Introductie Informatiebeveiliging

Maat: px
Weergave met pagina beginnen:

Download "Introductie Informatiebeveiliging"

Transcriptie

1 Introductie Informatiebeveiliging SYSQA B.V. Almere Datum : 25 april 2013 Status : Definitief Opgesteld door :

2 Organisatie: SYSQA B.V. Pagina 2 van 13 Inhoudsopgave 1 Leeswijzer Inleiding Wat is informatiebeveiliging Definitie informatiebeveiliging Beveiligde informatie Beveiliging doorbroken Informatiebedreiging Kwetsbaarheid van de organisatie Veranderende eisen Beveiligingsbeleid Risicomanagement Stakeholders vaststellen Risico-analyse: kwalitatief of kwantitatief Schade Risicostrategieën Maatregelen voor informatiebeveiliging Soorten maatregelen Toetsen en Testen van beveiliging Richtlijnen informatiebeveiliging Incident management Slot Bronvermelding...13

3 Organisatie: SYSQA B.V. Pagina 3 van 13 1 Leeswijzer Sysqa is een onafhankelijke organisatie, gespecialiseerd in het toepassen van kwaliteitsmanagement in ICT. Binnen kwaliteitsmanagement is er ook aandacht voor informatiebeveiliging. Daarom heeft de expertisegroep informatiebeveiliging informatie gebundeld tot diverse documenten welke beschikbaar zijn gesteld op de kennisbank van Sysqa zie: Deze introductie maakt u bekend met de begrippen en de belangrijkste aspecten van informatiebeveiliging. Voor verdieping raadpleegt u de onderliggende documenten op de kennisbank van Sysqa. Hieronder ziet u schematisch de relatie tussen de beschikbare documenten. Introductie Informatiebeveiliging Basiskennis Informatiebeveiliging Informatiebeveiliging voor Requirementsanalist Informatiebeveiliging voor Testmanagement Informatiebeveiliging voor Functioneel Beheer Informatiebeveiliging voor Kwaliteitsmanager

4 Organisatie: SYSQA B.V. Pagina 4 van 13 2 Inleiding In mei van het jaar 1999 stond in een populair wetenschappelijk jongerenblad een artikel waarin werd gesteld dat Hackers niet te stuiten zijn. Een Hacker zou slim, creatief, hondsbrutaal en in staat zijn om elk computernetwerk te kunnen binnentreden. Nu, bijna 14 jaar later stelt Shawn Henry, hoofd van de cyberafdeling van de FBI in een interview met de Wall Street Journal, dat Overheden en bedrijven de strijd verliezen tegen hackers vanwege een gebrek aan maatregelen en besef. Hij pleit voor grote veranderingen bij bedrijven en organisaties in de manier waarop zij hun netwerk en systemen beveiligen zodat verdere schade aan de nationale veiligheid en de economie voorkomen kan worden. Meesterhacker Kevin Mittnick geeft toe zelf de meeste hacks te zetten middels social engineering, het verkrijgen van wachtwoorden en andere informatie door zich betrouwbaar voor te doen. Een organisatie kan zich met eenvoudige middelen beschermen tegen social engineering. Zonder te vervallen in techniek of procedures is bewustwording in elke laag van de organisatie cruciaal voor informatiebeveiliging. Veel organisaties hebben informatie onvoldoende beveiligd laat staan dat dit ingebed is binnen de organisatie. De verantwoordelijkheid voor informatiebeveiliging ligt dus bij iedere werknemer binnen een organisatie. De volwassenheid van informatiebeveiliging is in veel organisaties nog onder het gewenste of noodzakelijke niveau. Op dit moment is de aandacht voor het vakgebied groot aangezien de risico s voor de gevolgen van een gebrekkig informatiebeveiligingsplan een enorme impact kunnen hebben. De farmaceutische industrie heeft veel vooruitgang geboekt met kwaliteitsmaatregelen tegen de bijwerkingen van medicijnen. De geaccepteerde foutmarge voor een medicijn moet nihil zijn. Net zo worden de gevolgen van gebrekkige informatiebeveiliging steeds minder geaccepteerd door stakeholders en komen daardoor wekelijks organisaties negatief in het nieuws als gevolg van te ruime foutmarges in de aanpak om informatie te beveiligen. Wie is verantwoordelijk voor informatiebeveiliging? U als CEO, CIO, functioneel beheerder, informatieanalist, servicedeskmedewerker, tester of welke functie of rol u heeft, moet vanuit uw expertise bijdragen aan informatiebeveiliging in uw eigen organisatie. Deze introductie in informatiebeveiliging geeft u een eerste handvat de security van informatiesystemen in uw eigen omgeving of organisatie te verbeteren en daarmee de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te waarborgen voor alle stakeholders.

5 Organisatie: SYSQA B.V. Pagina 5 van 13 3 Wat is informatiebeveiliging In dit hoofdstuk worden verschillende definities en begrippen op hoofdlijnen besproken. Informatie is een breed begrip dat op verschillende manieren kan worden uitgelegd. Gegevens kunnen gezien worden als de waarneembare weergave van feiten in een opslagplaats. Informatie daarentegen is de betekenis, die de mens aan de hand van bepaalde afspraken aan gegevens toekent, of de kennistoename als gevolg van het ontvangen en verwerken van bepaalde gegevens. Zie hiervoor Basiskennis Informatiebeveiliging hoofdstuk 4. Hoe beveilig je deze informatie? 3.1 Definitie informatiebeveiliging Informatiebeveiliging is het geheel van maatregelen om de betrouwbaarheid, integriteit en vertrouwelijkheid te waarborgen. Hieronder verstaan we elke vorm van procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen. Dit betekent dat alle reducerende (beperken), preventieve (voorkomen), detectieve (signaleren), repressieve (onderdrukken) en correctieve (aanpassen van) maatregelen hiertoe behoren. Voorwaarde is dat deze als doel hebben de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van incidenten tot een acceptabel niveau te accepteren, beperken of verzekeren. Informatie die kostbaar is voor een organisatie of individu dient beveiligd te worden. Deze maatregelen worden gevat onder het begrip informatiebeveiliging. In bovenstaand figuur ziet u hoe verschillende maatregelen in relatie staan tot een dreiging en een incident.

