Handleiding Risico management

Maat: px
Weergave met pagina beginnen:

Download "Handleiding Risico management"

Transcriptie

1 Handleiding Risico management IBPDOC29

2 Verantwoording Opdrachtgever Kennisnet / sambo-ict Dit document is geschreven voor IT managers, IT security officers, Information officers binnen de MBO sector. Dit document geeft een handleiding voor de inrichting en uitvoering van risico management binnen de MBO Sector en handreiking voor de beoordeling van IT risico s. Het document is gemaakt in navolging op de 5 daagse MBO masterclasses. In dit document wordt allereerst ingegaan op de inrichting van de Governance omtrent risico management in het algemeen. Vervolgens wordt de uitvoering van de risico en controle cyclus verder toegelicht. In het laatste hoofdstuk wordt een aanzet gegeven tot het beoordelen van de IT risico s binnen de MBO sector. Auteurs Maurits Toet (Cerrix BV) Ludo Cuijpers (Leeuwenborgh) Esther van der Hei (Nimeto Utrecht) Mei 2015 Sommige rechten voorbehouden Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaarden de auteur(s), redacteur(s) en uitgever van Kennisnet geen aansprakelijkheid voor eventuele fouten of onvolkomenheden. Creative commons Naamsvermelding 3.0 Nederland (CC BY 3.0) De gebruiker mag: Het werk kopiëren, verspreiden en doorgeven Remixen afgeleide werken maken Onder de volgende voorwaarde: Naamsvermelding De gebruiker dient bij het werk de naam van Kennisnet te vermelden (maar niet zodanig dat de indruk gewekt wordt dat zij daarmee instemt met uw werk of uw gebruik van het werk). IBPDOC29, versie 1.0 Pagina 2 van 25

3 Inhoudsopgave Verantwoording Governance van risico management Inleiding Risico appetite Taken en verantwoordelijkheden st line of defense nd line of defense rd line of defense Advies bij inrichten governance Uitvoeren van de risico en controle cyclus Opstellen jaarplan Voorbereiden risico assessment Uitvoeren risico assessment Vaststellen en uitvoeren van eventuele verbeteracties Monitoren van risico s, beheersmaatregelen en verbeteracties Rapporteren over status van risico s, beheersmaatregelen en verbeteracties en bijsturen Startpunt uitvoering risicomanagement IT Uitvoeren business impact analyse IT Tot slot Bijlage 1: Overzicht risico s en maatregelen ISO27002/ Bijlage 2: Framework MBO IBPDOC29, versie 1.0 Pagina 3 van 25

4 1. Governance van risico management. 1.1 Inleiding Voordat het risicomanagement proces adequaat kan worden uitgevoerd dienen eerst het risicobeleid te worden vastgelegd en gecommuniceerd. Het risicomanagement beleid omvat: Uitgangspunten omtrent risicomanagement; De risico appetite van de onderneming; De taken en verantwoordelijkheden omtrent risico management in uw organisatie. Hieronder worden achtereenvolgens de onderwerpen risico appetite en taken en verantwoordelijkheden verder beschreven. De uitgangspunten komen hier niet aan bod omdat deze voor elke organisatie anders kunnen zijn. 1.2 Risico appetite De risico appetite geeft de risicobereidheid van de organisatie weer. Vaak wordt dit uitgedrukt als een bedrag in EUR. Het betreft dan de totale risicoschade die de organisatie bereid is te accepteren. Daarnaast zijn er ook andere risico appetite varianten mogelijk zoals maximaal aantal keer negatief in media of aantal verloren mensenlevens (ziekenhuizen) Daarnaast wordt de risico appetite ook vaak gespecificeerd naar deelgebieden (voorbeeld voor het MBO: IT, bekostiging, examinering). In deze methode worden eerst de deelgebieden geïdentificeerd en wordt vervolgens per deelgebied een risico appetite gedefinieerd. Vervolgens wordt het totaal van de deelgebieden geconsolideerd tot een risico appetite op organisatie niveau. 1.3 Taken en verantwoordelijkheden Voor de inrichting van taken en verantwoordelijkheden rondom risicomanagement wordt vaak gebruik gemaakt van het 3 lines of defense model wat impliceert dat er binnen uw organisatie drie verdedigingslinies ingericht kunnen worden om risico s adequaat te managen. Binnen dit model heeft elke linie zijn eigen specifieke functie. In figuur 1 vindt u hiervan een conceptuele weergave. Toezichthouders Bestuur / directie Eindverantwoordelijk 1st line of defense 2nd line of defense 3rd line of defense Uitvoeren Verantwoordelijk voor managen van risico s. Faciliteren Adviseren Monitoren Rapporteren Controleren Accountant Figuur 1: 3 lines of defense model. IBPDOC29, versie 1.0 Pagina 4 van 25

5 st line of defense De eerste verdedigingslinie betreft de operatie van uw organisatie. Dit zijn de werknemers die de dagelijkse operationele en ondersteunende processen binnen uw organisatie uitvoeren. Zij hebben dagelijks met potentiele risico s te maken en zijn dus ook als eerste verantwoordelijk voor het beheersen van de risico s die zich in de werkprocessen kunnen voordoen. Om de eerste lijn bewust te laten worden van deze verantwoordelijkheid speelt allereerst het overbrengen van basiskennis omtrent risicomanagement een rol. Vaak wordt dit gedaan middels training van werknemers door een expert. Met deze basiskennis leert de operatie anders (risicominded en afdelingsoverstijgend) tegen het dagelijks werkproces aan te kijken en wordt zodoende ook het risicobewustzijn van het personeel gestimuleerd. Vervolgens worden er periodiek risicoassessments uitgevoerd (in beginsel op de kernprocessen) door het personeel (eventueel gefaciliteerd door een risk manager) om de (key) risico s en beheersmaatregelen te identificeren en te beoordelen. Ook stelt de operatie Key Risico Indicatoren op die een voorspelling doen over het toekomstige risicoprofiel van uw organisatie. Een voorbeeld van een Key Risico Indicator binnen IT is het aantal prio 1 incidenten opgelost binnen de SLA. Als deze indicator maand op maand stijgt dan geeft dat een indicatie over de risico s en beheersing binnen het proces incident management. Door dit periodiek te doen krijgt uw organisatie goed inzicht in haar risicoprofiel. De operatie is dus primair voor het identificeren, beoordelen en managen van haar risico s In onderstaande tabel vindt u kort samengevat van de taken en verantwoordelijkheden van de eerste lijn: Taken en verantwoordelijkheden 1 ste lijn identificeert en beoordeelt periodiek de risico s en beheersmaatregelen. Voert beheersmaatregelen uit en legt evidence vast ter beoordeling door de risicomanager. Stelt Key Risk Indicators op en Uitvoeren van verbeteracties nd line of defense. De tweede verdedigingslinie is de risico management functie binnen de organisatie. Deze functie staat los van de eerste lijn en is (vaak) onafhankelijk ingericht. Dit wil zeggen dat de risico management functie vaak direct onder het CvB valt en dus niet is gekoppeld aan een operationeel directielid. De risico management functie faciliteert, monitort en adviseert de operatie bij de uitvoering van het risico management en controleproces en heeft primair een signalerende functie richting het CvB en operatie. Tevens rapporteert de risico management periodiek over het risicoprofiel van de organisatie aan de CvB en management. De risico manager is een persoon die niet alleen veel kennis heeft van risico management maar is vooral ook een persoon die veel kennis heeft van het bedrijf waarin hij opereert. Het heeft immers weinig zin om ergens over te adviseren of iets te monitoren wat je niet begrijpt. Bij grotere ondernemingen zien we dat risico managers vaak gespecialiseerd zijn op een bepaald gebied, bijvoorbeeld IT. In onderstaande tabel vindt u een kort samengevat de taken en verantwoordelijkheden van de tweede lijn. Taken en verantwoordelijkheden 2 de lijn Heeft kennis van de operationele en ondersteunende processen binnen het MBO. Faciliteert het risicomanagement proces. (Voorbeeld: faciliteren workshop risico identificatie en beoordeling). Monitort de status van risico s, beheersmaatregelen en verbeteracties. Reviewt opzet, bestaan en werking van individuele beheersmaatregelen. Adviseert de operatie inzake te nemen beheersmaatregelen, verbeteracties, etc. Rapporteert over het risicoprofiel van de organisatie, de werking van beheersmaatregelen en status van verbeteracties. IBPDOC29, versie 1.0 Pagina 5 van 25

