Noorderpoort. Informatiebeveiligingsbeleid

Maat: px
Weergave met pagina beginnen:

Download "Noorderpoort. Informatiebeveiligingsbeleid 2014-2016"

Transcriptie

1 Noorderpoort Informatiebeveiligingsbeleid

2 Colofon Datum Titel Informatiebeveiligingsbeleid Noorderpoort Dienst / school / auteur Dhr. M.A. Broekhuizen, Dhr. G. Fokkema Versie 1.0 Status Definitief

3 1 Inleiding 5 2 Opbouw beveiligingsbeleid 6 3 Doelstelling 7 4 Uitgangspunten 8 5 Besturingsmodel Beleid Implementatie beleid en operationele sturing informatiebeveiliging Incidenten Operationeel overleg informatiebeveiliging Overzicht taken, rollen, verantwoordelijkheden College van Bestuur Security Officer ICT Governance Informatiemanagement Security Specialist Verantwoordelijkheid leidinggevende school / dienst Directeur Facilities Persoonlijke verantwoordelijkheid alle medewerkers Persoonlijke verantwoordelijkheid alle leerlingen / studenten 13 6 medewerkers ME.1 Internet- en ME.2 Verantwoordelijkheden van gebruikers ME.3 Beleid ten aanzien van toegangsbeveiliging ME.4 Mobiele computers en telewerken ME.5 Rapporteren van beveiliging gerelateerde gebeurtenissen en kwetsbaarheden ME.6 Naleving van wettelijke voorschriften 16 7 management MA.1 Risicoanalyse MA.2 Beveiligingsbeleid MA.3 Beveiligingsorganisatie MA.4 Externe partijen MA.5 Verantwoordelijkheid voor bedrijfsmiddelen MA.6 Classificatie van informatie MA.7 Beleid ten aanzien van toegangsbeveiliging MA.8 Management van toegangsrechten / autorisatiebeheer MA.9 Beveiligingseisen voor informatiesystemen MA.10 Juiste en volledige gegevensverwerking MA.11 Beveiliging van bestanden MA.12 Beveiliging van ontwikkel- en onderhoudprocessen MA.13 Rapporteren van beveiligingsgerelateerde gebeurtenissen en kwetsbaarheden MA.14 Management van beveiligingsincidenten en verbeteringen MA.15 Informatiebeveiligingsaspecten van business continuity planning MA.16 Naleving van wettelijke voorschriften MA.17 Beoordeling van de naleving van het beveiligingsbeleid en de technische vereisten 28 8 specifieke afdelingen Personeel en Organisatie, Personeelsbeheer 29 3

4 8.1.1 PO.1 voor indiensttreding PO.2 tijdens het dienstverband PO.3 Beëindiging of wijziging van het dienstverband Dienst Facilities FS.1 Beveiligde ruimten FS.2 Beveiliging van apparatuur FS.3 Externe partijen Informatie Voorziening IV.1 Verantwoordelijkheid voor bedrijfsmiddelen IV.2 Beveiligde ruimten IV.3 Bedieningsprocedures en verantwoordelijkheden IV.5 Systeem planning en acceptatie IV.6 Bescherming tegen kwaadaardige software IV.7.3 Uitwisseling van informatie IV.8 Back-up IV.9 Netwerkbeveiliging IV.10 Behandeling van media IV.11 Uitwisseling van informatie IV.12 Monitoring IV.13 Toegangsbeveiliging voor netwerken IV.14 Toegangsbeveiliging voor besturingssystemen IV.16 Beveiliging van ontwikkel- en onderhoudprocessen IV.17 Beoordeling van de naleving van het beveiligingsbeleid en de technische vereisten IV.19 Naleving van wettelijke voorschriften Security officer ST.1 Naleving van wettelijke voorschriften 38

5 1 Inleiding Noorderpoort is een onderwijsinstelling voor voortgezet onderwijs, mbo, volwasseneneducatie en contractactiviteiten. Met 17 verschillende scholen verspreid in de regio, ruim cursisten en medewerkers is Noorderpoort het grootste ROC (regionaal opleidingscentrum) in Noord-Nederland. Het informatiebeveiligingsbeleid doet recht aan het open karakter van het Noorderpoort Het Noorderpoort staat midden in de samenleving. Dat betekent dat veranderingen in de samenleving vanzelfsprekend leiden tot veranderingen bij ons. Met de versnelde digitalisering van de samenleving maakt ook het Noorderpoort in toenemende mate gebruik van informatiesystemen ter ondersteuning van onderwijs- en bedrijfsvoeringsprocessen. Midden in de samenleving betekent ook dat veel van de activiteiten van het Noorderpoort worden uitgevoerd in gezamenlijkheid met andere organisaties en individuen. De veranderingen in de komende jaren vragen om een steeds flexibelere inrichting van onze organisatie en informatiesystemen. Het Noorderpoort en de informatievoorziening in het Noorderpoort is geen op zichzelf staande eenheid, maar maakt meer en meer deel uit van integrale ketens. Het Noorderpoort wil daarbij een knooppunt van leren zijn, als integraal onderdeel van de regio. Hierbij staat het succes van leerlingen en studenten voorop. Voor het informatiebeveiligingsbeleid betekent dit dat enerzijds het beleid de ruimte moet geven voor deze open structuur en diversiteit aan activiteiten, anderzijds zal het beleid erop gericht blijven om mogelijke risico s tot een minimum te blijven beperken. Proces van continue verbetering in een PDCA-cyclus gebaseerd op risico-analyse. Het informatiebeveiligingsbeleid stelt de doelstellingen van het Noorderpoort centraal. Vanuit de doelstellingen en de processen die het Noorderpoort heeft ingericht om de doelstellingen te realiseren dient als eerste in kaart gebracht te worden welke informatierisico s al dan niet acceptabel zijn. Op basis van deze risico s dienen vervolgens beveiligingsmaatregelen te worden geselecteerd, ontworpen, ontwikkeld, ingevoerd, bewaakt en continu verbeterd. Bij het selecteren, ontwerpen en ontwikkelen van maatregelen houdt het Noorderpoort vanzelfsprekend rekening met de organisatiecultuur en het beschikbare budget. Informatiebeveiliging zien wij nadrukkelijk als een proces en geen eenmalige activiteit. De Code voor Informatiebeveiliging is gebaseerd op de Deming cycle en ondersteunt deze zienswijze. 5

6 2 Opbouw beveiligingsbeleid Noorderpoort geeft op drie niveaus invulling aan informatiebeveiliging. Het raamwerk voor informatiebeveiliging is als volgt opgebouwd: Figuur 1: raamwerk beveiliging Hoofdstuk 3, 4 en 5 bevatten de kaders voor beveiliging binnen het Noorderpoort. Hierin worden de doelstellingen, uitgangspunten, taken en verantwoordelijkheden evenals het procesmodel dat binnen het Noorderpoort voor informatiebeveiliging wordt gehanteerd beschreven. Hoofdstuk 6 t/m 8 bevatten de richtlijnen voor beveiliging. Deze richtlijnen vormen het basis beveiligingsniveau en zijn gericht op verschillende doelgroepen binnen het Noorderpoort: leerlingen / studenten, medewerkers, management en specifieke afdelingen. Bij het definiëren van de richtlijnen wordt uitgegaan van de kaders zoals deze in hoofdstuk 3,4 en 5 zijn gesteld. Per proces en per informatiesysteem worden maatregelen geïmplementeerd. Deze maatregelen zijn een directe doorvertaling van de richtlijnen die betrekking hebben op het proces danwel het informatiesysteem. De maatregelen staan beschreven in afzonderlijke documenten die betrekking hebben op proces / informatiesysteem. Denk hierbij aan AO-beleid, procedure-beschrijvingen, autorisatiematrices en beheerdocumenten. Op alle drie de niveaus wordt de PDCA-cyclus doorlopen op basis van de Deming cycle. Daarbij geldt: - De kaders (strategisch) worden in een 3-jaars cylus herijkt - De richtlijnen (tactisch) worden jaarlijks getoets en waar nodig aangepast - De maatregelen (operationeel) kunnen continue worden gewijzigd naar aanleiding van veranderde context, projecten of gebleken risico s. Het informatie beveiligingsbeleid heeft betrekking op de periode Het beveiligingsbeleid is gebaseerd op de Code voor Informatiebeveiliging (NEN ISO ), de ISO standaard voor informatiebeveiliging. 1 Uitgebreide informatie beschikbaar via

7 3 Doelstelling Informatie komt in veel vormen voor (geschreven op papier, elektronisch opgeslagen, per post of via elektronische media verzonden of in gesproken vorm). Informatiebeveiliging richt zich in toenemende mate op de beveiliging van elektronische gegevens en informatiesystemen. Echter, informatie is een bedrijfsmiddel dat net als andere belangrijke bedrijfsmiddelen van waarde is voor het Noorderpoort en dat ongeacht de gegevensdrager, voortdurend op een passende manier beveiligd dient te zijn. Informatiebeveiliging is geen doel op zich maar dient een integraal onderdeel van de bedrijfsprocessen en de informatievoorziening van het Noorderpoort te zijn. Het doel van informatiebeveiliging is het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens en informatiesystemen door het creëren en implementeren van een stelsel van maatregelen. Informatiebeveiliging dient dus de volgende kwaliteitsaspecten van de informatievoorziening te garanderen: Beschikbaarheid: het waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot informatie en aanverwante bedrijfsmiddelen; Integriteit: het waarborgen van de juistheid en de volledigheid van informatie en verwerking; Vertrouwelijkheid: Het waarborgen dat informatie alleen toegankelijk is voor degenen, die hiertoe geautoriseerd zijn. 7

