HANDREIKING PROCES WIJZIGINGSBEHEER

Maat: px
Weergave met pagina beginnen:

Download "HANDREIKING PROCES WIJZIGINGSBEHEER"

Transcriptie

1 HANDREIKING PROCES WIJZIGINGSBEHEER Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

2 Colofon Naam document Handreiking proces wijzigingsbeheer Versienummer 1.0 Versiedatum April 2014 Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Copyright 2014 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. KING wordt als bron vermeld; 2. het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door KING; 4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling. Rechten en vrijwaring KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. Met dank aan De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product. In samenwerking met De producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) worden vervaardigd in samenwerking met: 2

3 Voorwoord De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari Aanleiding voor de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. De IBD heeft drie doelen: 1. het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 3. het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het ICT-Beveiligingsassessment DigiD is een voorbeeld van een dergelijk project. Hoe realiseert de IBD haar doelen? Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de website en community van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie in control is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische en Tactische Baseline te ondersteunen, zijn door de IBD in samenwerking met de Taskforce Bestuur en Informatieveiligheid Dienstverlening producten ontwikkeld op operationeel niveau. Dit heeft een productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten. Onderhavig product is onderdeel van het productenportfolio. Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld. Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website van de IBD. De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de regels. Hierbij geldt: - Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI, BAG, PUN en WBP, maar ook de archiefwet. - Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). - De gemeente stelt dit normenkader vast, waarbij er ruimte is in de naleving van dat kader voor afweging en prioritering op basis van het pas toe of leg uit principe. 3

4 Leeswijzer Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Doel Dit product bevat aanwijzingen voor het omgaan met het doorvoeren van wijzigingen in de ICTmiddelen en -diensten, en aanwijzingen voor gebruik en inrichting van het proces wijzigingsbeheer. Doelgroep Dit document is van belang voor de systeemeigenaren, applicatiebeheerders en de ICT-afdeling. Relatie met overige producten Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) o Strategische variant van de Baseline Informatiebeveiliging voor Gemeenten o Tactische variant van de Baseline Informatiebeveiliging voor Gemeenten Informatiebeveiligingsbeleid van de gemeente Basis procedure configuratiebeheer Incident Management en responsebeleid Basis continuïteitsplannen in verband met stroomuitval / Disaster Recovery Plan (DRP) Business Continuity Management (BCM) Basis beveiligingsparagraaf Service Level Agreement (SLA) Uitbesteding ICT-diensten Patchmanagement Maatregelen tactische variant Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Maatregel Goedkeuringsproces voor ICT-voorzieningen Maatregel Beveiliging behandelen in overeenkomsten met een derde partij Maatregel Wijzigingsbeheer Maatregel Scheiding van faciliteiten voor ontwikkeling, testen en productie Maatregel Beheer van wijzigingen in dienstverlening door een derde partij Maatregel Controle van systeemgebruik Maatregel Analyse en specificatie van beveiligingseisen Maatregel Procedures voor wijzigingsbeheer Maatregel Technische beoordeling van toepassingen na wijzigingen in het besturingssysteem Maatregel Restricties op wijzigingen in programmatuurpakketten 4

5 Inhoudsopgave Colofon 2 Voorwoord 3 Leeswijzer 4 Inhoudsopgave 5 1 Inleiding De indeling van dit document is als volgt: Aanwijzing voor gebruik 8 2 Handreiking proces Registreren Accepteren Classificeren Plannen Coördineren Evalueren Uitvoeren van urgente wijzigingen 21 3 Afspraken vastleggen 23 4 Prestatie-indicatoren 24 Bijlage 1: template verzoek tot wijziging 25 Bijlage 2: bepalen prioriteit en categorie 27 Bijlage 3: definities 30 Bijlage 4: literatuur/bronnen 33 5

6 1 Inleiding De Baseline Informatiebeveiliging voor Gemeenten (BIG) heeft maatregelen beschreven die te maken hebben met wijzigingsbeheer, zie hiervoor ook het voorbeeld gemeentelijk informatiebeveiligingsbeleid. Doelstelling van procedure wijzigingsbeheer Wijzigingsbeheer draagt er zorg voor dat wijzigingen op de ICT-infrastructuur (ICT-middelen en - diensten) efficiënt en effectief worden doorgevoerd met zo min mogelijk verstoring van de kwaliteit van de dienstverlening, zodat deze dienstverlening blijft voldoen aan de eisen die hieraan zijn gesteld. Beheerdoelstellingen van wijzigingsbeheer De volgende beheerdoelstellingen van wijzigingsbeheer dienen met een redelijke mate van zekerheid te worden gewaarborgd: Wijzigingen dienen te worden geautoriseerd met inachtneming van de risico s voor de ICTdiensten. De impact van de wijzigingen dient van tevoren op beschikbaarheids-, capaciteits-, continuïteits- en beveiligingsaspecten, evenals (eind)gebruikersaspecten te worden getoetst. Indien wijzigingen niet zijn geautoriseerd na evaluatie van de risico s, bestaat het risico dat de wijzigingen ongewenste (neven)effecten hebben op ICT-diensten, die soms niet volledig kunnen worden overzien door de initiator van de wijziging. Het is daarom van belang om deze effecten gestructureerd in kaart te brengen en de impact af te stemmen met alle belanghebbenden, zoals de eigenaar van de ICT-dienst, beheerders van ICT-middelen en de betrokkenen van andere ICT-beheerprocessen. Wijzigingen dienen tijdig en volledig te worden doorgevoerd. Voor het implementeren van wijzigingen dienen voldoende resources beschikbaar te zijn en de implementatie van de wijziging dient zodanig te worden gepland dat de verstoring van de dienstverlening minimaal is. Indien wijzigingen niet tijdig en volledig worden doorgevoerd, bestaat het risico dat noodzakelijke verbeteringen of de instandhouding van de ICT-diensten in het gedrang komen. Het is van belang dat wijzigingsaanvragen tijdig in behandeling worden genomen en, evenals de resulterende wijzigingen, tijdig worden afgehandeld. Daarnaast is het van belang dat, voorafgaand aan een wijziging, alle aspecten worden geïdentificeerd die eveneens een wijziging dienen te ondergaan of worden beïnvloed als gevolg van de wijziging. Wijzigingen dienen te worden beoordeeld op doeltreffendheid. Indien de doeltreffendheid van wijzigingen niet wordt geëvalueerd, bestaat het risico dat de wijzigingen niet, of slechts gedeeltelijk, bijdragen aan verbetering van de ICT-diensten of zelfs verstorend zijn voor de ICT-diensten. Indien wijzigingen niet het beoogde effect blijken te hebben, is het van belang om terug te kunnen keren naar de oorspronkelijke situatie (ook wel: back-out of terugvalscenario). Wijzigingen Een wijziging is de toevoeging, verandering of verwijdering van alles dat een effect kan hebben op ICT-diensten. De scope is gericht op alle wijzigingen van alle architecturen, processen, instrumenten, meetwaarden en documentatie, en op wijzigingen van ICT-diensten en andere configuratie-items. Wijzigingen kunnen voortkomen uit diverse behoeften, zoals nieuwe functionele en technische eisen, vanwege bedrijfsoverwegingen of een (nood)wet, en oplossingen voor 6

