HANDREIKING PROCES CONFIGURATIEBEHEER

Maat: px
Weergave met pagina beginnen:

Download "HANDREIKING PROCES CONFIGURATIEBEHEER"

Transcriptie

1 HANDREIKING PROCES CONFIGURATIEBEHEER Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

2 Colofon Naam document Handreiking proces configuratiebeheer Versienummer 1.0 Versiedatum Juni 2014 Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Copyright 2014 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. KING wordt als bron vermeld; 2. het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door KING; 4. iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling. Rechten en vrijwaring KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. Met dank aan De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product. In samenwerking met De producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) worden vervaardigd in samenwerking met: 2

3 Voorwoord De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari Aanleiding voor de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. De IBD heeft drie doelen: 1. Het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. Het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 3. Het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het ICT-Beveiligingsassessment DigiD is een voorbeeld van een dergelijk project. Hoe realiseert de IBD haar doelen? Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de website en community van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie in control is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische- en Tactische Baseline te ondersteunen, zijn door de IBD in samenwerking met de Taskforce Bestuur en Informatieveiligheid Dienstverlening producten ontwikkeld op operationeel niveau. Dit heeft een productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten. Onderhavig product is onderdeel van het productenportfolio. Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld. Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website van de IBD. De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de regels. Hierbij geldt: - Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI, BAG, PUN en WBP, maar ook de archiefwet. - Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). - De gemeente stelt dit normenkader vast, waarbij er ruimte is in de naleving van dat kader voor afweging en prioritering op basis van het pas toe of leg uit principe. 3

4 Leeswijzer Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Doel Dit product bevat aanwijzingen voor het omgaan van alle componenten die deel uitmaken van de ICTinfrastructuur, en aanwijzingen voor gebruik en inrichting van het proces configuratiebeheer. Doelgroep Dit document is van belang voor de systeemeigenaren, applicatiebeheerders en de ICT-afdeling. Relatie met overige producten Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) o Strategische variant van de Baseline Informatiebeveiliging voor Gemeenten o Tactische variant van de Baseline Informatiebeveiliging voor Gemeenten Informatiebeveiligingsbeleid van de gemeente Procedure wijzigingsbeheer Incident Management en responsebeleid Basis continuïteitsplannen in verband met stroomuitval / Disaster Recovery Plan (DRP) Business Continuity Management (BCM) Basis beveiligingsparagraaf Service Level Agreement (SLA) Uitbesteding ICT-diensten Patchmanagement Maatregelen tactische variant Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Maatregel Inventarisatie van bedrijfsmiddelen Maatregel Aanvaardbaar gebruik van bedrijfsmiddelen Maatregel Beheersing van operationele programmatuur 4

5 Inhoudsopgave Colofon 1 Voorwoord 3 Leeswijzer 4 Inhoudsopgave 5 1 Inleiding De indeling van dit document is als volgt: Aanwijzing voor gebruik 7 2 Handreiking proces Invoeren/registeren nieuwe configuratie-items Beheer configuratiebeheerdatabase Statusbewaking van de configuratie-items Verificatie configuratiebeheerdatabase Rapportage 15 3 Prestatie-indicatoren 16 Bijlage: Definities 17 Bijlage: Literatuur/bronnen 20 5

6 1 Inleiding De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) heeft maatregelen beschreven die te maken hebben met configuratiebeheer, zie hiervoor ook het voorbeeld gemeentelijk informatiebeveiligingsbeleid. Doelstelling procedure configuratiebeheer Configuratiebeheer draagt er zorg voor dat de gegevens over de ICT-infrastructuur (ICT-middelen en -diensten) betrouwbaar worden vastgelegd en dat actuele en relevante gegevens aan andere ICT-beheerprocessen worden geleverd over de ICT-middelen, hun onderlinge samenhang (relaties) en de relaties met de ICT-diensten. Configuratie-items De gegevens over de ICT-infrastructuur (ICT-middelen en -diensten) worden aangeduid als configuratie-item (CI) en hebben betrekking op hard- en software, netwerkverbindingen en documentatie en worden bij voorkeur in een geautomatiseerde database, de Configuratiebeheer database (CBDB), vastgelegd. Tevens wordt de onderlinge samenhang tussen deze componenten vastgelegd. De informatiebehoeften van afhankelijke ICT-beheerprocessen bepalen de aard en diepgang van de vastleggingen over configuratie-items. Beheerdoelstellingen van configuratiebeheer De volgende beheerdoelstelling van configuratiebeheer dient met een redelijke mate van zekerheid te worden gewaarborgd: Configuratie-items, hun kenmerken en onderlinge samenhang dienen juist, volledig en tijdig te worden geïdentificeerd en vastgelegd. Indien configuratie-items niet juist, volledig en tijdig worden geïdentificeerd en vastgelegd, bestaat het risico dat de hiervan afhankelijke ICT-beheerprocessen niet van juiste en volledige informatie 1 worden voorzien over de configuratie-items, waardoor zowel de beschikbaarheid, integriteit, vertrouwelijkheid als controleerbaarheid van de ICT-diensten kan worden aangetast. De procedures waarborgen dat alle wijzigingen in de configuraties juist, volledig en tijdig worden vastgelegd in de registratie. Het is daarom van belang, dat periodiek door controle wordt vastgesteld, dat de geregistreerde gegevens van de configuratie-items overeenkomen met de werkelijkheid, en dat bij verschillen de registratie weer in overeenstemming gebracht wordt met de werkelijkheid. Belang van configuratiebeheer voor informatiebeveiliging Het belang van configuratiebeheer voor informatiebeveiliging omvat: Configuratiebeheer heeft een beveiligingsbelang in het kader van de integriteitshandhaving, doordat het kan borgen dat updates van configuratie-items overal worden aangebracht waar ze worden gebruikt. Configuratiebeheer kan de beveiligingsclassificatie van de ICT-middelen vastleggen. Deze classificatie kan worden gebruikt om beveiligingsmaatregelen beter toe te snijden op de risico s van het hebben of gebruiken van configuratie-items, al dan niet afhankelijk van de soort omgeving of bedrijfsproces. 2 1 Het gaat hierbij om zowel actuele als historische informatie. 2 De te nemen maatregelen moeten worden afgestemd op de risico s, waarbij rekening dient te worden gehouden met technische mogelijkheden en de kosten van maatregelen. 6

7 Configuratiebeheer is voorwaardenscheppend voor bijna alle andere ICT-beheerprocessen, voorbeelden hiervan zijn: o Door juiste, volledige en tijdige informatieverstrekking aan wijzigingsbeheer 3 wordt voorkomen dat er verschillende (en dus verouderde) versies van hetzelfde configuratieitem in exploitatie komen of zijn. o Door het beschikbaar stellen van documentatie van ICT-middelen en hun onderlinge (netwerk-)verbindingen, is het mogelijk om fysieke en logische toegangsbeveiliging 4 te beoordelen. Activiteiten configuratiebeheerder. De configuratiebeheerder voert onder andere onderstaande activiteiten uit. Hij/zij: Stelt naamgevingstandaards op, bewaakt de naleving en breidt deze eventueel uit. Registreert en identificeert (nieuwe) configuratie-items. Bewaakt en geeft inzicht in de actuele status van configuratie-items. Verstrekt informatie tijdens de impactanalyse over welke ICT-middelen waar gebruikt worden. Verstrekt informatie over de gebruikte softwareversies. Stelt rapportages op over aanwezige ICT-middelen, geconstateerde afwijking tussen de in de configuratiebeheerdatabase geregistreerde gegevens en de werkelijkheid, evaluatie van het proces configuratiebeheer et cetera. 1.1 De indeling van dit document is als volgt: Hoofdstuk 2: Handreiking proces Hoofdstuk 3: Prestatie-indicatoren 1.2 Aanwijzing voor gebruik Deze handleiding is geschreven om informatiebeveiligingsmaatregelen met betrekking tot configuratiebeheer uit te werken en daarbij handreikingen te geven voor het proces rondom configuratiebeheer en aanverwante procedures. Deze handleiding is geen volledige procesbeschrijving. Het proces configuratiebeheer wordt vaak uitgevoerd binnen de ICT-afdeling. De gemeentelijke beleidsregels met betrekking tot configuratiebeheer zijn: 5 a) Alle bedrijfsmiddelen moeten geïdentificeerd zijn, er moet een inventaris van worden bijgehouden. b) Alle informatie en bedrijfsmiddelen die verband houden met ICT-voorzieningen, aan een 'eigenaar' (een deel van de organisatie) toewijzen. c) Regels vaststellen, het documenteren en implementeren voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen, die verband houden met ICT-voorzieningen. d) Apparatuur, informatie en programmatuur van de organisatie, mogen niet zonder toestemming vooraf, van de locatie worden meegenomen. 3 Zie hiervoor ook het operationele product Handreiking proces wijzigingsbeheer van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 4 Zie hiervoor ook het operationele product Toegangsbeleid van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 5 Zie ook het voorbeeld Algemene informatiebeveiligingsbeleid van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 7

