09u30-09u50 Introductie Spreker: Willem Debeuckelaere, voorzitter Vlaamse Toezichtscommissie
|
|
- Anna de Croon
- 7 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Agenda 09u00-09u35 Welkom en Introductie Spreker: Eddy Van der Stock, voorzitter V-ICT-OR vzw 09u30-09u50 Introductie Spreker: Willem Debeuckelaere, voorzitter Vlaamse Toezichtscommissie 09u50-10u05 VLAVIRGEM: uw voorbeeldgemeente Spreker: Johan Van der Waal, V-ICT-OR 10u05-10u30 10u30-10u45 10u45-12u30 Een informatieveiligheidsplan, hoe begin ik eraan? Koffiepauze Spreker: Frederik Baert, Domein Security V-ICT-OR vzw En nu de praktijk! Workshop1: methodiek en tools, een case ter uitlichting Spreker: Eddy Van der Stock, voorzitter V-ICT-OR vzw Spreker: Frederik Baert, Domein Security V-ICT-OR vzw 12u30-13u30 Lunchpauze 13u30-14u00 Toelichting van de risicoanalyse Spreker: Frederik Baert, Domein Security V-ICT-OR vzw 14u00-15u45 En nu de praktijk! Workshop 1: Uitvoeren van een risicoanalyse voor uw organisatie, en vertaling naar een actieplan Spreker: Frederik Baert, Domein Security V-ICT-OR vzw 15u45-16u00 Plenaire afsluiting Spreker: Eddy Van der Stock, voorzitter V-ICT-OR vzw
2 Iedereen een Informatieveiligheidsplan in 2016!? Vlaamse Virtuele Gemeente uw Gemeente Radicaal Digitaal Eddy Van der Stock V-ICT-OR vzw
3 Vlaanderen Radicaal Digitaal Visie Strategie Missie De Vlaamse overheid transformeren naar een informatie gedreven overheid (Vlaamse Regering) Structuur Mensen Middelen Cultuur Ketens Resultaten
4 Visie Open Data Only Once Klant Proactieve diensten Databanken Kerntaken Slagkracht
5 Governance Klantvriendelijke Dienstverlening Informatiegedreven Overheid Digitale Dienstverlening Afspraken en Standaarden Strategische Capaciteit VRD 9 Bouwstenen Samenwerking Ondersteunende ICT Informatieveiligheid
6 Hoe gaan we dit realiseren. Gemeenten redden het steeds moeilijk(er) alleen (>70% < inwoners) Bepaalde gemeente zijn eenvoudigweg te klein om een digitalisering en automatisering van hun administratieve dienstverlening aan de moderne normen aan te passen Inkanteling OCMW begint vaak bij ondersteunende diensten (ICT, personeel, ), waarom ook hier geen stap verder gaan en deze per regio te bekijken?
7 Probleemstelling Connectiviteit (diensten, besturen, overheden, ) Dure individuele infrastructuur (niet toereikend t.e.m. overkill ) Geen gestandaardiseerde dataformaten (compatibiliteit software t.e.m. ingebakken datasystemen) Gedifferentieerde procesmodellen (zelfde regelgeving) Bestaande doch vaak ongekende toepassingen of componenten (digitale handtekening, ipdc, ) Informatiebeheer en -veiligheid!
8 Concept 309 e gemeente Toepassingen Proeftuin Processen Data Infrastructuur Connectiviteit OSLO Generieke componenten, collectief bewaken (overheid) Vrije Markt
9 Het warm water niet opnieuw uitvinden! Bestaande oplossingen beschikbaar stellen Aanhaken op lopende projecten Ontwikkelen Standaarden (authentieke bronnen en uitwisselformaten) Toolkits Co-creatie Samenwerken met alle betrokken (neutrale) partijen
10 Regionale Kenniskringen Kennisplatform Webtool Securitytool Overleg Stuurgroep LocGov VDI coördinatie Informatie Vlaanderen Facilitair Bedrijf ICEG Problematiek bespreken VlaVirGem Kennis Delen ShoptIT ManageIT Dag Digitale Communicatie Kennisdagen Kennis oppikken Regiowerking
11 Projectbeschrijving 1. Dissemineren (leren kennen wat is er?) 2. Adopteren/Implementeren (effectief laten werken in LocGov) 3. Innoveren (vernieuwend denken innoveren living labs proeftuinen - competentiecentrum) 4. Standaardiseren (als standaard meenemen in de cyclus)
12 Bouwsteen Informatieveiligheid Lokale besturen Componenten (best practices) Vlaamse Toezichtscommissie (VTC) Privacycommissie Richtsnoeren voor Informatieveiligheid! Evidente Minimum Maturiteitsmeting (Tool Informatieveiligheid) Standaardiseren Dissemineren Permanente meting (dynamisch) Regionale Kenniskringen 26 regio s Inzicht in hoeverre strategische bouwstenen gebruikt worden Expertenfora Innoveren Adopteren Evidente Minimum Interbestuurljke ketenintegratie Implementatiestraat PROEFTUINEN (gemeenten) 309 de X besturen Maturiteitsbegeleiding
13 Regionale Kenniskringen 1. Informatie, kennis en innovatie zijn het bloed van succesvolle organisaties in het tijdperk van netwerken Peter Hinssen.
14 Regionale Kenniskringen
15 Disseminatie & Adoptie (informatieveiligheid) Op de agenda van alle regionale kenniskringen in het eerste kwartaal Regiowerking ondersteunt door Jolien Dewaele Aandacht gaat uit naar bestaande informatieveiligheidsconsulenten maar zeker ook op de blinde vlekken. Centralisatie van de maturiteit in Vlaanderen via de informatieveiligheidstool (conclusies mogelijk). Dynamisch informatieveiligheidsplan en risicometing van de lokale besturen
16 Eddy Van der Stock V-ICT-OR
17 Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer Studiedag V-ICT-OR Veiligheidsconsulenten in Vlaamse steden en gemeenten januari 2016
18 IEDEREEN EEN INFORMATIEVEILGHEIDSPLAN IN 2016?? E-gov decreet 2008, artikel 9 : iedere instantie die elektronische persoonsgegevens verwerkt, wijst een veiligheidsconsulent aan. Zie ook Besluit Vlaamse regering van 15 mei 2009, artikel 2
19 VEILIDHEIDSPLAN? Artikel 10 Besluit veiligheidsconsulent : De veiligheidsconsulent stelt voor de verantwoordelijke voor het dagelijks bestuur een ontwerp van veiligheidsplan op voor een termijn van drie jaar
20
21
22 De steden en gemeenten die een informatieveiligheidsconsulent hebben aangesteld en waarvoor de VTC een positief advies heeft gegeven worden op de bijgevoegde kaart in het groen aangeduid. Dit geldt ook voor de gemeenten waarvoor recent een advies werd gevraagd, maar er nog geen uitspraak over is. Er wordt geen onderscheid gemaakt tussen een al dan niet voorwaardelijk advies. OCMW worden hier niet opgenomen. Het is mogelijk dat er gemeenten en steden zijn die een informatieveiligheidsconsulent hebben aangesteld maar dat (nog) niet aan de Vlaamse Toezichtcommissie gemeld hebben. Indien deze gemeenten dat willen nuanceren in het overzicht, kunnen ze dat aan het secretariaat van de Vlaamse Toezichtcommissie melden en worden ze eventueel in het geel aangeduid op de kaart. Steden en gemeenten waar de VTC geen informatie over heeft, krijgen de kleur rood. Meer uitleg op
23 GDPR 18 DECEMBER 2015 > politiek akkoord tria
24 De publicatie wordt voorzien voor maart/april 2016 De verordening wordt van toepassing vanaf het derde jaar na de publicatie.. Dit betekent dat de verordening moet worden toegepast vanaf maart/april 2018 April 2018
25 Voorstelling project VlaVirGem
26 Aanleiding en situering van het project Samen het interbestuurlijk gegevensverkeer verbeteren Samenwerkingsovereenkomst tussen VVSG, V-ICT-OR en Informatie Vlaanderen (Vlaamse overheid) Interbestuurlijk e-governmentbeleid in Vlaanderen 1. Versterken van informatie- en ICT-capaciteit 2. Realisatie van interbestuurlijke ketenintegratie 3. Lokale besturen als volwaardige partner betrekken (cocreatie)
27 Geheim van succes: gewone dingen ongewoon goed doen
28 Procesmatige aanpak: (1) dissemineren, (2) adopteren, (3) innoveren en (4) standaardiseren VVSG V-ICT-OR V-ICT-OR
29 Aanpak Regionale kenniskringen + digitale coach Webtool vlavirgem.be Expertenpool (Federaal, VO, UGent, AMS, bedrijven,..)