8 4 Uitgangspunten Het Noorderpoort hanteert de volgende beleidsuitgangspunten ten aanzien van informatiebeveiliging: 1. Informatiebeveiliging wordt beschouwd als een vanzelfsprekend en integraal onderdeel van de bedrijfsvoering van het Noorderpoort. 2. Het Noorderpoort hanteert de Code voor Informatiebeveiliging (NEN ISO 27002) als basis voor het inrichten en onderhouden van maatregelen voor het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van haar bedrijfsgegevens. De Code voor Informatiebeveiliging is een algemeen geaccepteerde basis voor informatiebeveiliging in Nederland. Het Noorderpoort heeft een keuze gemaakt welke maatregelen uit de Code voor Informatiebeveiliging voor de eigen situatie relevant zijn. 3. Het informatiebeveiligingsbeleid is bindend voor alle activiteiten ten behoeve van en / of onder verantwoordelijkheid van het Noorderpoort. Het betreft diensten, werknemers en organisaties die bij de activiteiten betrokken zijn. Het gewenste resultaat van het informatiebeveiligingsbeleid kan alleen worden bereikt, wanneer alle afdelingen, medewerkers en derde partijen die verbonden zijn aan de informatie, zich aan het beleid conformeren. 4. Relaties tussen een dienst en een andere instantie (zowel intern als extern), die betrekking hebben op de informatievoorziening van het Noorderpoort dan wel de informatievoorziening van deze instantie, gaan vergezeld van schriftelijke afspraken over het vereiste betrouwbaarheidsniveau en de wijze waarop zekerheid wordt verkregen over de realisatie daarvan. Indien voor het uitwisselen van informatie afhankelijkheden bestaan van derde partijen of diensten worden geleverd aan derde partijen, is het van belang dat schriftelijke afspraken worden gemaakt met deze derden ten aanzien van de omgang met informatie, afbakening van de verantwoordelijkheden, de te treffen maatregelen in het kader van de betrouwbaarheid en de controle op naleving hiervan. 5. Informatiebeveiliging is een integrale lijnverantwoordelijkheid en vormt een onderdeel van de kwaliteitszorg voor de reguliere bestuurs- en bedrijfsprocessen en ondersteunende informatiesystemen. Deze kaders bieden een leidraad voor het specifiek inrichten van het informatiebeveiligingsproces binnen de scholen en diensten van het Noorderpoort. Per school / dienst is de leidinggevende verantwoordelijk voor het inrichten en waarborgen van een adequate informatiebeveiliging. 6. Om invulling te geven aan het informatiebeveiligingskader worden per school / dienst concrete maatregelen ingericht. Deze maatregelen zijn een doorvertaling vanuit de kaders en de richtlijnen zoals die zijn beschreven in het informatiebeveiligingsbeleid. 7. Het informatiebeveiligingsbeleid sluit aan bij de wettelijke en in ons werkveld gestelde kaders. Hieronder vallen onder andere: - NEN ISO BVE Governance code 2 - Wet bescherming persoonsgegevens 3 - Leerplichtwet (met name in kader van plicht tot informatie uitwisseling in relatie tot privacy) 4 - Hoofdstuk beveiliging uit de Nederlandse Overheid Referentie Architectuur (NORA) 5 8. Het informatiebeveiligingsbeleid doet recht aan het open karakter van de onderwijsinstelling Noorderpoort (College bescherming persoonsgegevens) en (Informatie over wet bescherming persoonsgegevens) 4 5

9 Het Noorderpoort beoogt een sterke verbinding met de deelnemers, het werkveld en de omgeving. Hiervoor is een open en flexibele inrichting op diverse terreinen noodzakelijk en wordt van het informatiebeveiligingsbeleid ook gevraagd om hierbij aan te sluiten (voor zover mogelijk). 9. Afwijkingen van en wijzigingen op het beleid moeten worden beargumenteerd en gebeuren op basis van risicoanalyses. Dit sluit aan bij het uitgangspunt van de BVE Governance code: 'pas toe of leg uit'. 10. Voor beheer en ontwikkeling (projecten) gelden aparte kaders t.a.v. beveiligingsbeleid. Voor ontwikkeling kan hierbij het beveiligingsniveau lager zijn, afhankelijk van de omstandigheden en risico s. Bij het overgaan naar de staande organisatie van projectresultaten moeten processen en applicaties worden getoetst en voldoen aan de gestelde beveiligingskaders 11. Iedere beveiligingsmaatregel moet controleerbaar zijn. Maatregelen, waarvan de naleving niet goed is vast te stellen, kunnen aanleiding geven tot ontwijkend gedrag, wat impliceert dat maatregelen niet effectief zijn. Bij iedere maatregel wordt vooraf nagegaan op welke wijze de naleving en het functioneren van de maatregel kunnen worden gecontroleerd. Controle vindt enerzijds plaats binnen het proces en daarnaast aan de hand van verbijzonderde interne control. 12. Toegang tot informatie systemen is op basis van need to know. Toegang heeft nut en toegevoegde waarde. Toegang en gebruik is traceerbaar. 9

10 5 Besturingsmodel Informatiebeveiliging is een verantwoordelijkheid van de lijn. In dit hoofdstuk worden taken, bevoegdheden en verantwoordelijkheden met betrekking tot het informatiebeveiligingsbeleid benoemd en wordt aangegeven bij welke functionarissen deze worden belegd. Door het expliciet beleggen van de verantwoordelijkheden wordt informatiebeveiliging verankerd in de staande organisatie van het Noorderpoort. Het besturingsmodel betreft alle drie de niveaus van informatiebeveiliging: de kaders, de richtlijnen en de maatregelen. Op alle drie niveaus is sprake van een PDCA-cyclus. Bij het overzicht van rollen, taken en verantwoordelijkheden wordt expliciet gerefereerd aan de niveaus waarop deze betrekking hebben. Voor alle verantwoordelijkheden die in dit hoofdstuk worden benoemd, geldt dat taken die uit deze verantwoordelijkheden voortvloeien, kunnen worden gedelegeerd aan specifieke afdelingen of functies, die vervolgens een gedelegeerde verantwoordelijkheid dragen. Het besturingsmodel richt zich op drie soorten processen: - Beleid - Implementatie beleid en operationele sturing informatiebeveiliging - Incidenten 5.1 Beleid College van bestuur Het College van bestuur stelt het beleid vast. Security Officer De Security Officer is vanuit het CvB gedelegeerd verantwoordelijke t.a.v. het coördineren en communiceren van concern breed beleid op het gebied van informatiebeveiliging. In die hoedanigheid is de Security Officer verantwoordelijk voor het initiëren van initiatieven binnen de lijnorganisatie ten aanzien van de uitvoering en naleving van de genomen maatregelen alsmede het bewaken van de actualiteit van het informatiebeveiligingsbeleid en de beveiligingsmaatregelen. ICT Governance Informatiebeveiliging moet onderdeel zijn van de normale bedrijfsprocessen, geïntegreerd in de normale praktijk en de al bestaande structuren en verantwoordelijkheden. Vandaar dat informatiebeveiliging wordt besproken binnen de stuurgroep ICT Governance. Beleid wordt onder verantwoordelijkheid van de Security Officer ingebracht, besproken en van advies voorzien richting het CvB. De stuurgroep ICT Governance onderhoudt en legt voor aan het CvB. Informatiemanagement Informatiemanagement geeft invulling aan de beleidscyclus in opdracht van de Security Officer. Informatiemanagement heeft concreet als taak het vormgeven van het proces waarin het beleid actueel wordt gehouden binnen de kaders meegegeven door de stuurgroep ICT Governance en de Security Officer. Direct betrokkenen bij het aanpassen van het beleid zijn de informatiesysteem eigenaren (met name personeelsbeheer / P&O en facilities) en de beveiligingsspecialist vanuit de afdeling ICT. Input voor aanpassing komt vanuit de organisatie op basis van wijzigingen in processen, informatiesystemen, ricico-analyses of bijvoorbeeld incidenten. Onderdeel van de beleidscyclus is de check en act. Dit wordt vormgegeven door informatiemanagement. Middelen hiervoor zijn o.a.: o Periodieke compliance rapportages o Audits o IT audits (extern) Doel is tweeledig: input voor aanpassing van het belang en check / act op de operationele implementatie van beleid en daarbij risico-analyse. De verdeling van taken en verantwoordelijkheden m.b.t. beleid worden in onderstaande schema weergegeven.