7 problemen. Kwetsbaarheden die verholpen worden door een beveiligingsupdate (patch) zijn een ander voorbeeld van een wijziging. Belang van wijzigingsbeheer voor informatiebeveiliging Het belang van wijzigingsbeheer voor informatiebeveiliging omvat: Het gecontroleerd doorvoeren van wijzigingen leidt ertoe dat de kans op het niet beschikbaar zijn van de ICT-dienstverlening als gevolg van wijzigingen afneemt, en dat eventuele toch opgetreden storingen korter duren (door de in het wijzigingsproces ingebouwde voorzieningen voor terugdraaien van wijzigingen). Het biedt een mogelijkheid om af te dwingen dat wijzigingen eerst op beveiligingsconsequenties worden getoetst voordat ze worden uitgevoerd. Dit vermindert de kans op het ontstaan van beveiligingsincidenten. Het draagt zorg dat uit beveiligingsoogpunt relevante instellingen van de ICT-infrastructuur niet ongecontroleerd en ongeautoriseerd gewijzigd kunnen worden. De ICT-infrastructuur, die aan de beveiligingsnormen voldoet, blijft aan het afgesproken niveau voldoen. Activiteiten wijzigingsbeheerder. De wijzigingsbeheerder voert onder andere onderstaande activiteiten uit: De wijzigingsbeheerder checkt de volledigheid en juistheid van het wijzigingsvoorstel op basis van een door de wijzigingsbeheerder opgestelde checklist. De wijzigingsbeheerder ziet erop toe dat de wijzigingsprocedures worden gehandhaafd, en bewaakt de voortgang van de afhandeling van wijzigingen. De wijzigingsbeheerder classificeert in overleg met de indiener het wijzigingsvoorstel op basis van prioriteit en categorie. De wijzigingsbeheerder laat op een geaccepteerd wijzigingsvoorstel een impactanalyse uitvoeren, en stelt op basis van de impactanalyse een rapportage op die het volgende bevat: o Aannames o Beperkingen o Omvang o Consequenties wijzigingsvoorstel o Oplossingsalternatief en betrokken configuratie-items o Uit te voeren activiteiten o Begroting o Risicoanalyse De wijzigingsbeheerder is voorzitter van de Wijzigingsadviescommissie 1, waarin alle expertise is verzameld zodat de wijzigingsvoorstellen op alle aspecten beoordeeld kunnen worden en waarvan de leden samenkomen in het wijzigingsoverleg. De wijzigingsbeheerder verstrekt aan de Wijzigingsadviescommissie de rapportage van de uitgevoerde impactanalyse en de (op basis van de uitgevoerde impactanalyse) gewijzigde uitgifteplanning. De wijzigingsbeheerder is voorzitter van het wijzigingsoverleg waarin de wijzigingsvoorstellen (al dan niet) geautoriseerd worden. Impactanalyses worden door de Wijzigingsadviescommissie gebruikt bij het beoordelen van wijzigingsvoorstellen. De uitgifteplanning wordt door de Wijzigingsadviescommissie gebruikt om de haalbaarheid van een wijzigingsvoorstel voor een bepaalde datum te kunnen beoordelen. 1 De Wijzigingscommissie is een groep mensen die de beoordeling, de prioriteitsstelling, de autorisatie en de planning van wijzigingen ondersteunt. Een Wijzigingsadviescommissie bestaat veelal uit vertegenwoordigers van alle afdelingen binnen de ICT-dienstenaanbieder, het bedrijf en derden (zoals toeleveranciers). 7

8 Eventuele urgente wijzigingsvoorstellen worden (afhankelijk van de beschikbare tijd) wel of niet beoordeeld met behulp van een impactanalyse, wel of niet voorgelegd aan de Wijzigingsadviescommissie, maar worden altijd getest. De wijzigingsbeheerder zorgt er voor dat hij de procesgang rondom urgente wijzigingsvoorstellen bijhoudt en te allen tijde kan verantwoorden aan de Wijzigingsadviescommissie en de ICT-manager De indeling van dit document is als volgt: Hoofdstuk 2 : Handreiking proces Hoofdstuk 3 : Afspraken vastleggen Hoofdstuk 4 : Prestatie indicatoren 1.2 Aanwijzing voor gebruik Deze handleiding is geschreven om informatiebeveiligingsmaatregelen met betrekking tot wijzigingsbeheer uit te werken en daarbij handreikingen te geven voor het proces rondom wijzigingsbeheer en aanverwante procedures. Deze handleiding is geen volledige procesbeschrijving. Het proces wijzigingsbeheer wordt vaak uitgevoerd binnen de ICT-afdeling. De gemeentelijke beleidsregels met betrekking tot wijzigingsbeheer (systeemplanning en acceptatie) zijn: 3 Nieuwe systemen, upgrades en nieuwe versies worden getest op impact en gevolgen, en pas geïmplementeerd na formele acceptatie en goedkeuring door de opdrachtgever (veelal de proceseigenaar). De test en de testresultaten worden gedocumenteerd. Systemen voor Ontwikkeling, Test en/of Acceptatie (OT(A)) zijn logisch gescheiden van Productie (P). Faciliteiten voor Ontwikkeling, Testen, Acceptatie en Productie (OT(A)P) zijn gescheiden om onbevoegde toegang tot, of wijzigingen in het productiesysteem te voorkomen. 2 De ICT-manager is verantwoordelijk voor de gehele ICT-gerelateerde dienstverlening. 3 Zie ook het algemene informatiebeveiligingsbeleid 8

9 2 Handreiking proces Wijzigingsbeheer kent voor het verwerken van wijzigingen de volgende activiteiten: Indienen: Behoort officieel niet tot de activiteiten van wijzigingsbeheer maar wordt wel door het proces ondersteund. Wijzigingsbeheer is er verantwoordelijk voor dat wijzigingen naar behoren geregistreerd worden. Accepteren: De wijzigingsverzoeken (VTW, Verzoek tot Wijziging) filteren en accepteren voor verdere behandeling. Classificeren: Indelen naar categorie en prioriteit. Plannen: Samenvoegen van wijzigingen, plannen van uitvoering en van benodigde resources. Coördineren: Coördinatie van de bouw, test en implementatie van de wijziging. Evalueren: Nagaan of de wijziging een succes was en lering trekken voor de volgende keer. Indienen en registeren VTW Afgekeurd Configuratiebeheer verwerkt de gegevens en bewaakt de status van de CI s Accepteren; filteren van VTW Classificeren; Categorie & Prioriteit VTW urgent? Nee Plannen: Impact & Resources Coördineren: Bouwen Testen Implementeren Werkt het? Ja Ja Nee Urgente procedure Start backout-plan Evt. opnieuw Evalueren en afsluiten Figuur 1 Activiteiten in wijzigingsbeheer 9

10 Tevens worden in dit hoofdstuk de in Figuur 1 benoemde processtappen verder uitgewerkt. Beoordelen van kwaliteit wijzigingsbeer Onderstaande vragenlijst kan door de gemeente worden gebruikt om wijzigingsbeheer te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting van de status met betrekking tot wijzigingsbeheer te maken. Is het doel van wijzigingsbeheer eenduidig vastgelegd? Zijn verantwoordelijkheid en bevoegdheden voor het indienen en afhandelen van wijzigingsverzoeken eenduidig in de gemeente belegd. Is bepaald welke functies of processen direct te maken hebben met het proces? Is wijzigingsbeheer gescheiden van ontwikkelings- en productietaken? Zijn de verantwoordelijkheden en procedures met betrekking tot wijzigingsbeheer formeel vastgelegd, zodat er voldoende controle is op alle wijzigingen aan apparatuur, programmatuur en procedures? Is er voldoende capaciteit beschikbaar om wijzigingen tijdig te kunnen behandelen? Is er sprake van een juiste functiescheiding binnen het proces wijzigingsbeheer? Zijn procedurebeschrijvingen beschikbaar waarin de activiteiten van de verschillende betrokkenen zijn vastgelegd? Is bij de gerelateerde processen voldoende inzicht en kennis aanwezig met betrekking tot doel, verantwoordelijkheden en werkwijze van het proces? Is bij de procedures met betrekking tot wijzigingen voldoende aandacht besteed aan: o Autorisatie van het wijzigingsverzoek (inclusief onderbouwing van de wijziging). o Het vaststellen en noteren van belangrijke wijzigingen. o Het bepalen van de mogelijke gevolgen van dergelijke wijzigingen. o Een goedkeuringsprocedure voor voorgestelde wijzigingen voor vertrouwelijkheid, integriteit en beschikbaarheid. o Een gedetailleerde mededeling van de wijzigingen aan alle betrokken personen. o Procedures en verantwoordelijkheden voor het terugdraaien en herstellen van niet geslaagde wijzigingen. o Voortgangsbewaking. o Het genereren van een audit trail. o Detectie en interne controle van wijzigingen. Is een rapportagestructuur vastgelegd ten aanzien van het functioneren van het proces? Worden de rapportages gebruikt voor sturing van het proces? Worden de rapportages op regelmatige basis opgesteld? Aangevuld met ad hoc rapportages? 2.1 Registreren Door wijzigingsbeheer worden alleen geautoriseerde wijzigingsverzoeken in behandeling genomen en om dit te realiseren dient door de gemeente vastgelegd te zijn welke gemeenteambtenaren welk type wijzigingsverzoek mogen indienen. Alle wijzigingsverzoeken moeten worden geregistreerd. Er zijn door wijzigingsbeheer eisen gesteld aan de wijze waarop een wijzigingsverzoek wordt ingediend en welke informatie daarbij minimaal moet worden verstrekt. Alle wijzigingen worden bij voorkeur geregistreerd in een wijzigingsbeheersysteem. Eisen die aan dit wijzigingsbeheersysteem dienen te worden gesteld zijn bijvoorbeeld: Unieke identificatie van wijzigingen (wijzigingsnummer). 10