30 In webtool meer dan ICT! Externe omgeving Organisatie inrichting Informatievoorziening Techniek Beveiliging Beheer
31 De boekenkast in model als basis voor implementatie
32 Actiepunten: Wat moeten we nu doen? Bouwstenen uit de VlaVirGem bouwdoos Standaard werkwijze implementatieaanpak Bouwstenencatalogus 1a - CRAB 1b - Gebouwenregister 1c - Percelenregister 1d - Wegenregister 1e - GRB 2a - Vlaams 2b - Federaal 2c - Recht van voorkoop 2d - Lokaal 3a - IPDC 3b beeldendatabank Vlaanderen 3c - ViaAGIV 3d - Luchtopnamen 3e - 3DGRB 3f - Metadata 3g - Digitaal hoogtemodel Vlaanderen 3h - Wegwijs 3i - VOP
33
34 WEBTOOL VLAVIRGEM.BE Informatieveiligheid MASTERPLAN INFORMATIE Gegevensbeheer Gemeentelijk profiel [verantwoordelijke] [aantal inwoners] [resultaten o.b.v. I-Monitor] Vragenlijst Bedrijfsvoering & processen Informatiemanagement Dienstverlening
35 Digitale coach Kennisuitwisseling o.a. via regionale kenniskringen Diverse informatiebronnen centraal op 1 plaats
36 1. Checklist voor implementatie 2. Plan van aanpak voor implementatie 1. Organisatie 2. Processen 3. Techniek 3. Implementatie
37 Innovaties/Proeftuinen Digitale aangifte overlijden Aanvraag horecavergunningen Andere proeftuinen Uittreksels als 24 uurs service voor burgers (e-formulieren) Antwerpen (ACPaaS) BBC open data en rapportage tool IPDC open dat tool Evident minimum website
38 In webtool meer dan ICT! Externe omgeving Organisatie inrichting Informatievoorziening Techniek Beveiliging Beveiliging Beheer
39 Je hoeft niet ziek te zijn om beter te worden
40 Een informatieveiligheidsplan, hoe begin ik eraan?
41 Informatieveiligheid - Context 41
42 Informatieveiligheid - Context
43 Informatieveiligheid vanuit Organisatie perspectief 43
44 Leidraad Organisatiebeheersing - VO 44
45 Organisatiebeheersing & informatieveiligheid 45
46 Hoofdstuk 10 Informatie- en communicatietechnologie (ICT) ICT Strategie ICT Architectuur ICT Organisatie Beheren van middelen ICT Beveiliging Continuiteits Planning Evaluatie en bijsturing
47 ICT Beveiliging ICT beveiliging is het geheel van maatregelen Voorschriften Processen Activiteiten Dat moet zorgen voor optimale bescherming van informatiesystemen Rekening houdend met kosten-batenprincipe
48 ICT Beveiliging - Doelstelling Het informatieveiligheidsbeleid streeft een optimale bescherming na van Vertrouwelijkheid Integriteit Beschikbaarheid Van informatie en informatie-systemen
49 Modellen en beleid? 49
50 Modellen
51 Wie ziet door het bos de bomen nog?
52 Één stapje terug
53 Deugdelijk bestuur stuurt IT bestuur Deugdelijk bestuur gaat om balans: Performantie Verbetering van efficiëntie, effectiviteit, uitbreiding van dienstverlening Performantie Conformiteit Naleven van wetgeving, policies, audit requirements Deugdelijk bestuur en IT bestuur zoeken naar de balans tussen performantie en conformiteit zoals vooropgesteld door de Raad (schepencollege, raad van bestuur, ) Conformiteit
54 Van beleid naar IT doelstelling 54
55 COBIT 5 Control Objectives for Information and Related Technology COBIT 5 biedt een uitgebreid framework dat organisaties (bedrijven of publieke instellingen) helpt om hun doelen te bereiken en waarde te leveren door middel van het effectieve bestuur en beheer van IT
56 COBIT 5 Enablers
57 COBIT enkel voor informatieveiligheid? COBIT levert een framework voor een gestructureerde aanpak van de dagdagelijkse brandjes
58 Waar past COBIT in? Drivers Performantie Beleidsdoelstellingen Conformiteit Wetgeving Deugdelijk Bestuur Scorecard en COSO Leidraad Organisatiebeheersing IT Bestuur COBIT Best Practices Standaarden ISO9001 ISO27000 / Richtsnoeren ISO20000
59 Sturing & Beheer
60 Processen voor Sturing & Beheer
61 COBIT en zijn relatie tot andere frameworks
62 Even samenvatten COBIT zorgt voor: Optimale waarde creatie door gebruik van IT Door evenwicht tussen het realiseren van baten en het optimaliseren van risico niveaus en optimaal gebruik van middelen Holistische kijk op organisatie en IT
63 Een kort praktisch voorbeeld Continuiteitsplanning Hoe pak je dat aan? Waar moet ik aan denken? Kapstok in COBIT Proces DSS04. Manage Continuity
64
65
66
67 HOE zit dat nu met informatieveiligheid?
68 COBIT Voor informatieveiligheid
69 COBIT link naar informatieveiligheid 69
70 Principes, policies en frameworks Policy Framework Input Information Security Principles Information Security Policy Specific Information Security Policies Information Security Procedures Information Security Requirements and Documentation Mandatory Information Security Standards, Frameworks and Models Generic Information Security Standards, Frameworks and Models Source: COBIT 5 for Information Security, figure ISACA All rights reserved
71 Informatieveiligheid - Principes Informatieveiligheids principes communiceren de regels van de organisatie Hoe moeten principes worden opgebouwd: Gelimiteerd in aantal Eenvoudig uitgedrukt zodat iedereen de regels kan begrijpen In 2010 heeft ISACA samen met ISF en ISC² 12 principes uitgewerkt waarvan kan gestart worden, of kunnen herbruikt worden 2012 ISACA. All rights reserved
72 Informatieveiligheid - Principes Principes in 3 categorieën: Informatieveiligheid ter ondersteuning van de organisatie Informatieveiligheid ter verdediging van de organisatie Informatieveiligheid ter ondersteuning van een positieve cultuur met betrekking tot verantwoord informatieveiligheidsgedrag
73 Informatieveiligheid ter ondersteuning van de organisatie Zorg dat informatieveiligheid is geïntegreerd in de activiteiten en processen van de organisatie Creëer kwaliteit en waarde voor de stakeholders zodat informatieveiligheid mee deze waarde creëert in lijn met wat de organisatie wil bereiken Voldoe aan wettelijke en regelgevende eisen Voorzie tijdig en accurate informatie voor wat betreft de correcte werking van informatieveiligheid Evalueer huidige en toekomstige informatie bedreigingen zodat tijdig actie kan ondernomen worden om mogelijke risico s te mitigeren Promoot continue verbeteringen in informatieveiligheid, om kosten te verminderen, efficiëntie en effectiviteit te verbeteren enz.
