit maken dit mogelijk. Een instelling kan dit assessment zo vaak uitvoeren als men wil. De instellingen wordt gevraagd om een maal per jaar een assessment resultaat beschikbaar te stellen voor het samenstellen van een benchmark. Hiermee wordt inzicht gekregen op algemene zwakke plekken waar gezamenlijk aan verbetering gewerkt kan worden, door innovatie of door aanvullende starterkits en handreikingen Begeleid Self- assessment Wanneer een instelling meer onafhankelijkheid en zorgvuldigheid in de zelf- beoordeling wil brengen kan er begeleiding worden ingeschakeld. Hierbij kijkt een onafhankelijke persoon mee in het assessment proces. Dat kan een collega informatiebeveiliger van een andere instelling zijn of een beveiligingsspecialist van een externe partij. De resultaten van dit assessment zijn alleen beschikbaar voor de instelling Proef audit Een proef audit is een voorbereiding op een beoordelende audit en wordt door een externe partij uitgevoerd. De resultaten van de proefaudit zijn alleen beschikbaar voor de instelling Beoordelende audit In een beoordelende audit wordt het niveau van informatiebeveiliging beoordeeld. Hierbij wordt het normenkader en beoogde niveau gehanteerd. Voor verschillende toetselementen zal ook in het proces gekeken, naar de werking van de genomen maatregelen en niet alleen naar de opzet en het bestaan 4. Voor het uitvoeren van beoordelende audits (en proef audits) worden met gerenommeerde organisaties afspraken gemaakt over methode en voorwaarden. Een beoordelende audit gebeurt op initiatief van de instelling en op kosten van de instelling. 3 Vorm en inhoud nader vast te stellen, vergelijkbaar met de resultaten van visitaties en accreditatie onderzoeken. 4 Opzet: Hoe het bedacht is, Bestaan: of het ook zo ingericht is, Werking: of er ook op die manier uitgevoerd wordt.

4 pagina 4 / Benchmark De resultaten van de beoordelende audits worden gebruikt om de benchmarkcijfers Hoger Onderwijs vast te stellen. Dit geeft, een keer in de vier jaar, de officiële stand van zaken van informatiebeveiliging in het Hoger Onderwijs. Daarnaast worden de self- assessments gegevens gebruikt voor tussentijdse benchmarks. Door het gebruik van gelijke normen en middelen zoals in andere branches (gezondheidszorg, overheid, bedrijfsleven) worden gehanteerd kunnen ook vergelijkingen gemaakt worden met benchmarkcijfers van die andere branches.

5 pagina 5 / Normenkader SURFaudit wordt stapsgewijs uitgebreid. Voor de eerste fase die in 2011 start is een selectie gemaakt van de belangrijkste toetselementen, 36 van de 133 toetselementen van ISO Dit zijn de essentiële aspecten van informatiebeveiliging die op orde moeten zijn. Deze selectie is bepaald op basis van de selectie van toetselementen die in de zorg 5 gebruikt is bij de NEN7510 audits in 2010, en getoetst aan het in 2009 opgestelde referentiekader informatiebeveiliging Hoger Onderwijs. De toetselementen zijn in 5 clusters samengebracht. Deze clusters kunnen onder meer gebruikt worden om overzichtelijke rapportages te maken. Cluster ISO Toetselement 1 Beleid & Organisatie Beleidsdocument voor informatiebeveiliging 2 Personeel, studenten en gasten Evaluatie en actualisering Bestuurlijke verankering Toewijzing en vastlegging van verantwoordelijkheden voor IB Beleid voor gegevensuitwisseling Overeenkomsten Analyse en specificatie van beveiligingseisen Bescherming van persoonsgegevens Rapporten beveiligingsincidenten Verantwoordelijkheden en procedures incidentafhandeling Arbeidscontract/voorwaarden Bewustwording, opleiding en training voor informatiebeveiliging Blokkering van toegang 3 Ruimten & Apparatuur Fysieke toegangsbeveiliging Werken in beveiligde ruimten Onderhoud van apparatuur Clear desk en clear screen policy 4 Continuïteit Beheer van wijzigingen Maatregelen tegen kwaadaardige programmatuur Reservekopieën Het proces van continuïteitsbeheer Bepaling van de continuïteitsstrategie Ontw. en impl. continuïteitsvoorzieningen & plannen Structuur voor continuïteitsplannen 5 Toegangsbeveiliging Toegangsbeleid Geautomatiseerde gegevensuitwisseling (tussen systemen) Transacties on line (tussen personen en systemen) Registratie van gebruikers (is incl autorisatie) Gebruikersidentificatie en authenticatie Beheersmaatregelen voor netwerkverbindingen Scheiding van netwerken Beheer van speciale bevoegdheden Inlogprocedures Gebruik van wachtwoorden en authenticatiemiddelen Beperken van toegang tot informatie Isoleren gevoelige systemen Tabel 1: Normenkader SURFaudit 5 Zoals vastgesteld door de Nederlandse Vereniging van Ziekenhuizen.