8 e) De verantwoordelijkheid voor specifieke beheersmaatregelen mag door de eigenaar worden gedelegeerd, maar de eigenaar blijft verantwoordelijk voor een goede bescherming van de bedrijfsmiddelen. f) Het object van classificatie is informatie. We classificeren op het niveau van informatiesystemen (of informatieservices). Alle classificaties van alle bedrijfskritische systemen zijn centraal vastgelegd door de Chief Information Security Officer (CISO) en dienen jaarlijks gecontroleerd te worden door de eigenaren. 8

9 2 Handreiking proces Binnen configuratiebeheer worden de volgende activiteiten onderkend: Registratie: Invoeren/registreren van nieuwe configuratie-items Beheer: Beheer van de configuratiebeheerdatabase Statusbewaking: Statusbewaking van de configuratie-items Verificatie: Verificatie van configuratiebeheerdatabase Voordat begonnen kan worden met de implementatie van het proces configuratiebeheer dient door de gemeente overeenstemming te zijn bereikt over onderstaande punten: Het doel van het proces dient eenduidig te zijn vastgelegd. Wat is de reikwijdte (bereik) van het proces? Welke configuratie-items worden wel en welke worden niet geregistreerd? Wordt de hele levenscyclus van een configuratie-item vastgelegd of slechts een deel? Tot op welk detailniveau worden ICT-middelen geregistreerd? Het laagste niveau waarop nog uniek identificeerbare componenten onderscheiden kunnen worden, bijvoorbeeld: werkstation, monitor, netwerkkaart, CD/DVD. Bedenk dat ICT-middelen een waarde vertegenwoordigen en dat verantwoording mogelijk moet zijn over bestede gelden (terugkijken) en geschatte onderhoudskosten (planning). Welke attributen (eigenschappen en kenmerken) van een configuratie-item worden geregistreerd? Voor het inrichten van een configuratiebeheerdatabase moet bepaald worden welke attributen worden vastgelegd. Identificatiecode, serienummer, categorie (hard-, software, netwerk of documentatie), status, versienummer, merk, model en type, locatie, aanschafwaarde, verantwoordelijke functionaris/eigenaar, beveiligingsclassificatie, bron of leverancier, aanschafdatum, leveringsdatum, licentienummer of referentie naar een licentiecontract, verloopdatum licentie, kritiek configuratie-item (ja/nee), IP-adressen en URL s, relaties met ander configuratie-items, identificatienummers met incidenten, problemen, onderkende fouten, wijziging voorstellen en wijzigingsrecords en commentaar, huidige status, acceptatiedatum, et cetera. Welke relaties tussen configuratie-items worden in de configuratiebeheerdatabase geregistreerd? Bijvoorbeeld: is hiërarchisch ondergeschikt aan, is verbonden met, maakt gebruik van, is onderdeel van, is een kopie van en heeft betrekking op. De verantwoordelijkheden en bevoegdheden in het proces dienen duidelijk te zijn vastgelegd. Er dient te zijn bepaald welke functies of processen direct te maken hebben met het proces. Er dient voldoende inzicht en kennis aanwezig te zijn bij de gerelateerde functies of processen met betrekking tot het doel, verantwoordelijkheden en werkwijze van het proces. Zijn er relaties met andere ICT-beheerprocessen, zoals incidentbeheer en wijzigingsbeheer? Zijn er nog andere processen binnen de gemeente die deze informatie gebruiken? Welke rapportagemogelijkheden zijn noodzakelijk? Tenslotte dient de configuratiebeheerdatabase ook als middel bij het identificeren van beveiligingsupdates en patches of IP-nummers gerelateerd aan IBD-meldingen. In het aansluitproces van de gemeente bij de IBD 6 is deze informatie ook nodig, om te borgen dat de juiste meldingen door de gemeente kunnen worden ontvangen. Het is raadzaam om in de 6 Zie hiervoor ook het stappenplan 'Aansluiten bij de IBD'. 9

10 configuratiebeheerdatabase de volgende configuratie-items mede vast te leggen: externe IPnummers en software pakketten met hun versienummer. Beoordelen kwaliteit configuratiebeheer Onderstaande vragenlijst kan door de gemeente worden gebruikt om configuratiebeheer te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting van de status met betrekking tot configuratiebeheer te maken. Is het doel van configuratiebeheer eenduidig vastgelegd? Zijn verantwoordelijkheid en bevoegdheden voor het opvoeren en wijzigen van configuratieitems, en daarmee voor de inhoudelijke juistheid van de configuratiebeheerdatabase eenduidig in de gemeente belegd? Is bepaald welke functies of processen direct te maken hebben met het proces? Zijn procedurebeschrijvingen beschikbaar waarin de activiteiten van de verschillende betrokkenen zijn vastgelegd? Is bij de gerelateerde processen voldoende inzicht en kennis aanwezig met betrekking tot het doel, de verantwoordelijkheden en de werkwijze van het proces? Is een rapportagestructuur vastgelegd ten aanzien van het functioneren van het proces? Worden de rapportages gebruikt voor sturing van het proces? Worden de rapportages op regelmatige basis opgesteld? En aangevuld met ad hoc rapportages? 2.1 Invoeren/registeren nieuwe configuratie-items Binnen deze activiteit wordt het proces ingericht om alle componenten van de ICT-infrastructuur onder controle te brengen en de configuratiebeheerdatabase up-to-date te houden. Om dit te verwezenlijken moeten alle configuratie-items bij de gemeente worden geïdentificeerd en geregistreerd. Hiervoor moeten alle nieuwe of bestaande nog niet geregistreerde configuratie-items worden voorzien van een label met een unieke identificatiecode. Deze procedure is van toepassing op de gehele ICT-infrastructuur en is geldig vanaf het moment van levering van goederen, tot het moment dat de configuratie-items in productie kunnen worden genomen. Activiteiten omvatten onder andere, het opstellen van een datamodel voor het registreren van alle componenten in de ICT-infrastructuur, het bepalen en onderhouden van naamgeving en versienummering van fysieke componenten in de ICT-infrastructuur, hun onderlinge samenhang, informatie over eigenaar/verantwoordelijke, status, beschikbare documentatie en de relevante eigenschappen en kenmerken (attributen). Met behulp van deze attributen wordt informatie opgeslagen die relevant is voor het betrokken configuratie-item en die aansluit op de informatiebehoefte van andere processen. Enkele belangrijke attributen zijn: Technische aspecten (bijvoorbeeld: unieke identificatiecode, merk, model en type, versienummer, categorie (hard-, software, netwerk of documentatie), aanschafdatum, aanschafwaarde, huidige status, beveiligingsclassificatie, relatie met dienst en andere configuratie-items, belang component (consequenties uitval), kritiek configuratie-item (ja/nee), IP-adressen en URL s. Registratie-aspecten (bijvoorbeeld: wanneer, door wie en op basis waarvan een wijziging in registratie heeft plaatsgevonden, acceptatiedatum, identificatienummers met incidenten, problemen, onderkende fouten, wijziging voorstellen en wijzigingsrecords en commentaar). 10

