Voorbeeld Rapportage Diepgaande Risicoanalyse

Maat: px
Weergave met pagina beginnen:

Download "Voorbeeld Rapportage Diepgaande Risicoanalyse "

Transcriptie

1 Voorbeeld Rapportage Diepgaande Risicoanalyse <INFORATIESYSTEE> Datum: Versie:

2 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> Inhoudsopgave 1 Samenvatting Achtergrond Doelstelling Doelgroep Werkwijze Resultaten baselinetoets Resultaten kwetsbaarheidsanalyse Aanbevelingen Leeswijzer 6 2 Baselinetoets Aanpak Werkwijze Bronnen Resultaten baselinetoets Belang van de processen Belang van het informatiesysteem Betrouwbaarheidseisen Conclusies baselinetoets 10 3 Diepgaande risicoanalyse Aanpak Werkwijze Bronnen Resultaten kwetsbaarheidsanalyse Analyseren informatiesysteem Analyse bedreigingen Keuze maatregelen Conclusies diepgaande risicoanalyse 16 4 Bijlage A: Opbouw informatiesysteem <INFORATIESYSTEE> APGOOD 18 5 Bijlage B: resultaten analyse bedreigingen 20 6 Bijlage C: Overzicht maatregelendoelstellingen 29 7 Bijlage E: Detaillering maatregeldoelstellingen 33 Pagina 2 van 37

3 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> Documenthistorie Versie Datum Aanpassing Door Pagina 3 van 37

4 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> 1 Samenvatting 1.1 Achtergrond Van het informatiesysteem <INFORATIESYSTEE> is de classificatie informatiebeveiliging conform de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) beschrijving, de baselinetoets en de diepgaande risicoanalyse uitgevoerd. Deze rapportage beschrijft de resultaten van de diepgaande risicoanalyse van <INFORATIESYSTEE>. 1.2 Doelstelling Breng de belangrijkste risico s ten aanzien van de betrouwbare werking (met betrekking tot informatiebeveiliging) van het informatiesysteem <INFORATIESYSTEE> in kaart en bepaal welke maatregelen genomen moeten worden om deze risico s te ondervangen. 1.3 Doelgroep Deze rapportage is bestemd voor de eigenaar van het informatiesysteem <INFORATIESYSTEE> en voor de eigenaren van de lijnprocessen zoals die in 2.3 benoemd zijn met hun proceseigenaar. 1.4 Werkwijze In de risicoanalyse worden 2 delen onderscheiden, te weten: Deel 1, de baselinetoets. ierin wordt bepaald in welke mate het proces <Proces>afhankelijk is van het informatiesysteem <INFORATIESYSTEE>, daarnaast wordt hier bepaald of de BIG voldoende maatregelen biedt of niet. Deel 2, de diepgaande risicoanalyse. ierin wordt bepaald welke maatregelen (op het niveau van doelstelling) nodig zijn om de vereiste betrouwbaarheid van het informatiesysteem <INFORATIESYSTEE> te realiseren. De uitwerking is op basis van een Quickscan methodiek uitgevoerd. Er is bij de behandeling van de vragen gewerkt met een timebox. 1.5 Resultaten baselinetoets De belangrijkste bevindingen van de baselinetoets zijn: De processen <PROCES> en <PROCES> zijn in hoge mate afhankelijk van de beschikbaarheid van gegevens uit het informatiesysteem <INFORATIESYSTEE>. De eis aan de beschikbaarheid is in de afgelopen jaren toegenomen omdat in het bijzonder het <AFDELING> structureel in de publieke belangstelling staat. et tijdig kunnen beschikken over juiste informatie is essentieel bij het vermijden van reputatie, imago of zelfs politieke schade. Uitval gedurende openingstijden is daarom nauwelijks aanvaardbaar; De integriteit van de gegevens die via <INFORATIESYSTEE> beschikbaar worden gesteld is zwaarwegend voor de processen <PROCES> en <PROCES>. Binnen de processen <PROCES> en <PROCES> wordt blind gevaren op de inhoudelijke gegevens in <INFORATIESYSTEE>. Dit blind varen betekent niet dat men extreem afhankelijk is van de correctheid van gegevens en werking van <INFORATIESYSTEE>. et informatiesysteem <INFORATIESYSTEE> bevat in beperkte mate vertrouwelijke informatie. Voor de gegevens afkomstig van het <EXTERNE PARTIJ>, bepaalde financiële gegevens en het <GEGEVENS> geldt de classificatie afgeschermd. Pagina 4 van 37

5 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> Uit een privacy onderzoek door een externe partij is naar voren gekomen dat in/met <INFORATIESYSTEE> persoonsgegevens worden verwerkt waarvan een melding moet worden gedaan. Zie hoofdstuk 2 voor een volledig overzicht van de resultaten van de baselinetoets. 1.6 Resultaten kwetsbaarheidsanalyse De belangrijkste bevindingen van de diepgaande risicoanalyse zijn: De drie belangrijkste gevolgen van niet of niet correct functioneren van <INFORATIESYSTEE> hebben betrekking op: 1. Tijdverlies, extra werk: waarbij de aard van het werk in processen zoals <PROCES> en <PROCES> het ondoenlijk maakt om snel extra capaciteit in te zetten. 2. Juridische gevolgen: wanneer contracten worden gebaseerd op onjuiste gegevens. Bij <PROCES> kunnen bijvoorbeeld schadeclaims ontstaan wanneer een foutieve <GEGEVENS> wordt gehanteerd. 3. Imagoverlies, reputatieschade en eventuele politieke gevolgen: omdat vooral <PROCES> en <PROCES> in de publieke belangstelling staan. De drie belangrijkste bedreigingen voor het niet of niet correct functioneren van <INFORATIESYSTEE> zijn: 1. Onopzettelijk foutief handelen door functioneel beheer en X-medewerkers. 2. Onvoldoende beveiliging van gegevens op specifieke plekken: PC van X, thuiswerkplek et cetera. 3. Diensten worden niet correct geleverd, bijvoorbeeld door onvoldoende duidelijke afspraken, slecht opgeleid personeel, onvoldoende capaciteit, personeel dat aan de veiligheidseisen voldoet, geen functiescheiding, te hoge autorisaties. De drie belangrijkste maatregelen (op het niveau van een doelstelling) die (in aanvulling op de baseline) aanwezig moeten zijn voor het betrouwbaar functioneren van <INFORATIESYSTEE> zijn: 1. Zorg ervoor dat de medewerkers van functioneel beheer en de X- medewerkers optimaal worden ondersteund in hun werk en daarmee deze werkzaamheden betrouwbaar kunnen uitvoeren. Dit betreft onder meer voldoende beschikbaarheid en training, adequaat beheer van de programmatuur (scripts) en documentatie evenals duidelijke afspraken voor ontwikkeling, gebruik, testen et cetera. 2. Zorg ervoor dat alleen geautoriseerde personen toegang hebben tot de gegevens in <INFORATIESYSTEE> en in het bijzonder tot de vertrouwelijke gegevens. Dit betreft zowel de beveiliging van de speciale werkplekken, de juiste beveiliging bij thuiswerken als de juiste inrichting en het gebruik van de middelen voor toegangsbeveiliging voor gebruikers en beheerders (OS, DB, programmatuur). 3. Zorg voor goede afspraken met leveranciers die aansluiten op de eisen vanuit <INFORATIESYSTEE>. Dit betreft onder meer afspraken over eisen die aan medewerkers worden gesteld met betrekking tot de omgang met gegevens, eisen aan de beveiliging van fysieke opslag en transport van gegevens, rapportage over de wijze waarop wordt omgegaan met het beheer van <INFORATIESYSTEE>, de (remote) toegang tot <INFORATIESYSTEE>, de omgang met productiegegevens et cetera. Zorg daarnaast voor controle van de diensten die door leveranciers worden geleverd om de aanwezigheid en juiste werking van beveiligingsmaatregelen garanderen. Zie hoofdstuk 3 voor een volledig overzicht van de resultaten van de diepgaande risicoanalyse. Pagina 5 van 37