6 Organisatie: SYSQA B.V. Pagina 6 van Beveiligde informatie Om informatie als waardevol en bruikbaar te kunnen beoordelen zijn drie aspecten van belang. Informatie moet beschikbaar, integer en vertrouwelijk (BIV) zijn. Dit betekent dat tijdigheid, continuïteit en robuustheid gewaarborgd moeten zijn om informatie beschikbaar te stellen op het moment dat een belanghebbende deze nodig heeft. Voor het garanderen van integere informatie moet de informatie actueel en zonder fouten zijn. Door ongeautoriseerd gebruik te voorkomen is ook de vertrouwelijkheid gewaarborgd. Zo is informatie beveiligd. 3.3 Beveiliging doorbroken Indien inbreuk is gemaakt op een van de drie BIV elementen van informatie is er sprake van een incident of verstoring. Informatiebeveiliging is een cyclus die continu doorlopen moet worden. Elk jaar dient het beleid voor informatiebeveiliging te worden getoetst aan de uitkomsten van de risicoanalyse ter controle of dit beleid afdoende is. Mogelijk dient het beleid met bijpassende maatregelen gecorrigeerd te worden. De preventieve maatregel die vandaag wordt genomen tegen een bedreiging kan toch onvoldoende zijn voor een toekomstige verstoring. Indien deze verstoring plaatsvindt én wordt gedetecteerd kan men repressieve maatregelen treffen om de schade te beperken. Daarna kan de schade pas hersteld worden.

7 Organisatie: SYSQA B.V. Pagina 7 van 13 4 Informatiebedreiging 4.1 Kwetsbaarheid van de organisatie Informatie en de ondersteunende processen, systemen en netwerken zijn belangrijke bedrijfsmiddelen. Organisaties en hun informatiesystemen en netwerken worden geconfronteerd met beveiligingsrisico s uit allerlei menselijke en niet-menselijke bronnen, waaronder computerfraude, spionage, sabotage, vandalisme, brand en overstromingen. Oorzaken van schade zoals virussen, computer hacking en DDOS*-aanvallen (*= weigeren-van-dienst ) komen steeds vaker voor en zijn professioneler en vernuftiger van aard. 4.2 Veranderende eisen Veel informatiesystemen zijn ontworpen met het oog op functionaliteit. Hierdoor staan vaak de niet-functionele requirements onder druk wat ten koste kan gaan van de veiligheid. Daarom is het noodzakelijk vanaf het begin van een ontwikkeltraject beveiligbaarheid mee te nemen als requirement. Ook bij onderhoud van bestaande systemen is de aandacht voor informatiebeveiliging onderbelicht terwijl juist bij onderhoudsmatige werkzaamheden ook beveiliging verbeterd kan worden. Gaat men achteraf informatiebeveiliging inbouwen in de bestaande architectuur dan vergt dit veelal een grote investering en kan dit een grote impact hebben op de bestaande architectuur. Zie ook Informatiebeveiliging voor Requirementsanalist. Informatiebeveiliging kan het meest doeltreffend en efficiënt worden geïmplemen-teerd wanneer hier aan het begin van de systeemontwikkeling aan wordt gewerkt. Dit is vergelijkbaar met de ontwikkeling van de automobiel aan het eind van de 19 e eeuw waarbij kort na het realiseren van de eerste auto het gemotoriseerd rijden belangrijker was dan de veiligheid. Het achteraf inbouwen van een airbag in een T-Ford maakt dit nog niet tot een veilige auto. De belanghebbenden bij systeemontwikkeling dienen al oog te hebben voor de veiligheidsrisico s en de mogelijkheden informatiebeveiliging tijdens de requirementsfase. Hiermee wordt voorkomen dat incidenten uit productie zorgen voor ad-hoc aanpassingen. Het risico bestaat namelijk dat het systeem en de architectuur middels een compromis ipv een gewenste keuze wordt geïmplementeerd. 4.3 Beveiligingsbeleid In de praktijk zijn eisen voor informatiebeveiliging veelal onduidelijk voor de belanghebbenden. Daarom wordt veelvuldig gebruik gemaakt van expertise om te bepalen wat de huidige situatie (Ist) en de gewenste situatie voor informatiebeveiliging moet zijn (Soll). Het management van de organisatie dient op basis van deze uitkomsten aan te geven waar de prioriteiten liggen en beleid uit te zetten waarmee structureel vorm kan worden gegeven aan de implementatie van informatiebeveiliging in de organisatie. Zie voor informatie hierover Informatiebeveiliging voor Kwaliteitsmanager.