11 College van Bestuur Vaststellen beleid Advies beleid: kaders & richtlijnen Directeur bestuursdienst (Security Officer) Directeuren scholen / diensten ICT Governance Directeur Facilities Informatiemanagement Beleidsvoorbereiding Proces- en informatiesysteem eigenaren Beveiligingsspecialist Informatie systemen (Extern) toezicht Scholen Facilities Personeels beheer / P&O ICT Figuur 2: Overzicht rollen, taken en verantwoordelijkheden Beleid 5.2 Implementatie beleid en operationele sturing informatiebeveiliging Security Officer De Security Officer is vanuit het CvB gedelegeerd verantwoordelijke t.a.v. het coördineren en communiceren van concern breed beleid op het gebied van informatiebeveiliging. In die hoedanigheid is de Security Officer verantwoordelijk voor het initiëren van initiatieven binnen de lijnorganisatie ten aanzien van de uitvoering en naleving van de genomen maatregelen alsmede het bewaken van de actualiteit van het informatiebeveiligingsbeleid en de beveiligingsmaatregelen. Directeur school / dienst Informatiebeveiliging is een verantwoordelijkheid van de lijn. Dit betekent dat de school- en dienstdirecteuren verantwoordelijk zijn voor de implementatie en operationele sturing met betrekking tot informatiebeveiliging aangaande hun afdelingen, medewerkers en processen. Hierbij zijn er een diensten waar expliciete taken t.a.v. informatiebeveiliging zijn belegd (zie ook hfst. 8 specifieke afdelingen): o Facilities (onderdeel huisvesting / gebouwbeheer): taken met betrekking tot fysieke informatiebeveiliging o Facilities (afdeling ICT) en Informatiemanagement: taken met betrekking tot technische en logische informatiebeveiliging o Personeelsbeheer en P&O: taken met betrekking tot informatiebeveiliging bij medewerkers Eigenaren informatiesystemen Informatiesystemen ondersteunen processen die vaak afdeling overstijgend zijn. Vanuit de informatiearchitectuur is bepaald dat de eigenaar van het proces ook de eigenaar is van het ondersteunende informatiesysteem. Eigenaarschap betekent in dit geval ook verantwoordelijk voor de beveiliging van het informatiesysteem. 11

12 5.3 Incidenten Er zijn drie soorten incidenten die kunnen optreden met betrekking tot informatiebeveiliging: Reguliere IT-beveiligingsincidenten De escalatielijn loopt bij deze incidenten via eventueel de leidinggevende naar de afdeling ICT van de dienst Facilities en indien nodig naar de Security Specialist. Afhandeling van het incident gebeurt door de afdeling ICT in samenwerking met de security specialist (indien nodig), de lijnmanager en de betrokkene zelf. Fysieke beveiligingsincidenten (worden gemeld bij de gebouwenbeheerder) Bij fysieke beveiligingsincidenten zoals bijvoorbeeld diefstal loopt de escalatielijn (eventueel weer via de leidinggevende) naar Facilities (concierge / hoofdconierge / gebouwenbeheerder). Afhandeling gebeurt door Facilities in samenwerking met de afdeling ICT (indien nodig), de lijnmanager en de betrokkene zelf Beveiligingsincidenten met een vertrouwelijk karakter Voor deze incidenten is er een aparte escalatielijn. Incidenten worden gemeld bij de Security Officer of Security Specialist. Afhandeling van het incident gebeurt door Security Officer en de Security Specialist, indien nodig wordt hierbij de leidinggevende geïnformeerd / betrokken. Belangrijk bij incidenten is naast de afhandeling ook de vertaalslag naar het verbeteren / leren van het incident. Vandaar dat alle incidenten worden geregistreerd en worden besproken in het kader van aanpassing beleid dan wel operationele sturing. 5.4 Operationeel overleg informatiebeveiliging Om te borgen dat samenhang bestaat tussen beleid, implementatie, uitvoering van beleid en de incidenten is er periodiek (4 keer per jaar) operationeel overleg waarin de actuele stand van zaken met betrekking tot informatiebeveiliging wordt besproken. Input wordt verzorgd vanuit Informatiemanagement (beleid / compliance) en de Security Specialist (incidenten, actuele stand van zaken technisch / procedureel). Bij het operationeel overleg zitten de grootste stakeholders met betrekking tot informatiebeveiliging: de Security Officer, de Directeur Facilities, de Security Specialist en de Informatiemanager. 5.5 Overzicht taken, rollen, verantwoordelijkheden Bij bovenstaande drie processen spelen diverse functionarissen / afdelingen een rol. Hieronder kort samengevat per functionaris / afdeling wat specifiek de taken, verantwoordelijkheden en rollen zijn College van Bestuur Het College van Bestuur stelt de kaders informatiebeveiliging vast. Het College van Bestuur is verantwoordelijk voor de uitvoering. De eindverantwoordelijkheid voor informatiebeveiliging binnen het Noorderpoort ligt bij het College van Bestuur Security Officer De Security Officer is vanuit het CvB gedelegeerd verantwoordelijke t.a.v. het coördineren en communiceren van concernbreed beleid op het gebied van informatiebeveiliging. In die hoedanigheid is de Security Officer verantwoordelijk voor het initiëren van initiatieven binnen de lijnorganisatie ten aanzien van de uitvoering en naleving van de genomen maatregelen alsmede het bewaken van de actualiteit van het informatiebeveiligingsbeleid en de beveiligingsmaatregelen. Daarnaast kan de security officer het management gevraagd en ongevraagd adviseren over de stand en inrichting van de informatiebeveiliging. De Security Officer is ook verantwoordelijk voor control op de algehele en Noorderpoort brede naleving van het informatiebeveiligingsbeleid en de daarvan afgeleide instructies en rapporteert omtrent de bevindingen aan het College van Bestuur. Vanuit deze verantwoordelijkheid kan de Security Officer zelfstandig controles uitvoeren of deze initiëren om de naleving van de security. De Security Officer is lid van de stuurgroep ICT Governance ICT Governance Binnen de stuurgroep ICT Governance wordt beleid besproken en van advies voorzien richting het CvB. Beleid wordt geagendeerd door de Security Officer en besproken binnen de context van het gehele ICT beleid Informatiemanagement

13 Informatiemanagement geeft invulling aan de taken van de Security Officer met betrekking tot de beleidscyclus (beleidsvoorbereiding, monitoring, aanpassing van beleid) en de implementatie van beleid en operationele sturing (monitoring en acties initiëren n.a.v. risico-analyses) Security Specialist De Security Specialist is betrokken bij de beleidscyclus (beleidsvoorbereiding, monitoring, aanpassing van beleid). Daarnaast is de Security Specialist betrokken bij het invulling geven aan de technische en organisatorische informatiebeveiliging vanuit de afdeling ICT van de dienst Facilities. Als laatste is de Security Specialist betrokken bij de escalaties m.b.t. diverse soorten incidenten Verantwoordelijkheid leidinggevende school / dienst Per school / dienst is de leidinggevende verantwoordelijk voor het inrichten van adequate informatiebeveiliging binnen zijn/haar verantwoordelijkheidsgebied conform de gestelde kaders en richtlijnen. Dit heeft zowel betrekking op de school / dienst als de informatiesystemen waar hij / zij eigenaar van is. De leidinggevende is verantwoordelijk voor: - Het opstellen en vaststellen van een informatiebeveiligingsplan waarin de projecten, zoals vastgesteld in het centrale programmaplan, ten aanzien van informatiebeveiliging nader worden gespecificeerd. Dit informatiebeveiligingsplan beschrijft het plan van aanpak voor het implementeren van de kaders voor informatiebeveiliging binnen de specifieke dienst; - Het hanteren van de beleidsuitgangspunten uit deze kaders binnen de organisatorische eenheden en systemen waarvoor hij/zij verantwoording draagt; - Het waarborgen van de naleving van het informatiebeveiligingsbeleid en alle daarvan afgeleide beleidsnotities, procedures en richtlijnen (zowel voor wat betreft de eigen medewerkers als voor derden die onder zijn/haar verantwoordelijkheid werkzaam zijn); - Het accorderen van de uit het informatiebeveiligingsbeleid af te leiden procedures en werkinstructies; - Het inrichten van toezicht op de naleving van het informatiebeveiligingsbeleid: de kaders, de richtlijnen en maatregelen; - Het periodiek rapporteren aan de Security Officer over beveiligingsincidenten en het periodiek controleren en evalueren van correctieve maatregelen; - De wijze waarop het beveiligingsbewustzijn wordt bevorderd. Het is hierbij van belang dat de leidinggevende niet slechts incidenteel, maar structureel en planmatig aandacht besteedt aan informatiebeveiliging Directeur Facilities Afdeling ICT De afdeling ICT van de Dienst Facilities is verantwoordelijk voor het plannen, implementeren, evalueren, onderhouden en sturen van het ITIL-proces Security Management en tevens het coördineren van de daarmee samenhangende activiteiten. Security Management beschrijft de structurele inpassing van informatiebeveiliging in de centrale ICT organisatie van het Noorderpoort. Aan de hand van het proces Security Management draagt de Directeur Facilities er zorg voor dat bij de dienstverlening aan haar klanten de beschikbaarheid, integriteit en vertrouwelijkheid van informatie afdoende is gewaarborgd. Facilities (gebouwbeheer / fysieke beveiliging) De Dienst Facilities is verantwoordelijk voor de fysieke toegangsbeveiliging tot gebouwen en locaties van het Noorderpoort. Hiertoe implementeert Directeur Facilities adequate maatregelen, procedures en richtlijnen onder meer op basis van het informatiebeveiligingsbeleid. Tevens ziet deze functionaris toe op naleving van de maatregelen, procedures en de richtlijnen zoals opgesteld ten aanzien van de fysieke toegangsbeveiliging Persoonlijke verantwoordelijkheid alle medewerkers Alle medewerkers binnen het Noorderpoort hebben toegang tot informatie. De medewerker is verantwoordelijk voor het zorgvuldig omgaan met deze informatie en daarnaast voor alle aspecten van informatiebeveiliging binnen de eigen invloedssfeer, zoals het zich houden aan de opgestelde beveiligingsrichtlijnen Persoonlijke verantwoordelijkheid alle leerlingen / studenten Alle deelnemers binnen het Noorderpoort hebben toegang tot informatie. De deelnemer is verantwoordelijk voor het zorgvuldig omgaan met deze informatie en daarnaast voor alle aspecten van informatiebeveiliging binnen de eigen invloedssfeer, zoals het zich houden aan de opgestelde beveiligingsrichtlijnen. 13