11 Mogelijkheden om de verschillende stappen in het wijzigingsproces vast te leggen. Mogelijkheden om te registreren welke configuratie-items (CI s) bij de wijziging betrokken zijn (bevat relatie met de configuratiebeheerdatabase (CBDB)). De mogelijkheid om te registreren voor welke problemen en bekende fouten de wijziging een oplossing biedt (bevat relatie met de probleemregistratie). Voorzieningen voor de rapportage over de status van wijzigingen en het verloop van het wijzigingsbeheerproces (aantallen wijzigingen wachtend op goedkeuring, aantal teruggedraaide wijzigingen et cetera). Waar komen wijzigingsverzoeken vandaan? Wijzigingsverzoeken kunnen worden ingediend door of een gevolg zijn van bijvoorbeeld: Probleembeheer - Het indienen van een wijzigingsverzoek bij wijzigingsbeheer ten behoeve van de oplossing van een bekende/structurele fout met als doel de dienstverlening te stabiliseren. Gebruikersorganisatie van de gemeente - Deze vragen om meer, of andere functionaliteiten van de diensten. Deze verzoeken worden vaak ingediend door functioneel beheer of via dienstenniveaubeheer. Leveranciers - Leveranciers komen met nieuwe releases en upgrades van hun producten en moeten daarbij aangeven welke structurele fouten daarin zijn weggenomen en welke nieuwe functionaliteiten zijn geïmplementeerd. Ook kunnen zij aangeven dat bepaalde versies niet langer worden ondersteund, of dat voor een versie geen garanties kunnen worden afgeven. Zoals het stoppen van Microsoft met het uitbrengen van updates voor Windows XP. Het besturingssysteem Windows XP krijgt de status 'end-of-life'. 4 Projecten - Een project kan meerdere wijzigingen tot gevolg hebben. Wetgeving - Als aan de dienstverlening nieuwe of veranderde wettelijke eisen worden gesteld, of als er nieuwe eisen voor de ICT komen ten aanzien van beveiliging, bedrijfscontinuïteit en licentiebeheer. Indeling van de wijzigingen Hieronder een voorbeeld indeling van wijzigingen: Standaardwijzigingen: Dit zijn routinematige beheertaken, die procedurematig (gestandaardiseerd) worden uitgevoerd. Dit type wijziging is door wijzigingsbeheer of de Wijzigingsadviescommissie eenmalig geautoriseerd en hoeft niet elke keer opnieuw te worden beoordeeld. Dit type wijziging wordt als beheertaken routinematig uitgevoerd. Spoedwijzigingen: Dit type wijziging is een oplossing voor incidenten bij primaire bedrijfsprocessen van de gemeente, of het betreft een spoed aanpassing aan de ICTinfrastructuur (bijvoorbeeld een noodwet of een beveiligingsupdate). Spoedwijzigingen wijken af van de normale procedures, omdat voor dit soort wijzigingen de benodigde middelen meteen moeten worden vrijgemaakt. Ook kan een spoedvergadering van de Wijzigingsadviescommissie vereist zijn. (Overige) wijzigingen: Dit betreft alle overige wijzigingsverzoeken om aanpassingen aan de beheerde ICT-infrastructuur aan te brengen. Voor deze wijzigingen gelden de standaardwijzigingsprocedures, zoals in dit document beschreven. Welke informatie moet worden verstrekt? 4 Zie voor meer informatie https://www.ncsc.nl/dienstverlening/expertiseadvies/kennisdeling/factsheets/factsheet-stop-met-gebruik-windows-xp.html 11

12 Hieronder een voorbeeld van informatie die minimaal bij een wijzigingsverzoek moet worden aangeleverd: Informatie met betrekking tot de indiener van het wijzigingsverzoek. Informatie met betrekking tot de degene die het wijzigingsverzoek heeft geautoriseerd. Datum waarop het wijzigingsverzoek is ingediend. Een omschrijving van de voorgestelde wijziging. o Indien van toepassing de referentie naar het achterliggende incident/probleem. o De configuratie-items die betrokken zijn bij deze voorgestelde wijziging. o Relaties of afhankelijkheden met andere (deel)processen. Een omschrijving wat de motivatie/aanleiding/reden van de voorgestelde wijziging is. De doelstelling van de voorgestelde wijziging. De consequenties van de voorgestelde wijziging, inclusief de consequenties als de voorgestelde wijziging niet wordt doorgevoerd. Een voorstel van de prioriteit, inclusief motivatie, van de voorgestelde wijziging. De gewenste realisatiedatum, inclusief een motivatie. Het aantal gebruikers dat gebruik maakt van het proces / de dienst / de functie die gerelateerd is aan de voorgestelde wijziging. De impact op de bedrijfsprocessen van de gemeente. De impact van de voorgestelde wijziging op het beveiligingsniveau. Dit kan onder andere worden vastgesteld door het beantwoorden van onderstaande vragen: o Veroorzaakt de wijziging veranderingen in de bestaande beveiligingsmaatregelen (autorisaties, controles in de applicatie et cetera)? o Moeten voor de wijziging nieuwe en/of specifieke beveiligingsmaatregelen, bovenop de BIG, worden geïmplementeerd? o Veroorzaakt de wijziging veranderingen in de bestaande continuïteitsmaatregelen (back-up, redundantie, uitwijk)? Zo ja, moeten nieuwe en/of specifieke continuïteitsmaatregelen worden geïmplementeerd? Om dit vast te kunnen stellen moet er mogelijk ook een baselinetoets/verkorte risicoanalyse op de BIG uitgevoerd worden. 5 Wat zijn de beveiligingseisen, vooral als deze afwijken van de BIG. De impact van de voorgestelde wijziging op het beschermingsniveau van persoonsgegevens. Dit kan onder andere worden vastgesteld door het beantwoorden van onderstaande vragen: o Worden in het systeem persoonsgegevens vastgelegd? Zo ja, welke? o Worden persoonsgegevens uit andere systemen gebruikt of verwerkt? Zo ja, welke? o Indien een van bovenstaande vragen met ja beantwoord is, is het systeem gemeld bij de Functionaris Gegevensbescherming (FG) of het College Bescherming Persoonsgegevens (CBP) 6? Ook kunnen de volgende hulpmiddelen ondersteuning bieden om de impact van de voorgestelde wijziging op het beschermingsniveau vast te stellen: o Toetsmodel Privacy Impact Assessment (PIA) Rijksdienst. 7 o Methodische handreiking voor de uitvoering van Privacy Impact Assessments (PIA). 8 o Privacy Impact Assessment bij de Belastingdienst. 9 5 Zie hiervoor ook het operationele product Basis risicoanalysemethode gemeenten van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) %20A4%20Privacy%20Impact%20Assessment%2003%20WEB.pdf 9 Belastingdienst.pdf 12

13 De impact van de voorgestelde wijziging op de infrastructuur. De impact van de voorgestelde wijziging. De urgentie van de voorgestelde wijziging. De prioriteit, gebaseerd op impact en urgentie, van de voorgestelde wijziging. In bijlage 1 wordt een voorbeeld van een wijzigingsformulier weergegeven. Indien bovenstaande gegevens niet voorhanden zijn wordt het wijzigingsverzoek geweigerd. Bij een geaccepteerde wijziging wordt het wijzigingsnummer (referentie) doorgegeven aan de indiener. De medewerker die de wijziging registreert noteert ook de oplosgroep (het expertiseteam) dat de wijziging zal behandelen. De wijzigingsbeheerder is eindverantwoordelijk voor de juiste toewijzing. Hieronder wordt een overzicht gegeven van de activiteiten die binnen registreren kunnen worden onderkend. Hierbij wordt tevens aangegeven wie verantwoordelijk is voor de uitvoering en wie een coördinerende taak heeft. Activiteit Uitvoering (U) / Coördinatie (C) Indienen van wijzigingsverzoek Voordat een wijzigingsverzoek kan worden ingediend en geregistreerd dienen de volgende activiteiten uitgevoerd te zijn: Vaststellen welke gemeenteambtenaren welk type wijzigingsverzoek mogen indienen. Wijzigingsbeheer (U) Vaststellen welke informatie minimaal moet worden ingevuld op het wijzigingsformulier. Wijzigingsbeheer (U) Criteria vaststellen met betrekking tot impact, urgentie en prioriteit. Wijzigingsbeheer (U) Invullen van wijzigingsformulier. Indiener (U) / Wijzigingsbeheer (C) Beoordelen van kwaliteit wijzigingsbeheer Onderstaande vragenlijst kan door de gemeente worden gebruikt om deze activiteit binnen wijzigingsbeheer te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting van de status met betrekking tot wijzigingsbeheer te maken. Is er een eenduidige definitie vastgesteld van het begrip wijziging? Dekt deze definitie alle wijzigingen ten aanzien van de status van een configuratie-item, zoals vastgelegd bij configuratiebeheer? 10 Bestaat er een formele procedure voor het indienen van wijzigingsverzoeken? Is bepaald wie een wijzigingsverzoek kan indienen en langs welke weg? Is een template wijzigingsformulier beschikbaar met toelichting? Is bepaald welke informatie minimaal dient te worden verstrekt bij het indienen van een wijzigingsverzoek? Zijn criteria met betrekking tot impact, urgentie en prioriteit vastgesteld? 10 Zie hiervoor ook het operationele product Handreiking proces configuratiebeheer van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 13