6 rd line of defense De derde verdedigingslinie betreft de interne audit functie binnen de organisatie. Deze functie is eveneens onafhankelijk ingericht en valt vaak direct onder het CvB en/of CvT. De interne audit functie heeft een controlerende rol richting operatie en risico manager. De primaire taak van de interne auditor is om te controleren of de organisatie haar operationele en ondersteunende processen beheerst uitvoert. Ook de uitvoering van het risicomanagement proces zelf wordt gecontroleerd door de interne auditor. Voor de interne auditor gelden dezelfde eisen als voor de risico manager. Naast dat hij veel kennis moeten hebben van audit-technieken dient hij veel kennis te hebben van het bedrijf waarin hij opereert. Het heeft immers weinig zin iets te controleren wat je niet begrijpt of waar je relatief weinig kennis van hebt. Ook hier zien we dat auditors bij grotere ondernemingen vaak gespecialiseerd zijn in een bepaald vakgebied, bijvoorbeeld IT. In onderstaande tabel vindt u een kort samengevat de taken en verantwoordelijkheden van de derde lijn. Taken en verantwoordelijkheden 3 de lijn Heeft kennis van de operationele en ondersteunende processen binnen het MBO. Heeft kennis van audit-technieken. Voert audits uit op de operationele en ondersteunende processen van de organisatie om vast te stellen dat deze processen beheerst worden uitgevoerd door de organisatie. Rapporteert bevindingen naar aanleiding van uitgevoerde audits aan de betreffende proceseigenaren Rapporteert over de algehele status van beheersing aan CvB en CvT. 1.4 Advies bij inrichten governance Op basis van het risicomanagement beleid te kan gestart worden met de inrichting van de governance. Een advies is om te starten met de inrichting van de 1st line of defense. Dit is immers de belangrijkste verdedigingslinie. Er zijn daarbij 5 key inrichtingsstappen die van belang zijn: 1. Risicomanagement beleid is goedgekeurd door CvB en beschikbaar voor alle medewerkers; 2. De taken en verantwoordelijkheden inzake risicomanagement in de functieprofielen van de werknemers en maken onderdeel uit van de beoordelingscyclus; 3. Medewerkers worden getraind op basiskennis omtrent risicomanagement; 4. Vergroten risicobewustzijn door periodiek risico s, beheersmaatregelen en verbeteracties te identificeren en te beoordelen. Daarbij is het van belang breder te kijken naar je operatie en de dagelijkse processen / processtappen die je uitvoert (keten denken); 5. Communicatie over geconstateerde risico s en benodigde beheersing naar relevante stakeholders dient te worden gestimuleerd. Deze communicatie hoeft dus niet altijd tussen management te verlopen maar dient juist op de werkvloer te worden gestimuleerd. Daarbij hoort ook het aanspreken van je collega die eerder/later in het proces activiteiten uitvoert. Het is wel aan te raden om een project manager / eigenaar aan te wijzen die de verschillende inrichtingsstappen coördineert. Het onafhankelijk inrichten van de 2 e en 3 e lijns functies vindt vaak in een later stadium plaats. Vaak zien we dat de functie eerst binnen een afdeling wordt belegd (vaak bij teamleiders/managers of senior medewerkers) om later gecentraliseerd te worden in een onafhankelijke staffunctie. Indien de functie onafhankelijk wordt belegd dan is het van belang dat deze functies eerst het juiste mandaat krijgen van het CvB en dat dit mandaat helder wordt gecommuniceerd naar de organisatie toe. Vervolgens dienen dan de risicomanagement en audit processen gedefinieerd te worden waarmee deze functies kunnen werken. IBPDOC29, versie 1.0 Pagina 6 van 25

7 2. Uitvoeren van de risico en controle cyclus. In dit hoofdstuk wordt een handleiding beschreven voor de uitvoering van het risico en controle cyclus. Het risicomanagement beleid vormt het uitgangspunt bij de uitvoering van de risico en controle cyclus. De cyclus bestaat uit verschillende fases, te weten: 1. Opstellen jaarplan (Plan); 2. Voorbereiden risico assessment (Plan); 3. Uitvoeren risico assessment (Do); 4. Vaststellen en uitvoeren van eventuele verbeteracties (Do); 5. Monitoren van risico s, beheersmaatregelen en verbeteracties (Check); 6. Rapporteren over status van risico s, beheersmaatregelen en verbeteracties en bijstellen (Act). De fases volgen de PDCA cyclus volgens het model van Demming. Door deze stappen in een cyclus uit voeren ontstaat de zogenaamde risico en controle cyclus. De hierboven genoemde stappen zullen in onderstaande paragrafen verder worden uitgewerkt. 2.1 Opstellen jaarplan Elk jaar stelt de risico manager in samenwerking met de proceseigenaren eerst het jaarplan voor risicomanagement op. In het jaarplan voor risico management worden de verschillende risico assessments, monitoring en rapportagemomenten vastgelegd voor dat jaar vastgelegd. Het jaarplan wordt geaccordeerd door het CvB en gecommuniceerd met alle stakeholders. 2.2 Voorbereiden risico assessment De voorbereiding van een risico assessment is een van de belangrijkste onderdelen van het risico assessment. Onder het voorbereiden van een risico assessment wordt verstaan: het vaststellen van de scope en doelstelling van het risico assessment, het plannen van een datum, het reserveren van een ruimte, het uitnodigen van de juiste personen, het juist, tijdig en volledig vaststellen en verspreiden van documentatie en het inhoudelijk voorbereiden van het assessment. Feitelijk is dit stap 1 bij de risico en controle cyclus uit de presentatie Risicomanagement inde praktijk welke gegeven tijdens de masterclasses. Doelstelling en scopebepaling: Elke proceseigenaar organiseert, in samenwerking met de risico manager, periodiek (meestal 1 keer per jaar) een risico assessment voor zijn/haar (IT) processen. Daarbij wordt eerst de doelstelling en scope van het risico assessment bepaald. De doelstelling gaat in op welke soort risico s en beheersmaatregelen er geïdentificeerd moeten worden. Voorbeeld: alleen IT risico s of ook andere risico soorten De scope gaat in op de reikwijdte van het risico assessment. Voorbeeld: Alleen proces risico s en key beheersmaatregelen of ook afdelingsrisico s en ondersteunende beheersmaatregelen. Plannen en uitnodigen: Advies is om niet meer dan 6 mensen uit te nodigen. Een te grote groep maakt het risico assessment minder efficiënt. Hou bij het plannen van een datum en tijd rekening dat een goede risico assessment 3 a 4 uur duurt. Voor een risico assessment worden minimaal de volgende personen uitgenodigd: Risico manager (heeft alleen een faciliterende / challengende rol) Proceseigenaar; Key specialisten van het proces (dit kan dus afdeling overstijgend zijn); IBPDOC29, versie 1.0 Pagina 7 van 25