6 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> 1.7 Aanbevelingen Op basis van de risicoanalyse worden de hierna beschreven vervolgstappen geadviseerd. et is de verantwoordelijkheid van de proceseigenaren in samenwerking met de systeemeigenaar van <INFORATIESYSTEE> om (in overleg met de beveiligingscoördinator van <ORGANISATIE>) zorg te dragen voor de juiste afhandeling van deze aanbevelingen. Beveiligingsconcept De beveiliging van <INFORATIESYSTEE> is bij de realisatie opgebouwd op basis van heldere eisen en conform een uitgedacht beveiligingsconcept. Inmiddels zijn nieuwe inzichten gekomen en veranderingen in de infrastructuur aangebracht die van invloed zijn op de totale beveiliging van beveiliging van <INFORATIESYSTEE>. Dit betreft onder meer: et is vastgesteld dat in <INFORATIESYSTEE> persoonsgegevens worden verwerkt welke een dusdanig vertrouwensniveau hebben, dat melding van de verwerking moet worden gemaakt; De eisen aan de beschikbaarheid van <INFORATIESYSTEE> zijn toegenomen, onder meer omdat het ondersteunende proces <PROCES> structureel in de publieke belangstelling staat; Resultaat hiervan is dat het onduidelijk is hoe de huidige inrichting zich verhoudt tot het originele beveiligingsconcept en of de beveiliging daarmee voldoende is gewaarborgd. Geadviseerd wordt om de beveiliging van <INFORATIESYSTEE> op architectuur niveau nader te onderzoeken. Vervolgstappen op de analyse 1. Detaillering maatregelen Detailleer de, in deze rapportage beschreven, maatregeldoelstellingen (zie bijlage D) naar concrete maatregelen, zodanig dat invulling wordt gegeven aan de boogde doelstellingen. iervoor is de systeemeigenaar verantwoordelijk en kan de informatiebeveiligingscoördinator ondersteuning leveren. aak gebruik van de voorbeeldmaatregelen die zijn benoemd. 2. Invoering van maatregelen Overleg per detailmaatregel met de informatiebeveiligingscoördinator van <ORGANISATIE>A over de implementatiewijze. Bepaalde maatregelen zijn specifiek voor <INFORATIESYSTEE> terwijl anderen organisatiebreed zullen moeten worden opgepakt. Beschrijf per detailmaatregel wat de invulling en vindplaats ervan is, aan de hand waarvan de invoering (bestaan en werking) kan worden vastgesteld. 3. Borging maatregelen Zorg voor een proces waarmee de borging van de maatregelen wordt gegarandeerd. In dit proces moet periodiek op de aanwezigheid (het bestaan ) en de juiste werking (de werking ) van de maatregelen worden getoetst alsmede worden ingespeeld in veranderingen in de (technische) omgeving en/of het gebruik van <INFORATIESYSTEE>. 1.8 Leeswijzer In hoofdstuk 2 zijn de opzet en de resultaten van de baselinetoets beschreven. Dit betreft onder meer de karakteristieken van het proces en het informatiesysteem evenals de eisen die de processen stellen aan de betrouwbaarheid van het informatiesysteem <INFORATIESYSTEE>. In hoofdstuk 3 zijn de opzet en de resultaten van de diepgaande risicoanalyse beschreven. Dit betreft onder meer de gevolgen van het niet functioneren van <INFORATIESYSTEE>, de belangrijkste dreigingen die hier aanleiding voor kunnen zijn en tenslotte welke maatregelen (op het niveau van doelstelling) genomen kunnen worden om deze te mitigeren. De bijlagen A t/m E bevatten de detailresultaten. Pagina 6 van 37

7 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> 2 Baselinetoets Dit hoofdstuk beschrijft de opzet, aanpak en resultaten van de afhankelijkheidsanalyse. 2.1 Aanpak Voor het bepalen van de eisen vanuit de processen die een relatie hebben met het informatiesysteem <INFORATIESYSTEE> is een baselinetoets uitgevoerd. Op basis van inzicht in deze processen en het informatiesysteem is bepaald welke eisen worden gesteld aan het informatiesysteem. Omdat de analyse meerdere processen omvat zijn de meest zwaarwegende afhankelijkheden en de meest zwaarwegende betrouwbaarheidseisen bepalend voor de verdere analyse. De baselinetoets bestaat uit de volgende stappen: Analyse processen In kaart brengen van de eisen die vanuit de omgeving (afnemers, leveranciers, wet- en regelgeving) worden gesteld aan de processen. De meest zwaarwegende afhankelijkheden bepalen de focus van het vervolgonderzoek. De processen waaraan de belangrijkste eisen worden gesteld zijn bepalend voor de betrouwbaarheidseisen die aan <INFORATIESYSTEE> worden gesteld. Bepalen betrouwbaarheidseisen Formuleren van de eisen die vanuit het de betrokken processen worden gesteld aan het informatiesysteem <INFORATIESYSTEE>. De meest zwaarwegende betrouwbaarheidseisen bepalen de diepgang van de kwetsbaarheidsanalyse. et andere woorden, de hoogste eis bepaalt hoe er naar de kwetsbaarheden van <INFORATIESYSTEE> zal worden gekeken. 2.2 Werkwijze Onderstaande figuur beschrijft de stappen van de baselinetoets. Pagina 7 van 37

8 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> (BIV-P staat voor: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Privacy-eisen, zie de baselinetoets) 2.3 Bronnen De processen die een relatie hebben met <INFORATIESYSTEE> zijn: <PROCES 1> - PROCESEIGENAAR <PROCES 2> - PROCESEIGENAAR et de eigenaren van de processen heeft een interview plaatsgevonden op <DATU. Aanwezigen daarbij waren: Zie vetgedrukte namen hierboven <NAA>, coördinator informatiebeveiliging & privacy <ORGANISATIE> <NAA>, analist informatiebeveiliging <NAA>, analist informatiebeveiliging De volgende documenten zijn als uitgangspunt voor de analyses gebruikt: <DOCUENT1> <DOCUENT2> 2.4 Resultaten baselinetoets Belang van de processen De onderstaande tabel benoemt de processen die gebruik maken van <INFORATIESYSTEE>. Per proces is aangegeven welk belang dit heeft voor de <ORGANISATIE>. Proces <PROCES1> <PROCES2> Classificatie Onderbouwing Kritisch Strategisch (1 op schaal van 5) Kritisch Strategisch (1 op schaal van 5) XXX YYY De verschillende betrokken processen gebruiken over het algemeen specifieke systemen voor de ondersteuning van het eigen proces Belang van het informatiesysteem De onderstaande tabel geeft aan welk belang <INFORATIESYSTEE> heeft voor de werking van de in de linkerkolom benoemde processen. Belang van <INFORATIESYSTEE> voor Classificatie Onderbouwing Pagina 8 van 37