8 Organisatie: SYSQA B.V. Pagina 8 van 13 Er dient door het management richting te worden gegeven aan het beleid zodat bijvoorbeeld een keuze kan worden gemaakt voor facilitaire maatregelen zoals fysieke toegangscontrole tot het pand. Daaruit kan ook volgen dat er wordt gekozen om toegang tot applicaties door functioneel beheer via autorisaties te laten lopen. De beveiliging die met technische middelen kan worden bereikt is beperkt en behoort daarom te worden ondersteund door geschikt beheer en geschikte procedures. Bepalen welke beheersmaatregelen behoren te worden ingesteld, vereist een zorgvuldige planning en aandacht voor detail. Modellen voor deugdelijk functioneel beheer, zoals BiSL, stellen terecht dat de functioneel beheerder de Betrouwbaarheid en Integriteit dient te waarborgen. Zie voor meer informatie Informatiebeveiliging voor Functioneel Beheer. Het beheren van informatiebeveiliging vereist de inzet van alle medewerkers van de organisatie. Bovendien kan deelname van leveranciers, klanten of andere externe partijen vereist zijn. Dat betekent dat al in een vroeg stadium van systeemontwikkeling (requirementsmanagement en ontwikkeling) aandacht moet zijn voor alle relevante stakeholders zodat het niet functionele requirement beveiligbaarheid op de juiste manier geïmplementeerd wordt. Het OSI-model geeft inzicht op welke lagen informatieoverdracht plaatsvindt. Op elke laag kan namelijk de beschikbaarheid, integriteit of vertrouwelijkheid worden aangetast. Dit model kan betrokkenen eenvoudig laten zien op welke lagen informatie wordt uitgewisseld. Voor het vormgeven van het beleid kan dit helpen bij het kiezen van de laag waarop beveiligingsmaatregelen worden toepast.

9 Organisatie: SYSQA B.V. Pagina 9 van 13 5 Risicomanagement 5.1 Stakeholders vaststellen Het bepalen van de juiste mate van beveiliging van informatie moet in overleg met de gebruikers van deze informatie. Deze kunnen aanduiden welke risico s er kunnen optreden en hoe groot de kans op die risico s is. Het is belangrijk alle relevante stakeholders hierin te betrekken. Een CEO zal zich waarschijnlijk zorgen maken over het imago indien klantgegevens op straat terecht kunnen komen, een systeembeheerder daarentegen zal kijken naar de beveiligbaarheid van de serverruimte terwijl een key-user de nadruk legt op de autorisaties van personen voor het verrichten van bijvoorbeeld financiële transacties. 5.2 Risico-analyse: kwalitatief of kwantitatief Er worden in de literatuur twee methodes beschreven: de kwantitatieve en de kwalitatieve risico-analyse. Voordat maatregelen worden genomen dienen de risico s te worden geïdentificeerd. Hiervoor geldt de formule Risico = Kans * Schade. Hierbij wordt de kans ook bepaald door de frequentie van het gebruik. Het verkrijgen van inzicht in de risico s is mogelijk met de risico-analyse. De risico-analyse: Identificeert de waarde van de bedrijfsmiddelen (assets); Stelt de kwetsbaarheden en dreigingen vast; Bepaalt het risico dat een dreiging werkelijkheid wordt waardoor het bedrijfsproces verstoord kan worden; Geeft inzicht in het bepalen van het evenwicht tussen kosten van een incident en de kosten van een beveiligingsmaatregel. De kwantitatieve risico-analyse probeert op basis van risicowaardering te berekenen hoe groot de kans is dat een dreiging een incident wordt, en wat de financiële gevolgen zijn indien het incident zich voordoet. Als eerste wordt voor alle elementen in een bedrijfsproces de waarde vastgesteld. Deze waarden hebben ook betrekking op eigendommen zoals gebouwen en hardware maar ook op de kosten van beveiligingsmaatregelen en de bedrijfsmatige impact. Tevens wordt hierbij de factor tijd meegewogen. Hierdoor wordt het inzichtelijk hoeveel tijd er verstrijkt voordat de dreiging uitkomt. De impact maal de frequentie in een tijdsspanne resulteert in een beeld van het mogelijke financiele risico. Op basis van deze uitkomst kan worden bepaald of de maatregelen in verhouding staan met het risico. In dit proces wordt dus vooral gerekend met de betrokkenen. De kwalitatieve risico-analyse gaat uit van scenario s en situatie. Hierbij worden de kansen dat een dreiging uitkomt bekeken op gevoel. Daarna worden het bedrijfsproces en de huidige maatregelen geanalyseerd. Indien de betrokkenen oordelen dat er een gevoel is van een dreiging kan worden vastgesteld welke maatregelen effectief zijn. Aan te bevelen is om deze analyse in groepsverband uit te voeren zodat er een breed draagvlak voor de uitkomst ontstaat. Bij de kwalitatieve risico-analyse wordt vooral gediscussieerd met de betrokkenen. Het streven van beide analyses is wel dat de kosten van de maatregelen in overeenstemming zijn met de waarde van het te beveiligen object. Beide risicoanalyses moeten ook periodiek worden uitgevoerd zodat huidige maatregelen heroverwogen kunnen worden en afgestemd zijn op de risico s.