8 Vaststellen en verspreiden documentatie: Naast het plannen van de datum en tijd is het van het grootste belang de juiste documentatie wordt opgesteld en verstuurd naar de deelnemers. Deze documentatie bestaat uit: beschrijving van doelstelling en scope van het risico assessment, het actuele risico management beleid, de actuele procesbeschrijving, een register met risico s en beheersmaatregelen van het vorige risico assessment, register met aan het proces gerelateerde incidenten, register met openstaande verbeteracties die invloed hebben op de beheersing van relevante risico s. Inhoudelijk voorbereiden: Met het inhoudelijk doornemen van de documentatie is elke deelnemer voldoende voorbereid voor het komende risico assessment. Het inhoudelijk voorbereiden houdt in het doornemen van de documentatie, het beschrijven van mogelijke risicogebeurtenissen en mogelijke beheersmaatregelen. Door deze voorbereiding komt de deelnemer goed beslagen ten ijs en kan tijdens het assessment een efficiënte en effectieve discussie gevoerd worden. 2.3 Uitvoeren risico assessment De uitvoering van het risico assessment zelf volgt de stappen 2 tot en met 6 bij de risico en controle cyclus zoals besproken in de presentatie risicomanagement in de praktijk vanuit de masterclass. Doelstelling bij de uitvoering van het risico assessment is het achterhalen en beoordelen van de relevante risico s, controledoelstellingen en beheersmaatregelen volgens de vastgestelde scope en doelstelling van het risico assessment. Bij de uitvoering van het risico assessment zelf zijn een aantal factoren van belang voor succes, te weten: Iedere deelnemer gaat voorbereid het risico assessment in; Iedereen respecteert elkaars mening, elke stem weegt even zwaar; De facilitator (risico-manager) heeft geen stemrecht maar faciliteert alleen. Voor het vaststellen van de IT risico s hanteren we de volgende risico categorieën: 1. ; 1.1. Informatiebeveiliging; 1.2. Privacy; 2. ; 3. ; 4. Examinering. Deze categorieën staan vast en zullen door de gehele MBO sector gebruikt gaan worden. Bij het vaststellen van de risico s en beheersmaatregelen is het dus zaak deze categorieën te gebruiken. Voorbeeld: Bij het proces access management zullen de geïdentificeerde risico s hoofdzakelijk in de 2 e en 3 e categorie vallen. Ter verdere ondersteuning bij het uitvoeren van het risico assessment raden wij aan om het beoordelingskader IT risico s MBO sector (Zie bijlage 1 voor een voorbeeld) te gebruiken. Deze wordt samen met deze handleiding meegeleverd in een Excel sheet. Door gebruik te maken van dit beoordelingskader kunnen MBO s op gestructureerde wijze hun IT risico s, controledoelstellingen en onderliggende beheersmaatregelen en verbeteracties definiëren. 2.4 Vaststellen en uitvoeren van eventuele verbeteracties Indien bij stap 6 uit de risico en controle cyclus vanuit de presentatie wordt vastgesteld dat het restrisico verder gemitigeerd moet worden omdat anders de controledoelstelling niet gehaald kan worden dan dienen hiervoor verbeteracties te worden gedefinieerd. Bij de vaststellen van de verbeteracties moeten aan een aantal voorwaarden voldoen: Elke verbeteractie heeft een eigenaar; Verbeteracties zijn SMART gedefinieerd; IBPDOC29, versie 1.0 Pagina 8 van 25

9 Elke actie heeft een duidelijk eindresultaat; Elke actie heeft een due date; De actie draagt actief bij aan het verkleinen van de kans en/of impact van het risico. De verbeteracties worden altijd in samenspraak met de verantwoordelijke manager opgesteld. Verbeteracties kunnen ook komen vanuit het monitoren van risico s en beheersmaatregelen (zie volgende paragraaf). 2.5 Monitoren van risico s, beheersmaatregelen en verbeteracties De monitoring van risico s, beheersmaatregelen en verbeteracties volgt stap 7 bij risico en controle cyclus zoals besproken in de presentatie risicomanagement in de praktijk vanuit de masterclass. We onderkennen 3 soorten monitoringsactiviteiten, te weten: Monitoren van KRI s Monitoren/testen van beheersmaatregelen Monitoren van verbeteracties Hieronder wordt per onderdeel ingegaan op monitoring. Monitoren middels KRI s Na het uitvoeren van het risico assessment is het zaak dat de 1 e lijn haar risico s monitort. Er zijn namelijk verschillende variabelen die van invloed kunnen zijn op het risicoprofiel van de organisatie. Denk bijvoorbeeld aan veranderende marktomstandigheden of nieuwe wet en regelgeving waardoor nieuwe risico s relevant worden en bestaande risico s wellicht niet meer relevant zijn. Maar ook manifestatie van bedrijfsincidenten kunnen bijdragen aan een ander risicobeeld. Bij monitoring is het dus zaak deze variabelen te identificeren en om te zetten in zogenaamde Key Risk Indicatoren. Twee voorbeelden van een KRI s voor IT zijn: 1. Het aantal prioriteit 1 IT-incidenten per maand. 2. Het aantal prioriteit 1 IT-incidenten niet opgelost binnen de SLA. Als we deze KRI s monitoren en de aantallen maand op maand zien toenemen (stijgende trend) dan dient de kans en impact van het bijbehorende risico Het risico dat prio 1 IT incidenten niet tijdig worden opgelost als gevolg van onvoldoende resources waardoor business verstoringen plaatsvinden te worden opgeschaald. De KRI geeft dan een indicatie dat de bestaande beheersing onvoldoende is. Monitoring brengt daarbij dus het inzicht om tot tijdige verbeteracties en additionele beheersing te komen. Monitoren/testen van beheersmaatregelen De opgestelde beheersmaatregelen worden uitgevoerd door de 1 e lijn. Om opzet, bestaan en werking van de beheersmaatregelen te kunnen monitoren dient de 1 e lijn evidence vast te leggen van uitvoering van deze beheersmaatregelen. De 2 e lijn zal dan op basis van de gestelde controledoelstellingen en deze evidence een steekproef doen om te monitoren of opzet, bestaan en werking van de beheersmaatregelen is gewaarborgd. Indien er hiaten zijn geconstateerd door de 2 e lijn zullen deze moeten worden besproken met de verantwoordelijke manager/proces eigenaar en zullen er verbeteracties worden gedefinieerd (zie vorige paragraaf). Monitoren voorgang verbeteracties Ook de status van verbeteracties zelf moeten gemonitord worden ter bevordering van de risicobeheersing. De verantwoordelijke manager monitort vanuit zijn/haar 1 e lijns verantwoordelijkheid de voortgang van de verbeteracties. Dit doet hij/zij op basis van de lijst met verbeteracties en het opvragen van de status bij de verantwoordelijke uitvoerders. De risico manager zal vanuit zijn 2 e lijns verantwoordelijkheid de status monitoren en bij onvoldoende voortgang eerst in gesprek gaan met de verantwoordelijke lijnmanager om de oorzaak te achterhalen. Indien nodig kan de risico manager escaleren naar CvB. IBPDOC29, versie 1.0 Pagina 9 van 25