14 2.2 Accepteren Na de registratie voert wijzigingsbeheer een globale controle uit om vast te stellen of een wijzigingsverzoek onlogisch, onwerkbaar of onnodig is. Dergelijke aanvragen worden afgewezen met opgaaf van reden. De aanvrager dient de gelegenheid geboden te worden om de aanvraag te verdedigen als deze is afgewezen en/of het wijzigingsverzoek opnieuw in te dienen. Activiteit Uitvoering (U) / Coördinatie (C) Accepteren van wijzigingsverzoek Controleren of het ingediende wijzigingsverzoek aan vooraf Wijzigingsbeheer (U) gedefinieerde criteria voldoet. Als het wijzigingsverzoek is geaccepteerd, wordt de informatie voor het verdere verloop van de wijziging vastgelegd in een wijzigingsregistratie. In het verdere verloop van de wijziging wordt hier steeds meer informatie aan toegevoegd, zoals: De toegekende prioriteit De toegekende categorie Beoordeling van de impact en benodigde resources, denk hierbij ook aan de kosten Testresultaten Implementatieplan inclusief een back-out-plan (terugvalscenario) Actuele datum en tijd van de wijziging De reden van een eventuele afkeuring van het wijzigingsverzoek Beoordelen van kwaliteit wijzigingsbeheer Onderstaande vragenlijst kan door de gemeente worden gebruikt om deze activiteit binnen wijzigingsbeheer te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting van de status met betrekking tot wijzigingsbeheer te maken. Bestaat er een formele procedure voor de besluitvorming betreffende wijzigingsverzoeken? Zijn de discretionaire bevoegdheden 11 van de wijzigingsbeheerder eenduidig vastgelegd? Zijn de besluitvormingsbevoegdheden van de andere betrokkenen (management) eenduidig vastgelegd? Is er een formele indeling naar soorten wijzigingen? (bijvoorbeeld standaard, kleine, middelgrote, grote en spoedeisende (urgente) wijzigingen) Worden wijzigingsverzoeken formeel goedgekeurd? Geldt dit voor alle soorten wijzigingen? Wordt er gebruik gemaakt van een 'systeem' bij de registratie en acceptatie van wijzigingsverzoeken? Is dit een centrale registratie? Is dit systeem geautomatiseerd? Is dit systeem gerelateerd aan configuratiebeheer? Zijn de kenmerken van een wijzigingsverzoek vastgesteld? Is bepaald aan welke eisen een wijzigingsverzoek moet voldoen, voor het in behandeling genomen wordt? Is er bepaald op welke wijze de communicatie met de indiener van het wijzigingsverzoek plaats vindt gedurende het wijzigingstraject? Bestaan er formele criteria bij de beoordeling van een wijzigingsverzoek? Bestaat er een vastgestelde werkwijze voor het beoordelen van wijzigingsverzoeken? 11 Een discretionaire bevoegdheid is in het Nederlands bestuursrecht een bevoegdheid die een bestuursorgaan in meer of mindere mate de vrijheid toekent om in concrete gevallen naar eigen inzicht een besluit te nemen. (http://nl.wikipedia.org/wiki/discretionaire_bevoegdheid) 14

15 Is er vastgesteld welke criteria een rol spelen bij het beoordelen van wijzigingsverzoeken (business impact, technische impact, afhankelijkheden, urgentie, benodigde inspanningen, et cetera) Zijn er voorwaarde vastgesteld waaraan een wijzigingsverzoek moet voldoen (invoerscenario s, back-out, testmethoden, et cetera) 2.3 Classificeren Voor (voorgestelde) wijzigingen geldt dat deze systematisch worden geclassificeerd op impact en dat deze worden geautoriseerd met inachtneming van de impactanalyse. Als het wijzigingsverzoek is geaccepteerd, wordt de prioriteit en de categorie daarvan aangegeven. Voor standaardwijzigingen 12, die een verkorte procedure mogen doorlopen, geldt dat deze vooraf worden geclassificeerd, geautoriseerd en gedocumenteerd. Urgentie Een maatstaf die aangeeft hoe lang het duurt tot een incident, probleem of wijziging een significante impact op de bedrijfsvoering van de gemeente heeft. Zo kan een incident met een hoge impact een lage urgentie hebben, als de impact de bedrijfsvoering pas schaadt aan het eind van het financiële jaar. Impact en urgentie worden gebruikt om een prioriteit toe te kennen. Impact De mate waarin een incident, probleem of wijziging effect heeft op bedrijfsprocessen van de gemeente. Impact is vaak gebaseerd op het effect op dienstenniveaus. Impact en urgentie worden gebruikt om prioriteit aan te geven. Om de impact van de wijziging te kunnen vaststellen dient gebruik gemaakt te worden van een gestandaardiseerde procedure. De volgende onderdelen dienen hierbij behandeld te worden: Impact op de financiële situatie van de gemeente. Denk hierbij aan zowel de kosten als de baten. Impact op de gebruikersorganisatie van de gemeente. Inspanning die de gebruikersorganisatie van de gemeente moet leveren. Impact op het gemeentepersoneel. Impact op het materieel. Impact op de ICT-infrastructuur. Impact op het beheer. Inspanning die de ICT-organisatie moet leveren. Impact op het beveiligingsniveau van de gemeente. Impact op de bescherming van persoonsgegevens. Denk hierbij aan zowel de persoonsgegevens van gemeenteambtenaren als burgers. De impact met betrekking tot het beveiligingsniveau en de bescherming van de persoonsgegevens worden hieronder verder toegelicht. Impact beveiligingsniveau 12 Een standaardwijziging is een vooraf geautoriseerde wijziging met een laag risico, die relatief veel voorkomt en een procedure of werkinstructie volgt, zoals het resetten van een wachtwoord of een nieuwe medewerker voorzien van standaardapparatuur. Deze standaardwijzigingen dienen wel geregistreerd te worden in het wijzigingsbeheersysteem. 15

16 De impact op het beveiligingsniveau kan onder andere worden vastgesteld door antwoorden op onderstaande vragen: Veroorzaakt de wijziging veranderingen in de bestaande beveiligingsmaatregelen (bevoegdhedenregeling, controles in de applicatie et cetera)? Moeten voor de wijziging nieuwe en/of specifieke beveiligingsmaatregelen, bovenop de BIG, worden geïmplementeerd? Veroorzaakt de wijziging veranderingen in de bestaande continuïteitsmaatregelen (back-up, redundantie, uitwijk)? Moeten voor de wijziging nieuwe en/of specifieke continuïteitsmaatregelen worden geïmplementeerd? Impact bescherming persoonsgegevens De impact op het beschermingsniveau van persoonsgegevens kan onder andere worden vastgesteld door antwoorden op onderstaande vragen: Worden in het systeem persoonsgegevens vastgelegd? Zo ja, welke? Worden persoonsgegevens uit andere systemen gebruikt of verwerkt? Zo ja, welke? Indien een van bovenstaande vragen met ja beantwoord is, is het systeem gemeld bij de Functionaris Gegevensbescherming (FG) of het College Bescherming Persoonsgegevens (CBP) 13? Prioriteit De prioriteit wordt gebruikt om het relatieve belang te bepalen van een wijziging. Prioriteit is een afgeleide van urgentie en impact, en wordt gebruikt om te bepalen hoeveel tijd nodig is voor de acties die moeten worden ondernomen. Bijvoorbeeld: de Dienstenniveau overeenkomst (DNO) kan aangeven dat incidenten met prioriteit 2, binnen 12 uur moeten zijn opgelost. Van elke wijziging wordt de prioriteit bepaald en voor het indelen in prioriteitsklassen zijn criteria vastgesteld. Categorie De categorie geeft aan hoe de aanvraag verder zal worden afgehandeld en wordt bepaald op basis van de impact en belasting van de resources van de ICT-organisatie. Naast de hiervoor genoemde classificatie kan ook worden aangegeven welke expertiseteams (bijvoorbeeld systeembeheer, netwerkbeheer en telecommunicatie) en welke diensten in de wijziging betrokken zijn. In bijlage 2 worden voorbeelden gegeven van impact-, urgentie-, en prioriteitscodes en een indeling van categorieën. Activiteit Uitvoering (U) / Coördinatie (C) Toekennen van urgentie De urgentie wordt, in overleg met de indiener, toegekend. Wijzigingsbeheer (U) Toekennen van impact De impact wordt toegekend. De impact wordt op verschillende Applicatiebeheer (U), disciplines door verschillende gemeentefunctionarissen vastgesteld. Functioneel beheer (U), Beveiligingsfunctionaris

