Introductie Informatiebeveiliging

Maat: px
Weergave met pagina beginnen:

Download "Introductie Informatiebeveiliging"

Transcriptie

1 Introductie Informatiebeveiliging SYSQA B.V. Almere Datum : 25 april 2013 Status : Definitief Opgesteld door :

2 Organisatie: SYSQA B.V. Pagina 2 van 13 Inhoudsopgave 1 Leeswijzer Inleiding Wat is informatiebeveiliging Definitie informatiebeveiliging Beveiligde informatie Beveiliging doorbroken Informatiebedreiging Kwetsbaarheid van de organisatie Veranderende eisen Beveiligingsbeleid Risicomanagement Stakeholders vaststellen Risico-analyse: kwalitatief of kwantitatief Schade Risicostrategieën Maatregelen voor informatiebeveiliging Soorten maatregelen Toetsen en Testen van beveiliging Richtlijnen informatiebeveiliging Incident management Slot Bronvermelding...13

3 Organisatie: SYSQA B.V. Pagina 3 van 13 1 Leeswijzer Sysqa is een onafhankelijke organisatie, gespecialiseerd in het toepassen van kwaliteitsmanagement in ICT. Binnen kwaliteitsmanagement is er ook aandacht voor informatiebeveiliging. Daarom heeft de expertisegroep informatiebeveiliging informatie gebundeld tot diverse documenten welke beschikbaar zijn gesteld op de kennisbank van Sysqa zie: Deze introductie maakt u bekend met de begrippen en de belangrijkste aspecten van informatiebeveiliging. Voor verdieping raadpleegt u de onderliggende documenten op de kennisbank van Sysqa. Hieronder ziet u schematisch de relatie tussen de beschikbare documenten. Introductie Informatiebeveiliging Basiskennis Informatiebeveiliging Informatiebeveiliging voor Requirementsanalist Informatiebeveiliging voor Testmanagement Informatiebeveiliging voor Functioneel Beheer Informatiebeveiliging voor Kwaliteitsmanager

4 Organisatie: SYSQA B.V. Pagina 4 van 13 2 Inleiding In mei van het jaar 1999 stond in een populair wetenschappelijk jongerenblad een artikel waarin werd gesteld dat Hackers niet te stuiten zijn. Een Hacker zou slim, creatief, hondsbrutaal en in staat zijn om elk computernetwerk te kunnen binnentreden. Nu, bijna 14 jaar later stelt Shawn Henry, hoofd van de cyberafdeling van de FBI in een interview met de Wall Street Journal, dat Overheden en bedrijven de strijd verliezen tegen hackers vanwege een gebrek aan maatregelen en besef. Hij pleit voor grote veranderingen bij bedrijven en organisaties in de manier waarop zij hun netwerk en systemen beveiligen zodat verdere schade aan de nationale veiligheid en de economie voorkomen kan worden. Meesterhacker Kevin Mittnick geeft toe zelf de meeste hacks te zetten middels social engineering, het verkrijgen van wachtwoorden en andere informatie door zich betrouwbaar voor te doen. Een organisatie kan zich met eenvoudige middelen beschermen tegen social engineering. Zonder te vervallen in techniek of procedures is bewustwording in elke laag van de organisatie cruciaal voor informatiebeveiliging. Veel organisaties hebben informatie onvoldoende beveiligd laat staan dat dit ingebed is binnen de organisatie. De verantwoordelijkheid voor informatiebeveiliging ligt dus bij iedere werknemer binnen een organisatie. De volwassenheid van informatiebeveiliging is in veel organisaties nog onder het gewenste of noodzakelijke niveau. Op dit moment is de aandacht voor het vakgebied groot aangezien de risico s voor de gevolgen van een gebrekkig informatiebeveiligingsplan een enorme impact kunnen hebben. De farmaceutische industrie heeft veel vooruitgang geboekt met kwaliteitsmaatregelen tegen de bijwerkingen van medicijnen. De geaccepteerde foutmarge voor een medicijn moet nihil zijn. Net zo worden de gevolgen van gebrekkige informatiebeveiliging steeds minder geaccepteerd door stakeholders en komen daardoor wekelijks organisaties negatief in het nieuws als gevolg van te ruime foutmarges in de aanpak om informatie te beveiligen. Wie is verantwoordelijk voor informatiebeveiliging? U als CEO, CIO, functioneel beheerder, informatieanalist, servicedeskmedewerker, tester of welke functie of rol u heeft, moet vanuit uw expertise bijdragen aan informatiebeveiliging in uw eigen organisatie. Deze introductie in informatiebeveiliging geeft u een eerste handvat de security van informatiesystemen in uw eigen omgeving of organisatie te verbeteren en daarmee de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te waarborgen voor alle stakeholders.

5 Organisatie: SYSQA B.V. Pagina 5 van 13 3 Wat is informatiebeveiliging In dit hoofdstuk worden verschillende definities en begrippen op hoofdlijnen besproken. Informatie is een breed begrip dat op verschillende manieren kan worden uitgelegd. Gegevens kunnen gezien worden als de waarneembare weergave van feiten in een opslagplaats. Informatie daarentegen is de betekenis, die de mens aan de hand van bepaalde afspraken aan gegevens toekent, of de kennistoename als gevolg van het ontvangen en verwerken van bepaalde gegevens. Zie hiervoor Basiskennis Informatiebeveiliging hoofdstuk 4. Hoe beveilig je deze informatie? 3.1 Definitie informatiebeveiliging Informatiebeveiliging is het geheel van maatregelen om de betrouwbaarheid, integriteit en vertrouwelijkheid te waarborgen. Hieronder verstaan we elke vorm van procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen. Dit betekent dat alle reducerende (beperken), preventieve (voorkomen), detectieve (signaleren), repressieve (onderdrukken) en correctieve (aanpassen van) maatregelen hiertoe behoren. Voorwaarde is dat deze als doel hebben de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van incidenten tot een acceptabel niveau te accepteren, beperken of verzekeren. Informatie die kostbaar is voor een organisatie of individu dient beveiligd te worden. Deze maatregelen worden gevat onder het begrip informatiebeveiliging. In bovenstaand figuur ziet u hoe verschillende maatregelen in relatie staan tot een dreiging en een incident.