9 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> PROCES1 Vitaal XXX PROCES2 Vitaal YYY <INFORATIESYSTEE> is een leverancier van gegevens voor een aantal bedrijfsprocessen van <ORGANISATIE>. et onderstaande schema geeft een overzicht van de relaties tussen de relevante processen, systemen en <INFORATIESYSTEE>. <SCEA> De informatiesystemen <INFORATIESYSTEE> dragen indirect/direct bij aan de gemeentetaak <gemeentetaak> Betrouwbaarheidseisen De onderstaande tabel bevat de eisen die vanuit de processen worden gesteld aan de betrouwbaarheid van <INFORATIESYSTEE>. Deze eisen zijn gebaseerd op de eisen die per proces worden gesteld aan de verschillende gegevensgroepen die binnen <INFORATIESYSTEE> bestaan. Per proces zijn deze eisen vertaald naar een totaal per betrouwbaarheidsaspect (beschikbaarheid, integriteit en vertrouwelijkheid). In de tabel zijn daarvan steeds de hoogste waarde en het gemiddelde (tussen haakjes) weergegeven. Nr. Eis aan <INFORATIESYSTE E> vanuit Beschikbaarh eid Integriteit Vertrouwelijkh eid 1. PROCES1 <waarde uit baselinetoets> 2. PROCES2 <waarde uit baselinetoets> <waarde uit baselinetoet s> <waarde uit baselinetoet s> <waarde uit baselinetoets> <waarde uit baselinetoets> Op basis van de bovenstaande tabel wordt geconcludeerd dat vooral aan de beschikbaarheid en integriteit van <INFORATIESYSTEE> hoge eisen worden gesteld (X op schaal van 4) en dat vertrouwelijkheid minder belangrijk is (Y op schaal van 4). De onderstaande tabel beschrijft de samenvatting van de eisen die de processen stellen aan het informatiesysteem <INFORATIESYSTEE>. Pagina 9 van 37

10 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> Parameter/ Classificatie Beschikbaarheid Belangrijk (wezenlijk; <X> op een schaal van 4) Continuïteit Veel schade na <X> dagen niet beschikbaar voor wat betreft bedrijfsvoering Veel schade na <X> dag in het geval van transport van belangrijke stukken Integriteit Belangrijk (Detecteerbaar; <X> op een schaal van 4) Vertrouwelijkheid Wenselijk (afgeschermd; <X> op een schaal van 4) Privacy eldingplichtig Onderbouwing XXX YYY ZZZ XXX YYY <er zijn XX vragen op een drie gescoord bij de privacyvragen, er is een PIA nodig. 2.5 Conclusies baselinetoets De belangrijkste bevindingen van de baselinetoets zijn: De processen <PROCES> en <PROCES> zijn in hoge mate afhankelijk van de beschikbaarheid van gegevens uit het informatiesysteem <INFORATIESYSTEE>. De eis aan de beschikbaarheid is in de afgelopen jaren toegenomen omdat in het bijzonder het <ORGANISATIE> structureel in de publieke belangstelling staat. et tijdig kunnen beschikken over juiste informatie is essentieel bij het vermijden van reputatie, of imago of zelfs politieke schade. Uitval gedurende openingstijden is daarom nauwelijks aanvaardbaar; Voor de gegevensverzameling van <INFORATIESYSTEE> is <INFORATIESYSTEE> zelf niet de enige en definitieve bron. De beschikbaarheid van deze gegevens is belangrijk in de zin van hoe minder <INFORATIESYSTEE> achterloopt op basisregistraties, hoe beter het is, de gegevens moeten zo actueel als mogelijk zijn. De integriteit van de gegevens die via <INFORATIESYSTEE> beschikbaar worden gesteld is zwaarwegend voor de processen <PROCES> en <PROCES>. Binnen de processen <PROCES> wordt blind gevaren op de inhoudelijke Pagina 10 van 37

11 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> gegevens in <INFORATIESYSTEE>. Dit blind varen betekent niet dat men extreem afhankelijk is van de correctheid van gegevens en werking van <INFORATIESYSTEE>. et informatiesysteem <INFORATIESYSTEE> bevat in beperkte mate vertrouwelijke informatie. Voor de gegevens afkomstig van <BASISREGISTRATIE YYY>, bepaalde financiële gegevens en het <GEGEVENS> geldt de classificatie afgeschermd. Openbaarmaking hiervan kan de privacy van burgers aantasten. Dit geldt voor de <BASISREGISTRATIE YYY GEGEVENS> wanneer deze in bulk worden behandeld, de financiële gegevens aangaande de XXX die door middel van een batch uit XXX worden opgehaald. Voor het <GEGEVENS> geldt dat deze gegevens conform de leveringscontracten niet mogen worden doorgeleverd c.q. gepubliceerd. Uit een privacyonderzoek door een externe partij op datum <XX> is naar voren gekomen dat in/met <INFORATIESYSTEE> persoonsgegevens worden verwerkt waarvan een melding moet worden gedaan aan het College bescherming persoonsgegevens (CBP) of de functionaris gegevensbescherming binnen de gemeente. Pagina 11 van 37

12 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> 3 Diepgaande risicoanalyse In de baselinetoets is vastgesteld dat een aantal processen die door <INFORATIESYSTEE> worden gevoed van strategisch tot kritisch strategisch belang zijn voor de organisatie, en dat de beschikbaarheid en integriteit van <INFORATIESYSTEE> van groot belang zijn (classificatie belangrijk) voor deze processen. Dit is (conform de aanpak voor de baselinetoets informatiebeveiliging) aanleiding om de diepgaande risicoanalyse uit te voeren. Dit hoofdstuk beschrijft de opzet, de aanpak en de resultaten van de diepgaande risicoanalyse. 3.1 Aanpak Voor het bepalen van de beveiligingsmaatregelen wordt een diepgaande risicoanalyse uitgevoerd. ierin wordt op basis van de risico s bepaald welke maatregelen genomen moeten worden voor de realisatie van een adequate beveiliging van het informatiesysteem. Deze diepgaande risicoanalyse bestaat uit de volgende stappen: Analyse Informatiesysteem In kaart brengen van het informatiesysteem. ierbij worden de componenten van het informatiesysteem: ens, Apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving en Diensten in kaart gebracht. Bedreigingenanalyse Bepalen van de relevante bedreigingen waardoor verlies aan beschikbaarheid, integriteit of vertrouwelijkheid kan ontstaan. De basis voor deze analyse is een bespreking met de systeemeigenaar. Bepalen maatregelen Formuleren maatregelen op het niveau van doelstellingen, op basis van de eisen en relevante bedreigingen. 3.2 Werkwijze De onderstaande figuur beschrijft de stappen van de diepgaande risicoanalyse. De laatste stap (7. Opstellen plan) behoort niet tot het bereik van de diepgaande risicoanalyse. Pagina 12 van 37