17 Toekennen van prioriteit De prioriteit geeft het belang aan en is een afgeleide van urgentie en impact. Toekennen van categorie De categorie wordt, eventueel in overleg met de Wijzigingsadviescommissie, toegekend. (U) / Wijzigingsbeheer (C) Wijzigingsbeheer (U) Wijzigingsbeheer (U) Categorieën worden toegekend door wijzigingsbeheer, zo nodig in overleg met de Wijzigingsadviescommissie, die een indicatie geeft van de impact van de wijziging en de belasting op de ICTorganisatie. Beoordelen van kwaliteit wijzigingsbeheer Onderstaande vragenlijst kan door de gemeente worden gebruikt om deze activiteit binnen wijzigingsbeheer te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting van de status met betrekking tot wijzigingsbeheer te maken. Worden alle wijzigingsaanvragen geclassificeerd ten aanzien van de volgende aspecten: o Prioriteit (spoed van de wijziging) o Complexiteit (impact op de organisatie) o Doorlooptijd o Soort ICT-middel (hardware, besturingsprogrammatuur, applicaties, procedures) Zijn er objectieve criteria vastgelegd op basis waarvan bepaald kan worden in welke categorie een wijziging thuishoort? Ziet de wijzigingsbeheerder erop toe dat deze criteria juist worden toegepast? Zijn er categorieën voor wijzigingen met grote (spoedeisende of urgente wijziging), substantiële (major wijziging) en geringe gevolgen (standaardwijziging) beschikbaar? Zijn aan de verschillende categorieën specifieke afhandelingsprocedures gekoppeld? Bijvoorbeeld standaard procedure, een hoge prioriteit procedure en een nood procedure (zie ook bijlage 2). Is in deze afhandelingsprocedures vastgelegd dat alle wijzigingen geautoriseerd dienen te worden door de budgethouder, applicatie, functioneel en technisch beheerder? Zijn voor routinematige wijzigingen standaardprocedures en checklists beschikbaar? Is voor een spoedeisende/urgente wijziging een aparte procedure beschikbaar, waarbij eventueel het wijzigingsproces achteraf alsnog wordt doorlopen? 2.4 Plannen De planning van de wijziging wordt door wijzigingsbeheer opgezet in een wijzigingskalender of wijzigingsplan. Het wijzigingsplan bevat details van alle goedgekeurde wijzigingen en hun planning. Leden van de Wijzigingsadviescommissie adviseren over de planning van een wijziging, want er moet rekening worden gehouden met de beschikbaarheid van het personeel, de middelen, de te maken kosten en de gebruikersorganisatie van de gemeente. Wijzigingsbeheer heeft een gedelegeerde autoriteit en handelt namens het ICT-management. Het kan voor wijzigingen met een grote impact noodzakelijk zijn instemming te verkrijgen van het ICT-management voorafgaand aan de behandeling in de Wijzigingsadviescommissie. Het goedkeuren van de wijziging kan worden ondersteund door drie basisprocessen: Financiële goedkeuring: kosten-batenanalyse en budgettering. Technische goedkeuring: impact, noodzakelijkheid en haalbaarheid. 17

18 Zakelijke goedkeuring: goedkeuring van de gebruikers betreffende functionaliteitbehoefte en impact. Voorgestelde wijzigingen worden geprioriteerd en gepland in overleg met alle belanghebbenden. Er dient hierbij veel aandacht te worden besteed aan informatieverstrekking over deze planning van wijzigingen. Bijvoorbeeld: in de vorm van een wijzigingsplan of de wijzigingskalender. Wijzigingsbeleid formuleren Wijzigingsverzoeken kunnen worden gebundeld in een enkele uitgifte, zodat ook een enkele backout kan worden uitgevoerd (voor terugrol ) als het misgaat. Een dergelijke gebundelde uitgifte moet worden gezien als een enkele wijziging, zelfs als deze uit meerdere aparte wijzigingen is opgebouwd. Uitgiftes kunnen met een functioneel doel voor de business gepland worden. Hiervoor dient beleid geformuleerd te worden en dat dient gecommuniceerd te worden met de ICTorganisatie en met de gemeenten. Dit beleid moet voorkomen dat bij de gebruiker voortdurend de straat wordt opengebroken. Er is vastgelegd wie de prioriteit van wijzigingen bepaalt en wie toestemming verleent voor realisatie en implementatie. Dit beslissingsforum (de Wijzigingsadviescommissie) voldoet aan de volgende eisen en de wijzigingscommissie is hiervoor verantwoordelijk: De leden zijn beslissingsbevoegd. De Wijzigingsadviescommissie is zodanig samengesteld dat er een evenwicht bestaat tussen de belangen van de beheer- en exploitatieorganisatie (continuïteit en stabiliteit) en de gebruikersorganisatie van de gemeente (nieuwe functionaliteit). De leden van de Wijzigingsadviescommissie beschikken gezamenlijk over voldoende beheer-, exploitatie- en materiekennis om verantwoorde besluiten over de wijzigingen te kunnen nemen. De verantwoordelijke voor bijvoorbeeld informatiebeveiliging en bedrijfscontinuïteitsbeheer kunnen via de wijzigingsbeheerder hun standpunten over wijzigingen in de Wijzigingsadviescommissie inbrengen, of zijn zelf (al dan niet op ad hoc basis) lid van de Wijzigingsadviescommissie. De Wijzigingsadviescommissie kan, in overleg met de ICT-afdelingen, vaste periode instellen voor het doorvoeren van wijzigingen op momenten dat de dienstverlening daar geen, of zo min mogelijk, last van heeft. Geschikte momenten kunnen bijvoorbeeld worden gevonden in de weekenden of buiten de geijkte werktijden (kantooruren). Ook kunnen periodes worden vastgesteld waarin juist weinig of geen wijzigen worden gepland, zoals binnen de kantooruren of rond de jaarwisseling. Inschatten van impact en resources. Bij het inschatten van de benodigde resources en de impact van de wijziging moet de Wijzigingsadviescommissie, de wijzigingsbeheerder en alle andere betrokkenen rekening houden met de volgende aspecten: Capaciteit en performance van de betrokken dienst(en) Betrouwbaarheid, veerkracht en herstelbaarheid Back-out-plannen Beveiliging De impact van de wijziging op andere diensten De gewenste doorlooptijd van de wijziging De benodigde middelen en de kosten, niet alleen voor de uitvoering van de wijziging maar ook voor support en onderhoud van de benodigde specialisten 18