6 pagina 6 / Scoring Voor de beoordeling van het voldoen aan elk van de toetselementen is een vast mechanisme nodig. Voorgesteld wordt om hiervoor CMM 6 te gebruiken en daarmee het scoringsmechanisme van het CIO Platform Nederland over te nemen. Aan dit mechanisme wordt de voorkeur gegeven boven de methode die in de zorg gebruik wordt (zie ook paragraaf 8.2: de ziekenhuizen gaan deels over op het gebruik van CMM). Met het CMM model is in de voorlopers van SURFaudit ervaring opgedaan bij het meten van identity management en security incident management. In tabel 2 staan de definities 7 van de CMM niveaus. 0 Non- existent 1 Initial/Ad Hoc 2 Repeatable but Intuitive 3 Defined Process 4 Managed and Measurable 5 Optimised Tabel 2: CMM scoringsmodel Management processes are not applied at all. Processes are ad hoc and disorganised. Processes follow a regular pattern. Processes are documented and communicated. Processes are monitored and measured. Good practices are followed and automated. Complete lack of any recognisable processes. The enterprise has not even recognised that there is an issue to be addressed. There is evidence that the enterprise has recognised that the issues exist and need to be addressed. There are, however, no standardised processes; instead, there are ad hoc approaches that tend to be applied on an individual or case- by- case basis. The overall approach to management is disorganised. Processes have developed to the stage where similar procedures are followed by different people undertaking the same task. There is no formal training or communication of standard procedures, and responsibility is left to the individual. There is a high degree of reliance on the knowledge of individuals and, therefore, errors are likely. Procedures have been standardised and documented, and communicated through training. It is mandated that these processes should be followed; however, it is unlikely that deviations will be detected. The procedures themselves are not sophisticated but are the formalisation of existing practices. Management monitors and measures compliance with procedures and takes action where processes appear not to be working effectively. Processes are under constant improvement and provide good practice. Automation and tools are used in a limited or fragmented way. Processes have been refined to a level of good practice, based on the results of continuous improvement and maturity modelling with other enterprises. IT is used in an integrated way to automate the workflow, providing tools to improve quality and effectiveness, making the enterprise quick to adapt. Het CMM niveau dat wordt nagestreefd als normwaarde is nog niet vastgesteld. Vooralsnog wordt er van uitgegaan dat CMM niveau 3 als minimum gehanteerd moet worden. 6 Capability Maturity Model: Oorspronkelijk opgezet door Carnegie- Mellon als maat voor de betrouwbaarheid van software ontwikkeling. 7 CMM komt in verschillende varianten: Dit is de CMM definitie die gebruikt wordt in COBIT 4.

7 pagina 7 / 9 6. Openstaande vragen In dit document zijn de eerste stappen van de inrichting van SURFaudit beschreven. Aan de hand van het Normenkader en het Scoringsmechanisme kunnen de eerste metingen al uitgevoerd worden. De inrichting van SURFaudit is hiermee nog niet klaar, er zijn nog een aantal zaken die in 2011 gerealiseerd moeten worden. 6.1 Plaats en positie SURFaudit Het normenkader is, op inhoud, vergeleken met de aansluiteisen van SURFnet, SURFfederatie, Studielink en enkele andere diensten van(via) SURFnet. Dit zijn de eerste audits die SURFaudit kan gaan vervangen. Om de ambitie van SURFaudit te realiseren is het nodig om met een aantal auditpartijen afspraken te gaan maken over plaats en positie van SURFaudit. Hiervoor is al contact met KPMG en voert het CIO Platform Nederland overleg met Norea. Het maken van dit soort afspraken kan deels op sector niveau gebeuren, maar zal ook voor een deel door een instelling zelf moeten gebeuren. Op korte termijn zal gestart worden om samen met enkele instellingen te bekijken hoe hun bestaande audits kunnen overgaan naar SURFaudit. 6.2 Gewenst en/of vereist niveau Er is nog geen CMM- niveau vastgesteld als toetsingsnorm. Hiervoor wordt gekeken naar hetgeen al in gebruik is bij andere kwaliteitsmetingen in het Hoger Onderwijs en wordt advies gevraagd aan CIOberaad, CvDUR en COMIT. Een mogelijkheid is om een onderscheid te maken tussen streefniveau (bijvoorbeeld CMM- 4) en vereist niveau (CMM- 3). 6.3 Hulpmiddelen Voor de uitvoering van de SURFaudit metingen en het vastleggen en vergelijken (binnen en buiten een instelling) van de resultaten zijn hulpmiddelen, afspraken en instructies nodig. Het BMtool van het CIO Platform Nederland is een veelbelovend hulpmiddel om in te zetten ter ondersteuning van de audits. De keuze van hulpmiddelen zal zich in eerste instantie richten op het beoordelen van de toepasbaarheid van het BMtool. 6.4 Meetcriteria per toetselement, koppeling met baseline informatiebeveiliging Voor het normenkader is een uitgebreidere beschrijving van de toetselementen beschikbaar. Daarnaast is het hand om een koppeling te leggen tussen het normenkader en de baseline informatiebeveiliging Hoger Onderwijs. Deze baseline wordt in 2011 uitgewerkt en hierbij wordt gelijk de koppeling naar het normenkader meegenomen.