10 Organisatie: SYSQA B.V. Pagina 10 van Schade Het meetbaar maken van schade geeft grip op het nemen van de juiste maatregelen zodat bepaald kan worden of de maatregelen passen bij het risico. Hierbij wordt het onderscheid gemaakt in directe schade en indirecte schade. Directe schade omvat schade aan rechtstreeks getroffenen, zoals personen, apparatuur, programmatuur, gegevensverzamelingen en gebouwen. Met indirecte schade wordt bedoeld gevolgschade, dit kunnen bijvoorbeeld zijn: verstoring van bedrijfsprocessen, het overtreden van wetten of verlies van opdrachten en imagoschade. De schade kan worden verdeeld in Jaarlijkse Schade Verwachting (JSV) en Enkelvoudige Schade Verwachting (ESV). Hierbij is enkelvoudige schadeverwachting de schade van een incident dat eenmalig optreedt. De jaarlijkse schadeverwachting is de gemiddelde hoeveelheid schade, in geld uitgedrukt, die door een incident in een jaar kan optreden. Zie voor meer informatie hierover: Basiskennis beveiligen van informatie hoofdstuk Risicostrategieën Een risicostrategie is het resultaat van risicomanagement en bevat het proces om van dreiging naar risico s tot de beveiligingsmaatregelen te gaan. Risicomanagement is een continu proces waarin risico s worden geïdentificeerd, onderzocht en gereduceerd tot een acceptabel niveau. Dit proces is op alle onderdelen van bedrijfsprocessen van toepassing. De meest voorkomende risicostrategieën zijn risicodragend, risiconeutraal en risicomijdend. Indien gekozen wordt voor de strategie waarbij een gering geacht risico ongeregeld te laten werkt men risicomijdend. Een beweegreden hiervoor kan zijn dat de kans dat dit risico tot een incident uitmondt klein is maar de impact heel groot waardoor de beheersmaatregelen niet in verhouding staan met de baten. Indien wordt gestreefd naar de balans tussen de kosten voor de maatregel en de schade heet dit risiconeutraal. Besluit men om risico s te accepteren dan heet dit risicodragend.

11 Organisatie: SYSQA B.V. Pagina 11 van 13 6 Maatregelen voor informatiebeveiliging In dit hoofdstuk worden enkele soorten maatregelen genoemd voor beveiliging van informatie. Ook worden enkele voorbeelden genoemd van referentiekaders. 6.1 Soorten maatregelen Hieronder is schematisch weergegeven hoe de beveiligingsmaatregelen zijn in te delen: Aspect (Beschikbaar, Integer, Vertrouwelijk); Werkingsgebied (Procedures, Applicaties, Gegevensinfrastructuur, IT- Infrastructuur, Basisinfrastructuur); (zie Hoofdstuk 4.3) Plaats in de beveiligingscyclus (Reductief, Preventief, Repressief, Detectief, Correctief, Verzekerd, Geaccepteerd); Wijze van realisatie (Organisatorisch, Technisch, Fysiek). (zie ook Basiskennis Informatiebeveiliging H3.1 en H4) 6.2 Toetsen en Testen van beveiliging Indien maatregelen zijn genomen tegen incidenten is het belangrijk om te verifiëren dat deze maatregelen de gewenste uitwerking hebben. Het testen van beveiliging (security testing) kan een tijdrovend proces zijn, dat begint in de eerste fase van de Software Development Life Cycle (SDLC). Van dit proces worden in de literatuur twee noodzakelijke benaderingen genoemd, namelijk: Testen van beveiligingsmechanismen om er zeker van te zijn dat hun functionaliteit op de juiste wijze is geïmplementeerd; Het uitvoeren van risico gebaseerd testen van beveiliging (risk-based security testing) gebaseerd op het begrijpen en simuleren van de werkwijze van de aanvaller.

12 Organisatie: SYSQA B.V. Pagina 12 van Richtlijnen informatiebeveiliging Bij veel organisaties is de automatisering in de loop der jaren uitgegroeid tot een grootschalig netwerk waarbij klanten gegevens kunnen raadplegen die via het internet of via app s worden ontsloten. Er bestaan verschillende richtlijnen die helpen bij het kiezen van de maatregelen zoals bijvoorbeeld de richtlijnen hieronder. Hieronder worden enkele richtlijnen worden genoemd. Voor meer informatie zie H5.2 Basiskennis Informatiebeveiliging. Voorschrift Informatiebeveiliging Rijksdienst 2007 (VIR 2007); Code Tabaksblat, voor Nederlandse beursgenoteerde bedrijven; Sarbanes-Oxley Act (SOX) Verplicht voor alle bedrijven die in Amerika beursgenoteerd zijn en (eventueel buitenlandse) dochterondernemingen. 6.4 Incident management Ondanks voorzorgsmaatregelen, het voldoen aan normen en standaarden, zijn er nog steeds kansen om de beveiliging te doorbreken. Dan is het tijd voor het beheer van incidenten. Medewerkers spelen een belangrijke rol in het waarnemen van zwakheden in de beveiliging en beveiligingsincidenten. Medewerkers door de hele organisatie moeten incidenten kunnen melden bij een servicedesk waarna deze meldingen worden opgevolgd. De medewerkers van de servicedesk moeten kunnen vaststellen dat het om een specifiek beveiligingsincident gaat. Het doel van dit incidentbeheerproces is het krijgen van inzicht in beveiligingsincidenten. Op die manier kan er ook geleerd worden en kennis gedeeld worden zodat er bij een nieuw incident nog beter kan worden gereageerd. Zie hiervoor ook Informatiebeveiliging voor Kwaliteitsmanager H Slot Met deze introductie heeft u kennis genomen van diverse onderdelen van informatiebeveiliging. Als uw interesse gewekt is, dan is verdere verdieping mogelijk. Op pagina drie staat al aangegeven dat er meerdere documenten zijn waar u informatie uit kunt halen. Deze documenten zijn gericht op specifieke doelgroepen. Het advies is dat document te raadplegen dat volgens de titel het dichtst bij uw eigen rol of functie ligt. Het gaat om de volgende verdiepingsdocumenten: Basiskennis Informatiebeveiliging Informatiebeveiliging voor requirementsanalist Informatiebeveiliging voor testmanagement Informatiebeveiliging voor Functioneel Beheer Informatiebeveiliging voor kwaliteitsmanager