74 Informatieveiligheid ter verdediging van de organisatie Neem een risico-gebaseerde aanpak aan, zodat risico s op een effectieve manier worden aangepakt Bescherm geclassificeerde informatie om ontsluiting naar niet-geauthoriseerde individuen te vermijden Concentreer op de organisatie-kritische applicaties, om je schaarse informatieveiligheidsmiddelen geprioritiseerd in te zetten daar waar een een security incident de grootste impact zou hebben Ontwikkel veilige systemen
75 Uitdragen van verantwoord informatieveiligheidsgedrag Gedraag je professioneel en etisch verantwoord Bevorder een positieve cultuur met betrekking tot informatieveiligheid door beïnvloeding van het gedrag van eindgebruikers, het reduceren van de kans op security incidenten en het beperken van de mogelijke impact ervan op de organisatie
76 Informatieveiligheid Policies Policies voorzien een meer gedetailleerde begeleiding over hoe de principes in de praktijk worden toegepast, een aantal voorbeelden van policies zijn: Informatieveiligheid policy Acceptable Use policy Incident management policy Leveranciersbeheer policy COBIT 5 for Information Security voorziet minimaal volgende attributen voor elke policy: Scope Geldigheid Toepassingsgebied Lifecycle van de policy Distributie Doelstellingen van de policy
77 VAN Informatieveiligheidsplan naar Informatieveiligheid beheer systeem (ISMS) 77
78 Fase 1: Algemeen stappenplan 1. Inventariseer de verplichtingen van uw organisatie en eventueel reeds gebruikte modellen 2. Stel een informatieveiligheidsteam op met alle relevante deelnemers (IVT) 3. Bepaal de scope van het ISMS met het IVT 4. Maak een eerste policy waarin deze scope wordt afgelijnd 5. Breng deze voor goedkeuring op het hoogste beslissingsorgaan 6. Bepaal de risico evaluatie methodologie
79 Fase 1: Algemeen stappenplan 7. Leg de criteria vast rond aanvaardbare risico s 8. Maak een inventaris van alle processen en middelen die relevant zijn voor de scope 9. Doe een eerste risico analyse met het IVT (apart en samen) 10.Bepaal voor elk risico de strategie (accepteren, vermijden, transfereren) 11.Bepaal de relevante controlepunten (incl. richtsnoeren) 12.Koppel terug naar het management
80 Fase 2: Beheer 1. Beslis met het IVT hoe de controle punten worden opgevolgd 2. Stel logging en rapportering op 3. Evalueer de scope en risico s op regelmatige basis 4. Toets aan de management modellen 5. Organiseer regelmatig ISMS audits 6. Leg alle findings, policies, risico s op regelmatige basis voor aan het management
81 Informatieveiligsplan omdat het KAN
82
83 De Tool
84 Overzicht
85 Opstarten
86 Invullen V2 versus V3
87 Nieuwe inzending (Risico s/dreigingen)
88 Risico s/dreigingen
89 Dreigingen Bedrijfscontinuïteit Fysieke beveiliging Incidenten en incidentafhandeling Misbruik Mobiele apparatuur en telewerken Ongeautoriseerde toegang Systeem- en gebruikersfouten Uitwisselen en bewaren van informatie Verantwoordelijkheid Wet- en regelgeving 56 Risico s in kaart
90 Nieuwe inzending (maturiteitsmeting)
91 Maturiteit (meting) Cijfer Maturiteitsniveau Scoring van de naleving van normen (0) Onbestaande De norm wordt totaal niet nageleefd. Er is geen enkele beheersmaatregel betreffende de norm. (1) Initieel/Ad-hoc De norm wordt informeel en ad-hoc nageleefd vanuit een zeker bewustzijn, en als reactie op incidenten. De maatregelen zijn niet gedocumenteerd of gecommuniceerd. (2) Herhaalbaar maar inituitief. De norm wordt meer gestructureerd nageleefd. Er zijn geen detailanalyses die de keuze van de maatregelen onderbouwen. Er is geen contrôle op de effectiviteit van de maatregelen. (3) Gedefinieerd De norm wordt op een gestructureerde manier nageleeft. De maatregelen zijn gestandardiseerd, gedocumenteerd, gecommuniceerd en worden toegepast. De naleving wordt gecontroleerd, maar dit gebeurt niet gestructueerd. (4) Beheerd en meetbaar De effectiviteit van de maatregelen om de norm na te leven wordt gemeten, en deze input wordt gebruikt om de maatregelen bij te sturen (5) Geoptimaliseerd Het ISMS is geoptimaliseerd via benchmarking en kwaliteitscertificaten.
92 GO!
93 En dan
94 Wiki (community)
95 Daarna als PDF downloaden
96 Veiligheidsplan opmaken/wijzigen
97 Veiligheidsplan output
98 Vervolgtraject > 22 jan Stresstesting tool Versie > 31 jan Risicoanalyse (dreigingen) tool en rapportering Kwartaal 1 bezoek van alle lokale besturen via de regionale kenniskringen In samenwerking met de informatieveiligheidsconsulenten en hun besturen (veiligheidscel) de tool inzetten ifv de Veiligheidsplannen Iedereen een informatieveiligheidsplan in 2016!?
99 Toelichting van de risico-analyse
100 Wat is risico beheer? Risico beheer in het algemeen is een proces gericht op een efficiënte balans tussen het realiseren van opportuniteiten en het minimaliseren van daaraan verbonden risico s (in de vorm van bvb verliezen). Het is een essentieel onderdeel van een goede corporate governance structuur voor de organisatie Risico beheer is een continue proces
101 Informatieveiligheid Risico Beheer Is een onderdeel van het risico beheersproces van de organisatie, maar kan eveneens afzonderlijk uitgevoerd worden Gezien het feit dat informatietechnologie in het algemeen continue wijzigt, is het aan te raden dat het beheersen van risico s met betrekking tot informatie veiligheid worden ingericht als een permanent proces in de organisatie
102 Risico Assessment vs Beheer
103 Risico beheersing als onderdeel van ISMS
104 Informatieveiligheid = Informatie risico beheer 104
105 Start van Informatieveiligheid Risico beheer is het proces om dreigingen te identificeren ten opzichte van informatiebronnen die worden gebruikt door een organisatie in het bereiken van organisatorische doelstellingen, en om te beslissen welke tegenmaatregelen kunnen worden genomen om deze risico s te verminderen tot een aanvaardbaar niveau, op basis van de waarde van de informatiebron voor de organisatie. 105
106 HOE doe je dat?
107 4-stappenplan 1. Voer een Business Impact Analyse uit op je belangrijk(st)e informatie systemen 2. Analyseer op basis van de lijst van mogelijke dreigingen ten opzichte van de weerhouden informatiesystemen 3. Bekijk de risico-matrix en desbetreffende gelinkte maatregelen kritisch 4. Creëer een plan van aanpak met concrete stappen op basis van de richtsnoeren
108 Stap 1 Business Impact Analyse BIA Business Impact Analyse Informatiesysteem Impact Recovery Time Objective (RTO): Recovery Point Objective (RPO): Naam van het informatiesysteem Een beschrijving van de gevolgen van het niet beschikbaar zijn van een informatiesysteem, voor een periode langer of een dataverlies groter dan wat acceptabel is De maximaal acceptabele tijd dat een informatiesysteem niet beschikbaar mag zijn. Dit hoeft niet nauwkeurig, het gaat om een ordegrootte De maximaal acceptabele tijd tussen het uitvallen van een informatiesysteem en de laatste backup. Ook hierbij gaat het om een ordegrootte
109 Stap 1 Business Impact Analyse BIA Business Impact Analyse Integriteit Normaal / Belangrijk / Cruciaal Vertrouwelijkheid Openbaar / Intern / Vertrouwelijk / Geheim Eigenaar Lokatie: Is het informatiesysteem toegewezen aan een eigenaar? Is het een intern systeem of een externe oplossing (SAAS, Leverancier)?