19 Eventuele conflicten met andere wijzigingen Op urgente wijzigingen, die niet volledig volgens de reguliere procedure kunnen worden afgehandeld, is een bijzondere procedure van toepassing die vereist dat overgeslagen controlestappen achteraf worden doorlopen. Beoordelen van kwaliteit wijzigingsbeheer Onderstaande vragenlijst kan door de gemeente worden gebruikt om deze activiteit binnen wijzigingsbeheer te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting van de status met betrekking tot wijzigingsbeheer te maken. Zijn criteria vastgelegd waarmee rekening dient te worden gehouden bij het inschatten van de impact en resources? Is vastgelegd wie de prioriteit van wijzigingen bepaalt en wie toestemming verleent voor realisatie en implementatie van deze wijzigingen? 2.5 Coördineren Goedgekeurde wijzigingen worden doorgegeven aan de betrokken productspecialisten voor de bouw en samenstelling van de wijzigingen. Voordat wijzigingen kunnen worden doorgevoerd, moeten de wijzigingen eerst worden getest. Bij het bouwen, testen en implementeren kan uitgiftebeheer een belangrijke coördinerende rol spelen. Ter ondersteuning van wijzigingen dient afdoende aandacht te worden besteed aan communicatie. Bouwen Niet alle wijzigingen hebben een expliciete bouwfase. Zo worden gestandaardiseerde wijzigingen (bijvoorbeeld het resetten van een wachtwoord) direct ingepland en uitgevoerd. Deze standaardwijzigingen dienen wel geregistreerd te worden in het wijzigingsbeheersysteem. Deze registratie is nodig om de voortgang te kunnen bewaken en hierover te rapporteren. Het bouwen kan inhouden dat er een nieuwe softwareversie komt, met nieuwe documentatie, handleidingen, installatieprocedures, inclusief een back-out-plan en aanpassingen op de hardware. Wijzigingsbeheer vervult hierbij een coördinerende rol. Als onderdeel van de oplevering van een wijziging moet ook een back-out-procedure (terugvalscenario) worden geschreven, om de situatie terug te kunnen draaien als de wijziging niet het gewenste resultaat oplevert. Hierin dient te worden beschreven onder welke condities tot een terugval wordt overgegaan en wie daartoe kan besluiten. Wijzigingsbeheer mag de wijziging niet goedkeuren als er geen back-out-procedure is. Als de wijziging impact heeft op de gebruikersomgeving, dan zal er ook een communicatieplan moeten worden geschreven. Verder wordt in de bouwfase een implementatieplan opgesteld en bekende fouten van te implementeren wijzigingen worden geregistreerd. Testen Zowel de wijziging als de back-out-procedure en de invoermethode van de wijziging dienen grondig te worden getest. Afwijkingen van dit principe worden vooraf formeel goedgekeurd, eventueel achteraf in het geval van spoedeisende wijzigingen. Daarbij moet worden gelet op de criteria van doeltreffendheid en autorisatie die eerder al door de Wijzigingsadviescommissie zijn bepaald. Voor elke wijzigingscategorie zijn regels opgesteld voor de omvang en diepgang van de tests. De toetsing op doeltreffendheid van wijzigingen is functioneel gescheiden van de uitvoering van wijzigingen. De toetsingsresultaten worden geaccordeerd door belanghebbenden. 19

20 Als het een wijziging betreft met impact op de informatiebeveiliging, wordt in overleg met de beveiligingsbeheerder bepaald of er specifieke informatiebeveiligingstesten uitgevoerd moeten worden (penetratietesten, code reviews et cetera). Waar nodig wordt apparatuur en programmatuur gecontroleerd op compatibiliteit met andere systeemcomponenten. Er dient voor de testwerkzaamheden een aparte testomgeving te zijn. Testen worden uitgevoerd door de bouwers, degenen die het wijzigingsverzoek hebben ingediend of vertegenwoordigers daarvan (gebruikersorganisatie van de gemeente) en ICT-beheer. Er dient een scheiding te zijn tussen de omgeving waar gebouwd is en de omgeving waar getest wordt. De test moet worden uitgevoerd door een partij die onafhankelijk is van de bouw. Acceptatietests worden uitgevoerd door zowel gebruikers (gebruiksacceptatie) als de beheerders (productie-acceptatietest). De acceptatietest maakt deel uit van het geheel aan testen die in het kader van de wijziging plaatsvinden. Ook zijn duidelijke voorschriften nodig voor het toezicht houden op de kwaliteit van het testen en van de documentatie van de testresultaten. Implementeren Iedereen die vanuit de betrokken afdeling het beheer van de ICT-infrastructuur onder zijn verantwoording heeft, kan worden belast met het implementeren van een wijziging op de infrastructuur. Wijzigingsbeheer ziet erop toe dat de wijziging op schema ligt. Er moet een duidelijk communicatieplan liggen waarin staat wie van de wijziging op de hoogte gebracht moeten worden gesteld. Bijvoorbeeld: gebruikers, netwerk-, systeembeheer, et cetera. Verder wordt voldaan aan onderstaande criteria: In verband met controle op kwaadaardige programmatuur vindt installatie en regelmatige actualisering van antivirusprogramma s en reparatieprogrammatuur als standaardwijziging plaats. Bij wijzigingen in besturingsprogrammatuur worden de eigenaren van toepassingssystemen er tijdig van op de hoogte gesteld dat de toepassingssystemen opnieuw beoordeeld moeten worden, om zeker te stellen dat er geen nadelige gevolgen zijn voor de controle- en integriteitprocedures. Realisatie en implementatie van wijzigingen wordt gepland. Deze planningsgegevens worden gepubliceerd in een algemeen bekendgemaakte wijzigingskalender. Afwijkingen van de planning worden gesignaleerd en geregistreerd. Bij de planning wordt rekening gehouden met de beschikbaarheid van resources (ook van een gebruikersorganisatie van de gemeente als deze bijvoorbeeld bij het testen een rol vervult), de afgesproken onderhoudswindows en de relaties met andere wijzigingen. Gebruikers en beheerders worden tijdig geïnformeerd over de implementatie, zodat zij eventueel rekening kunnen houden met risicoverhogende momenten. Bewaking Er wordt voortgangsbewaking uitgeoefend op de afhandeling van (voorgestelde) wijzigingen, waarbij het prioriteren en de voortgangsbewaking van wijzigingen functioneel zijn gescheiden van de uitvoering van wijzigingen. Beoordelen van kwaliteit wijzigingsbeheer 20

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VERSLAG PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Verslag PIA Versienummer 1.0 Versiedatum April 2014

Nadere informatie

INKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN

INKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN INKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Inkoopvoorwaarden

Nadere informatie

MOBIELE GEGEVENSDRAGERS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

MOBIELE GEGEVENSDRAGERS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) MOBIELE GEGEVENSDRAGERS Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Mobiele gegevensdragers Versienummer 1.0

Nadere informatie

PROCEDURE NIEUWE ICT- VOORZIENINGEN CONFIGURATIEBEHEER

PROCEDURE NIEUWE ICT- VOORZIENINGEN CONFIGURATIEBEHEER PROCEDURE NIEUWE ICT- VOORZIENINGEN CONFIGURATIEBEHEER Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) 1 Colofon Naam document Procedure

Nadere informatie

CONTRACTMANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

CONTRACTMANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) CONTRACTMANAGEMENT Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Contractmanagement Versienummer 1.0 Versiedatum

Nadere informatie

TOEGANGSBELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

TOEGANGSBELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) TOEGANGSBELEID Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Toegangsbeleid Versienummer 1.0 Versiedatum oktober

Nadere informatie

VEILIGE AFVOER VAN ICT- MIDDELEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VEILIGE AFVOER VAN ICT- MIDDELEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VEILIGE AFVOER VAN ICT- MIDDELEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Veilige afvoer van ICT-middelen

Nadere informatie

IMPLEMENTATIE BIG. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

IMPLEMENTATIE BIG. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) IMPLEMENTATIE BIG Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Implementatie BIG Versienummer 1.0 Versiedatum

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst

Nadere informatie

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Toelichting op GAP-analyse Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

PATCH MANAGEMENT VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

PATCH MANAGEMENT VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) PATCH MANAGEMENT VOOR GEMEENTEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Patch Management voor gemeenten

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

HANDREIKING PROCES CONFIGURATIEBEHEER

HANDREIKING PROCES CONFIGURATIEBEHEER HANDREIKING PROCES CONFIGURATIEBEHEER Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Handreiking proces configuratiebeheer

Nadere informatie

HARDENING-BELEID VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

HARDENING-BELEID VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) HARDENING-BELEID VOOR GEMEENTEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Hardening-beleid voor gemeenten

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

SAMENHANG BEHEERPROCESSEN EN INFORMATIEBEVEILIGING

SAMENHANG BEHEERPROCESSEN EN INFORMATIEBEVEILIGING SAMENHANG BEHEERPROCESSEN EN INFORMATIEBEVEILIGING Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Samenhang beheerprocessen

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013. Anita van Nieuwenborg

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013. Anita van Nieuwenborg INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013 Anita van Nieuwenborg Agenda 1. De IBD 2. Doelen van de IBD 3. Dienstverlening van de IBD 4. Aansluiting bij de IBD 5. Vragen 2 1. De IBD

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

ANTI-MALWARE BELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

ANTI-MALWARE BELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) ANTI-MALWARE BELEID Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Anti-malware beleid Versienummer 1.0 Versiedatum

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk

Nadere informatie

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Implementatie BIR Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

BABVI/U201300696 Lbr. 13/057

BABVI/U201300696 Lbr. 13/057 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatiebeveiliging uw kenmerk ons kenmerk BABVI/U201300696 Lbr. 13/057 bijlage(n) datum 6 juni 2013 Samenvatting

Nadere informatie

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Contractmanagement Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