13 Organisatie: SYSQA B.V. Pagina 13 van 13 7 Bronvermelding Documenten Basiskennis Informatiebeveiliging Informatiebeveiliging voor Requirementsanalist Informatiemanagement voor Testmanagement Informatiebeveiliging voor Functioneel Beheer Informatiebeveiliging voor Kwaliteitsmanager Boeken Basiskennis: beveiligen van informatie Informatiebeveiliging onder controle Basiskennis informatiebeveiliging Tijdschriften Kijk, mei 1999 Elsevier, 20 augustus, 2011 Websites Interview Shawn Henry met Wall Street Journal:

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Advies informatiebeveiligings analyse HvA

Advies informatiebeveiligings analyse HvA Advies informatiebeveiligings analyse HvA Wouter Borremans - 0461911 - v1.1 1 Juni 2005 1 Inleiding Dit document is geschreven met als doel om de Hogeschool van Amsterdam[5] (HvA) te voorzien van een advies

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Informatiebeveiliging voor de requirementsanalist

Informatiebeveiliging voor de requirementsanalist voor de requirementsanalist SYSQA B.V. Almere Datum : 15 april 2013 Versie : 1.0 Status : Definitief Opgesteld door : Organisatie: SYSQA BV Pagina 2 van 11 Inhoudsopgave Inhoudsopgave... 2 1 Inleiding...

Nadere informatie

Informatiebeveiliging voor functioneel beheerders. SYSQA B.V. Almere. Datum : 16-04-2013 Versie : 1.0. Opgesteld door :

Informatiebeveiliging voor functioneel beheerders. SYSQA B.V. Almere. Datum : 16-04-2013 Versie : 1.0. Opgesteld door : voor functioneel beheerders SYSQA B.V. Almere Datum : 16-04-2013 Versie : 1.0 Status : Definitief Opgesteld door : Organisatie: SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 Inleiding... 3 1.2 Doel en veronderstelde

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007 Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Inhoud Aanleiding en Historie VIR 2007 Invoeringsaspecten 2 Aanleiding en historie

Nadere informatie

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. BISL Business Information Services Library Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2

Nadere informatie

Brochure ISO 27002 Foundation

Brochure ISO 27002 Foundation Brochure ISO 27002 Foundation Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische

Nadere informatie

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement Rapportage Pizzasessie Functioneel-beheer.com Alle deelnemers hebben hun functienaam opgegeven. De volgende functienamen zijn gemeld: Specialisten o Functioneel beheerder (9x) o Functioneel applicatiebeheerder

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

PROJECTMANAGEMENT 1 SITUATIE

PROJECTMANAGEMENT 1 SITUATIE PROJECTMANAGEMENT George van Houtem 1 SITUATIE Het werken in en het leidinggeven aan projecten is tegenwoordig eerder regel dan uitzondering voor de hedendaagse manager. In elk bedrijf of organisatie komen

Nadere informatie

Basiskennis Informatiebeveiliging SYSQA

Basiskennis Informatiebeveiliging SYSQA Organisatie SYSQA B.V. Pagina 1 van 27 Basiskennis Informatiebeveiliging SYSQA SYSQA B.V. Almere Datum : 01-03-2012 Status : Definitief Opgesteld door : Organisatie SYSQA B.V. Pagina 2 van 27 Inhoudsopgave

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging Informatiebeveiliging Jeroen van Luin 30-11-2011 jeroen.van.luin@nationaalarchief.nl Wat is informatiebeveiliging? Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 Rijkspas: veiligheid en flexibiliteit ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 24-11-2011 Profile Consultancy Services State of the art software solutions Project implementation Life-cycle

Nadere informatie

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

Hoofdlijnen Corporate Governance Structuur

Hoofdlijnen Corporate Governance Structuur Hoofdlijnen Corporate Governance Structuur 1. Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe een

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

NS in beweging, Security als business enabler september 2008

NS in beweging, Security als business enabler september 2008 NS in beweging, Security als business enabler september 2008 Rien Dijkstra Enterprise IT Architect Informatiemangement & Technologie .. de noodzaak en uitdagingen van een topvervoerder, onder eigen regie,

Nadere informatie

Goed functioneel beheer noodzaak voor effectievere SPI

Goed functioneel beheer noodzaak voor effectievere SPI getronicspinkroccade.nl Goed functioneel beheer noodzaak voor effectievere SPI Machteld Meijer Zeist, 3 oktober 2006 Inhoud Domeinen en modellen Functioneel beheer en BiSL Rol van BiSL in SPI 1 Goed functioneel

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Programma 1. De IBD 2. stappenplan Aansluiten bij de IBD 3. VCIB-gesprek (plenair) 2 1.1 De IBD Gezamenlijk initiatief

Nadere informatie

6.6 Management en informatiebeveiliging in synergie

6.6 Management en informatiebeveiliging in synergie 6.6 Management en informatiebeveiliging in synergie In veel organisaties ziet men dat informatiebeveiliging, fysieke beveiliging en fraudemanagement organisatorisch op verschillende afdelingen is belegd.