14 6 medewerkers 6.1 ME.1 Internet- en Doelstelling: Het waarborgen van de beveiliging van informatie en software als deze worden uitgewisseld binnen het Noorderpoort en met externe partijen. ME.1.1 ME.1.2 Gebruikers dienen zich te houden aan het en internetprotocol. Gebruikers dienen zich te houden aan het beleid met betrekking tot gebruik van sociale media 6.2 ME.2 Verantwoordelijkheden van gebruikers Doelstelling: Het voorkomen van ongeautoriseerde toegang tot, en het in gevaar brengen of stelen van informatie en informatievoorzieningen. ME.2.1 Om ervoor te zorgen dat wachtwoorden niet eenvoudig te achterhalen zijn, dienen de wachtwoorden aan de volgende criteria te voldoen: het standaard of nieuw uitgegeven wachtwoord dient onmiddellijk te worden gewijzigd; het wachtwoord voor medewerkers dient minimaal eens per zes maanden te worden gewijzigd; het wachtwoord voor studenten dient minimaal eens per 12 maanden te worden gewijzigd; het wachtwoord dient te bestaan uit hoofdletters, kleine letters, cijfers en/of speciale symbolen; het wachtwoord dient minstens acht tekens lang te zijn. ME.2.2 Het gedrag van medewerkers ten aanzien van wachtwoorden dient te voldoen aan de volgende criteria: het wachtwoord mag niet letterlijk in onversleutelde vorm worden opgeschreven; bij het wijzigen van het wachtwoord, mag nooit meerdere malen achtereenvolgens hetzelfde wachtwoord worden gebruikt. Het wachtwoord wordt niet verstrekt aan anderen. Er wordt niet gevraagd om het wachtwoord van gebruikers, ook niet in het kader van beheer of bij incidenten. Me.2.3 Het gebruik van andermans gebruikersidentificatie (user-id) is verboden. Het beschikbaar stellen van gebruikersidentificatie en wachtwoord aan anderen is niet toegestaan. Indien anderen toegang moeten krijgen tot gegevens, bijvoorbeeld in geval van ziekte, dan moet dit worden geregeld via de systeemeigenaar. ME.2.4 Medewerkers dienen ervoor te zorgen dat onbeheerde apparatuur voldoende is beveiligd door: actieve sessies te beëindigen wanneer ze klaar zijn; zich af te melden het device, wanneer de sessie beëindigd is; laptops, tablets en andere mobiele apparatuur te beveiligen met behulp van een slot of vergelijkbare beveiliging (wachtwoord). Hierbij krijgen gebruikers van informatiesystemen het advies en gebruikers van informatiesystemen welke zijn geclassificeerd als hoog 6 de verplichting om actieve sessies wanneer ze klaar zijn te beëindigen of te vergrendelen beveiligd met wachtwoord. ME.2.5 Op de werkplek wordt geen vertrouwelijke informatie onbeschermd achtergelaten (clean desk policy). De afdeling is verantwoordelijk voor de naleving hiervan. Papieren en computermedia dienen te worden opgeborgen in kasten met een deugdelijk slot wanneer zij niet gebruikt worden, in het bijzonder buiten werktijd. Voor informatiesystemen welke zijn geclassificeerd als hoog 7 geldt: Bedrijfsinformatie dient achter slot en grendel bewaard te worden, vooral als het kantoor verlaten is. 6 Zie classificatie van informatie, hoofdstuk 7.6, richtlijn MA.6 7 Zie classificatie van informatie, hoofdstuk 7.6, richtlijn MA.6

15 Devices (laptop, werkstation e.d.) dienen vergrendeld te worden bij het verlaten van het kantoor en uitgelogd te zijn buiten werktijd. 6.3 ME.3 Beleid ten aanzien van toegangsbeveiliging Doelstelling: Het beheersen van de toegang tot informatie. ME.3.1 De gebruikersidentificatie (user-id) is persoonlijk en dient uniek te zijn (voor zowel netwerk, besturingssysteem als applicaties). De gebruiker is te allen tijde verantwoordelijk voor de acties uitgevoerd onder zijn user-id. Het gebruik van groeps-id s is niet toegestaan. Onderstaande procedures gelden voor informatiesystemen met classificatie hoog: Iedere gebruiker heeft een unieke gebruikersidentificatie. De leidinggevende van de medewerker meldt deze bij het functioneel beheer van een informatiesysteem aan en geeft daarbij tevens aan tot welke gegevensverzamelingen deze gebruiker toegang heeft en welke handelingen hij daarop mag verrichten. De gebruiker wordt op de hoogte gesteld van de gebruikersidentificatie, wachtwoord en toegekende rechten. Het functioneel beheer van het informatiesysteem houdt een lijst bij van alle medewerkers die geregistreerd zijn voor het gebruik van het informatiesysteem. Indien een medewerker van functie veranderen of het Noorderpoort verlaat, geeft de leidinggevende dit als een wijziging door aan het functioneel beheer van de betrokken informatiesystemen. De systeemeigenaar controleert periodiek of er overtollige accounts toegang hebben tot het informatiesysteem. Indien overtollige accounts aanwezig zijn, worden deze verwijderd volgens de bij het voorgaande punt genoemde procedure. ME.3.2 De verzameling van user-id s dient door de gebruiker vertrouwelijk te zijn en beveiligd te worden en vertrouwelijk te worden behandeld. 6.4 ME.4 Mobiele computers en telewerken Doelstelling: Het waarborgen van de beveiliging van informatie wanneer medewerkers van het Noorderpoort gebruik maken van mobiele devices of telewerkvoorzieningen. ME.4.1 Medewerkers aan wie een mobiel device (tablet / laptop) ter beschikking wordt gesteld nemen de volgende regels in acht: Het device dient alleen gebruikt te worden voor doeleinden waarvoor de medewerker hem heeft gekregen; De medewerker dient het device zorgvuldig te behandelen, zoals een goed medewerker betaamt; Onbevoegden dienen geen inzage in de gegevens op het device te krijgen; Medewerkers houden hun wachtwoord voor zichzelf; Maak van belangrijke bestanden een tussentijdse kopie; De Security Specialist dient te worden gewaarschuwd bij beveiligingsproblemen; In het geval van een verstoring dient contact te worden opgenomen met de Servicedesk Noorderpoort. Gebruikers met een laptop die werken met informatie geclassificeerd als hoog moeten deze beveiligd hebben met encryptiesoftware. 6.5 ME.5 Rapporteren van beveiliging gerelateerde gebeurtenissen en kwetsbaarheden 15