8 pagina 8 / 9 7. Verantwoording Het voorstel zoals in het vorige hoofdstuk geformuleerd is opgesteld door de maturity werkgroep van SURFibo. Deze bestaat uit: Anita Polderdijk- Rijntjes (Hogeschool Windesheim) René Ritzen (Universiteit Utrecht) Martin Romijn (Hogeschool Utrecht) Bart van den Heuvel (Maastricht University) Alf Moens (SURFfoundation) De maturity werkgroep was voor deze gelegenheid versterkt met Deborah Hofland van KPMG. De resultaten van de werkgroep zijn besproken in de stuurgroep SURFaudit. De stuurgroep bestaat uit vertegenwoordigers van CIO Beraad, CvDUR, COMIT, SURFfoundation en SURFnet. 8. Achtergronden Voor het opstellen van het voorstel is gebruik gemaakt van ervaringen en resultaten binnen het Hoger Onderwijs, binnen de zorg (ziekenhuizen) en binnen het landelijk CIO Platform. 8.1 De zorg De Nederlandse ziekenhuizen waren verplicht om voor eind 2010 aan te tonen dat zijn voldoen aan een door de NVZ 8 opgestelde deelnorm van de NEN De deelnorm bestaat uit 35 toetselementen van de NEN7510, gegroepeerd in 5 clusters. Van de ziekenhuizen wordt verwacht dat zij eind 2010 per cluster gemiddeld niveau 2 scoren, dat wil zeggen dat zij voor deze toetselementen beveiligingsmaatregelen moeten hebben geïmplementeerd. In de zorg wordt het volgende scoringsmodel gebruikt: Niveau Omschrijving 1 Het toetselement krijgt weinig of geen aandacht of er zijn uitsluitend plannen om met het normelement aan de slag te gaan. 2 Het toetselement is in de instelling geïmplementeerd, de controle op doeltreffendheid heeft nog niet plaatsgevonden. 3 Het toetselement is geïmplementeerd op alle voor de informatiebeveiliging meest kritieke plaatsen in de instelling en de doeltreffendheid is op zijn minst 1 keer door de instelling gecontroleerd. 4 Het toetselement is breed in de instelling geïmplementeerd en de doeltreffendheid wordt structureel door de instelling gecontroleerd. Alle ziekenhuizen dienen uiteindelijk op niveau 4 te zitten. De inspectie Volksgezondheid verwacht van alle ziekenhuizen dat zij per eind 2010 per cluster uit het normenkader gemiddeld op niveau 2 staan. Er is nog geen datum (jaar) vastgesteld waarop zij niveau 4 behaald moeten hebben. 8 Nederlandse Vereniging van Ziekenhuizen 9 Nederlandse norm voor informatiebeveiliging in de zorg, afgeleid van ISO27002

9 pagina 9 / 9 De UMC s hebben gezamenlijk besloten het BMtool van het CIO Platform te gaan gebruiken voor het meten van volwassenheid. Via de NVZ kunnen ook alle andere ziekenhuizen hier gebruik van maken. Zij zullen daarbij gebruik maken van CMM als scoringsmodel. 8.2 CIO Platform Nederland Het CIO Platform Nederland 10 is het netwerk van CIO s en ICT eindverantwoordelijken van grote organisaties. Stichting SURF participeert in dit netwerk, evenals een viertal UMC s. Het CIO Platform heeft een aantal Interest Groups, onder meer voor informatiebeveiliging. Het CIO Platform heeft afgesproken dat de leden het niveau van informatiebeveiliging meten en dat de meetgegevens in benchmark vorm voor de leden beschikbaar komen. De CIG informatiebeveiliging heeft hiervoor een hulpmiddelen laten ontwikkelen, een meetmethode geselecteerd en normering afgesproken. In 2011 zijn verschillende leden begonnen met meten. Middels het BMtool (benchmarktool) kunnen de leden zelf hun stand van zaken in kaart brengen. Het CIO Platform heeft gekozen om CMM te gebruiken als scoringsmethode. 10 platform.nl

SURFaudit, getoetst in de praktijk Februari 2012, Alf Moens, SURFfoundation

SURFaudit, getoetst in de praktijk Februari 2012, Alf Moens, SURFfoundation SURFaudit, getoetst in de praktijk Februari 2012, Alf Moens, SURFfoundation Inleiding In 2011 is de eerste auditronde van SURFaudit gehouden. In deze ronde zijn het normenkader, de meetmethode en het benchmarktool

Nadere informatie

Compliance and Control

Compliance and Control SURFaudit Compliance and Control Terena&TF(MSP&(&Trondheim&(&sept.&11th,&2013&(&Alf&Moens What is SURFaudit? Introduc@on How&did&it&start? Where&are&we&now? standards,&coopera@on&with&other§ors What&do&all&agree&upon&(and&where&do&they&disagree)?

Nadere informatie

Compliance and Control

Compliance and Control Informatiebeveiliging in het Hoger Onderwijs Compliance and Control SAMBO-ICT - 16 januari 2014 - Alf Moens Wat ga ik u brengen? Framework Informatiebeveiliging, best practices uit het onderwijs Normenkader

Nadere informatie

HR for Business raamwerk (HR4B)

HR for Business raamwerk (HR4B) HR for Business raamwerk (HR4B) Duurzame performance door volwassen Human Capital Management Ir. Marijn Tielemans 31 oktober 2014 Leadership Entrepreneurship Stewardship m.tielemans@nyenrode.nl 06-53384813

Nadere informatie

Onderwerp: Toelichting op Toetsingskader Informatiebeveiliging 2014

Onderwerp: Toelichting op Toetsingskader Informatiebeveiliging 2014 Confidentieel 1 van 5 Onderwerp: Toelichting op Toetsingskader Informatiebeveiliging 2014 1. INLEIDING Sinds 2010 onderzoekt DNB de kwaliteit van informatiebeveiliging als thema binnen de financiële sector.

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007 ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard NGI Limburg 30 mei 2007 1 Tijdlijn 80-er jaren: ITIL versie 1 2000: BS 15000 2001: ITIL versie 2 2002: Aangepaste versie BS 15000 2005: BS

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Taskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector.

Taskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector. Taskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector. Doel Aanbieden handreikingen, op basis van best practices uit het Hoger Onderwijs en MBO sector,

Nadere informatie

SURF Informatiebeveiliging & Privacy. Huidige en toekomstige ontwikkelingen: SURF(net), SURFibo en SURFaudit

SURF Informatiebeveiliging & Privacy. Huidige en toekomstige ontwikkelingen: SURF(net), SURFibo en SURFaudit SURF Informatiebeveiliging & Privacy Huidige en toekomstige ontwikkelingen: SURF(net), SURFibo en SURFaudit Bart van den Heuvel, UM, SURFibo - april 2015 even voorstellen: Bart van den Heuvel - Universiteit

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

2 e webinar herziening ISO 14001

2 e webinar herziening ISO 14001 2 e webinar herziening ISO 14001 Webinar SCCM 25 september 2014 Frans Stuyt Doel 2 e webinar herziening ISO 14001 Planning vervolg herziening Overgangsperiode certificaten Korte samenvatting 1 e webinar

Nadere informatie

Informatiebeveiliging: Hoe voorkomen we issues?

Informatiebeveiliging: Hoe voorkomen we issues? Informatiebeveiliging: Hoe voorkomen we issues? Workshop C Remco de Boer (Kennisnet) Ludo Cuijpers (MBO Taskforce IBB) Inhoud 1. Voorstelronde 2. Over uw rol 3. Maatregelen 4. De diepte in Voorstelronde

Nadere informatie

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Offshore Outsourcing van Infrastructure Management

Offshore Outsourcing van Infrastructure Management Offshore Outsourcing van Infrastructure Management an emerging opportunity dr. Erik Beulen Atos Origin/Tilburg University 1 Agenda Introductie Ontwikkelingen Risicovergelijking Best practices Conclusies

Nadere informatie

Information security officer: Where to start?

Information security officer: Where to start? 1 Information security officer: Where to start? The information security policy process is a continuous and cyclic process 2 1. PLAN: establish ISMS CREATE Information Security Policy (ISP) Inventarise

Nadere informatie

Wat heeft een tester aan ASL en BiSL?

Wat heeft een tester aan ASL en BiSL? TestNet Noord, Heerenveen, 20 november 2012 Wat heeft een tester aan ASL en BiSL? Eibert Dijkgraaf Intro Wie zit er in een typische beheer omgeving? Wat is kenmerkend voor testen : IN BEHEER? IN ONDERHOUD?

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

1.1 ORGANIZATION INFORMATION 1.2 CONTACT INFORMATION 2.1 SCOPE OF CERTIFICATION 2.2 AUDITOR INFORMATION 3.1 AUDIT CONCLUSIONS 3.2 MANAGEMENT SYSTEM EFFECTIVENESS 3.3 OBSERVATIONS Organization Address Name

Nadere informatie

Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector. sambo-ict conferentie, 2 oktober 2015

Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector. sambo-ict conferentie, 2 oktober 2015 Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector sambo-ict conferentie, 2 oktober 2015 Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark

Nadere informatie

ISO 20000 @ CTG Europe

ISO 20000 @ CTG Europe ISO 20000 @ CTG Europe 31/10/2007 mieke.roelens@ctg.com +32 496266725 1 Agenda 31 oktober 2007 Voorstelling Project Business Case: Doel & Scope Projectorganisatie Resultaten assessments en conclusies De

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Fidelity of a Strengths-based method for Homeless Youth

Fidelity of a Strengths-based method for Homeless Youth Fidelity of a Strengths-based method for Homeless Youth Manon krabbenborg, Sandra Boersma, Marielle Beijersbergen & Judith Wolf s.boersma@elg.umcn.nl Homeless youth in the Netherlands Latest estimate:

Nadere informatie

Informatiebeveiliging in het Hoger Onderwijs nog niet Volwassen

Informatiebeveiliging in het Hoger Onderwijs nog niet Volwassen Informatiebeveiliging in het Hoger Onderwijs nog niet Volwassen Resultaten van de metingen informatiebeveiliging, identity management en security incident management 2008 Een gezamenlijk onderzoek van

Nadere informatie

Normenkader Informatiebeveiliging HO 2015

Normenkader Informatiebeveiliging HO 2015 Gebaseerd op ISO 27002:2013 Auteur(s): Alf Moens Versie: 1.4 Datum: Status: 5 mei 2015 Vastgesteld door stuurgroep Informatiebeveiliging en Privacy op 30 maart 2015 Moreelsepark 48 3511 EP Utrecht Postbus

Nadere informatie

Eindrapport Stimulering beveiliging

Eindrapport Stimulering beveiliging indi-2009-12-024 Eindrapport Stimulering beveiliging Project : SURFworks Projectjaar : 2009 Projectmanager : Maurice van den Akker Auteur(s) : Maurice van den Akker Opleverdatum : december 2009 Versie

Nadere informatie

Process Mining and audit support within financial services. KPMG IT Advisory 18 June 2014

Process Mining and audit support within financial services. KPMG IT Advisory 18 June 2014 Process Mining and audit support within financial services KPMG IT Advisory 18 June 2014 Agenda INTRODUCTION APPROACH 3 CASE STUDIES LEASONS LEARNED 1 APPROACH Process Mining Approach Five step program

Nadere informatie

Stand van zaken IM in Nederland Informatiemanagement onderzoek Quint Wellington Redwood 2010

Stand van zaken IM in Nederland Informatiemanagement onderzoek Quint Wellington Redwood 2010 Stand van zaken IM in Nederland Informatiemanagement onderzoek Quint Wellington Redwood 2010 Tanja Goense 16 September 2010 Programma Even voorstellen Opzet onderzoek Bevindingen Samengevat Foodforthought

Nadere informatie

30-06-2015 GASTVRIJ EN ALERT

30-06-2015 GASTVRIJ EN ALERT AANPAK MET VISIE 30-06-2015 GASTVRIJ EN ALERT AGENDA 1. Voorstellen 2. Risicoanalyse of Best Practice 3. Informatiebeveiliging op de VU (in vogelvlucht) 4. De Surfaudit 5. Toch een product 6. Laatste 5