11 Onderhoudsaspecten (bijvoorbeeld: leveringsdatum, licentienummer of referentie naar een licentiecontract, verloopdatum licentie, onderhoudscontracten, verrichting onderhoud, leverancier, serviceverlener). Organisatorische aspecten (bijvoorbeeld: locatie, verantwoordelijke functionaris/eigenaar, beheerder, functioneel houder, technisch houder, budgethouder). Hieronder wordt een overzicht gegeven van de activiteiten, die binnen invoeren/registreren kunnen worden onderkend. Hierbij wordt tevens aangegeven wie verantwoordelijk is voor de uitvoering en wie een coördinerende taak heeft. Activiteit Uitvoering (U) / Coördinatie (C) Melding nieuw configuratie-item Er kunnen van verschillende kanten meldingen binnenkomen voor nieuwe configuratie-items, zoals: Levering van ICT-goederen die na controle op juistheid en Configuratiebeheer (U) volledigheid geregistreerd worden. Tijdens dagelijkse werkzaamheden wordt geconstateerd dat een Expertiseteams (U) ICT-component nog niet als configuratie-item in de configuratiebeheerdatabase is geregistreerd. Configuratie-item invoeren in configuratiebeheerdatabase en voorzien van identificatiecode De (fysieke) ICT-component wordt voorzien van een label waarop een unieke identificatiecode staat. 7 Configuratiebeheer (U) Het configuratie-item wordt in de configuratiebeheerdatabase ingevoerd, inclusief het bijbehorende type en de samenhang met andere configuratie-items. Configuratiebeheer (U) IBD-dienstverlening De IBD waarschuwt gemeenten zo snel als mogelijk en proactief over aankomende of acute ICT gerelateerde beveiligingsrisico s, zoals kwetsbaarheden in soft- en/of hardware. 8 Hierbij stemt de IBD de waarschuwingen specifiek af op de ICT-omgeving van de gemeenten, die aangesloten zijn bij de IBD en de daar gebruikte ICT-producten. Om deze dienst zo efficiënt en effectief mogelijk te kunnen uitvoeren, heeft de IBD een lijst met IP-adressen en URL s nodig en informatie over de bij de gemeente in gebruik zijnde hard- en software. De configuratiebeheerdatabase kan hierbij als hulpmiddel dienen en het is dan ook raadzaam om in de configuratiebeheerdatabase de volgende configuratie-items vast te leggen: externe IP-adressen en URL s, en hard- en software met hun versienummer. Beoordelen kwaliteit configuratiebeheer Onderstaande vragenlijst kan door de gemeente worden gebruikt om deze activiteit binnen configuratiebeheer te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting van de status met betrekking tot configuratiebeheer te maken. 7 Configuratie items worden gelabeld in overeenstemming met de afgesproken naamgevingconventies bij de gemeente. Deze naamgevingconventies moeten vooraf door de gemeente zijn opgesteld. 8 Zie hiervoor ook het IBD Dienstenportfolio en de factsheets Incidentpreventie en Incidentpreventie; Kwetsbaarheidswaarschuwingen. 11

12 Is er een indeling naar typen configuratie-items? Bijvoorbeeld: hardware, systeem software, applicatie software van leveranciers, applicatie software ontwikkeld in eigen beheer, documentatie, procedures, apparatuur ten behoeve van stroomvoorziening, klimaatbeheersing en dergelijke, bekabeling, netwerk apparatuur, communicatiemiddelen et cetera. Is voor de verschillende typen configuratie-items: 1. Een gewenst detailleringsniveau vastgesteld? 2. Vastgelegd welke attributen gebruikt worden? 3. Vastgesteld welke status categorieën geldig zijn? Wordt bij de inventarisatie van de ICT-middelen onderscheid gemaakt naar bijvoorbeeld harden software, netwerkverbindingen en documentatie? Zijn de ICT-middelen duidelijk geïdentificeerd? Is voor alle ICT-middelen vastgelegd wie de eigenaar of de houder is, zodat duidelijk is wie verantwoordelijk is voor mogelijke beveiligingsmaatregelen? Zijn de ICT- /bedrijfsmiddelen geclassificeerd conform de informatie die ermee wordt verwerkt of opgeslagen? 9 Is de beveiligingsclassificatie van de ICT-middelen vastgelegd? Zijn relaties tussen de configuratie-items vastgelegd? Wordt bij de registratie van configuratie-items gebruik gemaakt van een tool? Is vastgelegd welke configuratie-items expliciet niet onder verantwoordelijkheid van het proces vallen? Is de registratie centraal en geïntegreerd met andere ICT-beheerprocessen? Bestaat er een systematiek voor de codering van ICT-middelen? Geldt de systematiek voor alle ICT-middelen? Wordt labeling toegepast voor alle ICT-middelen? Zijn ICT-middelen zodanig gekenmerkt dat duidelijk is hoe deze, conform de beveiligingsclassificatie, verwerkt moeten worden? Wordt bij het aanbrengen van het kenmerk op een fysieke configuratie-item, gebruik gemaakt van een methode waarbij dat identificatiekenmerk niet ongeschonden verwijderd of veranderd kan worden? 2.2 Beheer configuratiebeheerdatabase Beheer zorgt ervoor dat de inhoud van de configuratiebeheerdatabase actueel blijft door alleen geautoriseerde en geïdentificeerde configuratie-items toe te laten, te registeren en te bewaken. Bij alle activiteiten waarbij opgenomen kenmerken van of relaties tussen configuratie-items wijzigen, dient deze wijziging te worden geregistreerd in de configuratiebeheerdatabase. Tevens zorgt beheer ervoor dat geen configuratie-item wordt toegevoegd, aangepast, vervangen of verwijderd, zonder dat daarvan passende documentatie aanwezig is, zoals een goedgekeurd wijzigingsverzoek of een aangepaste specificatie. Het is de verantwoordelijkheid van configuratiebeheer om alleen wijzigingen op de ICT-infrastructuur toe te staan, die via wijzigingsbeheer zijn geautoriseerd. Bij de gemeente dienen procedures en werkinstructies aanwezig te zijn, voor het afhandelen van nieuwe configuratie-items en wijzigingen aan configuratie-items. 9 Zie hiervoor ook het operationele product Handreiking dataclassificatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 12

13 Hieronder wordt een overzicht gegeven van de activiteiten die binnen beheer kunnen worden onderkend. Hierbij wordt tevens aangegeven wie verantwoordelijk is voor de uitvoering en wie een coördinerende taak heeft. Activiteit Uitvoering (U) / Coördinatie (C) Melding wijziging op de ICT-infrastructuur Wijzigingen 10 op configuratie-items kunnen door verschillende gemeente functionarissen en als gevolg van verschillende oorzaken aan configuratiebeheer gemeld worden, bijvoorbeeld: Bij het oplossen van een incident wordt een fout in de Servicedesk (U) configuratiebeheerdatabase geconstateerd. Er wordt een wijziging om een incident of bekend probleem op Expertiseteam (U) te lossen doorgevoerd. Er wordt een nieuwe release van een applicatie doorgevoerd. Expertiseteam (U) Invoeren nieuw type configuratie-item in de configuratiebeheerdatabase Er wordt een nieuw type configuratie-item in de Configuratiebeheer (U) configuratiebeheerdatabase aangemaakt. Vragen die hierbij van belang zijn: Is dit nieuwe type geautoriseerd volgens afspraak (informatie van dienstenniveaubeheer) Mogen configuratie-items van dit type volgens de vastgestelde lijst standaard worden ingezet? Wijzigen configuratie-item in de configuratiebeheerdatabase 11 De configuratie-items worden in de configuratiebeheerdatabase Configuratiebeheer (U) gewijzigd aan de hand van de ontvangen gegevens, zodat de configuratiebeheerdatabase weer overeenkomt met de fysieke situatie van de configuratie-items. 12 Als gevolg van de wijziging kan het mogelijk zijn dat de status van een configuratie-item moet worden veranderd. Bij wijzigingen in de configuratiebeheerdatabase is geborgd dat de relaties consistent blijven. Wijzigen relaties en gerelateerde configuratie-items in de configuratiebeheerdatabase Er moet worden vastgesteld of een wijziging op een configuratieitem gevolgen heeft op de gegevens van, of de relatie met andere Configuratiebeheer (U) configuratie-items. De mogelijke wijzigingen worden in de configuratiebeheerdatabase doorgevoerd De wijziging moet goedgekeurd zijn door wijzigingsbeheer. De uitvoerder van een wijziging controleert of er mogelijk ook andere configuratie-items wijzigen als gevolg van een door hem gemaakte aanpassing in de ICTinfrastructuur. In het geval van standaardwijzigingen kan van goedkeuring worden uitgegaan. 11 Er wordt aan de melder teruggekoppeld dat de wijziging is doorgevoerd. 12 Configuratiebeheer verifieert bij wijzigingsbeheer of de wijziging is goedgekeurd. 13 Er wordt aan de melder teruggekoppeld op het moment dat andere configuratie-items of relaties zijn aangepast. 13