24/7. Support. smart fms

24/7. Support. smart fms 24/7 Support Smart FMS vindt het van het grootste belang dat haar klanten helder inzicht hebben in de voorwaarden, zekerheid over gemaakte afspraken en het vertrouwen in haar als softwareaanbieder. Het

Nadere informatie

BACK-UP EN RECOVERY GEMEENTE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

BACK-UP EN RECOVERY GEMEENTE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) BACK-UP EN RECOVERY GEMEENTE Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Back-up en Recovery Gemeente Versienummer

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging Het ICT-Beveiligings- i assessment DigiD & Informatiebeveiliging De aanleiding 2011: Diginotar 2011: Lektober En ook: 2012: Dorifel 2012: Citadel 2013: DongIT Botnet De reactie vanuit VNG/KING Starting

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD De Baseline Informatiebeveiliging & grote gemeenten 6 oktober 2014 John van Huijgevoort, IBD Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): Samenhang Instrumenten Hoe om te gaan

Nadere informatie

Q3 Concept BV Tel: +31 (0)413 331 331

Q3 Concept BV Tel: +31 (0)413 331 331 Algemeen Deze Service Level Agreement (SLA) beschrijft de dienstverlening van Q3 Concept BV op het gebied van het beheer van de Q3 applicatie zoals Q3 Concept BV deze aanbiedt aan opdrachtgever en de service

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 Anita van Nieuwenborg Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 De IBD Gezamenlijk initiatief VNG en KING Opgericht vanuit behoefte van gemeenten aan coördinatie en ondersteuning

Nadere informatie

Service Niveau Overeenkomst Digikoppeling

Service Niveau Overeenkomst Digikoppeling Service Niveau Overeenkomst Digikoppeling Versie 1.3 Datum 26 mei 2015 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl

Nadere informatie

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015 Anita van Nieuwenborg Teamleider IBD Stand van zaken IBD Regiobijeenkomsten juni-juli 2015 Agenda IBD in de praktijk Terugblik Ontwikkelingen Leveranciersmanagement Meldplicht datalekken IBD producten-

Nadere informatie

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Veilige afvoer van ICT-middelen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

VOORBEELD BASELINETOETS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VOORBEELD BASELINETOETS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VOORBEELD BASELINETOETS Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Voorbeeld Versienummer 1.0 Versiedatum Juni

Nadere informatie

o n k Ö A fia* V/ \ ^ * f

o n k Ö A fia* V/ \ ^ * f - JAGT_P_U201300696.docx - 20130606_ledenbri... http://www.vng.nl/files/vng/brieven/2013/20130606_ledenbrief_inf.. o n k Ö A fia* V/ \ ^ * f 6 JUNI 2013 U,< v ~. ^. Vereniging van 1 Nederlandse Gemeenten

Nadere informatie

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Drechtsteden Technische Architectuur (DTA) ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Status : Definitief 1.0 Redactie : DTA Datum : 29-08-2007 1 Versiebeheer

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Procesbeschrijving Punch out aansluiting DigiInkoop

Procesbeschrijving Punch out aansluiting DigiInkoop Procesbeschrijving Punch out aansluiting DigiInkoop Versie 1.1 Datum 28 mei 2014 Status Definitief Colofon Projectnaam DigiInkoop Versienummer 1.1 Contactpersoon Centraal Functioneel Beheer DigiInkoop

Nadere informatie

Geef de titel van het wijzigingsverzoek zo kort mogelijk weer.

Geef de titel van het wijzigingsverzoek zo kort mogelijk weer. Naam indiener WIJZIGINGSVOORSTEL Nummer: xxx Datum: dd-mm-jj Status: stap 1, 2, 3, 4 of 5 Bedrijfsonderdeel/afdeling/ functie Naam projectmanager Naam wijzigingsbehandelaar (indien van toepassing) Het

Nadere informatie

Voorbeeld SLA

Voorbeeld SLA <applicatie> Naam Best Practice Voorbeeld SLA IDnr 067_BP_N Datum aangepast 01/01/2011 Omschrijving van de inhoud Een voorbeelddocument van (SLA) Soort document Voorbeeld ASL Processen Servicelevel management

Nadere informatie

Service Level Management DAP Template

Service Level Management DAP Template Service Level Management DAP Template Versie 1.0 27 juli 2011 Definitief Auteur : Bart de Best Akkoord : Bart de Best Datum : 27 mei 2011 Versie : 1.0 Referentie : DAP template Pagina : I Colofon Titel

Nadere informatie

1 Dienstbeschrijving all-in beheer

1 Dienstbeschrijving all-in beheer 1 Dienstbeschrijving all-in beheer De all-in beheer overeenkomst van Lancom is modulair opgebouwd. U kunt bij Lancom terecht voor deelgebieden zoals helpdesk ondersteuning of backup, maar ook voor totale

Nadere informatie

MOBILE DEVICE MANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

MOBILE DEVICE MANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) MOBILE DEVICE MANAGEMENT Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Mobile Device Management Versienummer 1.0

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

Het BiSL-model. Een whitepaper van The Lifecycle Company

Het BiSL-model. Een whitepaper van The Lifecycle Company Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte

Nadere informatie

Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011

Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011 Universitair Informatiemanagement Kenmerk: SECR/UIM/11/0914/FS Datum: 14-09-11 Tussenrapportage project professionaliseren functioneel beheer instellingssystemen September 2011 1. Inleiding Begin 2011

Nadere informatie

Voorstel Informatiebeveiliging beleid Twente

Voorstel Informatiebeveiliging beleid Twente Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)

Nadere informatie

VRAGENLIJST PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VRAGENLIJST PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VRAGENLIJST PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Vragenlijst PIA Versienummer 1.0 Versiedatum April

Nadere informatie

Change Management RFC Checklist

Change Management RFC Checklist Change Management Versie 1.0 27 juli 2011 Definitief Auteur : Bart de Best Akkoord : Bart de Best Datum : 27 mei 2011 Versie : 1.0 Referentie : Pagina : I Colofon Titel Change Management Ondertitel Versie

Nadere informatie

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Information Security Management

Nadere informatie

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Information Security Management

Nadere informatie

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Hardening Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen NORA Sessie 5 29 mei 2013 in Amersfoort Agenda en een samenvatting Jaap van der Veen Agenda 29-5-2013 1. Welkom 2. Presentatie Eric Brouwer en Joris Dirks over Kennismodel NORA-Wiki en hoe we onze informatie

Nadere informatie

Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013

Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013 Auditdienst Rijk Ministerie van Financiën Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013 ADR/20 14/1087 Datum 16 september 2014 Status Definitief Pagina 1 van 14 MUOIt

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo notities Versie: versie datum Onderwerp Aan CC Van Hans Wolters 29 januari 2016 c-n-hawo-0004-20160129 HaWo 1. Leveringsvoorwaarden 1.1. Algemene gegevens ISC Het ICT Servicecentrum (ISC) is voor de Radboud

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Ontwikkelaar ICT. Context. Doel

Ontwikkelaar ICT. Context. Doel Ontwikkelaar ICT Doel Ontwikkelen en ontwerpen van ICT-producten, binnen overeen te komen dan wel in een projectplan vastgelegde afspraken ten aanzien van tijd, budget en kwaliteit, opdat overeenkomstig

Nadere informatie

EXIN Business Information Management Foundation

EXIN Business Information Management Foundation Voorbeeldexamen EXIN Business Information Management Foundation with reference to BiSL Editie mei 2012 Copyright 2012 EXIN Alle rechten voorbehouden. Niets uit deze uitgave mag worden openbaar gemaakt

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

ondersteuning krijgen van de helpdesk

ondersteuning krijgen van de helpdesk Inleiding Deze SLA heeft tot doel de afspraken tussen de Intergemeentelijke Sociale Dienst Midden Langstraat en de Gemeente Heusden over de kwaliteit en de omvang van de dienstverlening vast te leggen.

Nadere informatie

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Overzicht Informatiebeveiliging Inlichtingenbureau GGK Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

SLA HOSTING. Looptijd. Van: Tot: Versie: 1.0

SLA HOSTING. Looptijd. Van: Tot: Versie: 1.0 SLA HOSTING Looptijd Van: Tot: Versie: 1.0 INHOUD 1 Inleiding... 2 2 Definities... 3 3 Algemeen... 5 3.1 Rangorde Overeenkomsten... 5 3.2 Contactpersonen... 5 3.3 Algemene beschrijving van de diensten...