10 2.6 Rapporteren over status van risico s, beheersmaatregelen en verbeteracties en bijsturen. De risico manager rapporteert, in samenwerking met de 1 e lijn, periodiek (Advies = minimaal 1 keer per kwartaal) aan het CvB en management over de status van risico s, controledoelstellingen en onderliggende beheersmaatregelen en verbeteracties. De vorm van de rapportage zal hoofdzakelijk een dashboard zijn waarbij op organisatieonderdeel en/of risicocategorie wordt gerapporteerd over de status van risico s, controledoelstellingen en onderliggende beheersmaatregelen en verbeteracties. De rapportage moet worden voorzien van commentaar door de 1 e lijn en de risico manager. Het commentaar van de 1 e lijn focust zich op de toelichting op de verschillende statussen. Het commentaar van de risicomanager focust zich op het geven van advies bij de verschillende statussen. Op basis van de rapportage kan het management of CvB besluiten bij te sturen door bijvoorbeeld meer resources beschikbaar te maken, activiteiten te outsourcen, etc. 2.7 Startpunt uitvoering risicomanagement IT. Het ISO raamwerk kan gebruikt worden voor het mitigeren van risico s op het gebied van informatie beveiliging. Het opstellen van het informatiebeveiligingsbeleid vormt daarbij de leidraad voor de verdere beheersing van risico s op het gebied van informatiebeveiliging. Bij het opstellen van het informatiebeveiligingsbeleid is het van groot belang om te kijken of het beleid dekkend is voor de onderneming. Daarbij dient ook de impact van het beleid op de instelling vooraf in kaart te gebracht te worden. Vaak wordt er een beleid geformuleerd dat in de praktijk niet haalbaar is voor de instelling binnen de gegeven termijn. Ook blijken de financiele, organisatorische en culturele consequenties van het beleid vaak onderbelicht Uitvoeren business impact analyse IT Om al deze zaken inzichtelijk te maken dient een business impact analyse te worden uitgevoerd. Deze analyse gaat in op: Cost of risk: Wat is de impact op de organisatie als de geïdentificeerde risico s niet gemitigeerd worden. Cost of control: Wat is de impact van het voorgestelde informatiebeveiligingsbeleid en aanverwante beheersmaatregelen uit het ISO27002 raamwerk op de organisatie. In deze analyse worden niet alleen de financiële kosten van enerzijds de risico s en anderzijds de implementatie van het informatiebeveiligingsbeleid en aanverwante beheersmaatregelen meegenomen. Er wordt ook expliciet ingegaan op de verwachte impact op de organisatie, het gedrag van medewerkers en op de cultuur van de instelling. Door het goed analyseren van de risico s en de voorgestelde beheersing en de business impact kan een prioritering worden aangebracht van de te implementeren beheersmaatregelen. IBPDOC29, versie 1.0 Pagina 10 van 25

11 Onderstaand figuur illustreert de Business Impact Analyse voor IT. Business Impact Analyse IT Risico s Informatiebeveiligings beleid en aanverwante beheersmaatregelen Financiële impact Organisatorische impact Culturele impact Impact op gedrag Prioritering voor implementatie beheersing Figuur 2: Business Impact Analyse IT IBPDOC29, versie 1.0 Pagina 11 van 25

12 3. Tot slot. Het effectief inrichten van risico en controle cyclus in een organisatie is niet een kwestie van een maand werk en klaar. Het is een proces wat langzaam opgebouwd dient te worden en effectiever en efficiënter wordt naarmate het risicobewustzijn en de beheersing van de organisatie stijgt. IBPDOC29, versie 1.0 Pagina 12 van 25

13 Bijlage 1: Overzicht risico s en maatregelen ISO27002/2013 Nr Risicobeschrijving Categorie ISO verwijzingen Maatregelen 1 Het risico dat medewerkers en studenten onvoldoende bewust zijn van risico's met betrekking tot informatiebeveiliging door het niet beschikbaar zijn en/of onvoldoende communicatie van informatiebeveiligingsbeleid / procedures met als gevolg reputatieschade, operationele verstoringen, financiele schade Beleidsregels voor informatiebeveiliging Beoordeling van het informatiebeveiligingsbeleid Beleid voor mobiele apparatuur Arbeidsvoorwaarden Directieverantwoordelijkheden Bewustzijn, opleiding en training Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen Het beleid voor informatiebeveiliging behoort met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is Beleid en ondersteunende beveiligingsmaatregelen behoren te worden vastgesteld om de risico s die het gebruik van mobiele apparatuur met zich meebrengt te beheren De contractuele overeenkomst met medewerkers en contractanten behoort hun verantwoordelijkheden voor informatiebeveiliging en die van de organisatie te vermelden De directie behoort van alle medewerkers en contractanten te eisen dat ze informatiebeveiliging toepassen in overeenstemming met de vastgestelde beleidsregels en procedures van de organisatie Alle studenten/medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie. 2 Het risico dat IT medewerkers onvoldoende bekwaam zij door falende personeelsselectie en/of onvoldoende opleidingsmogelijkheden met als gevolg het niet kunnen schakelen bij veranderingen in IT omgeving van de instelling. 3 Het risico dat IT processen niet juist/volledig/tijdig worden uitgevoerd door onvoldoende afstemming van verantwoordelijkheden voor IT werkzaamheden tussen afdelingen/uitbestedingspartijen met als gevolg operationele verstoringen. 4 Het risico dat de instelling niet voldoet aan privacy wetgeving door onvoldoende controle hierop met als gevolg rechtzaken, claims, reputatieschade Rollen en verantwoordelijkheden bij informatiebeveiliging Screening Bewustzijn, opleiding en training Rollen en verantwoordelijkheden bij informatiebeveiliging Scheiding van taken Contact met overheidsinstanties Contact met speciale belangengroepen Verantwoordelijkheden Informatiebeveiliging in projectbeheer Beleidsregels voor informatiebeveiliging Beoordeling van het informatiebeveiligingsbeleid Vaststellen van toepasselijke wetgeving en contractuele eisen Beschermen van registraties Privacy en bescherming van persoonsgegevens Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen Verificatie van de achtergrond van alle kandidaten voor een dienstverband behoort te worden uitgevoerd in overeenstemming met relevante wet- en regelgeving en ethische overwegingen en behoort in verhouding te staan tot de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico s te zijn Alle studenten/medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen Conflicterende taken en verantwoordelijkheden behoren te worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen Organisaties behoren procedures te hebben die aangeven wanneer en door wie contact behoort te worden opgenomen met overheidsinstanties (bijv. politie, regelgevende organen, toezichthouders) en hoe geïdentificeerde informatiebeveiligingsincidenten tijdig behoren te worden gerapporteerd (bijv. indien het vermoeden bestaat dat mogelijk wetgeving is overtreden) Er behoren passende contacten met speciale belangengroepen of andere gespecialiseerde beveiligingsfora en/of professionele organisaties te worden onderhouden Informatiebeveiliging behoort te worden geïntegreerd in de projectbeheermethode(n) van de organisatie om ervoor te zorgen dat informatiebeveiligingsrisico s worden geïdentificeerd en aangepakt als deel van een project Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen Het beleid voor informatiebeveiliging behoort met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de organisatie om aan deze eisen te voldoen behoren voor elk informatiesysteem en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden Registraties behoren in overeenstemming met wettelijke, regelgevende, contractuele en bedrijfseisen te worden beschermd tegen verlies, vernietiging, vervalsing, onbevoegde toegang en onbevoegde vrijgave Privacy en bescherming van persoonsgegevens behoren, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving. IBPDOC29, versie 1.0 Pagina 13 van 25