110 Stap 2: Analyseer dreigingen tov Informatiesystemen Bedrijfscontinuïteit Fysieke beveiliging Incidenten en incidentafhandeling Misbruik Mobiele apparatuur en telewerken Ongeautoriseerde toegang Systeem- en gebruikersfouten Uitwisselen en bewaren van informatie Verantwoordelijkheid Wet- en regelgeving 56 Risico s in kaart
111 Stap 2: Analyseer dreigingen tov Informatiesystemen Risico = Kans x Impact Kans > jaarlijks (1) / jaarlijks (2) / maandelijks (3) / wekelijks (4) / dagelijks (5) Impact estimatie niet merkbaar (1) / klein (2) / gemiddeld (3) / groot (4) / desastreus (5) 111
112 Stap 2: Analyseer dreigingen tov Risico Score Informatiesystemen Laag = groen (< 3) Gemiddeld = geel (4-8) Hoog = oranje (9-16) Kritiek = rood (> 16) 112
113 Stap 2: Analyseer dreigingen tov Risico aanpak Ontwijk het risico Doe het niet of zoek een alternatief Accepteer het risico Begrijp het risico Doe niets, maar accepteer Beheers het risico Verminder de kwetsbaarheid of impact Evalueer het risico Evalueer de opties Informatiesystemen Overdracht van het risico Verzekering kan overwogen worden om impact van het risico te verminderen Outsourcing maak een andere partij contractueel aansprakelijk
114 Stap 3 Analyseer de risico-matrix Analyse in functie van de dreigingsclassificatie
115 Stap 3 Analyseer de risicomatrix Overzicht van de maatregelen (richtsnoeren) in functie van de risico score
116 Stap 4 - Creëer een plan van aanpak (gebruik de richtsnoeren) Focus eerst op de dreigingen die leiden tot een risico score kritiek en hoog Vergelijk welke richtsnoeren kunnen helpen om deze risico s te beheersen Creëer op basis hiervan een plan van aanpak
117 Laat ons dit eens samen uitvoeren
118 Workshop - afspraken Per tafel: stel jezelf even voor aan iedereen, wat is je rol, je link met informatieveiligheid Per tafel: stel een woordvoerder aan die jullie voorbereiding / resultaten zal voorstellen gedurende de workshop
119 Stap 1 Denk even na over de informatiesystemen die jullie gebruiken, op welke zou je starten om een Business Impact Analyse toe te passen? Beschrijf op basis van de template
120 Stap 1 Business Impact Analyse BIA Business Impact Analyse Informatiesysteem Impact Recovery Time Objective (RTO): Recovery Point Objective (RPO): Naam van het informatiesysteem Een beschrijving van de gevolgen van het niet beschikbaar zijn van een informatiesysteem, voor een periode langer of een dataverlies groter dan wat acceptabel is De maximaal acceptabele tijd dat een informatiesysteem niet beschikbaar mag zijn. Dit hoeft niet nauwkeurig, het gaat om een ordegrootte De maximaal acceptabele tijd tussen het uitvallen van een informatiesysteem en de laatste backup. Ook hierbij gaat het om een ordegrootte
121 Stap 1 Business Impact Analyse BIA Business Impact Analyse Integriteit Normaal / Belangrijk / Cruciaal Vertrouwelijkheid Openbaar / Intern / Vertrouwelijk / Geheim Eigenaar Lokatie: Is het informatiesysteem toegewezen aan een eigenaar? Is het een intern systeem of een externe oplossing (SAAS, Leverancier)?
122 Stap 2 We overlopen een aantal dreigingen per categorie Bespreek wat de huidige situatie is, en geef je argumentatie voor de gemaakte keuze Schat de kans dat de dreiging zich voordoet in, en schat de impact in Geef aan wat je gaat doen ten opzichte van het risico: ontwijken / accepteren / beheersen / overdragen
123 Verantwoordelijkheid (2) Beveiligingsinbreuken als gevolg van het ontbreken of niet oppakken van verantwoordelijkheden door leidinggevenden. Leidinggevenden hebben niet de juiste verantwoordelijkheden en middelen toegewezen gekregen om het beleid goed door te voeren binnen de organisatie of pakken deze verantwoordelijkheden onvoldoende op. Het eigenaarschap van informatiesystemen is niet goed belegd. Beveiliging vormt geen vast onderdeel van projecten
124 Verantwoordelijkheid (3) Medewerkers hebben onvoldoende aandacht voor het informatiebeveiligingsbeleid Het ontbreekt de medewerkers aan awareness op het gebied van informatiebeveiliging
125 Wet- en regelgeving (4) Tegen het bedrijf worden juridische stappen genomen vanwege het niet veilig omgaan met vertrouwelijke informatie. De organisatie en/of haar medewerkers handelen bewust of onbewust in strijd met de wet.
126 Wet- en regelgeving (6) Het niet hard kunnen maken van welke persoon over welk account beschikt. Gedeelde accounts, het gebruiken van een account van een ex-medewerker of het niet beschikbaar hebben van de juiste loginformatie.
127 Wet- en regelgeving (7) Inbreuk op vertrouwelijkheid door wetgeving ten aanzien van informatie in de cloud. Door wetgeving in sommige landen kan de overheid van zo'n land inzage krijgen in informatie welke in de cloud ligt opgeslagen.
128 Incidenten en incidentafhandeling (11) Systemen raken besmet met malware. Het ontbreekt aan een goed antivirus- en/of patchbeleid of het goed uitvoeren daarvan.
129 Incidenten en incidentafhandeling (12) Overbelasten van netwerkdiensten. Het overbelasten van een netwerkdienst waardoor deze niet meer beschikbaar is voor gebruikers.
130 Incidenten en incidentafhandeling (14) Incidenten kunnen niet (snel genoeg) opgelost worden omdat de nodige informatie en actieplannen ontbreken. Systeembeheerders hebben onvoldoende technische informatie over het probleem om het te kunnen oplossen. Een actieplan ontbreekt waardoor het incident onnodig lang blijft duren.
131 Incidenten en incidentafhandeling (15) Herhaling van incidenten. Incidentrapportages ontbreken of worden niet bijgehouden. Veel voorkomende incidenten worden daardoor niet pro-actief aangepakt.
132 Misbruik (16) Systemen worden niet gebruikt waarvoor ze bedoeld zijn. Het ontbreken van een beleid op bijvoorbeeld het internetgebruik, vergroot de kans op misbruik.
133 Misbruik (18) Beleid wordt niet gevolgd door ontbreken van sancties. Door het ontbreken van sancties op het overtreden van regels bestaat de kans dat medewerkers de beleidsmaatregelen niet serieus nemen.
134 Misbruik (19) Inbreuk op vertrouwelijkheid van informatie door het toelaten van externen in het pand of op het netwerk. Het toelaten van externen, zoals leveranciers en projectpartners, kunnen gevolgen hebben voor de vertrouwelijkheid van de informatie die binnen het pand of via het netwerk beschikbaar is.
135 Ongeautoriseerde toegang (20) Misbruik van andermans identiteit. Door onvoldoende (mogelijkheid op) controle op een identiteit, kan ongeautoriseerde toegang verkregen worden tot vertouwelijke informatie. Denk hierbij ook aan social engineering.
136 Ongeautoriseerde toegang (21) Onterecht hebben van rechten. Door een ontbrekend, onjuist of onduidelijk proces voor het uitdelen en innemen van rechten, kan een aanvaller onbedoeld meer rechten hebben.
137 Ongeautoriseerde toegang (23) Toegang tot informatie door slecht wachtwoordgebruik. Het ontbreken van een wachtwoordbeleid en bewustzijn bij medewerkers kan leiden tot het gebruik van zwakke wachtwoorden, het opschrijven van wachtwoorden of het gebruik van hetzelfde wachtwoord voor meerdere systemen.
138 Ongeautoriseerde toegang (25) Toegang tot informatie door onduidelijkheid over bevoegdheid en vertrouwelijkheid van informatie. Door onduidelijkheid in de classificatie van informatie bestaat de kans op ongeautoriseerde toegang tot gevoelige informatie.