Nadere informatie

Maturity van security architectuur

Maturity van security architectuur Renato Kuiper Principal Consultant LogicaCMG renato.kuiper@logicacmg.com LogicaCMG 2006. All rights reserved Over de spreker Renato Kuiper Principal consultant Information Security bij LogicaCMG Hoofdredacteur

Nadere informatie

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus Inhoud Compliance vakgebied en organisatie CMMI software en systems engineering

Nadere informatie

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen NORA Sessie 5 29 mei 2013 in Amersfoort Agenda en een samenvatting Jaap van der Veen Agenda 29-5-2013 1. Welkom 2. Presentatie Eric Brouwer en Joris Dirks over Kennismodel NORA-Wiki en hoe we onze informatie

Nadere informatie

CSRQ Center Rapport over onderwijsondersteunende organisaties: Samenvatting voor onderwijsgevenden

CSRQ Center Rapport over onderwijsondersteunende organisaties: Samenvatting voor onderwijsgevenden CSRQ Center Rapport over onderwijsondersteunende organisaties: Samenvatting voor onderwijsgevenden Laatst bijgewerkt op 25 november 2008 Nederlandse samenvatting door TIER op 5 juli 2011 Onderwijsondersteunende

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Business Architectuur vanuit de Business

Business Architectuur vanuit de Business Business Architectuur vanuit de Business CGI GROUP INC. All rights reserved Jaap Schekkerman _experience the commitment TM Organization Facilities Processes Business & Informatie Architectuur, kun je vanuit

Nadere informatie

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009 Cross reference ISM - COBIT ME: Monitor & Evaluate Cross reference ISM - COBIT Management summary Organisaties gebruiken doorgaans twee soorten instrumenten

Nadere informatie

Snel naar NEN7510 met de ISM-methode

Snel naar NEN7510 met de ISM-methode Snel naar NEN7510 met de ISM-methode Cross-reference en handleiding Datum: 2 april 2011 Versie: 1.0 Auteur: J. van Bon Integrated Service Management Snel naar NEN7510 met de ISM-methode! Informatiebeveiliging

Nadere informatie

Auditen van Agile projecten

Auditen van Agile projecten Auditen van Agile projecten Platform voor Informatiebeveiliging 10 december 2013 Merijn van der Zalm & Marcel Trijssenaar Agenda Belang van assurance op agile ontwikkelen Agile versus Waterval Perspectief

Nadere informatie

The observational method wat te doen?

The observational method wat te doen? The observational method wat te doen? Mandy Korff Wat is de Observational method? The Observational Method in ground engineering is a continuous, managed, integrated, process of design, construction control,

Nadere informatie

Actieplan Informatiebeveiligingsbeleid mbo

Actieplan Informatiebeveiligingsbeleid mbo Actieplan Informatiebeveiligingsbeleid mbo V.1.0, 14-05-2014 Opdrachtgever: sambo-ict Inhoudsopgave 1. Inleiding... 3 2. Doelstelling... 4 2.1. Waarom informatiebeveiligingsbeleid... 4 2.2. Doelstellingen...

Nadere informatie

INFORMATIEBIJEENKOMST ESFRI ROADMAP 2016 HANS CHANG (KNAW) EN LEO LE DUC (OCW)

INFORMATIEBIJEENKOMST ESFRI ROADMAP 2016 HANS CHANG (KNAW) EN LEO LE DUC (OCW) INFORMATIEBIJEENKOMST ESFRI ROADMAP 2016 HANS CHANG (KNAW) EN LEO LE DUC (OCW) 14 november 2014 2 PROGRAMMA ESFRI Roadmap, wat is het en waar doen we het voor? Roadmap 2016 Verschillen met vorige Schets

Nadere informatie

Handleiding voor het SURF Groene ICT Maturity Model

Handleiding voor het SURF Groene ICT Maturity Model Een zelfscan voor Groene ICT en Duurzaamheid in de organisatie Auteur(s): Met dank aan: Versie: Gebaseerd op: Albert Hankel Henk Plessius, Dirk Harryvan, Bert van Zomeren 2.0 SGIMM v2.0 Datum: 16-04-2015

Nadere informatie

Taskforce Informatiebeveiligingsbeleid.

Taskforce Informatiebeveiligingsbeleid. Taskforce Informatiebeveiligingsbeleid. Cursus 1 2015-2016 plus overnachting Aanleiding: Om het deskundigheidsniveau van instellingen te vergroten, zal een masterclass Privacy georganiseerd worden. Deze

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Test Automatisering? Mislukken Slagen gegarandeerd! Ruud Teunissen - Polteq Test Services BV

Test Automatisering? Mislukken Slagen gegarandeerd! Ruud Teunissen - Polteq Test Services BV Test Automatisering? Mislukken Slagen gegarandeerd! Ruud Teunissen - Polteq Test Services BV Mislukken Slagen gegarandeerd 2 Mislukken Slagen gegarandeerd Management verwacht onmiddellijk R.O.I. Doel:

Nadere informatie

De nieuwe compliance norm ISO 19600 en risicomanagement Een praktijkvoorbeeld voor een license to operate. Arjan Donatz

De nieuwe compliance norm ISO 19600 en risicomanagement Een praktijkvoorbeeld voor een license to operate. Arjan Donatz De nieuwe compliance norm ISO 19600 en risicomanagement Een praktijkvoorbeeld voor een license to operate. Arjan Donatz Group Director, QHSE 11 September 2014. ABOUT US FTS Hofftrans Oil transportation