14 Nr Risicobeschrijving Categorie ISO verwijzingen Maatregelen 5 Het risico dat wijzigingen niet juist, volledig, tijdig worden ontwikkeld door ontbrekende processen met als gevolg foutieve wijzigingen en operationele verstoringen 6 Het risico dat changes / releases onvoldoende getest worden door onvoldoende inrichting van OTAP omgeving met als gevolg operationele verstoringen en financiële schade. 7 Het risico dat inzicht op de samenhang van systemen/applicaties en op ontwerpbeslissingen ontbreekt door ontbrekende/onvoldoende IT beheerdocumentatie met als gevolg operationele verstoringen bij het doorvoeren van systeemwijzigingen. 8 Het risico op onvolledige dienstverlening door leveranciers door een onvolledige/onjuiste SLA en/of onvoldoende monitoring met als gevolg operationele verstoringen. 9 Het risico dat adhoc oplossingen worden toegepast doordat IT-beleid niet helder is met als gevolg financiële schade en ontevredenheid doordat aangeschafte middelen niet passen binnen de coöperatieve afspraken Wijzigingsbeheer Scheiding van ontwikkel-, test- en productieomgevingen Beleid voor beveiligd ontwikkelen Procedures voor wijzigingsbeheer met betrekking tot systemen Technische beoordeling van toepassingen na wijzigingen besturingsplatform Beperkingen op wijzigingen aan softwarepakketten Beveiligde ontwikkelomgeving Uitbestede softwareontwikkeling Testen van systeembeveiliging Systeemacceptatietests Wijzigingsbeheer Scheiding van ontwikkel-, test- en productieomgevingen Gedocumenteerde bedieningsprocedures Wijzigingsbeheer Informatiebeveiligingsbeleid voor leveranciersrelaties Opnemen van beveiligingsaspecten in leveranciersovereenkomsten Toeleveringsketen van informatie- en communicatietechnologie Monitoring en beoordeling van dienstverlening van leveranciers Beheer van veranderingen in dienstverlening van leveranciers Beleidsregels voor informatiebeveiliging Beoordeling van het informatiebeveiligingsbeleid Beleid voor mobiele apparatuur Veranderingen in de organisatie, bedrijfsprocessen, informatie verwerkende faciliteiten en systemen die van invloed zijn op de informatiebeveiliging behoren te worden beheerst Ontwikkel-, test- en productieomgevingen behoren te worden gescheiden om het risico van onbevoegde toegang tot of veranderingen aan de productieomgeving te verlagen Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer Als besturingsplatforms zijn veranderd, behoren bedrijf kritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact is op de activiteiten of de beveiliging van de organisatie Wijzigingen aan softwarepakketten behoren te worden ontraden, beperkt tot noodzakelijke veranderingen en alle veranderingen behoren strikt te worden gecontroleerd Organisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie, die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling Uitbestede systeemontwikkeling behoort onder supervisie te staan van en te worden gemonitord door de organisatie Tijdens ontwikkelactiviteiten behoort de beveiligingsfunctionaliteit te worden getest Voor nieuwe informatiesystemen, upgrades en nieuwe versies behoren programma s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld Veranderingen in de organisatie, bedrijfsprocessen, informatie verwerkende faciliteiten en systemen die van invloed zijn op de informatiebeveiliging behoren te worden beheerst Ontwikkel-, test- en productieomgevingen behoren te worden gescheiden om het risico van onbevoegde toegang tot of veranderingen aan de productieomgeving te verlagen Bedieningsprocedures behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan alle gebruikers die ze nodig hebben Veranderingen in de organisatie, bedrijfsprocessen, informatie verwerkende faciliteiten en systemen die van invloed zijn op de informatiebeveiliging behoren te worden beheerst Met de leverancier behoren de informatiebeveiligingseisen om risico s te verlagen die verband houden met de toegang van de leverancier tot de bedrijfsmiddelen van de organisatie, te worden overeengekomen en gedocumenteerd Alle relevante informatiebeveiligingseisen behoren te worden vastgesteld en overeengekomen met elke leverancier die toegang heeft tot IT-infrastructuurelementen ten behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt Overeenkomsten met leveranciers behoren eisen te bevatten die betrekking hebben op de informatiebeveiligingsrisico s in verband met de toeleveringsketen van de diensten en producten op het gebied van informatie- en communicatietechnologie Organisaties behoren regelmatig de dienstverlening van leveranciers te monitoren, te beoordelen en te auditen Veranderingen in de dienstverlening van leveranciers, met inbegrip van handhaving en verbetering van bestaande beleidslijnen, procedures en beheersmaatregelen voor informatiebeveiliging, behoren te worden, beheerd, rekening houdend met de kritikaliteit van bedrijfsinformatie, betrokken systemen en processen en herbeoordeling van risico s Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen Het beleid voor informatiebeveiliging behoort met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is Beleid en ondersteunende beveiligingsmaatregelen behoren te worden vastgesteld om de risico s die het gebruik van mobiele apparatuur met zich meebrengt te beheren. IBPDOC29, versie 1.0 Pagina 14 van 25