6 Organisatie: SYSQA B.V. Pagina 6 van Beveiligde informatie Om informatie als waardevol en bruikbaar te kunnen beoordelen zijn drie aspecten van belang. Informatie moet beschikbaar, integer en vertrouwelijk (BIV) zijn. Dit betekent dat tijdigheid, continuïteit en robuustheid gewaarborgd moeten zijn om informatie beschikbaar te stellen op het moment dat een belanghebbende deze nodig heeft. Voor het garanderen van integere informatie moet de informatie actueel en zonder fouten zijn. Door ongeautoriseerd gebruik te voorkomen is ook de vertrouwelijkheid gewaarborgd. Zo is informatie beveiligd. 3.3 Beveiliging doorbroken Indien inbreuk is gemaakt op een van de drie BIV elementen van informatie is er sprake van een incident of verstoring. Informatiebeveiliging is een cyclus die continu doorlopen moet worden. Elk jaar dient het beleid voor informatiebeveiliging te worden getoetst aan de uitkomsten van de risicoanalyse ter controle of dit beleid afdoende is. Mogelijk dient het beleid met bijpassende maatregelen gecorrigeerd te worden. De preventieve maatregel die vandaag wordt genomen tegen een bedreiging kan toch onvoldoende zijn voor een toekomstige verstoring. Indien deze verstoring plaatsvindt én wordt gedetecteerd kan men repressieve maatregelen treffen om de schade te beperken. Daarna kan de schade pas hersteld worden.

7 Organisatie: SYSQA B.V. Pagina 7 van 13 4 Informatiebedreiging 4.1 Kwetsbaarheid van de organisatie Informatie en de ondersteunende processen, systemen en netwerken zijn belangrijke bedrijfsmiddelen. Organisaties en hun informatiesystemen en netwerken worden geconfronteerd met beveiligingsrisico s uit allerlei menselijke en niet-menselijke bronnen, waaronder computerfraude, spionage, sabotage, vandalisme, brand en overstromingen. Oorzaken van schade zoals virussen, computer hacking en DDOS*-aanvallen (*= weigeren-van-dienst ) komen steeds vaker voor en zijn professioneler en vernuftiger van aard. 4.2 Veranderende eisen Veel informatiesystemen zijn ontworpen met het oog op functionaliteit. Hierdoor staan vaak de niet-functionele requirements onder druk wat ten koste kan gaan van de veiligheid. Daarom is het noodzakelijk vanaf het begin van een ontwikkeltraject beveiligbaarheid mee te nemen als requirement. Ook bij onderhoud van bestaande systemen is de aandacht voor informatiebeveiliging onderbelicht terwijl juist bij onderhoudsmatige werkzaamheden ook beveiliging verbeterd kan worden. Gaat men achteraf informatiebeveiliging inbouwen in de bestaande architectuur dan vergt dit veelal een grote investering en kan dit een grote impact hebben op de bestaande architectuur. Zie ook Informatiebeveiliging voor Requirementsanalist. Informatiebeveiliging kan het meest doeltreffend en efficiënt worden geïmplemen-teerd wanneer hier aan het begin van de systeemontwikkeling aan wordt gewerkt. Dit is vergelijkbaar met de ontwikkeling van de automobiel aan het eind van de 19 e eeuw waarbij kort na het realiseren van de eerste auto het gemotoriseerd rijden belangrijker was dan de veiligheid. Het achteraf inbouwen van een airbag in een T-Ford maakt dit nog niet tot een veilige auto. De belanghebbenden bij systeemontwikkeling dienen al oog te hebben voor de veiligheidsrisico s en de mogelijkheden informatiebeveiliging tijdens de requirementsfase. Hiermee wordt voorkomen dat incidenten uit productie zorgen voor ad-hoc aanpassingen. Het risico bestaat namelijk dat het systeem en de architectuur middels een compromis ipv een gewenste keuze wordt geïmplementeerd. 4.3 Beveiligingsbeleid In de praktijk zijn eisen voor informatiebeveiliging veelal onduidelijk voor de belanghebbenden. Daarom wordt veelvuldig gebruik gemaakt van expertise om te bepalen wat de huidige situatie (Ist) en de gewenste situatie voor informatiebeveiliging moet zijn (Soll). Het management van de organisatie dient op basis van deze uitkomsten aan te geven waar de prioriteiten liggen en beleid uit te zetten waarmee structureel vorm kan worden gegeven aan de implementatie van informatiebeveiliging in de organisatie. Zie voor informatie hierover Informatiebeveiliging voor Kwaliteitsmanager.