13 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> 3.3 Bronnen et de eigenaren van de relevante processen, en met de systeemeigenaar van <INFORATIESYSTEE> heeft een interview plaatsgevonden op <DATU> om de gevolgen van het niet of niet goed werken van <INFORATIESYSTEE> nader te bepalen. Aanwezigen: <NAA>, ICT-projectmanager & GGG-adviseur en grondlegger van de applicatie, namens de systeemeigenaar <NAA>, coördinator informatiebeveiliging & privacy <ORGANISATIE> <NAA>, analist informatiebeveiliging <NAA>. analist informatiebeveiliging Afgesproken is dat de resultaten van de gesprekken aangaande deze processen representatief zijn voor <INFORATIESYSTEE> en de gevolgen derhalve niet met de andere proceseigenaren zullen worden besproken. In gesprekken met de systeemeigenaar zijn de bedreigingen voor het functioneren van <INFORATIESYSTEE> in kaart gebracht en de benodigde maatregelen besproken. <DATU < DEELNEERS> 3.4 Resultaten kwetsbaarheidsanalyse Analyseren informatiesysteem De onderdelen van <INFORATIESYSTEE> zijn beschreven in Bijlage A: Opbouw informatiesysteem <INFORATIESYSTEE> APGOOD. Pagina 13 van 37

14 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> Analyse bedreigingen Op basis van afstemming met de systeemeigenaar zijn de bedreigingen geanalyseerd. De resultaten hiervan zijn beschreven in Bijlage B: resultaten analyse bedreigingen. De meest prominente bedreigingen die hierbij zijn vastgesteld betreffen: eest prominente bedreigingen met betrekking tot <INFORATIESYSTEE> Onopzettelijk foutief handelen door functioneel beheer en X-medewerkers Geen goede afspraken met leverancier op het gebied van levering/betrouwbaarheid programmatuur Verlies van gegevens die geleverd/ontvangen worden door gebruik mobiele gegevensdragers Vertrouwelijke gegevens op verkeerde plek wegens onjuiste werking scripts Fouten in basisgegevens wegens onjuist werken inleesscripts Onvoldoende controle op vernietiging van gegevens Onvoldoende beveiliging van PC waarop veel gegevens van <INFORATIESYSTEE> staan (XXX) Onvoldoende beveiliging bij gebruik van <INFORATIESYSTEE> op thuiswerkplek (tevens XXX) Diensten worden niet conform afspraak geleverd door slecht opgeleid personeel Diensten worden niet conform afspraak geleverd door personeelsverloop Diensten worden niet conform afspraak geleverd door onvoldoende capaciteit voor beheer c.q. oplossen van bugs Diensten worden niet conform afspraak geleverd omdat personeel niet aan de veiligheidseisen voldoet Diensten worden niet conform afspraak geleverd wegens slordigheden in de uitvoering van het beheer Diensten worden niet conform afspraak geleverd wegens onjuiste inrichting veiligheid: geen functiescheiding, te hoge autorisaties et cetera Keuze maatregelen Als laatste stap is vastgesteld welke maatregeldoelstellingen van toepassing zijn. In bijlage C: overzicht maatregeldoelstellingen en bijlage E: maatregeldoelstellingen zijn de meest relevante maatregeldoelstellingen opgenomen die van toepassing zijn op het informatiesysteem <INFORATIESYSTEE>. Bijlage C geeft de samenhang weer tussen bedreigingen, opbouw van het informatiesysteem en het raamwerk voor informatiebeveiliging (BIG en/of ISO 27002). <ORGANISATIE> heeft de BIG geïmplementeerd. De tabel met maatregeldoelstellingen in de bijlage richt zich daarom op de dominante en aanvullende (ten opzichte van de BIG) maatregeldoelstellingen die voortkomen uit deze diepgaande risicoanalyse. De benoemde voorbeeldmaatregelen zijn mogelijke oplossingen. et is aan <ORGANISATIE> om een passende set van maatregelen per maatregeldoelstelling te selecteren. De meest belangrijke maatregeldoelstellingen, waar expliciete aandacht aan moet worden besteed, zijn opgenomen in de onderstaande tabel. eest prominente maatregeldoelstellingen voor <INFORATIESYSTEE> IB-beleid en -plan Zorg ervoor dat goede afspraken met leveranciers worden gemaakt die aansluiten op de eisen vanuit <INFORATIESYSTEE>. Pagina 14 van 37

15 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> Organisatie van IB Zorg voor een proces van continue aandacht voor informatiebeveiliging ten aanzien van <INFORATIESYSTEE>. Verantwoordelijkheid ligt bij de systeemeigenaar omdat het een basisregistratie is. Classificatie en beheer van informatie en bedrijfsmiddelen Personele beveiligingseisen/bewustwording Zorg ervoor dat bij de leveranciers duidelijk is wat de classificatie is van de (gevoelige) gegevens is waarmee wordt gewerkt en de eisen die aan de beschikbaarheid en integriteit worden gesteld. Denk aan vastlegging in SLA's. Zorg ervoor dat de XXX medewerkers en functioneel beheerders voldoende beschikbaar en getraind zijn om de werkzaamheden betrouwbaar uit te voeren. Zorg ervoor dat voor alle gebruikers duidelijk is hoe met de gegevens moet worden omgegaan (awareness), zeker wanneer gebruik wordt gemaakt van thuisapparatuur. aak afspraken met de leveranciers over eisen die aan medewerkers worden gesteld met betrekking tot de omgang met gegevens in <INFORATIESYSTEE>. Denk aan awareness en waar nodig/mogelijk geheimhoudingsverklaring. Fysieke beveiliging aak goede afspraken over de fysieke beveiliging van werkplekken binnen <ORGANISATIE> waar bulk gegevens vanuit <INFORATIESYSTEE> zijn opgeslagen. Denk aan XXX. Stel eisen aan leveranciers over het niveau waarop fysieke opslag en transport van gegevens zijn beveiligd. Beheer van communicatie- en bedieningsprocessen <ORGANISATIE>-medewerkers kunnen ook vanuit thuis gebruik maken van <INFORATIESYSTEE>. Neem maatregelen om te voorkomen dat gebruikers vanuit de thuissituatie vertrouwelijke gegevens kunnen lekken. aak afspraken over het gewenste inzicht (rapportage/logging) in de wijze waarop door de leveranciers wordt omgegaan met het beheer van <INFORATIESYSTEE> en in het bijzonder de omgang met gegevens. Logische toegangsbeveiliging Zorg ervoor dat alleen geautoriseerde personen toegang hebben tot de gegevens in <INFORATIESYSTEE> en in het bijzonder tot de vertrouwelijke gegevens. aak afspraken over de (remote) toegang tot <INFORATIESYSTEE> door beheerders, ontwikkelaars et cetera. Pagina 15 van 37