15 Nr Risicobeschrijving Categorie ISO verwijzingen Maatregelen 10 Het risico dat IT incidenten niet juist, volledig en tijdig worden geregistreerd en afgehandeld door ontbreken van procedures en/of geen monitoring van opvolging met als gevolg operationele verstoringen. 11 Het risico dat de geleverde IT diensten niet aansluiten bij de (beveiligings)behoefte en beleid van de Business door gebrek aan regie en alignement met als gevolg hoge kosten, inefficiëntie en onvoldoende uitvoering van het beleid 12 Het risico dat technische beveiligingsmaatregelen door de IT beheerorganisatie op het verkeerde niveau met verkeerde prioriteit worden behandeld door ontbreken van een adequate overlegstructuur op strategisch, tactisch en operationeel niveau, met als gevolg onvoorspelbare blootstelling aan technische beveiligingsrisico's. 13 Het risico dat verstoringen en beveiligingsincidenten worden veroorzaakt door de IT beheerorganisatie zelf doordat onvoldoende kwaliteitsnormen worden gehanteerd, taken bevoegdheden en verantwoordelijkheden en procedures onvoldoende zijn beschreven en/of geïmplementeerd met als gevolg een instabiel diensten en beveiligingsniveau. 14 Het risico van organisatie-overhead door niet- of gebrekkig auditen van procedures met als gevolg (gevolgen) Verlies van kwaliteit en efficiëntie 15 Het risico dat dienstenniveaus niet voldoen aan de verwachting van de business door het ontbreken van een Service level manager met als gevolg een ontevreden organisatie. 16 Het risico van onvolledige impact analyses t.b.v. wijzigingen in de infrastructuur door het ontbreken van een Configuration manager met als gevolg onvoorziene gevolgen van veranderingen in de infrastructuur Verantwoordelijkheden en procedures Rapportage van (informatiebeveiligings) gebeurtenissen Rapportage van zwakke plekken in de informatiebeveiliging Beoordeling van en besluitvorming over (informatiebeveiligings)gebeurtenissen Respons op informatiebeveiligingsincidenten Lering uit informatiebeveiligingsincidenten Naleving van beveiligingsbeleid en -normen Beoordeling van technische naleving Rollen en verantwoordelijkheden bij informatiebeveiliging Beleidsregels voor informatiebeveiliging Beoordeling van het informatiebeveiligingsbeleid Rollen en verantwoordelijkheden bij informatiebeveiliging Beleid voor mobiele apparatuur Naleving van beveiligingsbeleid en -normen Beoordeling van technische naleving nvt Directieverantwoordelijkheden en -procedures behoren te worden vastgesteld om een snelle, doeltreffende en ordelijke respons op (informatiebeveiligings)incidenten te bewerkstelligen Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd Van medewerkers en contractanten die gebruikmaken van de informatiesystemen en -diensten van de organisatie behoort te worden geëist dat zij de in systemen of diensten waargenomen of vermeende zwakke plekken in de informatiebeveiliging registreren en rapporteren Informatiebeveiligingsgebeurtenissen behoren te worden beoordeeld en er behoort te worden geoordeeld of zij moeten worden geclassificeerd als informatiebeveiligingsincidenten Op informatiebeveiligingsincidenten behoort te worden gereageerd in overeenstemming met de gedocumenteerde procedures Kennis die is verkregen door informatiebeveiligingsincidenten te analyseren en op te lossen behoort te worden gebruikt om de waarschijnlijkheid of impact van toekomstige incidenten te verkleinen De directie behoort regelmatig de naleving van de informatieverwerking en -procedures binnen haar verantwoordelijkheidsgebied te beoordelen aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging Informatiesystemen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor informatiebeveiliging Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen Het beleid voor informatiebeveiliging behoort met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen Beleid en ondersteunende beveiligingsmaatregelen behoren te worden vastgesteld om de risico s die het gebruik van mobiele apparatuur met zich meebrengt te beheren De directie behoort regelmatig de naleving van de informatieverwerking en -procedures binnen haar verantwoordelijkheidsgebied te beoordelen aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging Informatiesystemen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor informatiebeveiliging. 1. Vastleggen taken en verantwoordelijkheden Service Manager 2. Vastleggen, communiceren en implementeren procedures omtrent inventariseren, vastleggen en vertalen van business behoeften naar IT oplossingen Inventariseren van bedrijfsmiddelen Bedrijfsmiddelen die samenhangen met informatie en informatie verwerkende faciliteiten behoren te worden geidentificeerd, en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden (dus ook de relaties met andere bedrijfsmiddelen). Aanvullend niet vallend onder ISO27002: 1. Impactanalyses worden uitgevoerd voorafgaand aan de infrastructuurwijziging. 2. Impact analyse rapport wordt besproken met en goedgekeurd door verantwoordelijke. 3. Plan van Aanpak wordt opgesteld en afgestemd met de verantwoordelijke. 4. Wijziging wordt gepland op tijdstip met minimale impact. IBPDOC29, versie 1.0 Pagina 15 van 25

16 Nr Risicobeschrijving Categorie ISO verwijzingen Maatregelen 17 Het risico dat er geen inzicht is in het aantal incidenten of het soort incidenten door onvoldoende registratie op de helpdesk met als gevolg dat de organisatie blijft hangen in ad hoc reageren op elk incident en uiteindelijk de ondersteuning van de klanten niet optimaal is. 18 Het risico dat de ene medewerker niet op de hoogte is van het werk dat de andere medewerker heeft gedaan door het ontbreken van onderlinge werkafspraken met als gevolg slechte dienstverlening aan de klanten. 19 Het risico van langdurige uitval van kernsystemen door het ontbreken van continuiteitsbeheer met als gevolg financiële en imago schade. 20 Het risico van het schenden van de privacy van studenten door het gebruik van een ander programma dan het voorgeschreven studentenregistratiesysteem met als gevolg een klacht tegen de school voor het schenden van de privacy van studenten. 21 Het risico van inconsistente/onvolledige door onvoldoende geschoold personeel met als gevolg onvolledige informatievoorziening c.q. management informatie. 22 Het risico van lage procesvolwassenheid en onvoldoende kwaliteitsbewustzijn door ontbreken procesmanagement en onvoldoende kwaliteitscontrole met als gevolg dat belangrijke business doelstellingen niet worden behaald en de informatiebeveiliging te wensen overlaat. 23 Het risico dat ICT niet bijdraagt aan kwaliteit van het onderwijs doordat er geen geïmplementeerd beleid is, met als gevolg schade aan de kwaliteit van de opleidingen. 24 Het risico van hoge IT kosten door ontbrekende visie op de ontwikkeling en toepassing van IT binnen de organisatie en/of ontbrekend IT beleidssplan en/of een begroting voor IT ontbreekt met als gevolg discontinuïteit van de instelling Verantwoordelijkheden en procedures Rapportage van (informatiebeveiligings) gebeurtenissen Rapportage van zwakke plekken in de informatiebeveiliging Beoordeling van en besluitvorming over (informatiebeveiligings)gebeurtenissen Respons op informatiebeveiligingsincidenten Lering uit informatiebeveiligingsincidenten nvt Informatiebeveiligingscontinuïteit plannen Informatiebeveiligingscontinuïteit implementeren Informatiebeveiligingscontinuïteit verifieren, beoordelen en evalueren Beschikbaarheid van informatie verwerkende faciliteiten Beleidsregels voor informatiebeveiliging Aanvaardbaar gebruik van bedrijfsmiddelen. nvt Beleidsregels voor informatiebeveiliging Beoordeling van het informatiebeveiligingsbeleid Naleving van beveiligingsbeleid en -normen Beoordeling van technische naleving nvt nvt Directieverantwoordelijkheden en -procedures behoren te worden vastgesteld om een snelle, doeltreffende en ordelijke respons op (informatiebeveiligings)incidenten te bewerkstelligen Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd Van medewerkers en contractanten die gebruikmaken van de informatiesystemen en -diensten van de organisatie behoort te worden geëist dat zij de in systemen of diensten waargenomen of vermeende zwakke plekken in de informatiebeveiliging registreren en rapporteren Informatiebeveiligingsgebeurtenissen behoren te worden beoordeeld en er behoort te worden geoordeeld of zij moeten worden geclassificeerd als informatiebeveiligingsincidenten Op informatiebeveiligingsincidenten behoort te worden gereageerd in overeenstemming met de gedocumenteerde procedures Kennis die is verkregen door informatiebeveiligingsincidenten te analyseren en op te lossen behoort te worden gebruikt om de waarschijnlijkheid of impact van toekomstige incidenten te verkleinen. 1. Werkoverleggen (ook met gerelateerde afdelingen) waarbij speciale aandacht is voor elkaar werkzaamheden De organisatie behoort haar eisen voor informatiebeveiliging en voor de continuïteit van het informatiebeveiligingsbeheer in ongunstige situaties, bijv. een crisis of een ramp, vast te stellen De organisatie behoort processen, procedures en beheersmaatregelen vast te stellen, te documenteren, te implementeren en te handhaven om het vereiste niveau van continuïteit voor informatiebeveiliging tijdens een ongunstige situatie te waarborgen De organisatie behoort de ten behoeve van informatiebeveiligingscontinuïteit vastgestelde en geïmplementeerde beheersmaatregelen regelmatig te verifiëren om te waarborgen dat ze deugdelijk en doeltreffend zijn tijdens ongunstige situaties Informatie verwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen Voor het aanvaardbaar gebruik van informatie en van bedrijfsmiddelen die samenhangen met informatie en informatie verwerkende faciliteiten behoren regels te worden geïdentificeerd, gedocumenteerd en geïmplementeerd. 1. Opzetten trainingsprogramma's gekoppeld aan het functieprofiel van de medewerker. 2. Invoeren rapportagestandaarden. 3. Kwaliteitscontrole (juistheid, volledigheid, tijdigheid) uitvoeren voorafgaand aan verzending van managementinformatie Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen Het beleid voor informatiebeveiliging behoort met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is De directie behoort regelmatig de naleving van de informatieverwerking en -procedures binnen haar verantwoordelijkheidsgebied te beoordelen aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging Informatiesystemen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor informatiebeveiliging. 1. Opstellen en periodiek beoordelen van IT-beleid, IT jaarplan, BIA (Business Impact Analyses) door directie en IT managers. 2. Jaarlijks opstellen en beoordelen van IT budget o.b.v. jaarplan. 1. Opstellen en periodiek beoordelen van IT-beleid, IT jaarplan, BIA (Business Impact Analyses) door directie en IT managers. 2. Jaarlijks opstellen en beoordelen van IT budget o.b.v. jaarplan. IBPDOC29, versie 1.0 Pagina 16 van 25