16 Doelstelling: het minimaliseren van de schade die wordt veroorzaakt door beveiligingsincidenten en storingen, het monitoren van dergelijke incidenten en er lering uit trekken. ME.5.1 Informatiebeveiligingsincidenten dienen door medewerkers te worden gemeld. Binnen het Noorderpoort wordt onderscheid gemaakt tussen: Reguliere IT-beveiligingsincidenten (worden tijdens kantooruren gemeld bij de Servicedesk Noorderpoort, de Servicedesk Noorderpoort meldt het incident aan de Security Specialist); Fysieke beveiligingsincidenten (worden gemeld bij de gebouwenbeheerder); Beveiligingsincidenten met een vertrouwelijk karakter (worden gemeld bij de leidinggevende, de leidinggevende meldt het incident aan de Security Officer of Security Specialist. ME.5.2 Melding buiten kantooruren. Reguliere beveiligingsincidenten kunnen alleen tijdens kantooruren worden gemeld bij de Servicedesk Noorderpoort. Beveiligingsincidenten met een vertrouwelijk karakter kunnen 24/7, ook buiten kantooruren, worden gemeld bij de Security Officer of de Security Specialist. ME.5.3 De Security Officer en de Security Specialist houden een registratie bij van beveiligingsincidenten met een vertrouwelijk karakter De Security Specialist rapporteert periodiek t.a.v. de verschillende typen beveiligingsincidenten. Op basis van die rapportage kan het beleid en / of uitvoering aangepast kan worden. De rapportages zijn input voor het operationeel overleg en de jaarlijkse PDCA-cyclus. ME.5.4 Medewerkers dienen enige (mogelijke) inbreuken of zwakke plekken, in de geautomatiseerd systemen onmiddellijk te melden bij de Servicedesk Noorderpoort. ME.5.5 Beoordelen van incidenten (prioriteit). De prioriteit van het incident wordt bepaald door de Servicedesk en door de Security Specialist aan de hand van de ernst van het incident, alsmede door het feit of het incident met Justitie is gerelateerd. Incidenten worden ingedeeld in 3 categorieën. 1. Reguliere beveiligingsincidenten. Dit zijn incidenten die normaliter intern worden opgelost. Denk hierbij aan zaken als Digitaal pesten en virusuitbraken. Bij reguliere beveiligingsincidenten handelt de Security Specialist de zaak af. 2. Fysieke beveiligingsincidenten. Deze incidenten, zoals bijvoorbeeld diefstal of beschadiging van apparatuur, worden gemeld bij de gebouwenbeheerder. Deze neemt daar waar nodig contact op met de Servicedesk en / of de Security Officer. 3. Beveiligingsincidenten met een vertrouwelijk karakter. Dit zijn beveiligingsincidenten waarbij bijna altijd Justitie betrokken is. U kunt hierbij denken aan zaken als computerinbraak en kinderporno. Bij beveiligingsincidenten met een vertrouwelijk karakter meldt de Security Specialist het incident direct aan de Security Officer en handelt de Security Officer de zaak af. 6.6 ME.6 Naleving van wettelijke voorschriften Doelstelling: het voorkomen van inbreuken op enigerlei wijze van wettelijke, statutaire, reglementaire of contractuele verplichtingen, en beveiligingseisen. ME.6.1 Het is medewerkers van het Noorderpoort dan ook verboden om in strijd met deze voorwaarden computer software te kopiëren, te gebruiken of aan te houden.

17 Software mag alleen gebruikt worden indien een geldige licentie aanwezig is. Iedere medewerker moet van deze regel op de hoogte worden gesteld. Het is de verantwoordelijkheid van de directeur dat dit beleid nageleefd wordt. Ten aanzien van niet webbased software (behelst installatie, distributie, updates e.d.): o Aanschaf van licenties gebeurt via de afdeling ICT. o De school inventariseert de behoefte aan applicaties voor het onderwijs en de afdeling ICT is verantwoordelijk voor aanschaf van een geldige licentie. o Het is een medewerker verboden om zelf software aan te schaffen of te installeren, zonder nadrukkelijke toestemming van de afdeling ICT. o Er mogen niet meer exemplaren dan licenties uitgegeven worden. o Indien software verwijderd wordt of wordt overgedragen aan een derde, dient dit te worden gemeld bij de verantwoordelijke voor de registratie van de bedrijfsmiddelen (afdeling ICT). Bovenstaande geldt ook voor software die via openbare netwerken (Internet) verkregen wordt. ME.6.2 Overtreding van bovenstaande regel wordt beschouwd als een ernstige inbreuk op het door het Noorderpoort in de medewerker gestelde vertrouwen en zal leiden tot een passende sanctie, waarbij disciplinaire of arbeidsrechtelijke maatregelen niet zullen worden uitgesloten. De leidinggevende spreekt zijn medewerkers aan indien zij het beveiligingsbeleid of de beveiligingsprocedures van het Noorderpoort schenden. Indien na herhaaldelijke aanmaningen de betrokken medewerker het beleid of procedures blijft schenden wordt dit gemeld aan de Security Officer. Er worden dan maatregelen getroffen zoals deze vermeld staan in de CAO BVE onder Schorsing als ordemaatregel en Disciplinaire maatregel. Deze maatregelen worden geïnitieerd door de Security Officer. ME.6.4 Het gebruik van de bedrijfsmiddelen voor andere doeleinden (zonder toestemming) wordt beschouwd als onjuist gebruik van voorzieningen. Indien dergelijke activiteiten gesignaleerd worden, dan dient dit onder de aandacht van het verantwoordelijk management gebracht te worden. Disciplinaire maatregelen kunnen dan eventueel getroffen worden. 7 management 7.1 MA.1 Risicoanalyse Doelstelling:Het bepalen van de beveiligingsbehoefte aan de hand van een methodische benadering van beveiligingsrisico s. MA.1.1 Eens per jaar of bij significante wijzigingen 8 in de informatie voorziening voeren de diensten een risicoanalyse uit om te toetsen of de voor de dienst relevante richtlijnen van het basis beveiligingsniveau van het Noorderpoort voldoende zijn of dat aanpassing of uitbreiding van de richtlijnen nodig is. Op basis van deze risicoanalyse worden: De meest essentiële processen van het Noorderpoort benoemd; De belangrijkste bedreigingen en kwetsbaarheden binnen de meest essentiële processen in kaart gebracht; Zowel ten aanzien van het beleid rondom het proces, de procedures die gevolgd worden en de praktijk. Aanvullend beleid en / of aanvullende richtlijnen en maatregelen bepaald. De Security Officer toetst jaarlijks de toepasselijkheid van het basispakket beveiligingsmaatregelen aan de hand van de uitgevoerde risico analyses en de integrale registratie van beveiligingsincidenten (Reguliere ITbeveiligingsincidenten, fysieke beveiligingsincidenten en beveiligingsincidenten met een vertrouwelijk karakter). Op basis van de risicoanalyse wordt van alle informatiesystemen aangegeven in welke klasse ze thuishoren (zie 7.6 classificatie van informatiesystemen). Op basis van de klasse wordt dan wel het basispakket van beveiligingsmaatregelen getroffen of zijn aanvullende maatregelen van toepassing. 8 Bijvoorbeeld de selectie en implementatie van een informatiesysteem 17

18 7.2 MA.2 Beveiligingsbeleid Doelstelling: Het management richting en ondersteuning bieden voor informatiebeveiliging overeenkomstig de bedrijfsmatige eisen en relevante wetten en voorschriften. MA.2.1 Er dient een beveiligingsbeleid te zijn vastgesteld door het College van Bestuur. Het beveiligingsbeleid bevat minimaal: Een definitie van de term informatiebeveiliging; De belangrijkste uitgangspunten van het Noorderpoort ten aanzien van informatiebeveiliging; Een toelichting op eisen, bepaalde beleidsmaatregelen, principes en normen ten aanzien van informatiebeveiliging (nakomen van wettelijke en contractuele verplichtingen, eisen met betrekking tot de beveiligingsopleidingen, beleid ten aanzien van virussen, beleid ten aanzien van de continuïteit van bedrijfsprocessen); Een omschrijving van de algemene verantwoordelijkheden en van specifieke verantwoordelijkheden voor alle aspecten van informatiebeveiliging. Doel van informatiebeveiliging binnen het Noorderpoort is er zorg voor dragen dat alle informatie van belang voor de continuïteit van de bedrijfsvoering beveiligd wordt, waarbij vertrouwelijkheid, betrouwbaarheid en beschikbaarheid tot op een aanvaardbaar risiconiveau gegarandeerd wordt. Informatiebeveiliging is de verantwoordelijkheid van iedere medewerker van het Noorderpoort en dientengevolge zal de medewerker zich in gedrag en houding hier naar richten. Door middel van opleiding, voorlichting, voorbeeldgedrag en correctie zal dit bewustwordingsproces opgestart, gestimuleerd en gecontinueerd worden. Naleving van het beveiligingsbeleid en maatregelen hoort bij het gedrag zoals een goede medewerker betaamt. Dientengevolge zal bij niet naleving de procedure gevolgd worden zoals deze omschreven staat in de CAO BVE. Bij alle beveiligingsmaatregelen zal primair rekening gehouden worden met wettelijke en contractuele verplichtingen. Binnen het Noorderpoort worden de normen ten aanzien van beveiligingsmaatregelen beschreven binnen de richtlijnen en maatregelen (hoofdstukken 6-8 Informatiebeveiligingsbeleid). Deze standaarden dienen op alle locaties nageleefd te worden. Uitzonderingen dienen beargumenteerd aangevraagd te worden bij de Security Officer. MA.2.2 Het beveiligingsbeleid is afgestemd op het beleid van het Noorderpoort. MA 2.3 De stuurgroep ICT Governance bespreekt jaarlijks het informatiebeveiligingsbeleid en adviseert het CvB t.a.v wijzigingen in het beleid indien nodig. Input hiervoor wordt ingebracht door de Security Officer en Informatiemanagement. MA.2.4 De Security Officer is verantwoordelijk voor de jaarlijkse evaluatie van de naleving van het beveiligingsbeleid, namens het College van Bestuur. De evaluatie wordt uitgevoerd door de afdeling Informatiemanagement in opdracht van de Security Officer. MA.2.5 Jaarlijks stelt de afdeling Informatiemanagement, in opdracht van de Security Officer, een actieplan op waarin de Organisatiebreed op het terrein van beleid, procedures en praktijk (naleving, implementatie) acties worden opgenomen die ten doel hebben de risico s rondom informatiebeveiliging te minimaliseren en de kwaliteit te verhogen. MA.2.6 Als onderdeel van de controle op de naleving van het beveiligingsbeleid wordt regelmatig op onaangekondigde momenten de beveiliging van het netwerk en/of de gebouwen getest. Deze tests worden geïnitieerd door de afdeling Informatiemanagement in opdracht van de Security Officer en uitgevoerd door een objectieve en deskundige derde partij (externe auditor).