Nadere informatie

Brochure ISO 27002 Advanced

Brochure ISO 27002 Advanced Brochure ISO 27002 Advanced Over Pink Elephant Bedrijfshistorie Pink Elephant is een Nederlandse IT onderneming die rond 1980 is ontstaan als bijverdienste van een drietal studenten aan de Technische Universiteit

Nadere informatie

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Mike de Bruijn roduct Owner Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement

Nadere informatie

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved. 1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?

Nadere informatie

Verschillen in QA aanpak tussen ERP projecten en niet-erp projecten

Verschillen in QA aanpak tussen ERP projecten en niet-erp projecten Verschillen in QA aanpak tussen ERP projecten en niet-erp projecten SYSQA B.V. Almere Datum : 06 mei 2013 Status : definitief Versie : 2.0 Opgesteld door : Organisatie SYSQA B.V. Pagina 2 van 5 Overzicht

Nadere informatie

Is er een standaard oplossing voor Cyber Security?

Is er een standaard oplossing voor Cyber Security? Is er een standaard oplossing voor Cyber Security? Jaarcongres ECP 15 november 2012 Douwe Leguit Nationaal Cyber Security Centrum Wat staat u te wachten? Deagenda Trends Casuïstiek Uitdagingen Nationaal

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Inhoudsopgave 1 Goedkeuring informatiebeveiligingsbeleid en distributie (BH1) 2 2 Inleiding 2 2.1 Toelichting 2 2.2 Definitie van informatiebeveiliging 2 2.3 Samenhang tussen

Nadere informatie

TOEGANGSBEVEILIGING EN PUBLIEKE NETWERKEN. Een model voor een doelmatige en pragmatische aanpak

TOEGANGSBEVEILIGING EN PUBLIEKE NETWERKEN. Een model voor een doelmatige en pragmatische aanpak TOEGANGSBEVEILIGING EN PUBLIEKE NETWERKEN Een model voor een doelmatige en pragmatische aanpak TOEGANGSBEVEILIGING EN PUBLIEKE NETWERKEN Een model voor een doelmatige en pragmatische aanpak A.D. (Ton)

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van NORA-3. Het bevat doelen, de Ist en Soll situatie van het NORA katern beveiliging en als laatste sheet de producten die

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

NEN 7510: Een kwestie van goede zorg

NEN 7510: Een kwestie van goede zorg NEN 7510: Een kwestie van goede zorg Menig zorginstelling geeft aan nog niet te voldoen aan de NEN 7510 omdat deze (nog) niet verplicht is. Wettelijk is dit wellicht het geval, maar wat nu als men dit

Nadere informatie

GEDRAGS- CODE. Gebruik van elektronische communicatiemiddelen

GEDRAGS- CODE. Gebruik van elektronische communicatiemiddelen GEDRAGS- CODE Gebruik van elektronische communicatiemiddelen 2 3 Gedragscode voor het gebruik van elektronische communicatiemiddelen Inhoud 1. Doel van de regeling 2. Werkingssfeer 3. Algemene gedragsregels

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

In een keten gaat het om de verbindingen, niet om de schakels.

In een keten gaat het om de verbindingen, niet om de schakels. Verbindingsmodel IV Serviceketen Theo Thiadens en Adri Cornelissen In een keten gaat het om de verbindingen, niet om de schakels. Verbindingsmodel IV Serviceketen Theo Thiadens Alleen een organisatie die

Nadere informatie

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 22 mei 2014 Raymond Slot raymond.slot@hu.nl nl.linkedin.com/in/raymondslot VRAAG: Top bedreigingen Continuïteit? Continuïteitsbedreiging

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Hoofdlijnen Corporate Governance Structuur Stek

Hoofdlijnen Corporate Governance Structuur Stek Hoofdlijnen Corporate Governance Structuur Stek 1 Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe

Nadere informatie

Onderzoeksresultaten infosecurity.nl

Onderzoeksresultaten infosecurity.nl Onderzoeksresultaten infosecurity.nl Pagina 1 Introductie Tijdens de beurs infosecurity.nl, die gehouden werd op 11 en 12 oktober 2006, heeft Northwave een onderzoek uitgevoerd onder bezoekers en exposanten.

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

AAN DE SLAG MET INFORMATIEMANAGEMENT. Masterclass Informatiemanagement

AAN DE SLAG MET INFORMATIEMANAGEMENT. Masterclass Informatiemanagement AAN DE SLAG MET INFORMATIEMANAGEMENT Masterclass Informatiemanagement AAN DE SLAG MET INFORMATIEMANAGEMENT INTRODUCTIE Informatie is voor elke organisatie een cruciale asset. Efficiënte uitvoering van

Nadere informatie

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 Stichting Pensioenfonds Wolters Kluwer Nederland Compliance program Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 1 Inleiding In dit Compliance Program is de inrichting van de

Nadere informatie

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Ter info (AB) Afdeling: Team: Bedrijfsbureau Beh.door: Bos, M.G. Port.houder: DB, Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Memo Informatiebeveiliging Inleiding Met

Nadere informatie

Dataprotectie op school

Dataprotectie op school Dataprotectie op school ook een taak van het management Jacques Verleijen Wat is informatieveiligheid? Mogelijke actoren Netwerkschijven Cloud Backup- en restoremogelijkheden Encryptie Servers Firewalls

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...

Nadere informatie

Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein

Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein Strategisch Informatiebeveiligingsbeleid Gemeenten IJsselstein, Montfoort en Nieuwegein Versie: 0.9 (definitief concept) Datum: 18 december 2012 Inhoudsopgave 1. MANAGEMENTSAMENVATTING... 1 2. INTRODUCTIE...