Nadere informatie

Kwaliteit en Testen binnen Agile Project Management volgens Scrum bij Planon. David Griffioen 11 april 2006

Kwaliteit en Testen binnen Agile Project Management volgens Scrum bij Planon. David Griffioen 11 april 2006 Kwaliteit en Testen binnen Agile Project Management volgens Scrum bij Planon David Griffioen april 2006 Agenda Planon Agile Scrum Scrum bij Planon Kwaliteit en Testen Planon Planon maakt productsoftware

Nadere informatie

De Relatie tussen Werkdruk, Pesten op het Werk, Gezondheidsklachten en Verzuim

De Relatie tussen Werkdruk, Pesten op het Werk, Gezondheidsklachten en Verzuim De Relatie tussen Werkdruk, Pesten op het Werk, Gezondheidsklachten en Verzuim The Relationship between Work Pressure, Mobbing at Work, Health Complaints and Absenteeism Agnes van der Schuur Eerste begeleider:

Nadere informatie

ITIL Security Management: een kritische beschouwing

ITIL Security Management: een kritische beschouwing ITIL Security Management: een kritische beschouwing Marcel Spruit, Informatiebeveiliging is een beheerproces dat zich richt op het beschermen van de informatievoorziening. Het ligt voor de hand om voor

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

Beknopt overzicht van bedreigingen en maatregelen

Beknopt overzicht van bedreigingen en maatregelen Beknopt overzicht van bedreigingen en maatregelen Dit voorbeelddocument omvat een beknopt overzicht van bedreigingen en maatregelen. De opgesomde componenten, bedreigingen en maatregelen zijn bedoeld om

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Global Project Performance

Global Project Performance Return on investment in project management P3M3 DIAGNOSTIEK IMPLEMENTATIE PRINCE2 and The Swirl logo are trade marks of AXELOS Limited. P3M3 -DIAGNOSTIEK (PROJECT PROGRAMMA PORTFOLIO MANAGEMENT MATURITY

Nadere informatie

Aantoonbaar in control over uw IT én de veiligheid van uw deelnemergegevens! Rocus van Oossanen (DNB) en Jeroen Biekart (NOREA)

Aantoonbaar in control over uw IT én de veiligheid van uw deelnemergegevens! Rocus van Oossanen (DNB) en Jeroen Biekart (NOREA) Aantoonbaar in control over uw IT én de veiligheid van uw deelnemergegevens! Rocus van Oossanen (DNB) en Jeroen Biekart (NOREA) Agenda Over uw sprekers; De toezichtaanpak van DNB: Focus! IT risico in Focus!

Nadere informatie

Welke standaard is het beste? 4 december 2008, Bianca Scholten, bianca.scholten@task24.nl, tel. 06 52 45 25 98

Welke standaard is het beste? 4 december 2008, Bianca Scholten, bianca.scholten@task24.nl, tel. 06 52 45 25 98 Welke standaard is het beste? 4 december 2008, Bianca Scholten, bianca.scholten@task24.nl, tel. 06 52 45 25 98 Level 4 Business Planning & Logistics ISA-99 beveiliging binnen het control domain Level 3

Nadere informatie

Voorstel Informatiebeveiliging beleid Twente

Voorstel Informatiebeveiliging beleid Twente Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)

Nadere informatie

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Ter info (AB) Afdeling: Team: Bedrijfsbureau Beh.door: Bos, M.G. Port.houder: DB, Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Memo Informatiebeveiliging Inleiding Met

Nadere informatie

Meer Business mogelijk maken met Identity Management

Meer Business mogelijk maken met Identity Management Meer Business mogelijk maken met Identity Management De weg naar een succesvolle Identity & Access Management (IAM) implementatie David Kalff OGh 14 september 2010 't Oude Tolhuys, Utrecht Agenda Herkent

Nadere informatie

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA ZekereZorg3 Informatieveiligheid in de Zorg Nico Huizing RE RA Ziekenhuizen in Nederland * Najaar 2008: IGZ toetst 20 ziekenhuizen, norm NEN7510, rapport 12/ 08 * Opdracht IGZ: lever per 1/2/ 09 plan van

Nadere informatie

Continuous testing in DevOps met Test Automation

Continuous testing in DevOps met Test Automation Continuous ing in met Continuous testing in met Marco Jansen van Doorn Tool Consultant 1 is a software development method that emphasizes communication, collaboration, integration, automation, and measurement

Nadere informatie

Normenkader Informatiebeveiliging MBO

Normenkader Informatiebeveiliging MBO Normenkader Informatiebeveiliging MBO IBPDOC2A Verantwoording Bron: Normenkader Informatiebeveiliging HO 2015 Gebaseerd op ISO 27002:2013 Stichting SURF April 2015 Met dank aan: Maturity Werkgroep SURFibo:

Nadere informatie

Incidenten in de Cloud. De visie van een Cloud-Provider

Incidenten in de Cloud. De visie van een Cloud-Provider Incidenten in de Cloud De visie van een Cloud-Provider Overzicht Cloud Controls Controls in de praktijk Over CloudVPS Cloudhosting avant la lettre Continu in ontwikkeling CloudVPS en de Cloud Wat is Cloud?