17 Nr Risicobeschrijving Categorie ISO verwijzingen Maatregelen 25 Het risico van desinformatie doorzelf opgestelde overzichten in plaats van standaardrapportages uit kernsystemen te gebruiken met als gevolg foutieve informatievoorziening. nvt 1. Inventariseren informatiebehoeften 2. Opzetten warehouse en reporting services. 26 Het risico dat systemen geen duidelijke eigenaar hebben door onvoldoende inrichting van IT governance met als gevolg hoge kosten, beheer issues. 27 Het risico van onvoldoende communicatie door HR over medewerkers die in een functie starten / van functie veranderen / hun functie beëindigen met als gevolg issues met autorisatiebeheer 28 Het risico dat persoonsgegevens onbeheerd op bureaus van medewerkers liggen door onvoldoende bewustzijn van medewerkers inzake informatiebeveiliging met als gevolg mogelijke diefstal van gegevens en/of reputatieschade. 29 Het risico dat informatiebeveiliging van de instelling niet voldoet aan de gestelde standaard als gevolg van onvoldoende beoordeling door onafhankelijke auditors, directie met als gevolg mogelijke claims van toezichthouders 30 Het risico op fraude bij invoer/mutaties van cijfers in het cijferregistratiesysteem door onvoldoende ingebouwde functiescheiding en/of controles met als gevolg reputatieschade en onjuiste beoordeling van studenten. 31 Het risico dat digitale toetsen mislukken door onvoldoende stabiele beschikbare apparatuur op de schoollocatie met als gevolg operationele verstoringen en reputatieschade. Examinering Examinering Inventariseren van bedrijfsmiddelen Eigendom van bedrijfsmiddelen Beëindiging of wijziging van verantwoordelijkheden van het dienstverband Registratie en afmelden van gebruikers Gebruikers toegang verlenen Beleidsregels voor informatiebeveiliging Beoordeling van het informatiebeveiligingsbeleid Beleid voor mobiele apparatuur Arbeidsvoorwaarden Directieverantwoordelijkheden Bewustzijn, opleiding en training Clear desk - en clear screen -beleid Beheersmaatregelen betreffende audits van informatiesystemen Onafhankelijke beoordeling van informatiebeveiliging Naleving van beveiligingsbeleid en -normen Beoordeling van technische naleving Analyse en specificatie van informatiebeveiligingseisen Beschikbaarheid van informatie verwerkende faciliteiten Bedrijfsmiddelen die samenhangen met informatie en informatie verwerkende faciliteiten behoren te worden geidentificeerd, en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden Bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, behoren een eigenaar te hebben Verantwoordelijkheden en taken met betrekking tot informatiebeveiliging die van kracht blijven na beëindiging of wijziging van het dienstverband behoren te worden gedefinieerd, gecommuniceerd aan de medewerker of contractant, en ten uitvoer gebracht Een formele registratie- en afmeldingsprocedure behoort te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken Een formele gebruikerstoegangsverleningsprocedure behoort te worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen Het beleid voor informatiebeveiliging behoort met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is Beleid en ondersteunende beveiligingsmaatregelen behoren te worden vastgesteld om de risico s die het gebruik van mobiele apparatuur met zich meebrengt te beheren De contractuele overeenkomst met medewerkers en contractanten behoort hun verantwoordelijkheden voor informatiebeveiliging en die van de organisatie te vermelden De directie behoort van alle medewerkers en contractanten te eisen dat ze informatiebeveiliging toepassen in overeenstemming met de vastgestelde beleidsregels en procedures van de organisatie Alle studenten/medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie Er behoort een clear desk -beleid voor papieren documenten en verwijderbare opslagmedia en een clear screen - beleid voor informatie verwerkende faciliteiten te worden ingesteld Auditeisen en -activiteiten die verificatie van uitvoeringssystemen met zich meebrengen, behoren zorgvuldig, te worden gepland en afgestemd om bedrijfsprocessen zo min mogelijk te verstoren De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan (bijv. beheersdoelstellingen, beheersmaatregelen, beleidsregels, processen en procedures voor informatiebeveiliging), behoren onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen te worden beoordeeld De directie behoort regelmatig de naleving van de informatieverwerking en -procedures binnen haar verantwoordelijkheidsgebied te beoordelen aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging Informatiesystemen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor informatiebeveiliging De eisen die verband houden met informatiebeveiliging behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen of voor uitbreidingen van bestaande informatiesystemen Informatie verwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen. IBPDOC29, versie 1.0 Pagina 17 van 25