8 Organisatie: SYSQA B.V. Pagina 8 van 13 Er dient door het management richting te worden gegeven aan het beleid zodat bijvoorbeeld een keuze kan worden gemaakt voor facilitaire maatregelen zoals fysieke toegangscontrole tot het pand. Daaruit kan ook volgen dat er wordt gekozen om toegang tot applicaties door functioneel beheer via autorisaties te laten lopen. De beveiliging die met technische middelen kan worden bereikt is beperkt en behoort daarom te worden ondersteund door geschikt beheer en geschikte procedures. Bepalen welke beheersmaatregelen behoren te worden ingesteld, vereist een zorgvuldige planning en aandacht voor detail. Modellen voor deugdelijk functioneel beheer, zoals BiSL, stellen terecht dat de functioneel beheerder de Betrouwbaarheid en Integriteit dient te waarborgen. Zie voor meer informatie Informatiebeveiliging voor Functioneel Beheer. Het beheren van informatiebeveiliging vereist de inzet van alle medewerkers van de organisatie. Bovendien kan deelname van leveranciers, klanten of andere externe partijen vereist zijn. Dat betekent dat al in een vroeg stadium van systeemontwikkeling (requirementsmanagement en ontwikkeling) aandacht moet zijn voor alle relevante stakeholders zodat het niet functionele requirement beveiligbaarheid op de juiste manier geïmplementeerd wordt. Het OSI-model geeft inzicht op welke lagen informatieoverdracht plaatsvindt. Op elke laag kan namelijk de beschikbaarheid, integriteit of vertrouwelijkheid worden aangetast. Dit model kan betrokkenen eenvoudig laten zien op welke lagen informatie wordt uitgewisseld. Voor het vormgeven van het beleid kan dit helpen bij het kiezen van de laag waarop beveiligingsmaatregelen worden toepast.

9 Organisatie: SYSQA B.V. Pagina 9 van 13 5 Risicomanagement 5.1 Stakeholders vaststellen Het bepalen van de juiste mate van beveiliging van informatie moet in overleg met de gebruikers van deze informatie. Deze kunnen aanduiden welke risico s er kunnen optreden en hoe groot de kans op die risico s is. Het is belangrijk alle relevante stakeholders hierin te betrekken. Een CEO zal zich waarschijnlijk zorgen maken over het imago indien klantgegevens op straat terecht kunnen komen, een systeembeheerder daarentegen zal kijken naar de beveiligbaarheid van de serverruimte terwijl een key-user de nadruk legt op de autorisaties van personen voor het verrichten van bijvoorbeeld financiële transacties. 5.2 Risico-analyse: kwalitatief of kwantitatief Er worden in de literatuur twee methodes beschreven: de kwantitatieve en de kwalitatieve risico-analyse. Voordat maatregelen worden genomen dienen de risico s te worden geïdentificeerd. Hiervoor geldt de formule Risico = Kans * Schade. Hierbij wordt de kans ook bepaald door de frequentie van het gebruik. Het verkrijgen van inzicht in de risico s is mogelijk met de risico-analyse. De risico-analyse: Identificeert de waarde van de bedrijfsmiddelen (assets); Stelt de kwetsbaarheden en dreigingen vast; Bepaalt het risico dat een dreiging werkelijkheid wordt waardoor het bedrijfsproces verstoord kan worden; Geeft inzicht in het bepalen van het evenwicht tussen kosten van een incident en de kosten van een beveiligingsmaatregel. De kwantitatieve risico-analyse probeert op basis van risicowaardering te berekenen hoe groot de kans is dat een dreiging een incident wordt, en wat de financiële gevolgen zijn indien het incident zich voordoet. Als eerste wordt voor alle elementen in een bedrijfsproces de waarde vastgesteld. Deze waarden hebben ook betrekking op eigendommen zoals gebouwen en hardware maar ook op de kosten van beveiligingsmaatregelen en de bedrijfsmatige impact. Tevens wordt hierbij de factor tijd meegewogen. Hierdoor wordt het inzichtelijk hoeveel tijd er verstrijkt voordat de dreiging uitkomt. De impact maal de frequentie in een tijdsspanne resulteert in een beeld van het mogelijke financiele risico. Op basis van deze uitkomst kan worden bepaald of de maatregelen in verhouding staan met het risico. In dit proces wordt dus vooral gerekend met de betrokkenen. De kwalitatieve risico-analyse gaat uit van scenario s en situatie. Hierbij worden de kansen dat een dreiging uitkomt bekeken op gevoel. Daarna worden het bedrijfsproces en de huidige maatregelen geanalyseerd. Indien de betrokkenen oordelen dat er een gevoel is van een dreiging kan worden vastgesteld welke maatregelen effectief zijn. Aan te bevelen is om deze analyse in groepsverband uit te voeren zodat er een breed draagvlak voor de uitkomst ontstaat. Bij de kwalitatieve risico-analyse wordt vooral gediscussieerd met de betrokkenen. Het streven van beide analyses is wel dat de kosten van de maatregelen in overeenstemming zijn met de waarde van het te beveiligen object. Beide risicoanalyses moeten ook periodiek worden uitgevoerd zodat huidige maatregelen heroverwogen kunnen worden en afgestemd zijn op de risico s.