19 7.3 MA.3 Beveiligingsorganisatie Doelstelling: Het managen van informatiebeveiliging binnen het Noorderpoort. MA.3.1 Het management dient interne en externe medewerkers te informeren over het beveiligingsbeleid en beveiligingsrichtlijnen die van toepassing zijn. Het College van Bestuur heeft ook voor informatiebeveiliging de formele bestuurlijke verantwoordelijkheid. Zij laat zich adviseren door de stuurgroep ICT Governance. De besluiten over informatiebeveiliging worden genomen conform de vigerende afspraken over besturing en sturing binnen het Noorderpoort. De stuurgroep ICT Governance adviseert en het CvB stelt vast. Het toezicht op het beleid is gepositioneerd bij de Security Officer. Taken en verantwoordelijkheden van het CvB in deze (geadviseerd door de stuurgroep ICT-Governance): Herzien van besluitvorming over het beveiligingsbeleid Toekennen van verantwoordelijkheden Signaleren van belangrijke wijzigingen in de voornaamste bedreigingen waaraan de bedrijfsinformatie is blootgesteld Bespreken van en toezicht houden op beveiligingsincidenten Goedkeuren van belangrijke initiatieven ter bevordering van de informatiebeveiliging Aanstellen van één manager die verantwoordelijk is voor alle activiteiten die gericht zijn op beveiliging (de Security Officer) MA.3.2 De resultaten en opvolging van risicoanalyses en (de voortgang van) het beveiligingsplan worden vastgelegd en bewaakt en meegenomen in de planning- en controlecyclus van het Noorderpoort. De afdeling Informatiemanagement bewaakt de opvolging en voortgang en rapporteert deze aan de het operationeel overleg informatiebeveiliging, de stuurgroep ICT governance en de Security Officer. MA.3.3 Er vindt regelmatig overleg plaats waarbij de Security Officer, de Directeur Facilities, de Informatiemanager en de Beveiligingsspecialist van de afdeling ICT aanwezig zijn. Daarnaast kan de Beveiligingsspecialist en de Informatiemanager het management gevraagd en ongevraagd adviseren over de stand en inrichting van de informatiebeveiliging. MA.3.4 De taken, bevoegdheden en verantwoordelijkheden met betrekking tot informatiebeveiliging Noorderpoort breed zijn vastgesteld en formeel toegewezen. MA.3.5 Er dienen door de afdeling ICT formele procedures te zijn opgesteld voor de installatie van bedrijfsmiddelen. MA.3.6 Het management ziet er op toe dat de geheimhoudingsverklaring(en) met derden die het Noorderpoort hanteert voldoen aan het door het Noorderpoort gewenste beveiligingsniveau en wet- en regelgeving. MA.3.7 De Security Officer onderhoudt relevante en noodzakelijke contacten met autoriteiten, beroepsverenigingen en interprovinciale organisaties op het gebied van informatiebeveiliging. 7.4 MA.4 Externe partijen Doelstelling: Het waarborgen van de beveiliging van de informatie en informatievoorzieningen van het Noorderpoort waartoe externe partijen toegang hebben of die door externe partijen wordt verwerkt, gecommuniceerd of gemanaged. 19

20 MA.4.1 Voor elk contract dat met een derde wordt overeengekomen geldt dat de externe partij zich conformeert aan het Noorderpoort beveiligingsbeleid inclusief de algemene maatregelen die gelden t.a.v. het betrokken informatiesysteem en de klasse (zie 7.6 classificatie informatiesystemen) waar het toe behoort. MA 4.2 Voor elk contract dat met een derde wordt overeengekomen dient door het verantwoordelijk management onderzocht te worden in hoeverre er aanvullende eisen ten aanzien van de beveiliging dienen te worden opgenomen. Relevante punten zijn bijvoorbeeld: Het beleid ten aanzien van logische- en fysieke toegangsbeveiliging; Overdracht van intellectuele eigendomsrechten en auteursrecht en bescherming van gezamenlijk werk; Escrow (Het deponeren van de broncode van software, inclusief technische documentatie, bij een onafhankelijke derde partij. Het doel van escrow is het waarborgen van de continuïteit van de bedrijfsactiviteiten van de gebruikers van software indien op enig moment om welke reden ook de leverancier van de software niet meer in staat is om bijvoorbeeld zijn onderhoudsverplichtingen na te komen.) Overeenstemming over toegangsbeveiliging; Het recht om toezicht te houden op de werkzaamheden die door derden worden uitgevoerd; Geheimhouding; Algemene inkoopvoorwaarden. Externe partijen dienen pas toegang tot informatie en informatiesystemen te verkrijgen, wanneer er passende maatregelen zijn geïmplementeerd waarin de voorwaarden voor de verbinding of toegang zijn vastgelegd. Er behoort te worden gewaarborgd dat de externe partij kennis draagt van zijn verplichtingen en de verantwoordelijkheden en aansprakelijkheid aanvaardt die gepaard gaan met de toegang tot informatie en ICTvoorzieningen van het Noorderpoort en het verwerken, communiceren of beheren ervan. Wat betreft: De logische- en fysieke toegangsbeveiliging Overdracht van intellectuele eigendomsrechten en auteursrecht Het recht om toezicht te houden op de werkzaamheden die door derden worden uitgevoerd Escrow Geheimhouding 7.5 MA.5 Verantwoordelijkheid voor bedrijfsmiddelen Doelstelling: Het handhaven van adequate bescherming van bedrijfsmiddelen en waarborgen dat bedrijfsmiddelen een passend niveau van beveiliging krijgen. MA.5.1 De afdeling ICT draagt er zorg voor dat de individuele medewerker die bedrijfsmiddelen ter beschikking krijgt gesteld (zoals bijvoorbeeld een laptop, een portable printer, een mobiele telefoon of een tablet) voor ontvangst een verklaring tekent waarin de medewerker verklaart als een goed ambtenaar met de bedrijfsmiddelen om te gaan. MA.5.2 Elk informatiesysteem en alle gegevens dienen een specifieke eigenaar te hebben die verantwoordelijk is voor: De juiste classificatie van zijn informatiesysteem; Het toewijzen van autorisaties voor toegang tot de geclassificeerde informatie; Periodieke evaluatie van de toegewezen autorisaties; Het toepassen van de juiste beveiligingsmaatregelen om risico s te minimaliseren. Eigenaar van het informatiesysteem is de verantwoordelijke van het proces waarvoor het informatiesysteem als ondersteunend middel wordt ingezet. 7.6 MA.6 Classificatie van informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Inhoudsopgave 1 Goedkeuring informatiebeveiligingsbeleid en distributie (BH1) 2 2 Inleiding 2 2.1 Toelichting 2 2.2 Definitie van informatiebeveiliging 2 2.3 Samenhang tussen

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007 Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Inhoud Aanleiding en Historie VIR 2007 Invoeringsaspecten 2 Aanleiding en historie

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Beknopt overzicht van bedreigingen en maatregelen

Beknopt overzicht van bedreigingen en maatregelen Beknopt overzicht van bedreigingen en maatregelen Dit voorbeelddocument omvat een beknopt overzicht van bedreigingen en maatregelen. De opgesomde componenten, bedreigingen en maatregelen zijn bedoeld om

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst

Nadere informatie

Aan welke eisen moet het beveiligingsplan voldoen?