Nadere informatie

Rapport Richtlijn gebruik productiegegevens

Rapport Richtlijn gebruik productiegegevens Rapport Richtlijn gebruik productiegegevens Documenthistorie Datum en versienummer Auteur Opmerking Versie 1.0, 20 december 2005 M. van der Werff, B. de Wit Ter vaststelling door DPB Goedkeuring Datum

Nadere informatie

Newway Service Level Agreement Structure

Newway Service Level Agreement Structure Newway Service Level Agreement Structure Ondanks alle aan de samenstelling van de tekst bestede zorg, kan Newway Retail Solutions bv (Newway) géén enkele aansprakelijkheid aanvaarden voor eventuele directe

Nadere informatie

HANDREIKING SERVICE LEVEL AGREEMENTS

HANDREIKING SERVICE LEVEL AGREEMENTS HANDREIKING SERVICE LEVEL AGREEMENTS Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Handreiking Service Level Agreements

Nadere informatie

Proefexamen ITIL Foundation

Proefexamen ITIL Foundation Proefexamen ITIL Foundation 1. Van welk proces is risicoanalyse een essentieel onderdeel? a. IT Service Continuity Management b. Service Level Management c. Capacity Management d. Financial Management

Nadere informatie

VOORBEELD SERVICE LEVEL AGREEMENT (SLA) MET AANDACHT VOOR INFORMATIEBEVEILIGING

VOORBEELD SERVICE LEVEL AGREEMENT (SLA) MET AANDACHT VOOR INFORMATIEBEVEILIGING VOORBEELD SERVICE LEVEL AGREEMENT (SLA) MET AANDACHT VOOR INFORMATIEBEVEILIGING Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon

Nadere informatie

BEWERKERSOVEREENKOMST. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

BEWERKERSOVEREENKOMST. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) BEWERKERSOVEREENKOMST Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Bewerkersovereenkomst. Versienummer 1.0 Versiedatum

Nadere informatie

PQR Lifecycle Services. Het begint pas als het project klaar is

PQR Lifecycle Services. Het begint pas als het project klaar is PQR Lifecycle Services Het begint pas als het project klaar is IT wordt een steeds crucialer onderdeel van de dagelijkse bedrijfsvoering. Waar u ook bent, het moet altijd beschikbaar en binnen bereik zijn.

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

Privacy protocol gemeente Hardenberg. de activiteiten van de gebiedsteams "Samen Doen" worden uitgevoerd in opdracht van het

Privacy protocol gemeente Hardenberg. de activiteiten van de gebiedsteams Samen Doen worden uitgevoerd in opdracht van het O0SOPo 01-04-15 Hardenberg Privacy protocol gemeente Hardenberg Burgemeester en wethouders van de gemeente Hardenberg; Gelet op de: Wet bescherming persoonsgegevens (Wbp) Wet maatschappelijke ondersteuning

Nadere informatie

Serviceniveauovereenkomst voor klanten

Serviceniveauovereenkomst voor klanten Serviceniveauovereenkomst voor klanten DigiD Versie 2.5 Datum 1 juli 2015 Status Definitief Colofon Projectnaam DigiD Versienummer 2.5 Organisatie Logius Postbus 96810 2509 JE Den Haag servicecentrum@logius.nl

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

Change Management RFC Template

Change Management RFC Template Change Management RFC Template Versie 1.0 27 juli 2011 Definitief Auteur : Bart de Best Akkoord : Bart de Best Datum : 27 mei 2011 Versie : 1.0 Referentie : RFC template Pagina : I Colofon Titel Change

Nadere informatie

Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur.

Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur. ITIL Wat is ITIL? Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur. Begrippen Rol Functie Proces Proceseigenaar Procesmanager Product Dienst Problem Problem

Nadere informatie

S. Nicolasen, B. Duindam, K. v.d. Heuvel, D. Wering. Advies: Bijgaande raadsinformatiebrief goedkeuren en naar raad verzenden.

S. Nicolasen, B. Duindam, K. v.d. Heuvel, D. Wering. Advies: Bijgaande raadsinformatiebrief goedkeuren en naar raad verzenden. VOORSTEL AAN BURGEMEESTER EN WETHOUDERS Van: A. Paap Tel nr: 8878 Nummer: 15A.00662 Datum: 25 juni 2015 Team: Informatiebeleid Tekenstukken: Ja Bijlagen: 2 Afschrift aan: N.a.v. (evt. briefnrs.): S. Nicolasen,

Nadere informatie

AWB: SPRINGPLANK VOOR MODERN KLACHTENMANAGEMENT BINNEN DE (RIJKS)OVERHEID. drs. J. Korteweg en drs. I.M.F.J. Joukes

AWB: SPRINGPLANK VOOR MODERN KLACHTENMANAGEMENT BINNEN DE (RIJKS)OVERHEID. drs. J. Korteweg en drs. I.M.F.J. Joukes AWB: SPRINGPLANK VOOR MODERN KLACHTENMANAGEMENT BINNEN DE (RIJKS)OVERHEID drs. J. Korteweg en drs. I.M.F.J. Joukes Artikel, gepubliceerd in Overheidsmanagement, jaargang 12, nummer 7-8 (juli/augustus 1999),

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga INFORMATIEVEILIGHEID een uitdaging van ons allemaal ICT Noord, Harro Spanninga Agenda Toelichting op de Taskforce BID Introductie thema Informatieveiligheid Technisch perspectief Perspectief van de overheid

Nadere informatie

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042 Brief aan de leden T.a.v. het college en de raad 2 3 MEI 28H Vereniging van Nederlandse Gemeenten informatiecentrum tel. (070) 373 8393 uw kenmerk bījlage(n) betreft Voortgang Informatieveiligheid ons

Nadere informatie

Een beetje beveiligen kan niet Op weg naar veiliger gemeenten Jaarplan 2015 en toekomst IBD Consulterend Overleg 22 september 2014 Boudien Glashouwer

Een beetje beveiligen kan niet Op weg naar veiliger gemeenten Jaarplan 2015 en toekomst IBD Consulterend Overleg 22 september 2014 Boudien Glashouwer Een beetje beveiligen kan niet Op weg naar veiliger gemeenten Jaarplan 2015 en toekomst IBD Consulterend Overleg 22 september 2014 Boudien Glashouwer Doelstellingen en scope IBD Het preventief en structureel

Nadere informatie

11 december 2014 Jule Hintzbergen, IBD. De Baseline Informatiebeveiliging en kleine gemeenten

11 december 2014 Jule Hintzbergen, IBD. De Baseline Informatiebeveiliging en kleine gemeenten 11 december 2014 Jule Hintzbergen, IBD De Baseline Informatiebeveiliging en kleine gemeenten Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Hoe om te gaan met de BIG als kleine gemeente

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

Voorbeeldexamen. Business Information Management Foundation. Editie augustus 2011

Voorbeeldexamen. Business Information Management Foundation. Editie augustus 2011 Voorbeeldexamen Business Information Management Foundation Editie augustus 2011 Copyright 2011 EXIN Alle rechten voorbehouden. Niets uit deze uitgave mag worden openbaar gemaakt of verveelvoudigd, opgeslagen

Nadere informatie

BELEID LOGISCHE TOEGANGSBEVEILIGING

BELEID LOGISCHE TOEGANGSBEVEILIGING BELEID LOGISCHE TOEGANGSBEVEILIGING Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Beleid logische toegangsbeveiliging

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Bijlage 11 Taakomschrijving rollen NEN informatiebeveiliging. 1. Doel

Bijlage 11 Taakomschrijving rollen NEN informatiebeveiliging. 1. Doel Bijlage 11 Taakomschrijving rollen NEN informatiebeveiliging 1. Doel In dit document leggen we vast hoe de taken en bevoegdheden ten aanzien van informatiebeveiliging verdeeld zijn over de diverse medewerkers.

Nadere informatie

Aantoonbaar in control op informatiebeveiliging

Aantoonbaar in control op informatiebeveiliging Aantoonbaar in control op informatiebeveiliging Agenda 1. Introductie key2control 2. Integrale interne beheersing 3. Informatiebeveiliging 4. Baseline Informatiebeveiliging Gemeenten 5. Demonstratie ISMS

Nadere informatie

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) Telefoon: 088 773 0 773 Email: Support@adoptiq.com Website: www.adoptiq.com Adres: Johan Huizingalaan 763a 1066 VH Amsterdam KvK nr: 61820725 BTW nr: NL.854503183.B01 IBAN

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

ITIL V3. een kennismaking. C.A. van der Eem

ITIL V3. een kennismaking. C.A. van der Eem een kennismaking C.A. van der Eem VOORWOORD een kennismaking Dit is de derde uitgave van ITIL een kennismaking. Dit boek behandelt de onderdelen van foundations. Uitgangspunt is vooral het basisbegrip

Nadere informatie