139 Ongeautoriseerde toegang (30) Toegang tot informatie doordat deze zich buiten de beschermde omgeving bevinden. Informatie die voor toegestaan gebruik meegenomen wordt naar bijvoorbeeld buiten het kantoor wordt niet meer op de juiste wijze beschermd.
140 Uitwisselen en bewaren van informatie (33) Onveilig versturen van gevoelige informatie. Inbreuk op vertrouwelijkheid van informatie door onversleuteld versturen van informatie.
141 Uitwisselen en bewaren van informatie (34) Versturen van gevoelige informatie naar onjuiste persoon. Inbreuk op vertrouwelijkheid van informatie door het onvoldoende controleren van ontvanger.
142 Mobiele apparatuur en telewerken (38) Verlies van mobiele apparatuur en opslagmedia. Door het verlies van mobiele apparatuur en opslagmedia bestaat de kans op inbreuk op de vertrouwelijkheid van gevoelige informatie.
143 Mobiele apparatuur en telewerken (39) Aanvallen via onbeveiligde systemen. Door onvoldoende grip op de beveiliging van prive- en thuisapparatuur bestaat de kans op bijvoorbeeld besmetting met malware.
144 Systeem- en gebruikersfouten (41) Uitval van systemen door configuratiefouten. Onjuiste configuratie van een applicatie kunnen leiden tot een verkeerde verwerking van informatie.
145 Systeem- en gebruikersfouten (44) Fouten als gevolg van wijzigingen in andere systemen. In een systeem ontstaan fouten als gevolg van wijzigingen in gekoppelde systemen.
146 Fysieke beveiliging (46) Ongeautoriseerde fysieke toegang. Het ontbreken van toegangspasjes, zicht op ingangen en bewustzijn bij medewerkers vergroot de kans op ongeautoriseerde fysieke toegang.
147 Fysieke beveiliging (47) Brand Het ontbreken van brandmelders en brandblusapparatuur vergroten de gevolgen van een brand.
148 Fysieke beveiliging (51) Uitval van facilitaire middelen (gas, water, electriciteit, airco). Uitval van facilitaire middelen kan tot gevolg hebben dat een of meerdere bedrijfsonderdelen hun werk niet meer kunnen doen.
149 Bedrijfscontinuïteit (54) Niet beschikbaar zijn van informatie of diensten vanuit derden. Het niet beschikbaar zijn van cruciale informatie of diensten van derden door uitval van systemen, corrupt raken van de informatie of ongeplande contractbeëindiging kunnen de organisatie schade toebrengen.
150 Bedrijfscontinuïteit (55) Software wordt niet meer ondersteund door de uitgever. Voor software die niet meer ondersteund wordt worden geen securitypatches meer uitgegeven. Denk ook aan Excel- en Access-applicaties.
151 Bedrijfscontinuïteit (56) Kwijtraken van belangrijke kennis bij vertrek of niet beschikbaar zijn van medewerkers Medewerkers die het bedrijf verlaten of door een ongeval (tijdelijk) niet beschikbaar zijn beschikken over kennis die na het verlaten niet meer beschikbaar is.
152 Stap 3 Analyseer risico matrix Bereken je risico score op basis van kans x impact Laag = groen (< 3) Gemiddeld = geel (4-8) Hoog = oranje (9-16) Kritiek = rood (> 16) Stel de kritieke en hoog gescoorde risico s voor
153 Stap 4 Voor een aantal scenario s gaan we kijken hoe de richtsnoeren kunnen helpen
154 Vragen?
Informatieveiligheid, de praktische aanpak
Informatieveiligheid, de praktische aanpak Wie ben ik? Frederik Baert Domeinverantwoordelijke Informatieveiligheid Domeinverantwoordelijke Infrastructuur & Connectiviteit @ V-ICT-OR V-ICT-OR cvba Dienstenorganisatie
Nadere informatieVlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer SHOPT-IT 2013. Informatieveiligheid omdat het moet!
voor het elektronische bestuurlijke gegevensverkeer SHOPT-IT 2013 Informatieveiligheid omdat het moet! Caroline Vernaillen 25 april 2013 Wie zijn wij o adviseurs van de VTC o De voor het elektronische
Nadere informatieBIC Building Blocks Beleid & Strategie
BIC Building Blocks Beleid & Strategie INFORMATIEBEVEILIGING BIC De informatievoorziening van een organisatie is het geheel van mensen, middelen en maatregelen, gericht op de informatiebehoefte van die
Nadere informatieSamen het interbestuurlijk gegevensverkeer verbeteren
Samen het interbestuurlijk gegevensverkeer verbeteren terugblik 2016 Situatie september 2016 (Q3) Indicator 4 Het begeleiden van lokale besturen, per kenniskring bij zelfevaluatie van hun informatieveiligheid
Nadere informatieLeerbronnen Informatieveiligheid. 13 november 2014
Leerbronnen Informatieveiligheid 13 november 2014 V-ICT-OR zet door op Informatieveiligheid! Doelstellingen: 1 Bewustzijn 2 Opleiding en advies 3 Uitwisseling van kennis en ervaring 4 Referentiekader V-ICT-OR
Nadere informatiebeveiligingsmogelijkheden. De handleiding bevat aanvullende directie. informatiebeveiligingsbeleid en/of ISMS aanbevelingen.
Freerk Bisschop, januari 2018 Bijlage Ekklesia en AVG risicoanalyse pagina 1 van 10 Dreigingen Oplossingen/aandachtspunten Verantwoordelijkheid Ekklesia/Efkasoft kerkenraad 1 Beveiligingsinbreuken als
Nadere informatieVlaanderen Radicaal Digitaal
Vlaanderen Radicaal Digitaal Samen het interbestuurlijk gegevensverkeer verbeteren Trefdag 9 juni 2016 www.vlaanderen.be\informatievlaanderen Kader Vlaanderen Radicaal Digitaal > De I-monitor kadert in
Nadere informatieVlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer. Voorstelling VTC Informatieveiligheid CENTRUMSTEDEN
voor het elektronische bestuurlijke gegevensverkeer Voorstelling VTC Informatieveiligheid CENTRUMSTEDEN Anne Teughels & Caroline Vernaillen juni 2013 Wie zijn wij o adviseurs van de VTC o De voor het elektronische
Nadere informatieGecertificeerde informatieveiligheidsconsulent - richtsnoeren
Gecertificeerde informatieveiligheidsconsulent - richtsnoeren Effficiënt beveiligen van informatiebronnen volgens oa de Privacy wetgeving! Opleiding van 10 sessies Start: 06-07-2017, Doorniksesteenweg
Nadere informatieInformatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours
Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen
Nadere informatieALGEMENE VERORDENING GEGEVENSBESCHERMING
ALGEMENE VERORDENING GEGEVENSBESCHERMING HOE GA IK ALS ORGANISATIE OM MET DE VERPLICHTINGEN? V-ICT-OR Academy organiseert in samenwerking met enkel gegevensbeschermingsspecialisten een training voor organisaties,
Nadere informatieUw gemeente of OCMW radicaal digitaal? Tegen 2020?
Uw gemeente of OCMW radicaal digitaal? Tegen 2020? VVSG Ronde Van Vlaanderen 2016 2 - Herman Callens Vlaanderen Radicaal Digitaal Vlaanderen Radicaal Digitaal Regeerakkoord wil tegen 2020 alle transacties
Nadere informatieBUSINESS CONTINUITY MANAGEMENT Hoe kunt u uw onderneming beschermen voor gevaren.