10 Organisatie: SYSQA B.V. Pagina 10 van Schade Het meetbaar maken van schade geeft grip op het nemen van de juiste maatregelen zodat bepaald kan worden of de maatregelen passen bij het risico. Hierbij wordt het onderscheid gemaakt in directe schade en indirecte schade. Directe schade omvat schade aan rechtstreeks getroffenen, zoals personen, apparatuur, programmatuur, gegevensverzamelingen en gebouwen. Met indirecte schade wordt bedoeld gevolgschade, dit kunnen bijvoorbeeld zijn: verstoring van bedrijfsprocessen, het overtreden van wetten of verlies van opdrachten en imagoschade. De schade kan worden verdeeld in Jaarlijkse Schade Verwachting (JSV) en Enkelvoudige Schade Verwachting (ESV). Hierbij is enkelvoudige schadeverwachting de schade van een incident dat eenmalig optreedt. De jaarlijkse schadeverwachting is de gemiddelde hoeveelheid schade, in geld uitgedrukt, die door een incident in een jaar kan optreden. Zie voor meer informatie hierover: Basiskennis beveiligen van informatie hoofdstuk Risicostrategieën Een risicostrategie is het resultaat van risicomanagement en bevat het proces om van dreiging naar risico s tot de beveiligingsmaatregelen te gaan. Risicomanagement is een continu proces waarin risico s worden geïdentificeerd, onderzocht en gereduceerd tot een acceptabel niveau. Dit proces is op alle onderdelen van bedrijfsprocessen van toepassing. De meest voorkomende risicostrategieën zijn risicodragend, risiconeutraal en risicomijdend. Indien gekozen wordt voor de strategie waarbij een gering geacht risico ongeregeld te laten werkt men risicomijdend. Een beweegreden hiervoor kan zijn dat de kans dat dit risico tot een incident uitmondt klein is maar de impact heel groot waardoor de beheersmaatregelen niet in verhouding staan met de baten. Indien wordt gestreefd naar de balans tussen de kosten voor de maatregel en de schade heet dit risiconeutraal. Besluit men om risico s te accepteren dan heet dit risicodragend.

11 Organisatie: SYSQA B.V. Pagina 11 van 13 6 Maatregelen voor informatiebeveiliging In dit hoofdstuk worden enkele soorten maatregelen genoemd voor beveiliging van informatie. Ook worden enkele voorbeelden genoemd van referentiekaders. 6.1 Soorten maatregelen Hieronder is schematisch weergegeven hoe de beveiligingsmaatregelen zijn in te delen: Aspect (Beschikbaar, Integer, Vertrouwelijk); Werkingsgebied (Procedures, Applicaties, Gegevensinfrastructuur, IT- Infrastructuur, Basisinfrastructuur); (zie Hoofdstuk 4.3) Plaats in de beveiligingscyclus (Reductief, Preventief, Repressief, Detectief, Correctief, Verzekerd, Geaccepteerd); Wijze van realisatie (Organisatorisch, Technisch, Fysiek). (zie ook Basiskennis Informatiebeveiliging H3.1 en H4) 6.2 Toetsen en Testen van beveiliging Indien maatregelen zijn genomen tegen incidenten is het belangrijk om te verifiëren dat deze maatregelen de gewenste uitwerking hebben. Het testen van beveiliging (security testing) kan een tijdrovend proces zijn, dat begint in de eerste fase van de Software Development Life Cycle (SDLC). Van dit proces worden in de literatuur twee noodzakelijke benaderingen genoemd, namelijk: Testen van beveiligingsmechanismen om er zeker van te zijn dat hun functionaliteit op de juiste wijze is geïmplementeerd; Het uitvoeren van risico gebaseerd testen van beveiliging (risk-based security testing) gebaseerd op het begrijpen en simuleren van de werkwijze van de aanvaller.

12 Organisatie: SYSQA B.V. Pagina 12 van Richtlijnen informatiebeveiliging Bij veel organisaties is de automatisering in de loop der jaren uitgegroeid tot een grootschalig netwerk waarbij klanten gegevens kunnen raadplegen die via het internet of via app s worden ontsloten. Er bestaan verschillende richtlijnen die helpen bij het kiezen van de maatregelen zoals bijvoorbeeld de richtlijnen hieronder. Hieronder worden enkele richtlijnen worden genoemd. Voor meer informatie zie H5.2 Basiskennis Informatiebeveiliging. Voorschrift Informatiebeveiliging Rijksdienst 2007 (VIR 2007); Code Tabaksblat, voor Nederlandse beursgenoteerde bedrijven; Sarbanes-Oxley Act (SOX) Verplicht voor alle bedrijven die in Amerika beursgenoteerd zijn en (eventueel buitenlandse) dochterondernemingen. 6.4 Incident management Ondanks voorzorgsmaatregelen, het voldoen aan normen en standaarden, zijn er nog steeds kansen om de beveiliging te doorbreken. Dan is het tijd voor het beheer van incidenten. Medewerkers spelen een belangrijke rol in het waarnemen van zwakheden in de beveiliging en beveiligingsincidenten. Medewerkers door de hele organisatie moeten incidenten kunnen melden bij een servicedesk waarna deze meldingen worden opgevolgd. De medewerkers van de servicedesk moeten kunnen vaststellen dat het om een specifiek beveiligingsincident gaat. Het doel van dit incidentbeheerproces is het krijgen van inzicht in beveiligingsincidenten. Op die manier kan er ook geleerd worden en kennis gedeeld worden zodat er bij een nieuw incident nog beter kan worden gereageerd. Zie hiervoor ook Informatiebeveiliging voor Kwaliteitsmanager H Slot Met deze introductie heeft u kennis genomen van diverse onderdelen van informatiebeveiliging. Als uw interesse gewekt is, dan is verdere verdieping mogelijk. Op pagina drie staat al aangegeven dat er meerdere documenten zijn waar u informatie uit kunt halen. Deze documenten zijn gericht op specifieke doelgroepen. Het advies is dat document te raadplegen dat volgens de titel het dichtst bij uw eigen rol of functie ligt. Het gaat om de volgende verdiepingsdocumenten: Basiskennis Informatiebeveiliging Informatiebeveiliging voor requirementsanalist Informatiebeveiliging voor testmanagement Informatiebeveiliging voor Functioneel Beheer Informatiebeveiliging voor kwaliteitsmanager