14 Beoordelen kwaliteit configuratiebeheer Onderstaande vragenlijst kan door de gemeente worden gebruikt om deze activiteit binnen configuratiebeheer te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting van de status met betrekking tot configuratiebeheer te maken: Is de registratie van ICT-middelen up-to-date en volledig? Is er een procedure (werkwijze) voor het invoeren van nieuwe configuratie-items en wijzigingen? Zijn er formele afspraken omtrent onderhoud van configuratie-items? Worden afwijkingen van de procedures en onjuist geregistreerde configuratie-items gelogd? Wordt hierover ook gerapporteerd? 2.3 Statusbewaking van de configuratie-items Deze activiteit zorgt voor de registratie van actuele en historische gegevens over de status van een configuratie-item gedurende de gehele levenscyclus. Hiervoor dienen de historische gegevens met betrekking tot de ICT-middelen en de daaraan gerelateerde gegevens beschikbaar te blijven. De levenscyclus van een component kan in verschillende stadia worden ingedeeld. Statusbewaking maakt het mogelijk om wijzigingen in status te traceren, zoals besteld, ontvangen, op voorraad, in ontwikkeling, wordt getest, is geaccepteerd, in productie, in onderhoud en uitgefaseerd. Door de datum van elke statusverandering te registreren, kan een goed beeld ontstaan van de levenscyclus van een product: de besteltijden, de installatietijden en de hoeveelheid onderhoud en ondersteuning die eraan besteed is en het aantal beveiligingsincidenten dat eraan kan worden gerelateerd. 2.4 Verificatie configuratiebeheerdatabase Deze activiteit bestaat uit het zorgdragen dat de actuele situatie nog overeenkomt met de gegevens in de configuratiebeheerdatabase. Het kan voorkomen dat de ICT-infrastructuur is gewijzigd zonder dat configuratiebeheer daarvan op de hoogte is gebracht. Om de actualiteit van de gegevens in de configuratiebeheerdatabase te garanderen is het noodzakelijk de gegevens te verifiëren met de werkelijkheid. Verificatie van de gegevens in de configuratiebeheerdatabase gaat door middel van audits op de ICT-infrastructuur. De gemeente kan hiervoor gebruik maken van audittools. Deze audittools kunnen bijvoorbeeld door de gemeente worden ingezet om automatisch de werkstations te controleren of deze nog conform het vastgelegd beleid zijn geconfigureerd. Deze gegevens kunnen worden gebruikt om de actuele situatie te controleren en te actualiseren. De verificatie vindt op continue basis en op geplande basis plaats: Op continue basis. Tijdens de dagelijkse werkzaamheden kunnen door de expertiseteams afwijkingen worden geconstateerd. De ICT-servicedesk van de gemeente kan bijvoorbeeld tijdens het oplossen van een incident constateren dat de configuratiebeheerdatabase afwijkt van de werkelijkheid. Op geplande basis. Als uit het aantal opgemerkte en gerapporteerde afwijkingen blijkt dat de betrouwbaarheid en volledigheid van de configuratiebeheerdatabase tekortschiet, kan de gemeente besluiten om op een bepaalde datum een audit uit te voeren op (een deel van) de ICT-infrastructuur. Audits kunnen ook op onderstaande tijdstippen worden uitgevoerd: o Aansluitend op de implementatie van de nieuwe configuratiebeheerdatabase. o Voor en na belangrijke wijzigingen. 14

15 o o o o Na een uitwijksituatie. Dagelijks/wekelijks als gebruik wordt gemaakt van audittools. Op willekeurige momenten (steekproef). Periodiek volgens een opgestelde planning. Na afloop van een audit dient de gemeente zich de volgende vraag te stellen: Komt de actuele situatie nog overeen met de configuratiebeheerdatabase, zo nee waarom niet, en wat zijn de gevolgen voor wijzigingsbeheer (accurate impactanalyses van geplande wijzigingen)? Hieronder wordt een overzicht gegeven van de activiteiten die binnen verificatie kunnen worden onderkend. Hierbij wordt tevens aangegeven wie verantwoordelijk is voor de uitvoering en wie een coördinerende taak heeft. Activiteit Uitvoering (U) / Coördinatie (C) Uitvoeren continue of geplande verificatie De in de configuratiebeheerdatabase geregistreerde gegevens Expertiseteam (U) worden vergeleken met de werkelijkheid. Configuratiebeheer (C) Tijdens de dagelijkse werkzaamheden kunnen afwijkingen worden geconstateerd. In een afgebakende periode vindt een geplande verificatieslag plaats, waarin een groot aantal configuratie-items worden gecontroleerd. Rapporteer afwijking Er vindt rapportage plaats over de geconstateerde afwijking. Expertiseteam (U) Configuratiebeheer (C) Analyseer afwijking Er vindt een analyse plaats van de geconstateerde afwijkingen om Configuratiebeheer (U) de oorzaak te achterhalen. Als de oorzaak bekend is kunnen maatregelen worden genomen om herhaling van een afwijking te voorkomen. Rapporteer resultaten geplande verificatie Er wordt over de afwijkingen die de geplande verificatie heeft Configuratiebeheer (U) opgeleverd gerapporteerd. 2.5 Rapportage Rapportage dient om de andere processen van informatie te voorzien en te rapporteren over trends en ontwikkelingen rond het gebruik van configuratie-items. Hierbij kunnen de volgende (interne) managementrapportages worden opgeleverd: Overzichten van configuratie-items waarop meer dan een minimumaantal wijzigingen of incidenten zijn gelogd. Gegevens over de opbouw en samenstelling van de ICT-infrastructuur. 15

16 3 Prestatie-indicatoren Prestatie-indicatoren dienen aan te geven in welke mate het proces configuratiebeheer slaagt in haar doelstelling: het betrouwbaar vastleggen en het leveren van actuele en relevante gegevens aan andere ICT-beheerprocessen over de ICT-middelen, hun onderlinge relaties en de relaties met de ICT-diensten. Prestatie-indicatoren die door de dienstenorganisatie kunnen worden gemeten, zijn onder andere: 1. Periodiciteit van de evaluatie van de structuur van de configuratiebeheerdatabase. 2. Periodiciteit van controle op de juistheid en volledigheid van de configuratiebeheerdatabase. 3. Aantal incidenten per impactcategorie, per evaluatieperiode toe te schrijven aan afwijkingen in de configuratiebeheerdatabase. 4. Het aantal configuratie-items waarvan de omschrijving is aangepast. 5. Het aantal vastgestelde verschillen tussen de geregistreerde configuratie-items en de bij een audit aangetroffen situatie (delta s), desgewenst uitgesplitst naar oorzaak: 1. Het aantal keren dat aangetroffen configuratie-items niet zijn geautoriseerd. 2. Het aantal keren dat geregistreerde configuratie-items niet zijn aangetroffen. 3. Het aantal keren dat geregistreerde configuratie-items onjuist zijn geregistreerd: afwijking op het niveau van attributen, die zijn ontdekt tijdens audits. 6. Het aantal audits dat is uitgevoerd. 7. Het aantal rapportages dat is gepubliceerd. 8. Het aantal raadplegingen van de configuratiebeheerdatabase. 9. De snelheid waarmee verzoeken om registratie zijn afgehandeld. 16