16 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> Ontwikkeling en onderhoud van systemen Zorg voor adequaat beheer van de programmatuur (scripts) die bij <ORGANISATIE> zelf in beheer zijn. Denk aan documentatie, afspraken voor ontwikkeling en gebruik, testen et cetera. Zorg ervoor dat de invulling en instandhouding van beveiligingsmaatregelen onderdeel zijn van de afspraken met betrekking tot ontwikkeling en onderhoud. Denk aan de omgang van productiegegevens door XXX en het beheer van XXX door XXX. Continuïteit Zorg voor een visie/aanpak hoe om te gaan met de eis die wordt gesteld aan de continuïteit van <INFORATIESYSTEE>. Vertaal de visie/aanpak voor continuïteit van <INFORATIESYSTEE> naar eisen die aan de leveranciers worden gesteld. Naleving Zorg voor een proces dat controleert op de juiste werking van de mens (vooral XXX) met betrekking tot de maatregelen voor informatiebeveiliging. Zorg ervoor dat de controle van extern betrokken diensten onderdeel is van het reguliere demand proces. Zorg voor controle van de diensten die door leveranciers worden geleverd om de aanwezigheid en juiste werking van beveiligingsmaatregelen te garanderen. Bijvoorbeeld de omgang met productiegegevens bij XXX. 3.5 Conclusies diepgaande risicoanalyse De belangrijkste bevindingen van de diepgaande risicoanalyse zijn: De drie belangrijkste gevolgen van niet of niet correct functioneren van <INFORATIESYSTEE> hebben betrekking op: 1. Tijdverlies, extra werk: waarbij de aard van het werk in processen zoals <PROCES> het ondoenlijk maakt om snel extra capaciteit in te zetten. 2. Juridische gevolgen: wanneer contracten worden gebaseerd op onjuiste gegevens. Bij <PROCES> kunnen bijvoorbeeld schadeclaims ontstaan wanneer een foutieve <GEGEVENS> wordt gehanteerd. 3. Imagoverlies, reputatieschade en eventuele politieke gevolgen: omdat vooral <PROCES> in de publieke belangstelling staan. De drie belangrijkste bedreigingen voor het niet of niet correct functioneren van <INFORATIESYSTEE> zijn: 1. Onopzettelijk foutief handelen door functioneel beheer en XXX-medewerkers. 2. Onvoldoende beveiliging van gegevens op specifieke plekken: PC van XXXbeheer, thuiswerkplek et cetera. 3. Diensten worden niet correct geleverd, bijvoorbeeld door onvoldoende duidelijke afspraken, slecht opgeleid personeel, onvoldoende capaciteit, personeel dat aan de veiligheidseisen voldoet, geen functiescheiding, te hoge autorisaties. De drie belangrijkste maatregelen (op het niveau van doelstelling) die (in aanvulling op de <ORGANISATIE> baseline) aanwezig moeten zijn voor het betrouwbaar functioneren van <INFORATIESYSTEE> zijn: 1. Zorg ervoor dat de medewerkers van functioneel beheer en de XXXmedewerkers optimaal worden ondersteund in hun werk en daarmee deze werkzaamheden betrouwbaar kunnen uitvoeren. Dit betreft onder meer Pagina 16 van 37

17 Voorbeeld Rapportage diepgaande Risicoanalyse <INFORATIESYSTEE> voldoende beschikbaarheid en training alsmede adequaat beheer van de programmatuur (scripts) en documentatie evenals duidelijke afspraken voor ontwikkeling, gebruik, testen et cetera. 2. Zorg ervoor dat alleen geautoriseerde personen toegang hebben tot de gegevens in <INFORATIESYSTEE> en in het bijzonder tot de vertrouwelijke gegevens. Dit betreft zowel de beveiliging van de speciale werkplekken, de juiste beveiliging bij thuiswerken als de juiste inrichting en het gebruik van de middelen voor toegangsbeveiliging voor gebruikers en beheerders (OS, DB, programmatuur). 3. Zorg voor goede afspraken met leveranciers die aansluiten op de eisen vanuit <INFORATIESYSTEE>. Dit betreft onder meer afspraken over eisen die aan medewerkers worden gesteld met bterekking tot de omgang met gegevens, eisen aan de beveiliging van fysieke opslag en transport van gegevens, rapportage over de wijze waarop wordt omgegaan met het beheer van <INFORATIESYSTEE>, de (remote) toegang tot <INFORATIESYSTEE>, de omgang met productiegegevens et cetera. Zorg daarnaast voor controle van de diensten die door leveranciers worden geleverd om de aanwezigheid en juiste werking van beveiligingsmaatregelen te garanderen. Pagina 17 van 37

18 Rapportage Diepgaande Risicoanalyse <INFORATIESYSTEE> 4 Bijlage A: Opbouw informatiesysteem <INFORATIESYSTEE> APGOOD Onderstaande tabel beschrijft de componenten van het informatiesysteem. Deze informatie is overgenomen uit de eerdere analyse en gevalideerd door (projectleider <ORGANISATIE>, systeemeigenaar). Component Onderdeel Invulling ens Gebruikersorganisatie De volgende gebruikers / groepen zijn in de analyse meegenomen: - Algemene gebruikers: o XXX - Bijzondere gebruikers: o YYY Apparatuur Zie onder 'Diensten' <ORGANISATIE> heeft geen eigen apparatuur in gebruik in relatie tot <INFORATIESYSTEE> Programmatuur Zie onder 'Diensten' XXX is functioneel eigenaar van programmatuur, beheer en budget ligt bij XXX Componenten van XXX aatwerk Applicatie xxx Gegevens Autorisatiegegevens Op rollen gebaseerde gegevens betreffende de autorisatie die medewerkers hebben om bepaalde functies in <INFORATIESYSTEE> uit te voeren, inclusief functioneel beheerders (technisch beheerders hebben feitelijk geen <INFORATIESYSTEE> autorisaties, wel op OS, database et cetera.) BAG gegevens Wordt door XXX geleverd Bron / basisregistratie <BRON> gegevens geleverd door <ORGANISATIE> gegevens Log gegevens Gegevens die het informatiesysteem opslaat met betrekking tot de transacties die worden uitgevoerd. Geverifieerd moet worden of deze nog daadwerkelijk vastgelegd worden. Kopie gegevens Voor ontwikkeling door XXX in de ontwikkelomgeving die XXX heeft staan. Organisatie Gebruikersorganisatie De organisatiedelen waarin de gebruikers in zijn ondergebracht (zie component ens) Beheerorganisatie XXX Omgeving Werkplekken Overige werkplekken Pagina 18 van 37

19 Rapportage Diepgaande Risicoanalyse <INFORATIESYSTEE> Component Onderdeel Diensten Technisch applicatiebeheer Technisch systeembeheer (besturingssystemen, databases et cetera.) Netwerkinfrastructuur, netwerkdiensten (Inloggen, werkplekken, printers et cetera. Operating System laag aatwerk beveiligingscomponenten Invulling Door XXX (onderhoud software en doorvoeren changes) door XXX door XXX Door XXX Software op voornoemde servers, beheer door XXX Pagina 19 van 37