13 Organisatie: SYSQA B.V. Pagina 13 van 13 7 Bronvermelding Documenten Basiskennis Informatiebeveiliging Informatiebeveiliging voor Requirementsanalist Informatiemanagement voor Testmanagement Informatiebeveiliging voor Functioneel Beheer Informatiebeveiliging voor Kwaliteitsmanager Boeken Basiskennis: beveiligen van informatie Informatiebeveiliging onder controle Basiskennis informatiebeveiliging Tijdschriften Kijk, mei 1999 Elsevier, 20 augustus, 2011 Websites Interview Shawn Henry met Wall Street Journal:

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18 ISMS BELEIDSVERKLARING info@thepeoplegroup.nl +31(0) 73 523 67 78 www.thepeoplegroup.nl Versie 1.0: 3/7/18 INTRODUCTIE De directie van The People Group zal bij het voorbereiden en uitvoeren van het algemeen

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Beleid Informatiebeveiliging InfinitCare

Beleid Informatiebeveiliging InfinitCare Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie

Nadere informatie

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................

Nadere informatie

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging Informatiebeveiliging HKZ, november 2016 Wie ik ben: adviseur/trainer/qarebase begeleiden bij kwaliteitsmanagement en certificering Lead Auditor Kiwa, o.a. HKZ, ISO 9001, ZKN, VMS, NEN 7510 en NEN-ISO

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Informatiebeveiliging voor de requirementsanalist

Informatiebeveiliging voor de requirementsanalist voor de requirementsanalist SYSQA B.V. Almere Datum : 15 april 2013 Versie : 1.0 Status : Definitief Opgesteld door : Organisatie: SYSQA BV Pagina 2 van 11 Inhoudsopgave Inhoudsopgave... 2 1 Inleiding...

Nadere informatie

BIJLAGE behorende bij ISO/IEC 27002: 2013 Grafimedia

BIJLAGE behorende bij ISO/IEC 27002: 2013 Grafimedia BIJLAGE behorende bij ISO/IEC 27002: 2013 Grafimedia Onderdeel van de Certificatienorm Informatiebeveiliging Uitgave van de Stichting Certificatie Creatieve Industrie (SCCI) Noodzaak Bijlagen behorende

Nadere informatie

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid 2-Control B.V. +31 (0)76 50 194 70 Haagse Markt 1 www.2-control.nl 4813 BA Breda info@2-control.nl The Netherlands Informatiebeveiligingsbeleid Concept Datum Versiebeheer Versie Datum Status Naam Toelichting

Nadere informatie

Advies informatiebeveiligings analyse HvA

Advies informatiebeveiligings analyse HvA Advies informatiebeveiligings analyse HvA Wouter Borremans - 0461911 - v1.1 1 Juni 2005 1 Inleiding Dit document is geschreven met als doel om de Hogeschool van Amsterdam[5] (HvA) te voorzien van een advies

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Fysieke beveiliging: Waarom voorkomen niet altijd beter is dan genezen. Over Thimo Keizer

Fysieke beveiliging: Waarom voorkomen niet altijd beter is dan genezen. Over Thimo Keizer Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken waaronder change management, integrale beveiliging en risico management. Af van

Nadere informatie

Checklist Beveiliging Persoonsgegevens

Checklist Beveiliging Persoonsgegevens Checklist Beveiliging Persoonsgegevens Beveiliging is een één van de belangrijkste vereisten binnen het privacyrecht. Iedere organisatie zal passende technische en organisatorische maatregelen moeten treffen

Nadere informatie

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8 Information Security Management System Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8 Versiebeheer De verantwoordelijke van dit document is Paul den Otter (directielid). Hieronder is het versiebeheer

Nadere informatie

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging Informatiebeveiligings- en privacy beleid Haagsche Schoolvereeniging 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging Informatiebeveiliging Jeroen van Luin 30-11-2011 jeroen.van.luin@nationaalarchief.nl Wat is informatiebeveiliging? Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve

Nadere informatie

Informatiebeveiliging voor functioneel beheerders. SYSQA B.V. Almere. Datum : 16-04-2013 Versie : 1.0. Opgesteld door :

Informatiebeveiliging voor functioneel beheerders. SYSQA B.V. Almere. Datum : 16-04-2013 Versie : 1.0. Opgesteld door : voor functioneel beheerders SYSQA B.V. Almere Datum : 16-04-2013 Versie : 1.0 Status : Definitief Opgesteld door : Organisatie: SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 Inleiding... 3 1.2 Doel en veronderstelde

Nadere informatie

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007 Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Inhoud Aanleiding en Historie VIR 2007 Invoeringsaspecten 2 Aanleiding en historie

Nadere informatie

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. BISL Business Information Services Library Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2

Nadere informatie

Nota Risicomanagement en weerstandsvermogen BghU 2018

Nota Risicomanagement en weerstandsvermogen BghU 2018 Nota Risicomanagement en weerstandsvermogen BghU 2018 *** Onbekende risico s zijn een bedreiging, bekende risico s een management issue *** Samenvatting en besluit Risicomanagement is een groeiproces waarbij

Nadere informatie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie : Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement Rapportage Pizzasessie Functioneel-beheer.com Alle deelnemers hebben hun functienaam opgegeven. De volgende functienamen zijn gemeld: Specialisten o Functioneel beheerder (9x) o Functioneel applicatiebeheerder

Nadere informatie

E. Procedure datalekken

E. Procedure datalekken E. Procedure datalekken Inleiding Deze procedure maakt integraal onderdeel uit van het privacybeleid van de ons bestuur en is vastgesteld door het college van bestuur. De procedure bestaat uit verschillende

Nadere informatie

Brochure ISO 27002 Foundation

Brochure ISO 27002 Foundation Brochure ISO 27002 Foundation Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid 2016-2017 Strategisch beleid Versie 1.0 Datum Januari 2016 Auteur Specialist Informatiebeveiliging Inhoudsopgave 1. Inleiding... 4 1.1 Doel van dit document... 4 1.2 Informatiebeveiliging...