17 Bijlage: Definities Bron: Back-out (terugvalscenario): Een activiteit die een dienst of een ander configuratie-item terugzet op een eerder uitgangspunt. Back-out wordt gebruikt als een vorm van herstel wanneer een wijziging of uitgifte niet lukt. Bekende fout: Een probleem dat een gedocumenteerde onderliggende oorzaak en een workaround heeft. Bekende fouten worden tijdens hun levenscyclus gecreëerd en beheerd door probleembeheer. Bekende fouten kunnen ook worden geïdentificeerd door ontwikkeling en leveranciers. Categorie: Een bepaalde groep van zaken die iets gemeen hebben. Categorieën worden gebruikt om gelijke zaken te groeperen. Bijvoorbeeld: kostentypen worden gebruikt om gelijke typen kosten te groeperen, incidentcategorieën worden gebruikt om gelijke typen incidenten te groeperen, CItypen worden gebruikt om gelijke typen configuratie-items te groeperen. Configuratiebeheer: Het proces dat verantwoordelijk is om te garanderen dat de bedrijfsmiddelen, die nodig zijn om diensten te leveren op een adequate wijze worden beheerd, en dat accurate en betrouwbare informatie over die bedrijfsmiddelen beschikbaar is, wanneer en waar dat nodig is. Die informatie omvat details over hoe de bedrijfsmiddelen zijn samengesteld en details over relaties tussen bedrijfsmiddelen. Configuratiebeheerdatabase (CBDB): Een gegevensbestand dat wordt gebruikt om de configuratieregistraties op te slaan tijdens hun levenscyclus. Het configuratiebeheersysteem onderhoudt een of meer CBDB's, en elke CBDB slaat attributen van configuratie-items op. Evenals relaties met andere configuratie-items. Configuratie-item (CI): Elk component of ander dienstenbedrijfsmiddel dat beheert moet worden voor de levering van een ICT-dienst. Informatie over elk configuratie-item is geregistreerd in een configuratieregistratie binnen het configuratiebeheersysteem, en wordt onderhouden tijdens zijn levenscyclus door dienstenbedrijfsmiddelen- en configuratiebeheer. Wijzigingsbeheer is verantwoordelijk voor wijzigingen aan configuratie-items. Kenmerkende configuratie-items zijn bijvoorbeeld: ICT-diensten, hardware, software, gebouwen, mensen, en formele documentatie, zoals procesdocumentatie en diensten niveau overeenkomsten. Dienstenniveaubeheer: Het proces dat verantwoordelijk is om realiseerbare diensten niveau overeenkomsten af te spreken en garandeert dat daaraan wordt voldaan. Dienstenniveaubeheer is verantwoordelijk voor de garantie dat alle ICT-dienstenbeheerprocessen, operationele overeenkomsten en onderliggende contracten zijn afgestemd op de overeengekomen dienstenniveaudoelen. Dienstenniveaubeheer bewaakt dienstenniveaus, rapporteert erover, evalueert de dienstverlening regelmatig met de klant en identificeert vereiste verbeteringen. De Diensten Niveau Overeenkomst (DNO): Een overeenkomst tussen een ICTdienstenaanbieder en een klant. De DNO beschrijft de ICT-dienst, legt dienstenniveaudoelen vast en definieert de verantwoordelijkheid van de ICT-dienstenaanbieder en de klant. Een afzonderlijke overeenkomst kan verschillende ICT-diensten of verscheidene klanten bevatten. 17

18 Expertiseteam: zie oplosgroep. Impact: De mate waarin een incident, probleem of wijziging effect heeft op bedrijfsprocessen. Impact is vaak gebaseerd op het effect op dienstenniveaus. Impact en urgentie worden gebruikt op prioriteit aan te geven. Urgente wijziging / noodwijziging / emergency change: Een wijziging die zo snel mogelijk moet worden geïntroduceerd. Bijvoorbeeld: om een ernstig incident op te lossen of een beveiligingspatch te implementeren. Het wijzigingsbeheerproces heeft gewoonlijk specifieke procedures voor het omgaan met noodwijzigingen. Noodwijzigingenadviescommissie / Emergency Change Advisory Board (ECAB): Een subgroep van de wijzigingenadviescommissie die besluiten neemt over noodwijzigingen. Tot lidmaatschap kan worden besloten op het moment dat een vergadering plaatsvindt en is afhankelijk van de aard van de noodwijziging. Normale wijziging / normal change: Een wijziging die geen noodwijziging of standaardwijziging is. Normale wijzigingen volgen de gedefinieerde stappen van het wijzigingsbeheerproces. Oplosgroep: Een groep mensen met technische vaardigheden. Oplosgroepen leveren technische ondersteuning die nodig is voor alle ICT-dienstenbeheerprocessen. Prioriteit: Een categorie die wordt gebruikt om het relatieve belang te bepalen van een incident, probleem of wijziging. Prioriteit is gebaseerd op impact en urgentie, en wordt gebruikt om te bepalen hoeveel tijd nodig is voor de acties die moeten worden ondernomen. Bijvoorbeeld: de Diensten Niveau Overeenkomst (DNO) kan aangeven dat incidenten met prioriteit 2, binnen 12 uur moeten zijn opgelost. Standaardwijziging / standaardchange: Een vooraf geautoriseerde wijziging met een laag risico, die relatief veel voorkomt en een procedure of werkinstructie volgt, zoals het resetten van een wachtwoord of een nieuwe medewerker voorzien van standaardapparatuur. Voor het implementeren van een standaardwijziging zijn wijzigingsverzoeken niet vereist. Standaard wijzigingen worden geregistreerd en gevolgd met een ander mechanisme zoals een dienstverleningsverzoek. Terugval/terugrol: Ondernomen acties voor herstel na een mislukte wijziging of uitgifte. Terugval kan back-out, activering van dienstcontinuïteitsplannen bevatten of andere acties om het bedrijfsproces te continueren. Uitgifte / release: Een of meer wijzigingen aan een ICT-dienst die samen worden gebouwd, getest en uitgerold. Een enkele uitgifte kan wijzigingen omvatten aan hardware, software, documentatie, processen en andere componenten. Releasebeheer / uitgiftemanagement: Uitgifte- en uitrolbeheer / release- en deploymentmanagement: Het proces dat verantwoordelijk is voor planning en controle van de samenstelling, het testen en de uitrol van uitgiftes, en voor het leveren van de nieuwe functionaliteit die vereist is door de bedrijfsvoering, terwijl het de integriteit van de bestaande diensten beschermt. 18

19 Urgentie: Een maatstaf die aangeeft hoe lang het duurt tot een incident, probleem of wijziging een significante impact op de bedrijfsvoering heeft. Zo kan een incident met een hoge impact een lage urgentie hebben, als de impact de bedrijfsvoering pas schaadt aan het eind van het financiële jaar. Impact en urgentie worden gebruikt om een prioriteit toe te kennen. Veerkracht / resilience: Het vermogen van een ICT-dienst of configuratie-item om weerstand te bieden tegen storingen of snel te herstellen na een storing. Bijvoorbeeld: een beschermde kabel biedt weerstand op het moment dat er druk op wordt uitgeoefend. Wijziging: De toevoeging, verandering of verwijdering van alles dat een effect kan hebben op ICT-diensten. De scope is gericht op alle wijzigingen van alle architecturen, processen, instrumenten, meetwaarden en documentatie, en op wijzigingen van ICT-diensten en andere configuratie-items. Wijzigingenadviescommissie / Change Advisory Board (CAB): Een groep mensen die de beoordeling, de prioriteitsstelling, de autorisatie en de planning van wijzigingen ondersteunt. Een wijzigingenadviescommissie bestaat veelal uit vertegenwoordigers van alle afdelingen binnen de ICT-dienstenaanbieder, het bedrijf en derden (zoals toeleveranciers). Wijzigingsbeheer: Het proces dat verantwoordelijk is voor het beheersen van de levenscyclus van alle wijzigingen, om verbeteringen met minimale verstoring van de ICT-diensten uit te voeren. Wijzigingsplan / changeplan: Een document dat alle geautoriseerde wijzigingen en geplande implementatiegegevens met de geschatte datums van wijzigingen op langere termijn beschrijft. Een wijzigingsschema wordt soms een voorlopig wijzigingsschema (forward schedule of change) genoemd, terwijl het ook informatie over reeds geïmplementeerde wijzigingen bevat. Wijzigingsregistratie: Een registratie van de details van een wijziging. Elke wijzigingsregistratie documenteert de levenscyclus van een afzonderlijke wijziging. Een wijzigingsregistratie wordt gecreëerd voor elk wijzigingsverzoek dat binnenkomt, ook voor die verzoeken die later afgewezen worden. Wijzigingsregistraties verwijzen naar de configuratie-items die door de wijziging worden beïnvloed. Wijzigingsregistraties worden opgeslagen in het configuratiebeheersysteem of ergens anders in het diensten kennisbeheersysteem. Wijzigingsverzoek / Verzoek tot Wijziging (VTW): Formeel verzoek voor een wijziging. Een wijzigingsverzoek bevat details van de voorgestelde wijziging, en kan op papier worden geregistreerd of elektronisch. De term wijzigingsverzoek wordt vaak verkeerd gebruikt als wijzigingsregistratie of de wijziging zelf. 19