Aan welke eisen moet het beveiligingsplan voldoen? Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Privacy Verklaring versie 01-10-2015

Privacy Verklaring versie 01-10-2015 Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. Beleid over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

Digitale Communicatie. Gedragscode voor internet- en e-mailgebruik

Digitale Communicatie. Gedragscode voor internet- en e-mailgebruik Digitale Communicatie Gedragscode voor internet- en e-mailgebruik Gedragscode internet- en e-mailgebruik Deze gedragscode omvat gedrags- en gebruiksregels voor het gebruik van internet- en e-mail op de

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

Informatiebeveiligingsbeleid Heemstede

Informatiebeveiligingsbeleid Heemstede Informatiebeveiligingsbeleid Heemstede Definitieve versie April 2013 Verseonnummer 607112 Inhoudsopgave DEEL 1: BELEIDSKADERS INFORMATIEBEVEILIGING 3 1. Inleiding 3 2. Definities en belang van informatiebeveiliging

Nadere informatie

Doxis Informatiemanagers

Doxis Informatiemanagers Substitutie Doxis Informatiemanagers Grootste adviesburo op het gebied van informatiemanagement in Nederland Zelfstandig bedrijfsonderdeel van Ernst & Young Jarenlange ervaring bij NL Overheid Gedegen

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Remote Toegang Policy VICnet/SPITS

Remote Toegang Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Remote Toegang Policy VICnet/SPITS 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Privacy reglement publieke XS-Key

Privacy reglement publieke XS-Key Privacy reglement publieke XS-Key Dit is het Privacy reglement behorend bij XS-Key Systeem van Secure Logistics BV (hierna te noemen SL ). 1. Definities In dit reglement worden de navolgende begrippen

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012 Functioneel (informatie) beheerder Doel Zorgdragen voor het inrichten, aanpassen, vernieuwen en onderhouden van de informatievoorziening (processen, procedures en/of systemen), passend binnen het informatiebeleid

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

Informatiebeveiliging heeft betrekking op het behoud van vertrouwelijkheid, integriteit en beschikbaarheid van (patiënten)informatie binnen de CIHN.

Informatiebeveiliging heeft betrekking op het behoud van vertrouwelijkheid, integriteit en beschikbaarheid van (patiënten)informatie binnen de CIHN. Bijlage 2 Informatiebeveiligingsbeleid CIHN 1. Inleiding Het informatiebeveiligingsbeleid betreft hoofdzakelijk strategische uitgangspunten betreffende de toegang tot en uitwisseling van patiënteninformatie.

Nadere informatie

BEWERKERSOVEREENKOMST EMATTERS

BEWERKERSOVEREENKOMST EMATTERS BEWERKERSOVEREENKOMST EMATTERS Ondergetekenden: [NAAM KLANT], gevestigd [ADRES] te [PLAATS] en ingeschreven bij de Kamer van Koophandel onder nummer [KVKNUMMER], hierbij rechtsgeldig vertegenwoordigd door

Nadere informatie

Hoofdstuk 1 ALGEMENE BEPALINGEN

Hoofdstuk 1 ALGEMENE BEPALINGEN GBA-Beheerregeling Burgemeester en wethouders van de gemeente Oldebroek, Gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Besluit: vast te stellen de navolgende beheerregeling

Nadere informatie

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Bijlage 1 Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Blink is een educatieve uitgeverij die verschillende (digitale) producten en diensten (

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Privacy reglement. Concreet PD

Privacy reglement. Concreet PD Privacy reglement Concreet PD Augustus 2010 1. Begripsbepalingen 1.1 Persoonsgegevens Een gegeven dat herleidbaar is tot een individuele natuurlijke persoon. 1.2 Persoonsregistratie Elke handeling of elk

Nadere informatie

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 Stichting Pensioenfonds Wolters Kluwer Nederland Compliance program Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 1 Inleiding In dit Compliance Program is de inrichting van de

Nadere informatie

Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein

Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein Strategisch Informatiebeveiligingsbeleid Gemeenten IJsselstein, Montfoort en Nieuwegein Versie: 0.9 (definitief concept) Datum: 18 december 2012 Inhoudsopgave 1. MANAGEMENTSAMENVATTING... 1 2. INTRODUCTIE...

Nadere informatie

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP)

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Samenvatting De minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft in de Tweede Kamer toegezegd de broncode

Nadere informatie

Privacyreglement AMK re-integratie

Privacyreglement AMK re-integratie Privacyreglement Inleiding is een dienstverlenende onderneming, gericht op het uitvoeren van diensten, in het bijzonder advisering en ondersteuning van opdrachtgevers/werkgevers in relatie tot gewenste

Nadere informatie

Gedragsregels gebruik ICT-voorzieningen Bonhoeffer College. 1.1 Algemeen

Gedragsregels gebruik ICT-voorzieningen Bonhoeffer College. 1.1 Algemeen Gedragsregels gebruik ICT-voorzieningen Bonhoeffer College 1.1 Algemeen Ieder die gebruik maakt van het Bonhoeffer College (haar gebouwen, terreinen en andere voorzieningen) daaronder begrepen materiële-,

Nadere informatie

Bijlage 11 Taakomschrijving rollen NEN informatiebeveiliging. 1. Doel

Bijlage 11 Taakomschrijving rollen NEN informatiebeveiliging. 1. Doel Bijlage 11 Taakomschrijving rollen NEN informatiebeveiliging 1. Doel In dit document leggen we vast hoe de taken en bevoegdheden ten aanzien van informatiebeveiliging verdeeld zijn over de diverse medewerkers.

Nadere informatie

Voor de registratie en de doorgifte van persoons- en medische gegevens dient dit reglement.

Voor de registratie en de doorgifte van persoons- en medische gegevens dient dit reglement. Privacyreglement R/ Partners Voorwoord Omtrent de zieke werknemer worden veel persoonsgegevens verwerkt. Alleen al de strengere reïntegratieverplichting en de verdere uitbreiding van de loondoorbetalingsverplichting

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

GEDRAGS- CODE. Gebruik van elektronische communicatiemiddelen

GEDRAGS- CODE. Gebruik van elektronische communicatiemiddelen GEDRAGS- CODE Gebruik van elektronische communicatiemiddelen 2 3 Gedragscode voor het gebruik van elektronische communicatiemiddelen Inhoud 1. Doel van de regeling 2. Werkingssfeer 3. Algemene gedragsregels

Nadere informatie

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Overzicht Informatiebeveiliging Inlichtingenbureau GGK Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende

Nadere informatie

Preview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens

Preview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens Preview Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens Wordt na goedkeuring van de wet BRP vervangen door Beheerregeling Basisregistratie Personen Gemeentelijk Efficiency Adviesbureau

Nadere informatie

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk)

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) 2 april 2015, versie 2.1 Artikel 1 begrippen en afkortingen De hierna met een hoofdletter aangeduide begrippen hebben in deze

Nadere informatie

Informatiebeveiligingsbeleid 2015-2018

Informatiebeveiligingsbeleid 2015-2018 Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen

Nadere informatie

informatiebeveiliging

informatiebeveiliging informatiebeveiliging mei 2016 1 inleiding aanleiding In februari 2016 werd de gemeente Rotterdam geconfronteerd met een datalek waarbij namen, adresgegevens en burgerservicenummers (BSN) uit belastingbestanden

Nadere informatie

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 22 mei 2014 Raymond Slot raymond.slot@hu.nl nl.linkedin.com/in/raymondslot VRAAG: Top bedreigingen Continuïteit? Continuïteitsbedreiging

Nadere informatie

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Bijlage 1 Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Uitgeverij Zwijsen B.V. is een educatieve uitgeverij die verschillende digitale producten en diensten ( digitale leermiddelen

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Functieprofiel: Manager Functiecode: 0202

Functieprofiel: Manager Functiecode: 0202 Functieprofiel: Manager Functiecode: 0202 Doel Zorgdragen voor de vorming van beleid voor de eigen functionele discipline, alsmede zorgdragen voor de organisatorische en personele aansturing van een of

Nadere informatie

Gedragsregels. ICT-voorzieningen

Gedragsregels. ICT-voorzieningen Gedragsregels ICT-voorzieningen Gedragsregels gebruik ICT-voorzieningen Jac. P. Thijsse College 1. Algemeen De onderstaande regels zijn geldig voor iedereen die gebruik maakt van de ICT-voorzieningen van

Nadere informatie

Functieprofiel: Arbo- en Milieucoördinator Functiecode: 0705

Functieprofiel: Arbo- en Milieucoördinator Functiecode: 0705 Functieprofiel: Arbo- en Milieucoördinator Functiecode: 0705 Doel Initiëren, coördineren, stimuleren en bewaken van Arbo- en Milieuwerkzaamheden binnen een, binnen de bevoegdheid van de leidinggevende,

Nadere informatie

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Implementatie BIR Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging. 1. Inleiding

Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging. 1. Inleiding Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging 1. Inleiding Doel van dit document is het verzamelen van alle aspecten die relevant zijn in het kader van personeelsbeleid en NEN 7510, en

Nadere informatie

Beheerder ICT. Context. Doel

Beheerder ICT. Context. Doel Beheerder ICT Doel Zorgdragen voor het doen functioneren van ICTproducten en het instandhouden van de kwaliteit daarvan, passend binnen het beleid van de afdeling, teneinde aan de eisen en wensen van de

Nadere informatie

Privacy statement voor de gebruiker van de RadiologieNetwerk-Services

Privacy statement voor de gebruiker van de RadiologieNetwerk-Services Privacy statement voor de gebruiker van de RadiologieNetwerk-Services Missie XS2RA B.V. tevens handelend onder de naam RadiologieNetwerk ( RadiologieNetwerk ) heeft als missie om via haar RadiologieNetwerk

Nadere informatie

Beleidsmedewerker Onderwijs

Beleidsmedewerker Onderwijs Horizon College Beleidsmedewerker Onderwijs Sector BMO Alkmaar C70) Afdeling Communicatie en Onderwijs (C&O) Contract: Vervanging wegens zwangerschapsverlof Periode: 1 mei 2015 tot 1 oktober 2015 Omvang:

Nadere informatie

Algemene voorwaarden voor het gebruik van de NCDR database en website

Algemene voorwaarden voor het gebruik van de NCDR database en website ALGEMENE VOORWAARDEN VAN NCDR Algemene voorwaarden voor het gebruik van de NCDR database en website 1. Definities 1.1 De hierna met een hoofdletter aangeduide begrippen hebben de volgende betekenis: a.