Nadere informatie

Normenkader Informatiebeveiliging MBO

Normenkader Informatiebeveiliging MBO Normenkader Informatiebeveiliging MBO IBBDOC2 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Met dank aan: Maturity Werkgroep SURFibo: Hans Alfons (Vrije Universiteit) Ludo

Nadere informatie

Expert level Improving the testing process

Expert level Improving the testing process Expert level Improving the testing process Eerste praktijkervaringen Smaakmaker voor najaarsevent www.improveqs.nl (info@improveqs.nl) Eduard Hartog Isabelle Robrechts Version 1.1 Agenda Opbouw training

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Factsheet SECURITY DESIGN Managed Services

Factsheet SECURITY DESIGN Managed Services Factsheet SECURITY DESIGN Managed Services SECURITY DESIGN Managed Services We ontwerpen solide security-maatregelen voor de bouw en het gebruik van digitale platformen. Met onze Security Management diensten

Nadere informatie

Expertise seminar SURFfederatie and Identity Management

Expertise seminar SURFfederatie and Identity Management Expertise seminar SURFfederatie and Identity Management Project : GigaPort3 Project Year : 2010 Project Manager : Albert Hankel Author(s) : Eefje van der Harst Completion Date : 24-06-2010 Version : 1.0

Nadere informatie

Informatie over onze vereniging

Informatie over onze vereniging Informatie over onze vereniging Editie 2014 Uitgebreide en actuele informatie op www.cio-platform.nl CIO Platform Nederland, mei 2014 Informatie over onze vereniging - CIO Platform Nederland mei 2014 Inhoudsopgave

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

Enterprise Architectuur. een duur begrip, maar wat kan het betekenen voor mijn gemeente?

Enterprise Architectuur. een duur begrip, maar wat kan het betekenen voor mijn gemeente? Enterprise Architectuur een duur begrip, maar wat kan het betekenen voor mijn gemeente? Wie zijn we? > Frederik Baert Director Professional Services ICT @frederikbaert feb@ferranti.be Werkt aan een Master

Nadere informatie

Ruwaard van Putten Ziekenhuis. Rapportage van definitieve bevindingen

Ruwaard van Putten Ziekenhuis. Rapportage van definitieve bevindingen POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl Ruwaard van Putten Ziekenhuis Onderzoek

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

Ervaringen met begeleiding FTA cursus Deployment of Free Software Systems

Ervaringen met begeleiding FTA cursus Deployment of Free Software Systems Ervaringen met begeleiding FTA cursus Deployment of Free Software Systems Frans Mofers Nederland cursusmateriaal & CAA's alle cursusmateriaal vrij downloadbaar als PDF betalen voor volgen cursus cursussite

Nadere informatie

Stephanie van Dijck De integrale aanpak maakt complexiteit hanteerbaar

Stephanie van Dijck De integrale aanpak maakt complexiteit hanteerbaar Titel, samenvatting en biografie Stephanie van Dijck De integrale aanpak maakt complexiteit hanteerbaar Samenvatting: Nieuwe projecten nemen toe in complexiteit: afhankelijkheden tussen software componenten,

Nadere informatie

Preserva'on metadata voor cer'ficering van Trusted Digital Repositories

Preserva'on metadata voor cer'ficering van Trusted Digital Repositories Preserva'on metadata voor cer'ficering van Trusted Digital Repositories Paula Witkamp Data Archiving and Networked Services paula.witkamp@dans.knaw.nl Wat is DANS Het data archief Duurzame toegang Rol

Nadere informatie

IT Service CMM. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

IT Service CMM. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. IT Service CMM Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 8 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 2 GESCHIEDENIS EN ACHTERGROND...

Nadere informatie

QUICK SCAN BESTAAND RDM BELEID 1/2

QUICK SCAN BESTAAND RDM BELEID 1/2 Vraagstelling - Wat staat in bestaand instellings beleid (elementen/inhoud)? Aangetroffen bij Universiteiten uit UK, Australië en US - Welke best practices zijn bruikbaar voor NL? RDM beleid volop in ontwikkeling

Nadere informatie

Interessegroep Critical Chain Interessegroep Critical Chain. Agenda. Richard Smal Voorzitter Critical Chain Interesse Groep

Interessegroep Critical Chain Interessegroep Critical Chain. Agenda. Richard Smal Voorzitter Critical Chain Interesse Groep IPMA Grote projecten plannen: How to plan a battleship! Aarle Rixtel, 24 april 2014 Richard Smal Voorzitter Interesse Groep 20:00 of Critical Change 1 Met dank aan onze sponsors Doelstellingen IPMA Critical

Nadere informatie

MBO toetsingskader Informatiebeveiliging Handboek MBOaudit

MBO toetsingskader Informatiebeveiliging Handboek MBOaudit MBO toetsingskader Informatiebeveiliging Handboek MBOaudit IBBDOC3+ Toelichting Kenmerkend voor het vakgebied auditing is dat een onderzoek plaatsvindt ten opzichte van een eerder opgesteld en afgestemd

Nadere informatie

Best Practice Seminar 14 NOVEMBER 2013

Best Practice Seminar 14 NOVEMBER 2013 Best Practice Seminar 14 NOVEMBER 2013 14.00: Welkom Best Practice Seminar 14.10: Centraal PMO als middelpunt van projecten en programma s Yvonne Veenma, Stedin 14.50: Pauze 15.30: Governance in een Enterprise

Nadere informatie

Hoe fysiek is informatiebeveiliging?