20 Bijlage: Literatuur/bronnen Voor deze publicatie is gebruik gemaakt van onderstaande bronnen: Titel: Basisnormen Beveiliging en Beheer ICT-infrastructuur Wie: Platform Informatiebeveiliging (opgegaan in Platform voor Informatiebeveiliging (PvIB)) Uitgeverij: LEMMA BV Datum: 2003 ISBN-10: (niet meer leverbaar) Link: https://www.pvib.nl/links&collectionid= Titel: Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen Wie: gezamenlijk initiatief van de NOREA en het Platform voor Informatiebeveiliging (PvIB) Datum: 12 december 2007 Link: 1_NoreaPvIBhandreiking.pdf Titel: Foundations of IT Service Management, op basis van ITIL Datum: september 2009 Uitgever: van Haren Publishing ISBN-13: Titel: Security Management Datum: 2004 Uitgever: TSO (The Stationery Office) ISBN-10: X ISBN-13:

21 INFORMATIEBEVEILIGINGSDIENST V00R GEMEENTEN (IBD) NASSAULAAN JS DEN HAAG POSTBUS GK DEN HAAG HELPDESK ALGEMEEN FAX

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VERSLAG PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Verslag PIA Versienummer 1.0 Versiedatum April 2014

Nadere informatie

TOELICHTING OP GAP-ANALYSE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

TOELICHTING OP GAP-ANALYSE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) TOELICHTING OP GAP-ANALYSE Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Toelichting op GAP-analyse Versienummer

Nadere informatie

INKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN

INKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN INKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Inkoopvoorwaarden

Nadere informatie

RESPONSIBLE DISCLOSURE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

RESPONSIBLE DISCLOSURE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) RESPONSIBLE DISCLOSURE Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Responsible Disclosure Versienummer 1.0 Versiedatum

Nadere informatie

MOBIELE GEGEVENSDRAGERS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

MOBIELE GEGEVENSDRAGERS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) MOBIELE GEGEVENSDRAGERS Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Mobiele gegevensdragers Versienummer 1.0

Nadere informatie

HANDREIKING PROCES WIJZIGINGSBEHEER

HANDREIKING PROCES WIJZIGINGSBEHEER HANDREIKING PROCES WIJZIGINGSBEHEER Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Handreiking proces wijzigingsbeheer

Nadere informatie

VEILIGE AFVOER VAN ICT- MIDDELEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VEILIGE AFVOER VAN ICT- MIDDELEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VEILIGE AFVOER VAN ICT- MIDDELEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Veilige afvoer van ICT-middelen

Nadere informatie

PROCEDURE NIEUWE ICT- VOORZIENINGEN CONFIGURATIEBEHEER

PROCEDURE NIEUWE ICT- VOORZIENINGEN CONFIGURATIEBEHEER PROCEDURE NIEUWE ICT- VOORZIENINGEN CONFIGURATIEBEHEER Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) 1 Colofon Naam document Procedure

Nadere informatie

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013. Anita van Nieuwenborg

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013. Anita van Nieuwenborg INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013 Anita van Nieuwenborg Agenda 1. De IBD 2. Doelen van de IBD 3. Dienstverlening van de IBD 4. Aansluiting bij de IBD 5. Vragen 2 1. De IBD

Nadere informatie

CONTRACTMANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

CONTRACTMANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) CONTRACTMANAGEMENT Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Contractmanagement Versienummer 1.0 Versiedatum

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst

Nadere informatie

PATCH MANAGEMENT VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

PATCH MANAGEMENT VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) PATCH MANAGEMENT VOOR GEMEENTEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Patch Management voor gemeenten

Nadere informatie

TOEGANGSBELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

TOEGANGSBELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) TOEGANGSBELEID Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Toegangsbeleid Versienummer 1.0 Versiedatum oktober

Nadere informatie

IMPLEMENTATIE BIG. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

IMPLEMENTATIE BIG. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) IMPLEMENTATIE BIG Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Implementatie BIG Versienummer 1.0 Versiedatum

Nadere informatie

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL )

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL ) Exameneisen Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL ) Publicatiedatum 1-1-2008 Startdatum 1-3-2007 Doelgroep IT Service Management Practitioner: Release &

Nadere informatie

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 Anita van Nieuwenborg Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 De IBD Gezamenlijk initiatief VNG en KING Opgericht vanuit behoefte van gemeenten aan coördinatie en ondersteuning

Nadere informatie

ADDENDUM INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN. Kwaliteitsinstituut Nederlandse Gemeenten & Leveranciers

ADDENDUM INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN. Kwaliteitsinstituut Nederlandse Gemeenten & Leveranciers ADDENDUM INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN Kwaliteitsinstituut Nederlandse Gemeenten & Leveranciers 1 Inleiding De Informatiebeveiligingsdienst voor gemeenten is een activiteit die in opdracht

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Proefexamen ITIL Foundation

Proefexamen ITIL Foundation Proefexamen ITIL Foundation 1. Van welk proces is risicoanalyse een essentieel onderdeel? a. IT Service Continuity Management b. Service Level Management c. Capacity Management d. Financial Management

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident?

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident? VRAAG 1 Bij welk van onderstaande alternatieven vind je een beschrijving van een afdeling in plaats van een proces? A Change Management B Incident Management D Service Desk VRAAG 2 Welke van onderstaande

Nadere informatie

ANTI-MALWARE BELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

ANTI-MALWARE BELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) ANTI-MALWARE BELEID Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Anti-malware beleid Versienummer 1.0 Versiedatum

Nadere informatie

ADDENDUM INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN. Kwaliteitsinstituut Nederlandse Gemeenten & Leveranciers

ADDENDUM INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN. Kwaliteitsinstituut Nederlandse Gemeenten & Leveranciers ADDENDUM INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN Kwaliteitsinstituut Nederlandse Gemeenten & Leveranciers 1 Inleiding De Informatiebeveiligingsdienst voor gemeenten is een activiteit die in opdracht

Nadere informatie

HARDENING-BELEID VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

HARDENING-BELEID VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) HARDENING-BELEID VOOR GEMEENTEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Hardening-beleid voor gemeenten

Nadere informatie

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Veilige afvoer van ICT-middelen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

HOE VUL IK DE LEGE ICT-FOTO? Verzamelen en actueel houden fotoinformatie

HOE VUL IK DE LEGE ICT-FOTO? Verzamelen en actueel houden fotoinformatie HOE VUL IK DE LEGE ICT-FOTO? Verzamelen en actueel houden fotoinformatie Auteur IBD Datum Juli 2014 2 Inhoud 1 Achtergrondinformatie 4 1.1 Inleiding 4 1.2 Waarom is de foto belangrijk? 4 1.3 Hoe komt de

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

SAMENHANG BEHEERPROCESSEN EN INFORMATIEBEVEILIGING

SAMENHANG BEHEERPROCESSEN EN INFORMATIEBEVEILIGING SAMENHANG BEHEERPROCESSEN EN INFORMATIEBEVEILIGING Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Samenhang beheerprocessen

Nadere informatie

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Programma 1. De IBD 2. stappenplan Aansluiten bij de IBD 3. VCIB-gesprek (plenair) 2 1.1 De IBD Gezamenlijk initiatief