Nadere informatie

Derden-mededeling Overstapservice Onderwijs

Derden-mededeling Overstapservice Onderwijs Mededeling over de betrouwbaarheid van de Overstapservice Onderwijs Onlangs heeft Infoseccon BV een rapport over het geautomatiseerde systeem van Overstapservice Onderwijs (OSO) uitgebracht. Infoseccon

Nadere informatie

Privacyreglement. verwerking persoonsgegevens. ROC Nijmegen

Privacyreglement. verwerking persoonsgegevens. ROC Nijmegen Privacyreglement verwerking persoonsgegevens ROC Nijmegen Laatstelijk gewijzigd in april 2014 Versie april 2014/ Voorgenomen vastgesteld door het CvB d.d. 12 juni 2014 / Instemming OR d.d. 4 november 2014

Nadere informatie

Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers

Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy Help, een datalek, en nu? IKT-College 16 februari 2016 Mirjam Elferink Advocaat IE, ICT en privacy Inleiding Voorbeelden recente datalekken - Medische gegevens online door fout scanbedrijf (Bron: R. van

Nadere informatie

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Ter info (AB) Afdeling: Team: Bedrijfsbureau Beh.door: Bos, M.G. Port.houder: DB, Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Memo Informatiebeveiliging Inleiding Met

Nadere informatie

Burgemeester en wethouders van de gemeente Stadskanaal;

Burgemeester en wethouders van de gemeente Stadskanaal; Beheerregeling basisregistratie personen Stadskanaal 2015college *Z0038C32CA4* Burgemeester en wethouders van de gemeente Stadskanaal; overwegende dat het noodzakelijk is de hoofdlijnen van het beheer

Nadere informatie

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VERSLAG PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Verslag PIA Versienummer 1.0 Versiedatum April 2014

Nadere informatie

P.09.02 Versie : 004 Proceduresops Pagina : 1/9 Geldig Printdatum : 18-Aug-15

P.09.02 Versie : 004 Proceduresops Pagina : 1/9 Geldig Printdatum : 18-Aug-15 Proceduresops Pagina : 1/9 Procedure Waarborgen van privacy Proceduresops Pagina : 2/9 Ingangsdatum: januari 2011 1. Doel... 3 2. Procedure... 3 2.1 Algemeen... 3 2.2 Regelgeving om de privacy te waarborgen...

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst Bewerkersovereenkomst Datum: 25-04-2015 Versie: 1.1 Status: Definitief Bewerkersovereenkomst Partijen De zorginstelling, gevestigd in Nederland, die met een overeenkomst heeft gesloten in verband met het

Nadere informatie

Beveiligingsplan bij het Convenant voor het Veiligheidshuis Twente

Beveiligingsplan bij het Convenant voor het Veiligheidshuis Twente Beveiligingsplan Beveiligingsplan bij het Convenant voor het Veiligheidshuis Twente Beveiligingsplan 1. Inleiding 1.1 Aanleiding De samenwerking conform het convenant Veiligheidshuis Twente wordt ondersteund

Nadere informatie

Privacy & Security Statement / Werkend Nederland BV. Werken met Persoonsgegevens

Privacy & Security Statement / Werkend Nederland BV. Werken met Persoonsgegevens Privacy & Security Statement / Werkend Nederland BV Inleiding Werkend Nederland werkt met persoonsgegevens. We zijn ons hiervan bewust en gaan integer om met uw gegevens. In dit document kunt u lezen hoe

Nadere informatie

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 16990 20 juni 2014 Regeling van de Staatssecretaris van Volksgezondheid, Welzijn en Sport van 12 juni 2014, kenmerk 376061-121125-WJZ,

Nadere informatie

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Mike de Bruijn roduct Owner Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement

Nadere informatie

Privacy Verklaring Definities Toegang tot Innerview

Privacy Verklaring Definities Toegang tot Innerview Privacy Verklaring Dit is de Privacy Verklaring van Pearson Assessment and Information B.V. (hierna te noemen: Pearson of wij ) te Amsterdam (Postbus 78, 1000 AB). In deze verklaring wordt uiteengezet

Nadere informatie

ALGEMENE VOORWAARDEN CONSUMENTEN GET1,2 NEDERLAND B.V. Deze algemene voorwaarden zijn op 4 november 2014 gedeponeerd bij de Kamer van Koophandel.

ALGEMENE VOORWAARDEN CONSUMENTEN GET1,2 NEDERLAND B.V. Deze algemene voorwaarden zijn op 4 november 2014 gedeponeerd bij de Kamer van Koophandel. ALGEMENE VOORWAARDEN CONSUMENTEN GET1,2 NEDERLAND B.V. Deze algemene voorwaarden zijn op 4 november 2014 gedeponeerd bij de Kamer van Koophandel. ARTIKEL 1 DEFINITIES In deze algemene voorwaarden wordt

Nadere informatie

Beheerregeling gemeentelijke basisadministratie gemeente Coevorden

Beheerregeling gemeentelijke basisadministratie gemeente Coevorden Beheerregeling gemeentelijke basisadministratie gemeente Coevorden Wetstechnische informatie Gegevens van de regeling Overheidsorganisatie Officiële naam regeling Citeertitel Besloten door Deze versie

Nadere informatie

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Haarlem Postbus 511 2003 PB HAARLEM. L.,.l l l.l ll, l. l Datum 0 6HAARI 2015

Nadere informatie

Privacy Scan VISD juni 2014. Antwoordcategorie Ja/Nee/ Onbekend

Privacy Scan VISD juni 2014. Antwoordcategorie Ja/Nee/ Onbekend 1 Governance Deze vragen geven inzicht in de te ondernemen acties met betrekking tot de governance en organisatie van privacy. Dit is afhankelijk van de lokale situatie vanaf 2015. Elke gemeente moet nadenken

Nadere informatie

Privacyreglement Werkvloertaal 26 juli 2015

Privacyreglement Werkvloertaal 26 juli 2015 Privacyreglement Werkvloertaal 26 juli 2015 Algemeen Privacyreglement Werkvloertaal Pagina 1 van 6 Algemeen Privacyreglement Werkvloertaal De directie van Werkvloertaal, overwegende, dat het in verband

Nadere informatie

PRIVACY REGLEMENT - 2015

PRIVACY REGLEMENT - 2015 PRIVACY REGLEMENT - 2015 Jasnante re-integratie onderdeel van Jasnante Holding B.V. (kvk nr. 52123669 ) gevestigd aan de Jacob van Lennepkade 32-s, 1053 MK te Amsterdam draagt zorg voor de geheimhoudingsverplichting

Nadere informatie

Wie doet wat? 30-5-2013. Gebruik en beheer van applicaties. Een kader VHIC VHIC. Pagina 1. Pagina 2

Wie doet wat? 30-5-2013. Gebruik en beheer van applicaties. Een kader VHIC VHIC. Pagina 1. Pagina 2 Gebruik en beheer van applicaties Wie doet wat? Pagina 1 Een kader Pagina 2 Bron: daanrijsenbrij, Elementaire bedrijfsinformatica 1 Functioneel beheer Applicaties worden gebruikt door de gebruikersorganisatie.

Nadere informatie

WBP Zelfevaluatie. Privacygedragscode (VPB)

WBP Zelfevaluatie. Privacygedragscode (VPB) WBP Zelfevaluatie Privacygedragscode (VPB) April 2004 1. Inleiding In haar beschikking van 13 januari 2004 heeft het College Bescherming Persoonsgegevens (CBP) verklaard dat de in de privacygedragscode

Nadere informatie

Functieprofiel: Ondersteuner ICT Functiecode: 0405

Functieprofiel: Ondersteuner ICT Functiecode: 0405 Functieprofiel: Ondersteuner ICT Functiecode: 0405 Doel Registreren en (laten) oplossen van vragen en storingen van ICT-gebruikers binnen de richtlijnen van de afdeling, teneinde bij te dragen aan efficiënt

Nadere informatie

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo notities Versie: versie datum Onderwerp Aan CC Van Hans Wolters 29 januari 2016 c-n-hawo-0004-20160129 HaWo 1. Leveringsvoorwaarden 1.1. Algemene gegevens ISC Het ICT Servicecentrum (ISC) is voor de Radboud

Nadere informatie

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth De taak van de raad onder het dualisme Kaders stellen (WMO, Jeugdwet, handhaving) Budgetteren (begroting) Lokale wetgeving

Nadere informatie

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0 Stichting Inlichtingenbureau Privacy jaarverslag 2014 Versie 1.0 Status Definitief Datum 12 maart 2015 1. Privacybescherming en informatiebeveiliging... 3 1.1 Inleiding/privacy by design... 3 1.2 Verwerking

Nadere informatie