Nadere informatie

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

Stappenplan naar GDPR compliance

Stappenplan naar GDPR compliance Stappenplan naar GDPR compliance Stappenplan voor compliance met de Algemene Verordening Gegevensbescherming Het Europees Parlement heeft op 14 april 2016 de Algemene Verordening Gegevensbescherming (AVG)

Nadere informatie

INFORMATIEBEVEILIGING WHITEPAPER

INFORMATIEBEVEILIGING WHITEPAPER INFORMATIEBEVEILIGING WHITEPAPER WHITEPAPER De wereld van vandaag wordt gekenmerkt door de snelle ontwikkeling van nieuwe technologieën en disruptieve marktomstandigheden. Deze ontwikkelingen hebben verregaande

Nadere informatie

Stappenplan naar GDPR compliance

Stappenplan naar GDPR compliance Stappenplan naar GDPR compliance In samenwerking met ESET heeft Mazars een whitepaper geschreven met als doel om meer inzicht te geven in het ontstaan en de gevolgen van de General Data Protection Regulation

Nadere informatie

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL Privacy in de zorg Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL Audit & Advisory Security Assessments Training and Awareness

Nadere informatie

De GDPR AVG Privacy wetgeving richt zich op veel meer dan alleen Privacy

De GDPR AVG Privacy wetgeving richt zich op veel meer dan alleen Privacy De nieuwe EU - GDPR - AVG Privacy wetgeving Op 27 april 2016 is de nieuwe Europese General Data Protection Regulation (GDPR) vastgesteld, in Nederland bekend als de Algemene Verordening Gegevensbescherming

Nadere informatie

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 Rijkspas: veiligheid en flexibiliteit ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 24-11-2011 Profile Consultancy Services State of the art software solutions Project implementation Life-cycle

Nadere informatie

Basiskennis Informatiebeveiliging SYSQA

Basiskennis Informatiebeveiliging SYSQA Organisatie SYSQA B.V. Pagina 1 van 27 Basiskennis Informatiebeveiliging SYSQA SYSQA B.V. Almere Datum : 01-03-2012 Status : Definitief Opgesteld door : Organisatie SYSQA B.V. Pagina 2 van 27 Inhoudsopgave

Nadere informatie

Gemeente Alphen aan den Rijn

Gemeente Alphen aan den Rijn Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

Informatiebeveiliging voor overheidsorganisaties

Informatiebeveiliging voor overheidsorganisaties Solviteers Informatiebeveiliging voor overheidsorganisaties 6 6 Informatiebeveiliging voor overheidsorganisaties Pragmatisch stappenplan Whitepaper Solviteers Solviteers Informatiebeveiliging voor overheidsorganisaties

Nadere informatie

De IT en infrastructuur direct weer up-and-running na een incident

De IT en infrastructuur direct weer up-and-running na een incident Alles bij 5W staat in het teken van het veiligstellen van uw data. Of dat nu gaat over de veilige opslag van data, de (mobiele) communicatie van data, of het veiligstellen van uw data in noodsituaties:

Nadere informatie

Innovatie in een veranderd risicolandschap

Innovatie in een veranderd risicolandschap Innovatie in een veranderd risicolandschap Kees Hintzbergen, adviseur IBD Het is toegestaan om voor eigen gebruik foto s te maken tijdens deze bijeenkomst. Foto s mogen niet zonder toestemming van de afgebeelde

Nadere informatie

0.1 Opzet Marijn van Schoote 4 januari 2016

0.1 Opzet Marijn van Schoote 4 januari 2016 Vragenlijst Cyber ISPS Versie Revisiebeschrijving Auteur Datum 0.1 Opzet Marijn van Schoote 4 januari 2016 0.99 Finale concept versie Marijn van Schoote 11 februari 2016 Doelstelling: De doelstelling van

Nadere informatie

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved. 1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Inhoudsopgave 1 Goedkeuring informatiebeveiligingsbeleid en distributie (BH1) 2 2 Inleiding 2 2.1 Toelichting 2 2.2 Definitie van informatiebeveiliging 2 2.3 Samenhang tussen

Nadere informatie

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Mike de Bruijn roduct Owner Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Informatiebeveiligingsbeleid Drukkerij van der Eems

Informatiebeveiligingsbeleid Drukkerij van der Eems Informatiebeveiligingsbeleid Drukkerij van der Eems Door : Sjoukje van der Eems Datum : 26-4-2018 Versie : 1 Status : Definitief Algemeen Belang van Informatiebeveiliging De beschikbaarheid, exclusiviteit

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

AAN DE SLAG MET INFORMATIEMANAGEMENT. Masterclass Informatiemanagement

AAN DE SLAG MET INFORMATIEMANAGEMENT. Masterclass Informatiemanagement AAN DE SLAG MET INFORMATIEMANAGEMENT Masterclass Informatiemanagement AAN DE SLAG MET INFORMATIEMANAGEMENT INTRODUCTIE Informatie is voor elke organisatie een cruciale asset. Efficiënte uitvoering van