BUSINESS CONTINUITY MANAGEMENT Hoe kunt u uw onderneming beschermen voor gevaren. Business Continuity Plan Handboek J.H. van den Berg M. Baas B U S I N E S S C O N T I N U I T Y M A N A G E M E N T Business
Nadere informatieEven Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017
GEGEVENSBESCHERMING IN DE PRAKTIJK Folkert van Hasselt 29 november 2017 Even Voorstellen Folkert van Hasselt RI Register informaticus Werkzaam bij Instituut Verbeeten Manager ICT Information Security Officer
Nadere informatieIntern controlesysteem PEVA RWWOOV. Artikel 17 van de samenwerkingsovereenkomst tussen het provinciebestuur en de PEVA omschrijft:
Intern controlesysteem PEVA RWWOOV 2016 1. Omkadering: Artikel 17 van de samenwerkingsovereenkomst tussen het provinciebestuur en de PEVA omschrijft: RWOOV verbindt zich ertoe te voorzien in een systeem
Nadere informatieSHOPT-IT 2013. Informatieveiligheid omdat het kan! Organisatiebeheersing en informatieveiligheid
Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer SHOPT-IT 2013 Informatieveiligheid omdat het kan! Organisatiebeheersing en informatieveiligheid Anne Teughels april 2013 Informatieveiligheid
Nadere informatieVlaanderen Radicaal Digitaal Generieke bouwstenen
Vlaanderen Radicaal Digitaal Generieke bouwstenen Hans Arents senior adviseur digitale overheid www.bestuurszaken.be/informatievlaanderen Vlaanderen radicaal digitaal Doel: de Vlaamse overheid transformeren
Nadere informatieCloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017
Cloud dienstverlening en Informatiebeveiliging ISACA Round Table Assen - Maart 2017 Even voorstellen 2 Irmin Houwerzijl. Werkzaam bij Ordina. Ordina haar dienstverlening betreft o.a. traditionele hosting
Nadere informatieJ.H. van den Berg. Versie 1.0 Mei 2011
Versie 1.0 Mei 2011 J.H. van den Berg B U S I N E S S C O N T I N U I T Y M A N A G E M E N T Business Continuity Plan Handboek Vertrouw niet altijd op iemands blauwe ogen. Meiberg Consultancy Bronkhorsterweg
Nadere informatieManagementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C
Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht
Nadere informatieISO 27001:2013 INFORMATIE VOOR KLANTEN
ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en
Nadere informatieGDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering
GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering FLAGIS Studienamiddag Donderdag 15 maart 2018 - Leuven - KU Leuven Ivan Stuer Afdelingshoofd IT Informatie Vlaanderen
Nadere informatieInformatiebeveiligingsbeleid
Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld
Nadere informatieSecurity Awareness Sessie FITZME, tbv de coaches
Security Awareness Sessie FITZME, tbv de coaches 21 mei 2019 Bart van der Kallen, CISM, CIPP/E AGENDA Wie ik ben Aanleiding voor deze sessie De norm: NEN 7510 / ISO 27001 De (invulling van de) komende
Nadere informatieIntegraal veranderen met een Enterprise Architectuur
Integraal veranderen met een Het nut van werken onder architectuur Hendrik Van Haele Agenda Authentieke bronnen Master data management 2 Koppelingen met Authentieke bronnen bedrijfsregels RR MidOffice
Nadere informatieGDPR. een stand van zaken
GDPR een stand van zaken GDPR een stand van zaken Op 25 mei treedt de nieuwe Europese privacywetgeving (GDPR) in werking. Dit heeft impact op u als zorgverlener die met gevoelige gegevens omgaat. Het is
Nadere informatiePraktijkgerichte aanpak van informatieveiligheid: hoe overeenstemmen met GDPR?
Praktijkgerichte aanpak van informatieveiligheid: hoe overeenstemmen met GDPR? September 2017 Marc Vael CISA, CISM, CISSP, CGEIT, CRISC, Guberna Certified Director Voorzitter ISACA Belgium vzw Lid van
Nadere informatieWat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant
Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management
Nadere informatieProjectmatig 2 - werken voor lokale overheden
STUDIEDAG Projectmatig werken in lokale overheden LEUVEN 27 oktober 2011 Projectmatig werken in de lokale sector Katlijn Perneel, Partner, ParFinis Projectmatig 2 - werken voor lokale overheden 1 Inhoud
Nadere informatie/// Werkgroep Interbestuurlijke Samenwerking Leidraad Interbestuurlijke Samenwerking
/// Nota /// Leidraad Interbestuurlijke Samenwerking Versie: 27/05/2019 BIJLAGE 1: LEIDRAAD INTERBESTUURLIJK SAMENWERKEN De leidraad vormt een belangrijk en evident hulpmiddel voor instanties van de lokale
Nadere informatieSeminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging
Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging
Nadere informatieCMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant
CMS Ronde Tafel Cloud Continuity Ir. Jurian Hermeler Principal Consultant Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau Opgericht in 1992 in Nederland Ruim 20 jaar ervaring
Nadere informatieVlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer. Organisatiebeheersing en informatieveiligheid
voor het elektronische bestuurlijke gegevensverkeer Organisatiebeheersing Caroline Vernaillen & Anne Teughels 21 maart 2013 INLEIDING Wie zijn wij Waarom informatieveiligheid Hoe past informatieveiligheid
Nadere informatieThema-audit Informatiebeveiliging bij lokale besturen
Thema-audit Informatiebeveiliging bij lokale besturen I. Audit Vlaanderen Missie Partner van de organisatie... Onafhankelijk Objectief Bekwaam... bij het beheersen van financiële, wettelijke en organisatorische
Nadere informatieBusiness Continuity Management
Business Continuity Management Aart Bitter - 14 januari 2014 SAFER, SMARTER, GREENER Praktijk case Wij zijn als bierbrouwerij voorgedragen om onze producten te leveren aan het Holland House tijdens het
Nadere informatieOffice 365 en Informatieveiligheid. Mark de Jong, Hogeschool Inholland 13 april 2018
Office 365 en Informatieveiligheid Mark de Jong, Hogeschool Inholland 13 april 2018 Office 365 en Informatieveiligheid 1. Strategie Inholland 2. Uitdaging Office 365 en OneDrive 3. Risicoanalyse 4. Keuzes
Nadere informatieDe IT en infrastructuur direct weer up-and-running na een incident
Alles bij 5W staat in het teken van het veiligstellen van uw data. Of dat nu gaat over de veilige opslag van data, de (mobiele) communicatie van data, of het veiligstellen van uw data in noodsituaties:
Nadere informatieInformatieveiligheid. Omdat het moet!? ShoptIT 8 mei 2014 Ivan Stuer
Informatieveiligheid Omdat het moet!? ShoptIT 8 mei 2014 Ivan Stuer Omgevingsanalyse Cloudaanbieder failliet, hoe red ik mijn bedrijfsdata? Nirvanix s cloud service customers were apparently notified about
Nadere informatieInformatiebeveiliging voor gemeenten: een helder stappenplan
Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers
Nadere informatieAnalyse Security Audits 2016
Analyse Security Audits 2016 Ivo Depoorter Projectleider Security Audits V-ICT-OR Security Deelnemers Beide OCMW Gemeente Provincie West-Vlaanderen 2 1 6 Oost-Vlaanderen 1 5 Antwerpen 2 2 9 Vlaams-Brabant
Nadere informatieOp 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.