20 Rapportage Diepgaande Risicoanalyse <INFORATIESYSTEE> 5 Bijlage B: resultaten analyse bedreigingen Onderstaande tabel geeft de relatie aan tussen de onderdelen van het informatiesysteem (conform de APGOOD-componenten) die zijn geanalyseerd en de effecten die dreigingen kunnen hebben. De dreigingen zijn de in de vorm van incidenten verwoord en per incident is op een 3-puntenschaal (L,, aangegeven hoe groot de invloed ervan is op werking van <INFORATIESYSTEE>. Bij deze werking wordt onderscheid gemaakt tussen de eisen die op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid aan <INFORATIESYSTEE> worden gesteld vanuit de ondersteunde processen. De bedreigingenanalyse heeft op <DATU> plaatsgevonden met XXX (gedelegeerd systeemeigenaar <INFORATIESYSTEE>) en XX (analist informatiebeveiliging). Per APGOOD-element (bijvoorbeeld ens) is besproken wat het effect is van het onjuist werken (werkt onjuist), (tijdelijk) niet werken (werkt tijdelijk- niet) of niet aanwezig zijn (is er niet). ierbij is per component steeds onderscheid gemaakt tussen relevante onderdelen. Component Incident Scha de ens Functioneert onjuist Niet aanwezig Niet in dienst Wegvallen: Voorzienbaar (ontslag, vakantie) Onvoorzienbaar (ziekten, overlijden, ongeval, staking) Onopzettelijk foutief handelen: Onkunde, slordigheid Foutieve procedures Complexe foutgevoelige bediening Onzorgvuldige omgang met wachtwoorden Onvoldoende kennis/training Opzettelijk foutief handelen: Niet werken volgens voorschriften/procedures Fraude/diefstal/lekken van informatie Ongeautoriseerde toegang met account van medewerker met hogere Kans Totaa l L L XXX Toelichting (gevolgen et cetera.) L De integriteit van de gegevens die via <INFORATIESYSTEE> beschikbaar worden gesteld is zwaarwegend voor de processen <PROCES> en <PROCES>. Binnen de processen <PROCES> wordt blind gevaren op de inhoudelijke gegevens in <INFORATIESYSTEE>. Dit blind varen betekent niet dat men extreem afhankelijk is van de correctheid van gegevens en werking van <INFORATIESYSTEE>. Onopzettelijk foutief handelen door functioneel beheer en XXXmedewerkers kan een hoge schade opleveren, de kans wordt laag ingeschat. n.v.t. n.v.t. Er wordt geen rekening gehouden met het opzettelijk foutief handelen van de mens. Pagina 20 van 37

Risicoanalysemethode. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Risicoanalysemethode. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Risicoanalysemethode Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

DIEPGAANDE RISICOANALYSE METHODE GEMEENTEN

DIEPGAANDE RISICOANALYSE METHODE GEMEENTEN DIEPGAANDE RISICOANALYSE METHODE GEMEENTEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Diepgaande Risicoanalysemethode

Nadere informatie

Beknopt overzicht van bedreigingen en maatregelen

Beknopt overzicht van bedreigingen en maatregelen Beknopt overzicht van bedreigingen en maatregelen Dit voorbeelddocument omvat een beknopt overzicht van bedreigingen en maatregelen. De opgesomde componenten, bedreigingen en maatregelen zijn bedoeld om

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD De Baseline Informatiebeveiliging & grote gemeenten 6 oktober 2014 John van Huijgevoort, IBD Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): Samenhang Instrumenten Hoe om te gaan

Nadere informatie

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Overzicht Informatiebeveiliging Inlichtingenbureau GGK Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

O2 Veilig of niet? Dat is de vraag! Wat betekent NEN7510 in relatie tot uw praktijk?

O2 Veilig of niet? Dat is de vraag! Wat betekent NEN7510 in relatie tot uw praktijk? O2 Veilig of niet? Dat is de vraag! Wat betekent NEN7510 in relatie tot uw praktijk? 7 Redenen om NEN 7510 in te voeren 1. Iedere zorginstelling is verplicht zich te houden aan de Wet bescherming persoonsgegevens.

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Drechtsteden Technische Architectuur (DTA) ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Status : Definitief 1.0 Redactie : DTA Datum : 29-08-2007 1 Versiebeheer

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Veilige afvoer van ICT-middelen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

24/7. Support. smart fms

24/7. Support. smart fms 24/7 Support Smart FMS vindt het van het grootste belang dat haar klanten helder inzicht hebben in de voorwaarden, zekerheid over gemaakte afspraken en het vertrouwen in haar als softwareaanbieder. Het

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Vragenlijst ten behoeve van opstellen continuïteitsplan

Vragenlijst ten behoeve van opstellen continuïteitsplan Vragenlijst ten behoeve van opstellen continuïteitsplan Soorten risico s Data (digitaal of op papier) zijn voor langere tijd niet beschikbaar Applicaties (software) zijn voor langere tijd niet beschikbaar

Nadere informatie

Bijlage Risicoanalyse steekproeftrekking

Bijlage Risicoanalyse steekproeftrekking Bijlage Risicoanalyse steekproeftrekking Versie: 2.0 Datum: 15-09-2013 Code: BIJ 02.01 Eigenaar: KI 1. Risicoanalyse voor de steekproeftrekking De eerste stap in de uitvoering van de steekproeftrekking

Nadere informatie

Privacy Verklaring versie 01-10-2015

Privacy Verklaring versie 01-10-2015 Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Rapport Richtlijn gebruik productiegegevens

Rapport Richtlijn gebruik productiegegevens Rapport Richtlijn gebruik productiegegevens Documenthistorie Datum en versienummer Auteur Opmerking Versie 1.0, 20 december 2005 M. van der Werff, B. de Wit Ter vaststelling door DPB Goedkeuring Datum

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Informatiebeveiligingsplan Dentpoint Centrum voor Mondzorg

Informatiebeveiligingsplan Dentpoint Centrum voor Mondzorg Informatiebeveiligingsplan Praktijkadres Silvoldseweg 29a 7061 DL Terborg Praktijkadres De Maten 2 7091 VG Dinxperlo Praktijkadres F.B. Deurvorststraat 40 7071 BJ Ulft Bijlage 1 Inhoud Informatiebeveiligingsplan

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Beheerder ICT. Context. Doel

Beheerder ICT. Context. Doel Beheerder ICT Doel Zorgdragen voor het doen functioneren van ICTproducten en het instandhouden van de kwaliteit daarvan, passend binnen het beleid van de afdeling, teneinde aan de eisen en wensen van de

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

Informatiebeveiliging voor functioneel beheerders. SYSQA B.V. Almere. Datum : 16-04-2013 Versie : 1.0. Opgesteld door :

Informatiebeveiliging voor functioneel beheerders. SYSQA B.V. Almere. Datum : 16-04-2013 Versie : 1.0. Opgesteld door : voor functioneel beheerders SYSQA B.V. Almere Datum : 16-04-2013 Versie : 1.0 Status : Definitief Opgesteld door : Organisatie: SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 Inleiding... 3 1.2 Doel en veronderstelde

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Bijlage 1 Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Uitgeverij Zwijsen B.V. is een educatieve uitgeverij die verschillende digitale producten en diensten ( digitale leermiddelen

Nadere informatie

Factsheet Penetratietest Webapplicaties

Factsheet Penetratietest Webapplicaties Factsheet Penetratietest Webapplicaties Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

beschikbaarheid, integriteit en vertrouwelijkheid.

beschikbaarheid, integriteit en vertrouwelijkheid. Bijlage 4 Beschrijving risicoanalysemethode 1. Inleiding De eerstelijnszorg wordt steeds afhankelijker van de betrouwbaarheid van geautomatiseerde informatiesystemen. Ernstige gevolgen voor de patiëntenzorg

Nadere informatie

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie

Nadere informatie

Functieprofiel: Beheerder ICT Functiecode: 0403

Functieprofiel: Beheerder ICT Functiecode: 0403 Functieprofiel: Beheerder ICT Functiecode: 0403 Doel Zorgdragen voor het doen functioneren van ICT-producten en de ICTinfrastructuur en het instandhouden van de kwaliteit daarvan, passend binnen het beleid

Nadere informatie

Praktijkinstructie Beveiliging informatiesystemen

Praktijkinstructie Beveiliging informatiesystemen instructie Beveiliging informatiesystemen 4 (CIN15.4/CREBO:50141) pi.cin15.4.v1 ECABO, 1 januari 1998 Alle rechten voorbehouden. Niets uit deze uitgave mag worden vermenigvuldigd, overgenomen, opgeslagen