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

PROJECTMANAGEMENT 1 SITUATIE

PROJECTMANAGEMENT 1 SITUATIE PROJECTMANAGEMENT George van Houtem 1 SITUATIE Het werken in en het leidinggeven aan projecten is tegenwoordig eerder regel dan uitzondering voor de hedendaagse manager. In elk bedrijf of organisatie komen

Nadere informatie

Zorgeloze ICT, alles voor elkaar

Zorgeloze ICT, alles voor elkaar Zorgeloze ICT, Over ICT Concept ICT Concept is de ICT-partner met ruime ervaring in de juridische sector. Uw (online) werkplek optimaal inrichten en laten functioneren is ons specialisme. De combinatie

Nadere informatie

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016 Meldplicht datalekken ehealth Best Practice Day Juliette Citteur 18 mei 2016 Onderwerpen I. Inleiding II. Cijfers datalekken III. Recente voorbeelden datalekken in de zorg IV. Beveiliging en meldplicht

Nadere informatie

SECURITY RAPPORTAGE 2016 Versie: Auteur: Matthijs Dessing Aantal pagina s: 7

SECURITY RAPPORTAGE 2016 Versie: Auteur: Matthijs Dessing Aantal pagina s: 7 SECURITY RAPPORTAGE 2016 Versie: 2017-08-29 Auteur: Matthijs Dessing Aantal pagina s: 7 Inhoud Inleiding... 3 Incidenten... 4 Incidentmanagementresponseproces... 5 Oplossing & Maatregelen... 6 Trends 2016-2017...

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Goed functioneel beheer noodzaak voor effectievere SPI

Goed functioneel beheer noodzaak voor effectievere SPI getronicspinkroccade.nl Goed functioneel beheer noodzaak voor effectievere SPI Machteld Meijer Zeist, 3 oktober 2006 Inhoud Domeinen en modellen Functioneel beheer en BiSL Rol van BiSL in SPI 1 Goed functioneel

Nadere informatie

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen Auteur Datum Ludo Cuijpers 5 februari 2016 1. Informatiebeveiliging en privacy in het mbo 2. IBP framework 3. Mens

Nadere informatie

Hoofdlijnen Corporate Governance Structuur

Hoofdlijnen Corporate Governance Structuur Hoofdlijnen Corporate Governance Structuur 1. Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe een

Nadere informatie

Verschillen in QA aanpak tussen ERP projecten en niet-erp projecten

Verschillen in QA aanpak tussen ERP projecten en niet-erp projecten Verschillen in QA aanpak tussen ERP projecten en niet-erp projecten SYSQA B.V. Almere Datum : 06 mei 2013 Status : definitief Versie : 2.0 Opgesteld door : Organisatie SYSQA B.V. Pagina 2 van 5 Overzicht

Nadere informatie

Is er een standaard oplossing voor Cyber Security?

Is er een standaard oplossing voor Cyber Security? Is er een standaard oplossing voor Cyber Security? Jaarcongres ECP 15 november 2012 Douwe Leguit Nationaal Cyber Security Centrum Wat staat u te wachten? Deagenda Trends Casuïstiek Uitdagingen Nationaal

Nadere informatie

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom Gemeente 's-hertogenbosch Definitief s-hertogenbosch, 30-10-2015 A. Kieboom 1 Projectidentificatie Projectnaam: Status: Beleid Informatieveiligheid Definitief Documenthistorie Status Datum Versie Auteur(s)

Nadere informatie

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC Toelichting NEN7510 Informatiebeveiliging in de zorg Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC Inhoud Toelichting informatiebeveiliging Aanpak van informatiebeveiliging

Nadere informatie

Digitaal, Ja natuurlijk. Digitalisering als strategische succesfactor

Digitaal, Ja natuurlijk. Digitalisering als strategische succesfactor Digitaal, Ja natuurlijk Digitalisering als strategische succesfactor Agenda Van Ja, natuurlijk naar digitaal concept Te realiseren doelstellingen Van concept naar realisatie Helemaal je eigen plek Digitaal,

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Document nummer ISMS 2 Versie 1.4 Auteur M. Konersmann Goedgekeurd door J. Meijer Datum 30-08-2017 Classificatie Openbaar Versie Datum Reden voor Aangepast door opmaak 1.0

Nadere informatie

Werkdocument interpretatie keuzedeel Security in systemen en netwerken

Werkdocument interpretatie keuzedeel Security in systemen en netwerken Werkdocument interpretatie keuzedeel Security in systemen en netwerken 2 16-03-2016 Inhoud Context... 3 Concrete beroepstaken... 4 D1-K1: Implementeert beveiligingsaanpassingen... 4 D1-K1-W1: Volgt technologische

Nadere informatie

Protocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en

Protocol informatiebeveiligingsincidenten en datalekken. Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en Protocol informatiebeveiligingsincidenten en datalekken Vereniging Christelijk Voortgezet Onderwijs te Rotterdam en omgeving (CVO) Bewerkt door: De Vereniging Christelijk Voortgezet Onderwijs te Rotterdam

Nadere informatie

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Informatiebeveiliging En terugblik op informatiebeveiliging 2016 Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen

Nadere informatie

TOEGANGSBEVEILIGING EN PUBLIEKE NETWERKEN. Een model voor een doelmatige en pragmatische aanpak

TOEGANGSBEVEILIGING EN PUBLIEKE NETWERKEN. Een model voor een doelmatige en pragmatische aanpak TOEGANGSBEVEILIGING EN PUBLIEKE NETWERKEN Een model voor een doelmatige en pragmatische aanpak TOEGANGSBEVEILIGING EN PUBLIEKE NETWERKEN Een model voor een doelmatige en pragmatische aanpak A.D. (Ton)

Nadere informatie

6.6 Management en informatiebeveiliging in synergie

6.6 Management en informatiebeveiliging in synergie 6.6 Management en informatiebeveiliging in synergie In veel organisaties ziet men dat informatiebeveiliging, fysieke beveiliging en fraudemanagement organisatorisch op verschillende afdelingen is belegd.