Nadere informatie

AANSLUITEN BIJ DE IBD. Het stappenplan

AANSLUITEN BIJ DE IBD. Het stappenplan AANSLUITEN BIJ DE IBD Het stappenplan Auteur IBD Datum Januari 2015 2 Inhoud 1. Inleiding 4 1.1 Dienstenportfolio van de IBD 4 1.2 Officieel aansluiten bij de IBD 5 1.3 Bestuurlijk draagvlak 6 1.4 Overzicht

Nadere informatie

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Toelichting op GAP-analyse Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Gemeente Alphen aan den Rijn

Gemeente Alphen aan den Rijn Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid

Nadere informatie

HOE VUL IK DE LEGE FOTO? Verzamelen en actueel houden fotoinformatie

HOE VUL IK DE LEGE FOTO? Verzamelen en actueel houden fotoinformatie HOE VUL IK DE LEGE FOTO? Verzamelen en actueel houden fotoinformatie Auteur IBD Datum Maart 2014 2 Inhoud 1 Achtergrondinformatie 4 1.1 Inleiding 4 1.2 Waarom is de foto belangrijk? 4 1.3 Hoe komt de Lege

Nadere informatie

24/7. Support. smart fms

24/7. Support. smart fms 24/7 Support Smart FMS vindt het van het grootste belang dat haar klanten helder inzicht hebben in de voorwaarden, zekerheid over gemaakte afspraken en het vertrouwen in haar als softwareaanbieder. Het

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Implementatie BIR Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging Het ICT-Beveiligings- i assessment DigiD & Informatiebeveiliging De aanleiding 2011: Diginotar 2011: Lektober En ook: 2012: Dorifel 2012: Citadel 2013: DongIT Botnet De reactie vanuit VNG/KING Starting

Nadere informatie

Service Niveau Overeenkomst Digikoppeling

Service Niveau Overeenkomst Digikoppeling Service Niveau Overeenkomst Digikoppeling Versie 1.3 Datum 26 mei 2015 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Voorbeeld SLA

Voorbeeld SLA <applicatie> Naam Best Practice Voorbeeld SLA IDnr 067_BP_N Datum aangepast 01/01/2011 Omschrijving van de inhoud Een voorbeelddocument van (SLA) Soort document Voorbeeld ASL Processen Servicelevel management

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Het ITIL Foundation Examen

Het ITIL Foundation Examen Het ITIL Foundation Examen Proefexamen A, versie 5.2 Meerkeuzevragen Instructies 1. Alle 40 vragen moeten worden ingevuld. 2. Alle antwoorden moeten op het bijgeleverde antwoordformulier worden ingevuld.

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

1 Dienstbeschrijving all-in beheer

1 Dienstbeschrijving all-in beheer 1 Dienstbeschrijving all-in beheer De all-in beheer overeenkomst van Lancom is modulair opgebouwd. U kunt bij Lancom terecht voor deelgebieden zoals helpdesk ondersteuning of backup, maar ook voor totale

Nadere informatie

BACK-UP EN RECOVERY GEMEENTE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

BACK-UP EN RECOVERY GEMEENTE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) BACK-UP EN RECOVERY GEMEENTE Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Back-up en Recovery Gemeente Versienummer

Nadere informatie

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) Telefoon: 088 773 0 773 Email: Support@adoptiq.com Website: www.adoptiq.com Adres: Johan Huizingalaan 763a 1066 VH Amsterdam KvK nr: 61820725 BTW nr: NL.854503183.B01 IBAN

Nadere informatie

Informatiebeveiligingsdienst Aansluiten, waarom eigenlijk Assen, 6 Maart 2014. Anita van Nieuwenborg

Informatiebeveiligingsdienst Aansluiten, waarom eigenlijk Assen, 6 Maart 2014. Anita van Nieuwenborg Informatiebeveiligingsdienst Aansluiten, waarom eigenlijk Assen, 6 Maart 2014 Anita van Nieuwenborg Programma 1. De IBD 2. Dienstverlening van de IBD 3. Het stappenplan Aansluiten bij de IBD 4. Dialoog

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Service Level Management DAP Template

Service Level Management DAP Template Service Level Management DAP Template Versie 1.0 27 juli 2011 Definitief Auteur : Bart de Best Akkoord : Bart de Best Datum : 27 mei 2011 Versie : 1.0 Referentie : DAP template Pagina : I Colofon Titel

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

A-1: Zijn de procedures omtrent het beheer van de IT infrastructuur vastgelegd?

A-1: Zijn de procedures omtrent het beheer van de IT infrastructuur vastgelegd? ITIL CHECKLIST: Algemeen A-1: Zijn de procedures omtrent het beheer van de IT infrastructuur vastgelegd? A-2: Wordt gebruik gemaakt van een geautomatiseerd administratie systeem waar alle gegevens in kunnen

Nadere informatie

Functieprofiel: Ondersteuner ICT Functiecode: 0405

Functieprofiel: Ondersteuner ICT Functiecode: 0405 Functieprofiel: Ondersteuner ICT Functiecode: 0405 Doel Registreren en (laten) oplossen van vragen en storingen van ICT-gebruikers binnen de richtlijnen van de afdeling, teneinde bij te dragen aan efficiënt

Nadere informatie

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Contractmanagement Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

AANSLUITEN BIJ DE IBD. Het stappenplan

AANSLUITEN BIJ DE IBD. Het stappenplan AANSLUITEN BIJ DE IBD Het stappenplan Auteur IBD Datum Maart 2014 2 Inhoud 1. Inleiding 4 1.1 Dienstenportfolio van de IBD 4 1.2 Officieel aansluiten bij de IBD 5 1.3 Bestuurlijk draagvlak 6 1.4 Overzicht

Nadere informatie

Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur.

Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur. ITIL Wat is ITIL? Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur. Begrippen Rol Functie Proces Proceseigenaar Procesmanager Product Dienst Problem Problem

Nadere informatie

BABVI/U201300696 Lbr. 13/057

BABVI/U201300696 Lbr. 13/057 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatiebeveiliging uw kenmerk ons kenmerk BABVI/U201300696 Lbr. 13/057 bijlage(n) datum 6 juni 2013 Samenvatting

Nadere informatie

ITIL V3. een kennismaking. C.A. van der Eem

ITIL V3. een kennismaking. C.A. van der Eem een kennismaking C.A. van der Eem VOORWOORD een kennismaking Dit is de derde uitgave van ITIL een kennismaking. Dit boek behandelt de onderdelen van foundations. Uitgangspunt is vooral het basisbegrip

Nadere informatie

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012 Functioneel (informatie) beheerder Doel Zorgdragen voor het inrichten, aanpassen, vernieuwen en onderhouden van de informatievoorziening (processen, procedures en/of systemen), passend binnen het informatiebeleid

Nadere informatie

Q3 Concept BV Tel: +31 (0)413 331 331

Q3 Concept BV Tel: +31 (0)413 331 331 Algemeen Deze Service Level Agreement (SLA) beschrijft de dienstverlening van Q3 Concept BV op het gebied van het beheer van de Q3 applicatie zoals Q3 Concept BV deze aanbiedt aan opdrachtgever en de service

Nadere informatie

Regiobijeenkomsten Aansluiten bij de IBD December 2013

Regiobijeenkomsten Aansluiten bij de IBD December 2013 Regiobijeenkomsten Aansluiten bij de IBD December 2013 Inhoud 1. De IBD 2. Doelen van de IBD 3. Dienstverlening van de IBD 4. Het stappenplan Aansluiten bij de IBD 2 1. De IBD Gezamenlijk initiatief VNG

Nadere informatie

ECIB/U Lbr. 17/010

ECIB/U Lbr. 17/010 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatieveiligheid en privacy uw kenmerk ons kenmerk ECIB/U201700133 Lbr. 17/010 bijlage(n) - datum 20 februari

Nadere informatie

Change Management RFC Checklist

Change Management RFC Checklist Change Management Versie 1.0 27 juli 2011 Definitief Auteur : Bart de Best Akkoord : Bart de Best Datum : 27 mei 2011 Versie : 1.0 Referentie : Pagina : I Colofon Titel Change Management Ondertitel Versie

Nadere informatie

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Overzicht Informatiebeveiliging Inlichtingenbureau GGK Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende

Nadere informatie

ondersteuning krijgen van de helpdesk

ondersteuning krijgen van de helpdesk Inleiding Deze SLA heeft tot doel de afspraken tussen de Intergemeentelijke Sociale Dienst Midden Langstraat en de Gemeente Heusden over de kwaliteit en de omvang van de dienstverlening vast te leggen.