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Brochure HC&H Masterclasses

Brochure HC&H Masterclasses Brochure HC&H Masterclasses & Masterclass Informatiebeveiliging & Masterclass Proces en Informatiemanagement & Masterclass Klantgericht werken & Masterclass Functioneel Beheer & Masterclass Inkoop ICT

Nadere informatie

Presentatie ISO27001 in de praktijk. MOA bijeenkomst 16 mei 2013

Presentatie ISO27001 in de praktijk. MOA bijeenkomst 16 mei 2013 Presentatie ISO27001 in de praktijk MOA bijeenkomst 16 mei 2013 Even voorstellen Rob de Leur Business partner ORBEDO Procesmanagement Informatiebeveiliging Risicomanagement Informatiebeveiliging - korte

Nadere informatie

Digitaal, Ja natuurlijk. Digitalisering als strategische succesfactor

Digitaal, Ja natuurlijk. Digitalisering als strategische succesfactor Digitaal, Ja natuurlijk Digitalisering als strategische succesfactor Agenda Van Ja, natuurlijk naar digitaal concept Te realiseren doelstellingen Van concept naar realisatie Helemaal je eigen plek Digitaal,

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

Informatiebeveiligingsbeleid 2015-2018

Informatiebeveiligingsbeleid 2015-2018 Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen

Nadere informatie

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014

Sebyde Security in een organisatie A3 Management Workshop. 7 Januari 2014 Sebyde Security in een organisatie A3 Management Workshop 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG Post Bits of Freedom Bank 55 47 06 512 M +31 (0)6 13 38 00 36 Postbus 10746 KvK 34 12 12 86 E ton.siedsma@bof.nl 1001 ES Amsterdam W https://www.bof.nl Ivo Opstelten Minister van Veiligheid en Justitie

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

O2 Veilig of niet? Dat is de vraag! Wat betekent NEN7510 in relatie tot uw praktijk?

O2 Veilig of niet? Dat is de vraag! Wat betekent NEN7510 in relatie tot uw praktijk? O2 Veilig of niet? Dat is de vraag! Wat betekent NEN7510 in relatie tot uw praktijk? 7 Redenen om NEN 7510 in te voeren 1. Iedere zorginstelling is verplicht zich te houden aan de Wet bescherming persoonsgegevens.

Nadere informatie

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Introductie Jacco Jacobs E-mail: jacco.jacobs@nl.ey.com Internet: www.ey.com Meta Hoetjes E-mail: meta.hoetjes@csi4grc.com

Nadere informatie

Doxis Informatiemanagers

Doxis Informatiemanagers Substitutie Doxis Informatiemanagers Grootste adviesburo op het gebied van informatiemanagement in Nederland Zelfstandig bedrijfsonderdeel van Ernst & Young Jarenlange ervaring bij NL Overheid Gedegen

Nadere informatie

Wij wensen u veel leesplezier en hopen dat u de informatie in de praktijk kunt toepassen.

Wij wensen u veel leesplezier en hopen dat u de informatie in de praktijk kunt toepassen. Geachte lezer, Met veel plezier bieden wij u informatie aan inzake: - Bedrijfscontinuïteitsmanagement (BCM) Deze informatie is met de grootst mogelijke zorg samengesteld. Actuele ontwikkelingen kunnen

Nadere informatie

Een framework voor applicatiebeheer

Een framework voor applicatiebeheer Een framework voor applicatie Mark Smalley ASL-Foundation www.aslfoundation.org SPIder, Utrecht, 10 juni 2003 Agenda Positionering applicatie Wat is ASL Waarom ASL Hoe ziet ASL eruit Samenwerking domeinen

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/08/195 ADVIES NR 08/18 VAN 2 DECEMBER 2008 BETREFFENDE DE AANVRAAG VAN DE LANDSBOND DER CHRISTELIJKE MUTUALITEITEN

Nadere informatie

Informatiebeveiliging. Beleidsuitgangspunten. Versie 2 (concept)

Informatiebeveiliging. Beleidsuitgangspunten. Versie 2 (concept) Informatiebeveiliging Beleidsuitgangspunten Versie 2 (concept) 1 1. INLEIDING... 4 1.1 Inleiding... 4 1.2 Aanleiding... 4 1.3 Wat is informatiebeveiligingsbeleid... 4 1.4 Doelgroep... 5 1.5 Eindverantwoordelijkheid...

Nadere informatie

Evo Evolutionary Project Management. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

Evo Evolutionary Project Management. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. Evo Evolutionary Project Management Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 10 Inhoudsopgave 1. INLEIDING... 3 2. EVO... 4 3. FASERING...

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

ZONDER. MEER. Voorwaarden Online Bankieren nibc direct

ZONDER. MEER. Voorwaarden Online Bankieren nibc direct ZONDER. MEER. Voorwaarden Online Bankieren nibc direct ZONDER. MEER. Inhoudsopgave Toelichting gebruikte begrippen 1. Elektronische diensten 2. Gebruiksvoorschriften en/of aanwijzingen 3. Zorgplicht NIBC

Nadere informatie

Testen en BASEL II. Dennis Janssen. Agenda. Wat is BASEL II? Testen van BASEL II op hoofdlijnen

Testen en BASEL II. Dennis Janssen. Agenda. Wat is BASEL II? Testen van BASEL II op hoofdlijnen Testen en BASEL II Dennis Janssen Test Research Centre LogicaCMG 1 Agenda Wat is BASEL II? Testen van BASEL II op hoofdlijnen BASEL II als hulpmiddel om positie testen te versterken Samenvatting 2 1 Basel