Nadere informatie

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'. Inleiding Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'. Hierin wordt aangegeven dat DNB in 2017 met

Nadere informatie

Frans de Bree en Joric Witlox Hengelo, 4 december 2008

Frans de Bree en Joric Witlox Hengelo, 4 december 2008 Frans de Bree en Joric Witlox Hengelo, 4 december 2008 16:00 Inleiding 16:15 Wat is risicobeheersing 16:35 Brandveiligheid 17:30 Versterking inwendige mens 18:15 rapport IGZ: Med. hulpmiddelen 18:45 quick

Nadere informatie

Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum

Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum 1 1 Inleiding Informatie en ict zijn noodzakelijk in de ondersteuning van het onderwijs. Omdat we met persoonsgegevens (van onszelf, leerlingen

Nadere informatie

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017 GEGEVENSBESCHERMING IN DE PRAKTIJK Folkert van Hasselt 29 november 2017 Even Voorstellen Folkert van Hasselt RI Register informaticus Werkzaam bij Instituut Verbeeten Manager ICT Information Security Officer

Nadere informatie

NEN 7510: Een kwestie van goede zorg

NEN 7510: Een kwestie van goede zorg NEN 7510: Een kwestie van goede zorg Menig zorginstelling geeft aan nog niet te voldoen aan de NEN 7510 omdat deze (nog) niet verplicht is. Wettelijk is dit wellicht het geval, maar wat nu als men dit

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Architecten-debat 21 juni 2006 PI GvIB Themamiddag. Renato Kuiper. Principal Consultant Information Security

Architecten-debat 21 juni 2006 PI GvIB Themamiddag. Renato Kuiper. Principal Consultant Information Security Architecten-debat 21 juni 2006 PI GvIB Themamiddag Renato Kuiper Principal Consultant Information Security 1 De spreker Principal Consultant Information Security Hoofdredacteur Informatiebeveiliging 15

Nadere informatie

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Programma 1. De IBD 2. stappenplan Aansluiten bij de IBD 3. VCIB-gesprek (plenair) 2 1.1 De IBD Gezamenlijk initiatief

Nadere informatie

Definitieve bevindingen Rijnland ziekenhuis

Definitieve bevindingen Rijnland ziekenhuis POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl Definitieve bevindingen Rijnland ziekenhuis

Nadere informatie

Qsuite in een mobiele applicatie. Geschikt voor telefoon en tablet

Qsuite in een mobiele applicatie. Geschikt voor telefoon en tablet Qsuite in een mobiele applicatie Geschikt voor telefoon en tablet Er is geen stoppen meer aan Het internetgebruik in de wereld neemt iedere dag toe. IT is overal,. Internet is steeds meer, vaker en sneller

Nadere informatie

Brochure ISO 27002 Advanced

Brochure ISO 27002 Advanced Brochure ISO 27002 Advanced Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische Universiteit

Nadere informatie

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG Post Bits of Freedom Bank 55 47 06 512 M +31 (0)6 13 38 00 36 Postbus 10746 KvK 34 12 12 86 E ton.siedsma@bof.nl 1001 ES Amsterdam W https://www.bof.nl Ivo Opstelten Minister van Veiligheid en Justitie

Nadere informatie

Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V.

Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V. Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V. Een kwaliteitsmanagementsysteem helpt bij de beheersing van risico s Want

Nadere informatie

De controller met ICT competenties

De controller met ICT competenties De controller met ICT competenties Whitepaper door Rob Berkhof Aangeboden door NIVE Opleidingen De controller met ICT competenties De huidige samenleving is nauwelijks meer voor te stellen zonder informatisering.

Nadere informatie

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van NORA-3. Het bevat doelen, de Ist en Soll situatie van het NORA katern beveiliging en als laatste sheet de producten die

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Dataprotectie op school

Dataprotectie op school Dataprotectie op school ook een taak van het management Jacques Verleijen Wat is informatieveiligheid? Mogelijke actoren Netwerkschijven Cloud Backup- en restoremogelijkheden Encryptie Servers Firewalls

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

Strategisch Informatiebeveiligingsbeleid Hefpunt

Strategisch Informatiebeveiligingsbeleid Hefpunt Strategisch Informatiebeveiligingsbeleid Hefpunt Groningen, 24-5-2016 Classificatie: intern Wijzigingshistorie Release Datum Auteur(s) Aanpassing 2016 0.1 24-05- 2016 2016 0.2 01-06- 2016 L. Winters J.

Nadere informatie

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern

Nadere informatie

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard Stichting Samenwerkingsverband Passend Primair Onderwijs Hoeksche Waard Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard Vastgesteld door het dagelijks bestuur d.d. 18 december

Nadere informatie

Brochure HC&H Masterclasses

Brochure HC&H Masterclasses Brochure HC&H Masterclasses & Masterclass Informatiebeveiliging & Masterclass Proces en Informatiemanagement & Masterclass Klantgericht werken & Masterclass Functioneel Beheer & Masterclass Inkoop ICT

Nadere informatie