Nadere informatie

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD De Baseline Informatiebeveiliging & grote gemeenten 6 oktober 2014 John van Huijgevoort, IBD Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): Samenhang Instrumenten Hoe om te gaan

Nadere informatie

Gemeente Zandvoort. Telefoon: Fax:

Gemeente Zandvoort. Telefoon: Fax: Vastgesteld door het college : d.d. 19 mei 2015 Gepubliceerd in de Zandvoortse Courant : d.d. 26 mei 2015 Inwerkingtreding : d.d. 19 mei 2015 Registratienr: 2015/05/000532 Auteur: R. Zwietering Gemeente

Nadere informatie

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement Rapportage Pizzasessie Functioneel-beheer.com Alle deelnemers hebben hun functienaam opgegeven. De volgende functienamen zijn gemeld: Specialisten o Functioneel beheerder (9x) o Functioneel applicatiebeheerder

Nadere informatie

Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit

Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit Beheer kan efficiënter en met hogere kwaliteit Leveranciers van beheertools en organisaties die IT-beheer uitvoeren prijzen

Nadere informatie

Regiobijeenkomst Aansluiten bij de IBD 2014

Regiobijeenkomst Aansluiten bij de IBD 2014 Regiobijeenkomst Aansluiten bij de IBD 2014 Programma 1. Openingswoord 2. Algemene informatie over dienstverlening en aansluiten bij de IBD Anita van Nieuwenborg 3. Het stappenplan Aansluiten bij de IBD

Nadere informatie

Secretariaat: ECP Postbus 262 2260 AG Leidschendam 070-4190309 INHOUD

Secretariaat: ECP Postbus 262 2260 AG Leidschendam 070-4190309  INHOUD Secretariaat: ECP Postbus 262 2260 AG Leidschendam 070-4190309 jelle.attema@ecp.nl http://www.keurmerkafrekensystemen.nl/ INHOUD INHOUD... 1 INLEIDING... 2 DOEL... 2 BEGRIPPEN... 2 AANDACHTSGEBIED EN BEGRENZING...

Nadere informatie

AANSLUITEN BIJ DE IBD. Het stappenplan

AANSLUITEN BIJ DE IBD. Het stappenplan AANSLUITEN BIJ DE IBD Het stappenplan Auteur IBD Datum januari 2014 2 Inhoud 1. Inleiding 4 1.1 Dienstenportfolio van de IBD 4 1.2 Officieel aansluiten bij de IBD 5 1.3 Bestuurlijk draagvlak 6 1.4 Overzicht

Nadere informatie

Care for Systems. Inter Service Level Agreements

Care for Systems. Inter Service Level Agreements Care for Systems Inter Service Level Agreements Service: maximale beschikbaarheid Wat gebeurt er als de AV-installatie uitvalt in uw meldkamer, vergaderruimte of operatiekamer? Wat is de impact op de geplande

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

Leones. Business Case Service Management Tool

Leones. Business Case Service Management Tool Leones Business Case Service Management Tool Inhoudsopgave 1. AFBAKENING... 3 1.1 DOEL... 3 1.2 AANNAMES... 3 1.3 HUIDIGE SITUATIE... 3 1.4 PROBLEEMSTELLING... 3 1.5 WAT ALS ER NIETS GEBEURT?... 3 2. OPTIES...

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Voorstel Informatiebeveiliging beleid Twente

Voorstel Informatiebeveiliging beleid Twente Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)

Nadere informatie

Functioneel Applicatie Beheer

Functioneel Applicatie Beheer Functioneel Applicatie Beheer Functioneel Applicatie Beheer Goed functioneel beheer werkt als smeerolie voor uw organisatie en zorgt voor een optimale aansluiting van de informatievoorziening op de primaire

Nadere informatie

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases

Nadere informatie

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Drechtsteden Technische Architectuur (DTA) ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Status : Definitief 1.0 Redactie : DTA Datum : 29-08-2007 1 Versiebeheer

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

De beheerrisico s van architectuur

De beheerrisico s van architectuur De beheerrisico s van architectuur Een overzicht van de ArChimate Risico Extensie versie 0.2 Bert Dingemans Inleiding Het implementeren van een (enterprise) architectuur brengt altijd risico s met zich

Nadere informatie

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Information Security Management

Nadere informatie

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Information Security Management

Nadere informatie

Service Level Agreement GVOP

Service Level Agreement GVOP Service Level Agreement GVOP Datum juni 2013 Status definitief Versie 1.1 Pag. 1 van 11 Inhoud Service Level Agreement GVOP 1 1 Inleiding 3 1.1 Opbouw van dit document 3 1.2 Verantwoordelijkheden van betrokken

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

Service Level Agreement

Service Level Agreement Service Level Agreement INTRAMED Mei 2016 Versie 2.4 Inhoud Inhoud... 2 Inleiding... 3 Verantwoordelijkheden... 3 Normen voor onderhoud, reparatie en doorontwikkeling... 4 Normen voor klantenondersteuning...

Nadere informatie

Beheer en onderhoud GPH

Beheer en onderhoud GPH Beheer en onderhoud GPH Afkomstig van: Sandra van Beek-Jacobs Versie: 1.0 Datum: 25-7-2014 Inhoudsopgave 1. Documenthistorie 3 2. Inleiding 4 2.1 Opbouw document 4 2.2 Doel document 4 2.3 Beheer van het

Nadere informatie

Digikoppeling adapter

Digikoppeling adapter Digikoppeling adapter Versie 1.0 Datum 02/06/2014 Status Definitief Van toepassing op Digikoppeling versies: 1.0, 1.1, 2.0, 3.0 Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555

Nadere informatie

MOBILE DEVICE MANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

MOBILE DEVICE MANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) MOBILE DEVICE MANAGEMENT Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Mobile Device Management Versienummer 1.0

Nadere informatie

IBD DIENSTENPORTFOLIO. Uitgebreide beschrijving van de diensten van de IBD

IBD DIENSTENPORTFOLIO. Uitgebreide beschrijving van de diensten van de IBD IBD DIENSTENPORTFOLIO Uitgebreide beschrijving van de diensten van de IBD Auteur IBD Datum september 2013 2 Inhoud 1 Inleiding 4 1.1 Kernactiviteiten en diensten 4 1.1 Officieel aansluiten bij de IBD 6

Nadere informatie

Assurance-rapport en Verantwoording 2012 Product van Logius

Assurance-rapport en Verantwoording 2012 Product van Logius Assurance-rapport en Verantwoording 2012 Product van Logius Digipoort (koppelvlakken SMTP, X.400, FTP en POP3) Datum 19 december 2013 Status Definitief Definitief Assurance-rapport en Verantwoording 2012

Nadere informatie

Energiemanagementprogramma HEVO B.V.

Energiemanagementprogramma HEVO B.V. Energiemanagementprogramma HEVO B.V. Opdrachtgever HEVO B.V. Project CO2 prestatieladder Datum 7 december 2010 Referentie 1000110-0154.3.0 Auteur mevrouw ir. C.D. Koolen Niets uit deze uitgave mag zonder

Nadere informatie

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom Gemeente 's-hertogenbosch Definitief s-hertogenbosch, 30-10-2015 A. Kieboom 1 Projectidentificatie Projectnaam: Status: Beleid Informatieveiligheid Definitief Documenthistorie Status Datum Versie Auteur(s)

Nadere informatie

Service Level Rapportage

Service Level Rapportage Service Level Rapportage Service Level Agreement nummer S115 Service Level Agreement naam HomeWURk Idealis Applicaties n.v.t. Naam klant Idealis Naam contactpersoon klant Hans van Haren Naam Service manager

Nadere informatie