Hoe fysiek is informatiebeveiliging? Hoe fysiek is informatiebeveiliging? Johan de Wit Siemens Nederland NV Hoe fysiek is informatiebeveiliging? Informatie is voor organisaties van onschatbare waarde, het beschermen ervan heeft binnen organisaties

Nadere informatie

FINANCIËLE INTEGRITEIT & VOETBAL

FINANCIËLE INTEGRITEIT & VOETBAL FINANCIËLE INTEGRITEIT & VOETBAL UNIVERSITEIT UTRECHT 22 JANUARI 2014 AGENDA 1. Opening 2. Licentiesysteem 3. Licentie-eisen 4. Financieel kader PAGINA 2 VAN 17 OPENING Even voorstellen Jan Peter Dogge

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/11/135 ADVIES NR 11/16 VAN 8 NOVEMBER 2011 BETREFFENDE DE AANVRAAG VAN HET NATIONAAL ZIEKENFONDS PARTENA

Nadere informatie

Verantwoordingsdocument programma Informatiebeveiliging en Privacy (IBP) in het mbo

Verantwoordingsdocument programma Informatiebeveiliging en Privacy (IBP) in het mbo Verantwoordingsdocument programma Informatiebeveiliging en Privacy (IBP) in het mbo IBPDOC1 Inhoudsopgave Verantwoordingsdocument Informatiebeveiliging en privacy (IBP) in het mbo 1. Inleiding... 3 1.1

Nadere informatie

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011 Programma doorontwikkeling veiligheidshuizen Informatiemanagement en privacy 21 november 2011 Presentatie Privacy Binnen het programma doorontwikkeling veiligheidshuizen is Privacy een belangrijk onderwerp.

Nadere informatie

Een nieuwe rol voor het auditcomité en een aangepast audit rapport

Een nieuwe rol voor het auditcomité en een aangepast audit rapport Een nieuwe rol voor het auditcomité en een aangepast audit rapport Jean-François CATS Inhoud van de uiteenzetting Nieuwe opdrachten van het auditcomité ingevoerd door de Audit Directieve en het Audit Reglement

Nadere informatie

Datum 16 september 2013 Onderwerp V62008 Verslag inspectiebezoek Convenant Veilige toepassing van medische technologie in het ziekenhuis

Datum 16 september 2013 Onderwerp V62008 Verslag inspectiebezoek Convenant Veilige toepassing van medische technologie in het ziekenhuis > Retouradres Postbus 90700 2509 LS Den Haag Ziekenhuis St. Jansdal xxxx, Raad van Bestuur Postbus 138 3840 AC HARDERWIJK Werkgebied Zuidwest Wilh. van Pruisenweg 52 Den Haag Postbus 90700 2509 LS Den

Nadere informatie

Toetsingsproces platforms voor ondersteunde zelfzorg

Toetsingsproces platforms voor ondersteunde zelfzorg Toetsingsproces platforms voor ondersteunde zelfzorg Werkgroep Tooling Coöperatie Zelfzorg Ondersteund! Vincent van Pelt Lynn Rulkens cqueline Batenburg Pieter Jeekel Tjeerd van Althuis Marcel Heldoorn

Nadere informatie

IT risk management voor Pensioenfondsen

IT risk management voor Pensioenfondsen IT risk management voor Pensioenfondsen Cyber Security Event Marc van Luijk Wikash Bansi Rotterdam, 11 Maart 2014 Beheersing IT risico s Het pensioenfonds is verantwoordelijk voor de hele procesketen,

Nadere informatie

Nieuwe richtlijnen beveiliging webapplicaties NCSC

Nieuwe richtlijnen beveiliging webapplicaties NCSC Nieuwe richtlijnen beveiliging webapplicaties NCSC Jan Matto Praktijkervaringen en gevolgen voor ICT certificering. Van beren op de weg, naar knuffelberen Rotterdam, 12 juni 2012 1 Introductie: Jan Matto

Nadere informatie

Identity Management Gebruikers en Rechten in Beheer (GRiB)

Identity Management Gebruikers en Rechten in Beheer (GRiB) Identity Management Gebruikers en Rechten in Beheer (GRiB) Meer grip op hoe we regelen wie wat mag P.J.M. Poos (Piet) Programma manager SNS REAAL organisatie Raad van Bestuur Groepsstaven SNS Bank REAAL

Nadere informatie

Kikkers en Heilige Koeien UvAConext & standaarden voor het primaire onderwijs en onderzoek proces

Kikkers en Heilige Koeien UvAConext & standaarden voor het primaire onderwijs en onderzoek proces Kikkers en Heilige Koeien UvAConext & standaarden voor het primaire onderwijs en onderzoek proces SURF Seminar September 2015 Frank Benneker, ICTS Universiteit van Amsterdam Perspectief ICTS & OO dienstverlening

Nadere informatie

Continuous Delivery. Sander Aernouts

Continuous Delivery. Sander Aernouts Continuous Delivery Sander Aernouts Info Support in een notendop Maatwerk softwareontwikkeling van bedrijfskritische kantoorapplicaties Business Intelligence oplossingen Managed IT Services Eigen Kenniscentrum

Nadere informatie

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................

Nadere informatie

weer wat nieuws KEMA KEMA Reden van verandering KLANT- & PRESTATIEGERICHT! Oude norm was onvoldoende 16-04-2003 KEMA Quality B.V.

weer wat nieuws KEMA KEMA Reden van verandering KLANT- & PRESTATIEGERICHT! Oude norm was onvoldoende 16-04-2003 KEMA Quality B.V. Ze hebben weer wat nieuws bedacht! 16-04-2003 Quality B.V. 1 Reden van verandering Oude norm was onvoldoende KLANT- & PRESTATIEGERICHT! 16-04-2003 Quality B.V. 2 1 Reden van verandering a. ISO normen iedere

Nadere informatie

Enterprisearchitectuur

Enterprisearchitectuur Les 2 Enterprisearchitectuur Enterprisearchitectuur ITarchitectuur Servicegeoriënteerde architectuur Conceptuele basis Organisatiebrede scope Gericht op strategie en communicatie Individuele systeemscope

Nadere informatie