Nadere informatie

Handreiking classificatie. Universiteit Leiden

Handreiking classificatie. Universiteit Leiden Handreiking classificatie Universiteit Leiden 1 Versie beheer Versie 0.1 14 april 2015 Eerste concept door Marco Gosselink Versie 0.2 21 april 2015 Tweede concept na opmerkingen J-W Brock. Versie 0.3 12

Nadere informatie

Preview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens

Preview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens Preview Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens Wordt na goedkeuring van de wet BRP vervangen door Beheerregeling Basisregistratie Personen Gemeentelijk Efficiency Adviesbureau

Nadere informatie

11 december 2014 Jule Hintzbergen, IBD. De Baseline Informatiebeveiliging en kleine gemeenten

11 december 2014 Jule Hintzbergen, IBD. De Baseline Informatiebeveiliging en kleine gemeenten 11 december 2014 Jule Hintzbergen, IBD De Baseline Informatiebeveiliging en kleine gemeenten Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Hoe om te gaan met de BIG als kleine gemeente

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

PSA dienstverlening en Financieel adminstratieve dienstverlening

PSA dienstverlening en Financieel adminstratieve dienstverlening ANNEX VI CONCEPT SLA PSA dienstverlening en Financieel adminstratieve dienstverlening EN Ondernemer Inhoudsopgave 1.1 Achtergrond van de SLA... 3 1.2 Opbouw van de SLA... 3 1.3 Doelstelling van de SLA...

Nadere informatie

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Contractmanagement Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Praktijkinstructie Geautomatiseerde informatievoorziening - beheer 3 (CIN02.3/CREBO:50170)

Praktijkinstructie Geautomatiseerde informatievoorziening - beheer 3 (CIN02.3/CREBO:50170) instructie Geautomatiseerde informatievoorziening - beheer 3 (CIN02.3/CREBO:50170) pi.cin02.3.v2 ECABO, 1 september 2003 Alle rechten voorbehouden. Niets uit deze uitgave mag worden vermenigvuldigd, overgenomen,

Nadere informatie

Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging. 1. Inleiding

Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging. 1. Inleiding Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging 1. Inleiding Doel van dit document is het verzamelen van alle aspecten die relevant zijn in het kader van personeelsbeleid en NEN 7510, en

Nadere informatie

Service Level Agreement

Service Level Agreement Service Level Agreement 1 Algemene bepalingen 1.1 Partijen Deze Service Level Agreement (verder te noemen: SLA) is een overeenkomst die is gesloten tussen: WAME BV, gevestigd te Enschede aan de Deurningerstraat

Nadere informatie

Presentatie ISO27001 in de praktijk. MOA bijeenkomst 16 mei 2013

Presentatie ISO27001 in de praktijk. MOA bijeenkomst 16 mei 2013 Presentatie ISO27001 in de praktijk MOA bijeenkomst 16 mei 2013 Even voorstellen Rob de Leur Business partner ORBEDO Procesmanagement Informatiebeveiliging Risicomanagement Informatiebeveiliging - korte

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

Privacy reglement publieke XS-Key

Privacy reglement publieke XS-Key Privacy reglement publieke XS-Key Dit is het Privacy reglement behorend bij XS-Key Systeem van Secure Logistics BV (hierna te noemen SL ). 1. Definities In dit reglement worden de navolgende begrippen

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011

Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011 Universitair Informatiemanagement Kenmerk: SECR/UIM/11/0914/FS Datum: 14-09-11 Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011 1. Inleiding Begin 2011

Nadere informatie

NETQ Healthcare: Voor inzicht in het effect van therapie

NETQ Healthcare: Voor inzicht in het effect van therapie NETQ Healthcare: Voor inzicht in het effect van therapie INHOUD Inleiding 3 Eisen vanuit NEN 7510 en de Wet Bescherming Persoonsgegevens 4 Beheerst wijzigingsproces 4 Toegankelijkheid geautoriseerde gebruikers

Nadere informatie

BEHEERREGELING BASISREGISTRATIE PERSONEN (BRP)

BEHEERREGELING BASISREGISTRATIE PERSONEN (BRP) GEMEENTEBLAD Officiële uitgave van gemeente Zaanstad. Nr. 35060 22 april 2015 BEHEERREGELING BASISREGISTRATIE PERSONEN (BRP) HOOFDSTUK 1 ALGEMENE BEPALINGEN Artikel 1 In deze regeling wordt verstaan onder:

Nadere informatie

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Ter info (AB) Afdeling: Team: Bedrijfsbureau Beh.door: Bos, M.G. Port.houder: DB, Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Memo Informatiebeveiliging Inleiding Met

Nadere informatie

SVHT-IT. Mission statement

SVHT-IT. Mission statement SVHT-IT Mission statement Wij leveren oplossingen en diensten aan het MKB op het gebied van ICT, waarbij service, flexibiliteit en een persoonlijke relatie met de klant voorop staan SVHT-IT is een onderneming

Nadere informatie

Informatiebeveiliging. Beleidsuitgangspunten. Versie 2 (concept)

Informatiebeveiliging. Beleidsuitgangspunten. Versie 2 (concept) Informatiebeveiliging Beleidsuitgangspunten Versie 2 (concept) 1 1. INLEIDING... 4 1.1 Inleiding... 4 1.2 Aanleiding... 4 1.3 Wat is informatiebeveiligingsbeleid... 4 1.4 Doelgroep... 5 1.5 Eindverantwoordelijkheid...

Nadere informatie

Privacy Scan VISD juni 2014. Antwoordcategorie Ja/Nee/ Onbekend

Privacy Scan VISD juni 2014. Antwoordcategorie Ja/Nee/ Onbekend 1 Governance Deze vragen geven inzicht in de te ondernemen acties met betrekking tot de governance en organisatie van privacy. Dit is afhankelijk van de lokale situatie vanaf 2015. Elke gemeente moet nadenken

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013

Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013 Auditdienst Rijk Ministerie van Financiën Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013 ADR/20 14/1087 Datum 16 september 2014 Status Definitief Pagina 1 van 14 MUOIt

Nadere informatie

Baseline informatiebeveiliging (minimale maatregelen)

Baseline informatiebeveiliging (minimale maatregelen) Baseline informatiebeveiliging (minimale maatregelen) 1 Versie beheer Versie 0.1 9 september 2013 1 e concept Versie 0.2 23 september 2013 2 e concept na review door Erik Adriaens Versie 0.3 8 oktober

Nadere informatie

GEDRAGS- CODE. Gebruik van elektronische communicatiemiddelen

GEDRAGS- CODE. Gebruik van elektronische communicatiemiddelen GEDRAGS- CODE Gebruik van elektronische communicatiemiddelen 2 3 Gedragscode voor het gebruik van elektronische communicatiemiddelen Inhoud 1. Doel van de regeling 2. Werkingssfeer 3. Algemene gedragsregels

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

Informatiebeveiliging: Hoe voorkomen we issues?