Inleiding Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'. Hierin wordt aangegeven dat DNB in 2017 met
Nadere informatieSamen het interbestuurlijk gegevensverkeer verbeteren. donderdag 11 mei 2017
Samen het interbestuurlijk gegevensverkeer verbeteren donderdag 11 mei 2017 https://overheid.vlaanderen.be/i-monitor 2 - VVSG - Shopt IT 11 mei 2017 Digitaal duwtje voor 27 gemeenten en OCMW s Tot die
Nadere informatieVoorstelling VTC Informatieveiligheid Scholen Shopt-IT 2014
voor het elektronische bestuurlijke gegevensverkeer Voorstelling VTC Informatieveiligheid Scholen Shopt-IT 2014 Anne Teughels mei 2014 Wie zijn wij o adviseurs van de VTC o De voor het elektronische bestuurlijke
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance In samenwerking met ESET heeft Mazars een whitepaper geschreven met als doel om meer inzicht te geven in het ontstaan en de gevolgen van de General Data Protection Regulation
Nadere informatieWelke Trends & Uitdagingen komen op ons af? Algemene Vergadering VVOS - Wichelen
Welke Trends & Uitdagingen komen op ons af? Algemene Vergadering VVOS - Wichelen Wie ben ik? Eddy Van der Stock hoofd ICT & GIS - Stad en OCMW Lokeren. 850 werkstations, Virtueel serverpark (VMWare), SAN
Nadere informatieVerklaring van Toepasselijkheid
Verklaring van Toepasselijkheid Parantion Groep B.V. ISO27001:2013 Verklaring van toepasselijkheid_openbaar Extern vertrouwelijk Versie: 3.0 Parantion Groep B.V. Pagina 1 van 9 Datum: maart 2016 Document
Nadere informatieDoel van de opleiding informatieveiligheid
Doel van de opleiding informatieveiligheid Het netwerk voor elektronische uitwisseling van persoonsgegevens tussen de diverse instellingen van de sociale zekerheid, dat door de Kruispuntbank wordt beheerd,
Nadere informatieDigital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services
Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf
Nadere informatieCompetentieprofiel deskundige ICT
Competentieprofiel deskundige ICT 1. Functie Functienaam Afdeling Dienst Functionele loopbaan deskundige ICT personeel en organisatie secretariaat B1-B3 2. Context ICT draagt bij tot de uitwerking van
Nadere informatieInformatiebeveiligingsbeleid
Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...
Nadere informatiePraktische tips voor informatiebescherming PRAKTISCHE TIPS OM U EN UW INWONERS TE BESCHERMEN TEGEN CYBERCRIMINELEN
PRAKTISCHE TIPS OM U EN UW INWONERS TE BESCHERMEN TEGEN CYBERCRIMINELEN ISACA in 82 landen ISACA 1978 +100.000 2003 +18.000 2008 +5.000 2010 +16.000 +700 mensen gecertifieerd in België +200 uren opleiding
Nadere informatieBerry Kok. Navara Risk Advisory
Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging
Nadere informatieHRM in GDPR. 06 feb 2017 Gent. Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo. V-ICT-OR Vlaamse ICT Organisatie
HRM in GDPR Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo 06 feb 2017 Gent V-ICT-OR Vlaamse ICT Organisatie 16 stappen (roadmap) voor de implementatie (Algemene Verordening Gegevensbescherming)
Nadere informatieProjectverslag - Informatieveiligheidsconsulentschap ten behoeve van lokale overheden
PIVA egov Projectverslag - Informatieveiligheidsconsulentschap ten behoeve van lokale overheden Context Wetgeving In het decreet van 18 juli 2008 betreffende het elektronische gegevensverkeer, artikel
Nadere informatieBenefits Management. Continue verbetering van bedrijfsprestaties
Benefits Management Continue verbetering van bedrijfsprestaties Agenda Logica 2010. All rights reserved No. 2 Mind mapping Logica 2010. All rights reserved No. 3 Opdracht Maak een Mindmap voor Kennis Management
Nadere informatie#vvsg_gdpr Wat kunnen we leren uit de thema-audit informatiebeveiliging?
#vvsg_gdpr Wat kunnen we leren uit de thema-audit informatiebeveiliging? Gunther Schryvers, Audit Vlaanderen Lies Van Cauter, Audit Vlaanderen. Informatiebeveiliging bij lokale besturen: een uitdaging
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance Stappenplan voor compliance met de Algemene Verordening Gegevensbescherming Het Europees Parlement heeft op 14 april 2016 de Algemene Verordening Gegevensbescherming (AVG)
Nadere informatiedoel bereikt zelfsturing inrichten veiligheid fundament Behoeftepiramide van een "Social Business"
Behoeftepiramide van een "" (Naar analogie piramide van Maslow) Maslow rangschikte de volgens hem universele behoeften van de mens in een hiërarchie. Volgens zijn theorie zou de mens pas streven naar bevrediging
Nadere informatieTo cloud or not to cloud
Stad & OCMW Sint-Niklaas To cloud or not to cloud gebruik bij lokale besturen Ivan Stuer 25 juni 2015 Wat is cloud eigenlijk? Wat is cloud eigenlijk? Voordelen echte realisatie van 'on-demand' computing
Nadere informatieinformatieveiligheidsbeleid (Doc. Ref. : isms.004.hierar. ; Doc. Ref.(BCSS) : V2004.305.hierarch.v5.ivn)
Dit document is eigendom van de Kruispuntbank van de Sociale Zekerheid. De publicatie ervan doet geen enkele afbreuk aan de rechten die de Kruispuntbank van de Sociale Zekerheid ten opzichte van dit document
Nadere informatieHet moment van de gestandaardiseerde waarheid! Open Standaarden voor gelinkte Overheden OSLO 3
Het moment van de gestandaardiseerde waarheid! Open Standaarden voor gelinkte Overheden OSLO 3 1 Even voorstellen Johan van der Waal Domeinverantwoordelijke informatiemanagement Johan.vanderwaal@v-ict-or.be
Nadere informatieDe nieuwe NEN7510: 2017 een introductie Jan Willem Schoemaker, CISO/Business Continuity Manager Erasmus MC. Standards and Regulations 1
De nieuwe NEN7510: 2017 een introductie Jan Willem Schoemaker, CISO/Business Continuity Manager Erasmus MC Standards and Regulations 1 Agenda 1. Schoten voor de boeg 2. Nut van de NEN7510 3. Uitgangspunten
Nadere informatieScenario 1: risico s. competenties; 1. Onveilige configuraties op IT-systemen en IT-infrastructuur; 2. Gebrek aan netwerkscheiding;
Scenario 1: risico s 1. Onveilige configuraties op IT-systemen en IT-infrastructuur; 2. Gebrek aan netwerkscheiding; 3. Verouderde software op IT-systemen; 4. Geen bijgewerkte antivirus; 5. IT-leverancier
Nadere informatieFunctieprofiel Functionaris Gegevensbescherming
Functionaris Gegevensbescherming Inhoudsopgave 1. Doel van de functie 2. Plaats in de organisatie 3. Resultaatgebieden 4. Taken, verantwoordelijkheden & bevoegdheden 5. Contacten 6. Opleiding, kennis,
Nadere informatieInformatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers
Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam
Nadere informatieInformatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard
Stichting Samenwerkingsverband Passend Primair Onderwijs Hoeksche Waard Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard Vastgesteld door het dagelijks bestuur d.d. 18 december
Nadere informatieWie doet wat? 30-5-2013. Gebruik en beheer van applicaties. Een kader VHIC VHIC. Pagina 1. Pagina 2
Gebruik en beheer van applicaties Wie doet wat? Pagina 1 Een kader Pagina 2 Bron: daanrijsenbrij, Elementaire bedrijfsinformatica 1 Functioneel beheer Applicaties worden gebruikt door de gebruikersorganisatie.
Nadere informatieSeminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!
Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! 1! 1. Introductie Agenda! 2. Stand van zaken in de Cyber Security wereld 3. Verschillende soorten
Nadere informatieOrganisatie Informatieveiligheid. Safe@School
Willem Debeuckelaere Anne Teughels & Caroline Vernaillen mei 2015 voor het elektronische bestuurlijke gegevensverkeer Ronde van Vlaanderen Onderwijs Organisatie Informatieveiligheid Safe@School Wie zijn
Nadere informatieEPD in the cloud. Workshop informatieveiligheidsconsulenten FOD VG 5/12/2013
EPD in the cloud Workshop informatieveiligheidsconsulenten FOD VG 5/12/2013 ICT:... van tool naar strategie Strategische implicaties Administratieve functies Medisch- Individualisatie technische patiëntbenadering
Nadere informatieAssetmanagement. Resultaten maturityscan. 14 januari 2015
Assetmanagement Resultaten maturityscan 14 januari 2015 De 7 bouwstenen van Assetmanagement 2 22.Afwijkingen en herstelacties 23. Preventieve acties 24. Verbetermanagement 5.Leiderschap en betrokkenheid
Nadere informatieProcess management aan het werk Business discovery als motor achter waarde creatie. Hans Somers Programmamanager B/CA Gegevens, Belastingdienst
Process management aan het werk Business discovery als motor achter waarde creatie Hans Somers Programmamanager B/CA Gegevens, Belastingdienst Procesmanagement aan het werk Business discovery als motor
Nadere informatieKickstart Architectuur. Een start maken met architectuur op basis van best practices. Agile/ TOGAF/ ArchiMate
Kickstart Architectuur Een start maken met architectuur op basis van best practices. Agile/ TOGAF/ ArchiMate Context schets Net als met andere capabilities in een organisatie, is architectuur een balans
Nadere informatie: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie
: Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen
Nadere informatieINFORMATIEVEILIGHEID OMDAT HET MOET INFORMATIEVEILIGHEID OMDAT HET KAN (LOONT)
Kennisdag Cybersecurity - 10 februari 2015 - Lamot Informatieveiligheid essentieel onderdeel van informatiebeheersing INFORMATIEVEILIGHEID OMDAT HET MOET INFORMATIEVEILIGHEID OMDAT HET KAN (LOONT) Frederik
Nadere informatieInformatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging
Informatiebeveiligings- en privacy beleid Haagsche Schoolvereeniging 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...
Nadere informatieDigitaal Archief Vlaanderen Stappenplan & Projectfiches
www.pwc.be Digitaal Archief Vlaanderen Stappenplan & Projectfiches september 2013 1. Inleiding In dit deel van de studie rond het Digitaal Archief Vlaanderen bekijken we het technische stappenplan dat
Nadere informatie1. Beveiligingsbijlage
Bijlage 2 1. Beveiligingsbijlage 1.1 Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang
Nadere informatieDe beheerrisico s van architectuur
De beheerrisico s van architectuur Een overzicht van de ArChimate Risico Extensie versie 0.2 Bert Dingemans Inleiding Het implementeren van een (enterprise) architectuur brengt altijd risico s met zich
Nadere informatieBeheersmaatregelen volgens Bijlage A van de ISO/IEC norm
Beheersmaatregelen volgens Bijlage A van de ISO/IEC 27001 norm A.5.1.1 Beleidsdocumenten voor informatiebeveiliging A.5.1.2 Beoordeling van het Informatiebeveiligingsbeleid A.6.1.1 Informatiebeveiligings
Nadere informatie20 mei 2008. Management van IT 1. Management van IT. Wat is dat eigenlijk? IT organisaties: overeenkomsten en verschillen
Management van IT Han Verniers PrincipalConsultant Han.Verniers@Logica.com Logica 2008. All rights reserved Programma Management van IT Wat is dat eigenlijk? IT organisaties: overeenkomsten en verschillen
Nadere informatieHOE KAN U VANDAAG INFORMATIE VEILIGHEID REALISEREN OP EEN PRAKTISCHE MANIER?
HOE KAN U VANDAAG INFORMATIE VEILIGHEID REALISEREN OP EEN PRAKTISCHE MANIER? http://www.privacycommission.be/sites/privacycommission/files/documents/richtsnoeren_informatiebeveiliging_0.pdf https://www.ksz-bcss.fgov.be/nl/bcss/page/content/websites/belgium/security/security_01.html
Nadere informatieOpen Standaarden voor Lokale Overheden
Open Standaarden voor Lokale Overheden OSLO 3.0 ENGAGEMENTSVERKLARING Ondergetekenden, De Vlaamse ICT Organisatie vzw (hierna genoemd V-ICT-OR vzw), gevestigd te 9160 Lokeren, Mosten 13 Industriezone E17-3,
Nadere informatieInformatiebeveiliging En terugblik op informatiebeveiliging 2016
Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen
Nadere informatieDoel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen.
FUNCTIEPROFIEL Opdrachtgever: Functienaam: BKR Compliance Officer Security & Risk BKR is een onafhankelijke stichting met een maatschappelijk doel. BKR streeft sinds 1965, zonder winstoogmerk, een financieel
Nadere informatieInformatieveiligheid in Lokale besturen. gezamenlijk veiligheidsbeleid uitwerken! uitwerken?
Informatieveiligheid in Lokale besturen Hoe OCMW's kunnen en OCMW's gemeenten en gemeenten moeten een een gezamenlijk veiligheidsbeleid uitwerken! uitwerken? Mechelen - 10 februari 2015 Omgevingsanalyse
Nadere informatieVeilig mobiel werken. Workshop VIAG 7 oktober 2013
1 Veilig mobiel werken Workshop VIAG 7 oktober 2013 Stelling 1: 2 Heeft u inzicht in de opbrengsten van mobiel werken Ja, dit biedt veel toegevoegde waarde voor de organisatie Ja, dit biedt geen toegevoegde
Nadere informatieInformatiebeveiligingsbeleid
Informatiebeveiligingsbeleid Document nummer ISMS 2 Versie 1.4 Auteur M. Konersmann Goedgekeurd door J. Meijer Datum 30-08-2017 Classificatie Openbaar Versie Datum Reden voor Aangepast door opmaak 1.0
Nadere informatieHoe operationaliseer ik de BIC?
Hoe operationaliseer ik de BIC? Baseline Informatiebeveiliging Corporaties UTRECHT, 14 November 2017. Code voor Informatiebeveiliging NEN/ISO 27001; Informatietechnologie - Beveiligingstechnieken - Managementsystemen
Nadere informatieChecklist Beveiliging Persoonsgegevens
Checklist Beveiliging Persoonsgegevens Beveiliging is een één van de belangrijkste vereisten binnen het privacyrecht. Iedere organisatie zal passende technische en organisatorische maatregelen moeten treffen
Nadere informatieSlimme IT. Sterke dienstverlening. E-START ONDERSTEUNING OP MAAT VAN LOKALE BESTUREN BIJ E-GOVERNMENT EN ORGANISATIEONTWIKKELING
Slimme IT. Sterke dienstverlening. 1 E-START ONDERSTEUNING OP MAAT VAN LOKALE BESTUREN BIJ E-GOVERNMENT EN ORGANISATIEONTWIKKELING 2Dienstverlenende vereniging E-START WAAROM? 3 Lokale besturen komen steeds
Nadere informatieWIN[S] ANALYSE. Eerste stap naar een Efficiëntere werkplek. 1 of of 81
WIN[S] ANALYSE Eerste stap naar een Efficiëntere werkplek. 1 of 81 1 of 81 HALLO! WIJ ZIJN UFIRST ONZE AMBITIE NL ORGANISATIES (BE)GELEIDEN TOT EEN HOGERE PEFORMANTIE DOOR EFFICIËNTE WERKPLEKDIENSTEN EN
Nadere informatieBusiness Impact Anlayses worden in de meeste organisaties eens per jaar of eens per halfjaar geactualiseerd en bevatten meestal beschrijvingen van:
(BIA s) Veel organisaties beschikken over BIA s ofwel Business Impact Analyses per Business Unit of per Afdeling. Hierna gaan we verder uit van Business Impact Analyses op Business Unit niveau. Dit artikel
Nadere informatieGemeente Alphen aan den Rijn
Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid
Nadere informatieBent u een onderneming 1.0 of 2.0? Doe de test en ontdek uw resultaten!
Bent u een onderneming 1.0 of 2.0? Doe de test en ontdek uw resultaten! Om u te helpen bij het bepalen van de mate van maturiteit van uw onderneming voor cyberbeveiliging, vindt u hier een vragenlijst
Nadere informatieBeleid Informatiebeveiliging InfinitCare
Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie
Nadere informatieOpdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst
Opdrachtgeverschap 2.0 Toezien op de afspraken in de verwerkersovereenkomst Doel van deze presentatie Zelf een mening hebben over welke certificering/ verklaring het beste past bij een af te nemen dienst
Nadere informatie