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

Risico Reductie Overzicht

Risico Reductie Overzicht Risico Reductie Overzicht Handleiding Auteurs Hellen Havinga en Olivier Sessink Datum 7 juli 2014 Versie 1.0 Inhoudsopgave 1.Risico Reductie Overzicht in vogelvlucht...4 2.Wie kan Wat met een Risico Reductie

Nadere informatie

EXIN Business Information Management Foundation

EXIN Business Information Management Foundation Voorbeeldexamen EXIN Business Information Management Foundation with reference to BiSL Editie mei 2012 Copyright 2012 EXIN Alle rechten voorbehouden. Niets uit deze uitgave mag worden openbaar gemaakt

Nadere informatie

BUSINESS RISK MANAGEMENT

BUSINESS RISK MANAGEMENT BUSINESS RISK MANAGEMENT Algemene benadering FEDICT Quick-Win-methode Datum Auteur Versie 24/8/26 A. Huet - A. Staquet V1. Inhoud 1 DOELSTELLING VAN HET DOCUMENT... 2 2 DEFINITIES... 2 3 PRINCIPE... 3

Nadere informatie

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG Bescherming tegen de gevolgen van cyber risico s Bedrijfsverzekeringen CyberEdge van AIG Wat zijn cyber risico s? Cyber risico s zijn een vaststaand gegeven in een wereld van informatie, informatiesystemen

Nadere informatie

Business Scenario. Voorbeeld Archimate Risico Extensie. versie 0.1. Bert Dingemans

Business Scenario. Voorbeeld Archimate Risico Extensie. versie 0.1. Bert Dingemans Business Scenario Voorbeeld Archimate Risico Extensie versie 0.1 Bert Dingemans Administratieve pagina Wijzigingshistorie Versie Datum Auteur Reden wijziging Review historie Naam Afdeling Functie Datum

Nadere informatie

SVHT-IT. Mission statement

SVHT-IT. Mission statement SVHT-IT Mission statement Wij leveren oplossingen en diensten aan het MKB op het gebied van ICT, waarbij service, flexibiliteit en een persoonlijke relatie met de klant voorop staan SVHT-IT is een onderneming

Nadere informatie

Service Niveau Overeenkomst Digikoppeling

Service Niveau Overeenkomst Digikoppeling Service Niveau Overeenkomst Digikoppeling Versie 1.3 Datum 26 mei 2015 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Informatiebeveiligingsdienst Aansluiten, waarom eigenlijk Assen, 6 Maart 2014. Anita van Nieuwenborg

Informatiebeveiligingsdienst Aansluiten, waarom eigenlijk Assen, 6 Maart 2014. Anita van Nieuwenborg Informatiebeveiligingsdienst Aansluiten, waarom eigenlijk Assen, 6 Maart 2014 Anita van Nieuwenborg Programma 1. De IBD 2. Dienstverlening van de IBD 3. Het stappenplan Aansluiten bij de IBD 4. Dialoog

Nadere informatie

Sebyde Web Applicatie Security Scan. 7 Januari 2014

Sebyde Web Applicatie Security Scan. 7 Januari 2014 Sebyde Web Applicatie Security Scan 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren

Nadere informatie

Ant: B Dit is het doel van het proces.

Ant: B Dit is het doel van het proces. In welk proces vormt het voor aanpassingen in de informatievoorziening beschikbaar gestelde budget een mandaat voor besluitvorming? A: Contractmanagement B: Financieel management C: Transitie D: Wijzigingenbeheer

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/13/159 ADVIES NR 13/66 VAN 2 JULI 2013 BETREFFENDE DE AANVRAAG VAN XERIUS KINDERBIJSLAGFONDS VOOR HET VERKRIJGEN

Nadere informatie

Informatieveiligheid. Onderzoeksopzet

Informatieveiligheid. Onderzoeksopzet Informatieveiligheid Onderzoeksopzet Amsterdam, september 2015 Inhoudsopgave 1. Aanleiding... 3 2. Achtergrond... 5 3. Probleemstelling en onderzoeksvragen... 7 4. Afbakening... 8 5. Beoordelingskader...

Nadere informatie

Tags: online; websites; automatisering; infrastructuur; cloud; infrastructure; Mirabeau; 626; automation; guidelines

Tags: online; websites; automatisering; infrastructuur; cloud; infrastructure; Mirabeau; 626; automation; guidelines Asset 1 van 4 Effectief in de cloud Gepubliceerd op 7 october 2013 Cloud technologie speelt een steeds grotere rol binnen de exploitatie van web omgevingen. De voordelen van cloud zijn inmiddels breeduit

Nadere informatie

IB-Governance bij de Rijksdienst. Complex en goed geregeld

IB-Governance bij de Rijksdienst. Complex en goed geregeld IB-Governance bij de Rijksdienst Complex en goed geregeld Even voorstellen Carl Adamse Even voorstellen Frank Heijligers Bestaat de Rijksdienst Ministeriële verantwoordelijkheid Grondwet art. 44 lid 1

Nadere informatie

NBV themanummer Nieuwsbrief December 2010

NBV themanummer Nieuwsbrief December 2010 December 2010 NBV themanummer Nieuwsbrief December 2010 Het Nationaal Bureau Verbindingsbeveiliging (NBV), onderdeel van de AIVD, geeft voor zijn relaties tweemaandelijks een nieuwsbrief uit. Dit is een

Nadere informatie