Informatiebeveiliging: Hoe voorkomen we issues? Informatiebeveiliging: Hoe voorkomen we issues? Workshop C Remco de Boer (Kennisnet) Ludo Cuijpers (MBO Taskforce IBB) Inhoud 1. Voorstelronde 2. Over uw rol 3. Maatregelen 4. De diepte in Voorstelronde

Nadere informatie

SERVICE LEVEL AGREEMENT

SERVICE LEVEL AGREEMENT SERVICE LEVEL AGREEMENT MijnASP Versie 04-01-2008 Pagina:1 1 DEFINITIES Beschikbaarheid CPE Gepland onderhoud Responstijd Elipstijd Kantooruren Klant apparatuur Non-performance penalty Onderhoudsvenster

Nadere informatie

Werkplek Online Iedereen de zekerheid van een flexibele, veilige en toekomstvaste werkplek

Werkplek Online Iedereen de zekerheid van een flexibele, veilige en toekomstvaste werkplek Werkplek Online Iedereen de zekerheid van een flexibele, veilige en toekomstvaste werkplek U wilt maximale vrijheid in het inrichten van uw werkplek, zonder kopzorgen, maar wel betrouwbaar en veilig. Met

Nadere informatie

Praktijkinstructie Beheer en installatie computersystemen/administratie 3 (CIN06.3/CREBO:50191)

Praktijkinstructie Beheer en installatie computersystemen/administratie 3 (CIN06.3/CREBO:50191) instructie Beheer en installatie computersystemen/administratie 3 (CIN06.3/CREBO:50191) pi.cin06.3.v1 ECABO, 1 augustus 1997 Alle rechten voorbehouden. Niets uit deze uitgave mag worden vermenigvuldigd,

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging Informatiebeveiliging Jeroen van Luin 30-11-2011 jeroen.van.luin@nationaalarchief.nl Wat is informatiebeveiliging? Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve

Nadere informatie

Hoofdstuk 1 Algemene Bepalingen

Hoofdstuk 1 Algemene Bepalingen Burgemeester en wethouders van de gemeente Grootegast; Gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Besluiten: Vast te stellen de navolgende beheersregeling gemeentelijke

Nadere informatie

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VERSLAG PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Verslag PIA Versienummer 1.0 Versiedatum April 2014

Nadere informatie

Registratie Data Verslaglegging

Registratie Data Verslaglegging Registratie Data Verslaglegging Registratie Controleren en corrigeren Carerix helpt organisaties in het proces van recruitment en detachering. De applicatie voorziet op een eenvoudige wijze in de registratie

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Kwaliteitsbewaking en testen in ICT beheerorganisaties

Kwaliteitsbewaking en testen in ICT beheerorganisaties DKTP Informatie Technologie Veembroederhof 1 1019 HD Amsterdam Telefoon 020 427 52 21 Kwaliteitsbewaking en testen in ICT beheerorganisaties Voor de meeste projectgroepen die software ontwikkelen vormt

Nadere informatie

Gebruiksvoorwaarden Wijzelf

Gebruiksvoorwaarden Wijzelf Gebruiksvoorwaarden Wijzelf Welkom bij Wijzelf. Door gebruik te maken van de dienstverlening van Wijzelf en die van de Wijzelf zorgcoöperaties, onder andere door middel van de website van Wijzelf, gaat

Nadere informatie

VEILIGHEID & BEVEILIGING Facilitaire Dienst - Universiteit Maastricht

VEILIGHEID & BEVEILIGING Facilitaire Dienst - Universiteit Maastricht VEILIGHEID & BEVEILIGING REGLEMENT CAMERATOEZICHT UNIVERSITEIT MAASTRICHT Dit reglement ziet toe op het cameratoezicht op de terreinen en in de panden van de Universiteit Maastricht. Met behulp van camera

Nadere informatie

GTS-Online Remote Firewall beheer Service Level Agreement (SLA)

GTS-Online Remote Firewall beheer Service Level Agreement (SLA) GTS-Online Remote Firewall beheer Service Level Agreement (SLA) Versie 1.1 November 2014 Inhoudsopgave Inleiding...... 1 Remote Firewall beheer...... 1 Dienst... 1 Randvoorwaarden... 1 Service Level...

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Inhoudsopgave 1 Goedkeuring informatiebeveiligingsbeleid en distributie (BH1) 2 2 Inleiding 2 2.1 Toelichting 2 2.2 Definitie van informatiebeveiliging 2 2.3 Samenhang tussen

Nadere informatie

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) Telefoon: 088 773 0 773 Email: Support@adoptiq.com Website: www.adoptiq.com Adres: Johan Huizingalaan 763a 1066 VH Amsterdam KvK nr: 61820725 BTW nr: NL.854503183.B01 IBAN

Nadere informatie

nemen van een e-depot

nemen van een e-depot Stappenplan bij het in gebruik nemen van een e-depot CONCEPT VOOR FEEDBACK Bijlage bij Handreiking voor het in gebruik nemen van een e-depot door decentrale overheden 23 juli 2015 Inleiding Dit stappenplan

Nadere informatie

Beveiligingsbeleid Perflectie. Architectuur & Procedures

Beveiligingsbeleid Perflectie. Architectuur & Procedures Beveiligingsbeleid Perflectie Architectuur & Procedures 30 november 2015 Versiebeheer Naam Functie Datum Versie Dimitri Tholen Software Architect 12 december 2014 0.1 Dimitri Tholen Software Architect

Nadere informatie

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................

Nadere informatie

1 Dienstbeschrijving all-in beheer

1 Dienstbeschrijving all-in beheer 1 Dienstbeschrijving all-in beheer De all-in beheer overeenkomst van Lancom is modulair opgebouwd. U kunt bij Lancom terecht voor deelgebieden zoals helpdesk ondersteuning of backup, maar ook voor totale

Nadere informatie

(Door)ontwikkeling van de applicatie en functionaliteiten

(Door)ontwikkeling van de applicatie en functionaliteiten Hieronder is een aantal belangrijke zaken uitgewerkt rondom het Saas/Cloudmodel op basis waarvan InCtrl haar internetsoftware-omgevingen aanbiedt. Dit document is bedoeld om een algemeen beeld te krijgen

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

Remote Toegang Policy VICnet/SPITS

Remote Toegang Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Remote Toegang Policy VICnet/SPITS 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

Bijlage 11 Taakomschrijving rollen NEN informatiebeveiliging. 1. Doel

Bijlage 11 Taakomschrijving rollen NEN informatiebeveiliging. 1. Doel Bijlage 11 Taakomschrijving rollen NEN informatiebeveiliging 1. Doel In dit document leggen we vast hoe de taken en bevoegdheden ten aanzien van informatiebeveiliging verdeeld zijn over de diverse medewerkers.

Nadere informatie

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds <Leverancier> Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds Plaats : Organisatie : Datum : Status : Definitief Versie : 1.0 1 De ondergetekenden:

Nadere informatie

Q3 Concept BV Tel: +31 (0)413 331 331

Q3 Concept BV Tel: +31 (0)413 331 331 Algemeen Deze Service Level Agreement (SLA) beschrijft de dienstverlening van Q3 Concept BV op het gebied van het beheer van de Q3 applicatie zoals Q3 Concept BV deze aanbiedt aan opdrachtgever en de service

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL Mr. Jan van Noord Directeur International Tender Services (ITS) BV Wat is Cloud Op het moment dat content uit het eigen beheer c.q. toezicht verdwijnt

Nadere informatie

Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0

Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0 Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0 Informatiebeveiling Zie ook het Privacyregelement 1. Beroepsgeheim De huisartsen, psycholoog en POH s hebben als BIG

Nadere informatie