18 Nr Risicobeschrijving Categorie ISO verwijzingen Maatregelen 32 Risico van ongeautoriseerde toegang tot KRD\cijferregistratie door onrechtmatig verkregen autorisaties met als gevolg examenfraude Examinering 33 Risico dat mentoren toegang hebben tot gegevens van niet eigen studenten door onvoldoende scheiding van netwerkrechten met als gevolg slechte traceerbaarheid bij cijfer manipulatie. 34 Het risico van Ddos aanvallen door studenten / ex medewerkers / derden van de instelling met als gevolg operationele verstoringen Beleid voor toegangsbeveiliging netwerken en netwerkdiensten Registratie en afmelden van gebruikers Gebruikers toegang verlenen Beheer van speciale toegangsrechten Beheer van geheime authenticatie informatie van gebruikers Beoordeling van toegangsrechten van gebruikers Toegangsrechten intrekken of aanpassen Examinering zie vorige zie vorige Beheersmaatregelen voor netwerken Beveiliging van netwerkdiensten Scheiding in netwerken Een beleid voor toegangsbeveiliging behoort te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfs- en informatiebeveiligingseisen Gebruikers behoren alleen toegang te krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn Een formele registratie- en afmeldingsprocedure behoort te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken Een formele gebruikerstoegangsverleningsprocedure behoort te worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerst Het toewijzen van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces Eigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen De toegangsrechten van alle medewerkers gebruikers voor informatie en informatie verwerkende faciliteiten behoren bij beëindiging van hun dienstverband, contract of overeenkomst te worden verwijderd, en bij wijzigingen behoren ze te worden aangepast Netwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen Beveiligingsmechanismen, dienstverleningsniveaus en beheerseisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten Groepen van informatiediensten, -gebruikers en -systemen behoren in netwerken te worden gescheiden. 35 Het risico dat IT systemen en niet voldoen aan het gewenste beveiligingsniveau door legacy en/of toenemende stroom van BYOD (smart phone, tablet, usb) met als gevolg reputatieschade, operationele verstoringen, financiële schade. 36 Het risico van stelen/vernieling van apparatuur door onvoldoende fysieke toegangsbeveiliging met als gevolg financiele schade Beleid voor mobiele apparatuur Beheersmaatregelen voor netwerken Beveiliging van netwerkdiensten Scheiding in netwerken Disciplinaire procedure Fysieke beveiligingszone Fysieke toegangsbeveiliging Kantoren, ruimte en faciliteiten beveiligen Werken in beveiligde gebieden Laad- en loslocatie Plaatsing en bescherming van apparatuur Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein Overige maatregelen buiten ISO 27002: 1. Redundantie van webserver en provider. Bij aanval op provider/webserver 1 kan webserver 1 en provider 1 worden afgesloten en het verkeer via webserver 2 en provider 2 met ander ip adres worden gereroute. (Uitzondering geldt voor DDOS aanval op DNS, er is dan geen ) 2. Periodiek uitvoeren van vulnerability scans uitvoeren op de om in vroeg stadium zwakheden te ontdekken Beleid en ondersteunende beveiligingsmaatregelen behoren te worden vastgesteld om de risico s die het gebruik van mobiele apparatuur met zich meebrengt te beheren Netwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen Beveiligingsmechanismen, dienstverleningsniveaus en beheerseisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten Groepen van informatiediensten, -gebruikers en -systemen behoren in netwerken te worden gescheiden Er behoort een formele en gecommuniceerde disciplinaire procedure te zijn om actie te ondernemen tegen medewerkers die een inbreuk hebben gepleegd op de informatiebeveiliging Beveiligingszones behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten Beveiligde gebieden behoren te worden beschermd door passende toegangsbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt Voor kantoren, ruimten en faciliteiten behoort fysieke beveiliging te worden ontworpen en toegepast Voor het werken in beveiligde gebieden behoren procedures te worden ontwikkeld en toegepast Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden, behoren te worden beheerst, en zo mogelijk te worden afgeschermd van informatie verwerkende faciliteiten om onbevoegde toegang te vermijden Apparatuur behoort zo te worden geplaatst en beschermd dat risico s van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind Bedrijfsmiddelen die zich buiten het terrein bevinden, behoren te worden beveiligd, waarbij rekening behoort te worden gehouden met de verschillende risico s van werken buiten het terrein van de organisatie. IBPDOC29, versie 1.0 Pagina 18 van 25

19 Nr Risicobeschrijving Categorie ISO verwijzingen Maatregelen 37 Het risico van een onbeheersbare IT omgeving door toenemend gebruik van SaaS diensten met als gevolg operationele verstoringen 38 Het risico van telefonische onbereikbaarheid (IPtelefonie) door falende technische infrastructuur met als gevolg operationele verstoringen. 39 Het risico van uitval van de IT-Infrastructuur door een gebrek aan redundante uitvoer met als gevolg operationele verstoringen 40 Het risico van verlies door ontbrekende/onjuiste backups met als gevolg operationele verstoringen 41 Het risico van verlies van personeelsgegevens door alleen papieren dossiers in simpele kast en geen digitale backup met als gevolg operationele verstoringen. 42 Het risico dat de communicatie tussen verschillende pakketten verstoord wordt door het aanpassen van een bronsysteem zonder overleg met als gevolg dat de integriteit van de gegevens in gevaar komt. 43 Het risico dat de restore van een backup niet slaagt doordat er geen periodieke restore wordt uitgevoerd als test met als gevolg gegevensverlies. 44 Het risico dat de instelling illegale software gebruikt door een niet-optimaal licentiebeleid met als gevolg boetes Informatiebeveiligingsbeleid voor leveranciersrelaties Opnemen van beveiligingsaspecten in leveranciersovereenkomsten Toeleveringsketen van informatie- en communicatietechnologie Monitoring en beoordeling van dienstverlening van leveranciers Beheer van veranderingen in dienstverlening van leveranciers Beschikbaarheid van informatie verwerkende faciliteiten Beschikbaarheid van informatie verwerkende faciliteiten Met de leverancier behoren de informatiebeveiligingseisen om risico s te verlagen die verband houden met de toegang van de leverancier tot de bedrijfsmiddelen van de organisatie, te worden overeengekomen en gedocumenteerd Alle relevante informatiebeveiligingseisen behoren te worden vastgesteld en overeengekomen met elke leverancier die toegang heeft tot IT-infrastructuurelementen ten behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt Overeenkomsten met leveranciers behoren eisen te bevatten die betrekking hebben op de informatiebeveiligingsrisico s in verband met de toeleveringsketen van de diensten en producten op het gebied van informatie- en communicatietechnologie Organisaties behoren regelmatig de dienstverlening van leveranciers te monitoren, te beoordelen en te auditen Veranderingen in de dienstverlening van leveranciers, met inbegrip van handhaving en verbetering van bestaande beleidslijnen, procedures en beheersmaatregelen voor informatiebeveiliging, behoren te worden, beheerd, rekening houdend met de kritikaliteit van bedrijfsinformatie, betrokken systemen en processen en herbeoordeling van risico s Informatie verwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen Informatie verwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen Back-up van informatie Regelmatig behoren back-upkopieën van informatie, software en systeemafbeeldingen te worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid Back-up van informatie Regelmatig behoren back-upkopieën van informatie, software en systeemafbeeldingen te worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid Wijzigingsbeheer Scheiding van ontwikkel-, test- en productieomgevingen Beleid voor beveiligd ontwikkelen Procedures voor wijzigingsbeheer met betrekking tot systemen Technische beoordeling van toepassingen na wijzigingen besturingsplatform Beperkingen op wijzigingen aan softwarepakketten Beveiligde ontwikkelomgeving Uitbestede softwareontwikkeling Testen van systeembeveiliging Systeemacceptatietests Veranderingen in de organisatie, bedrijfsprocessen, informatie verwerkende faciliteiten en systemen die van invloed zijn op de informatiebeveiliging behoren te worden beheerst Ontwikkel-, test- en productieomgevingen behoren te worden gescheiden om het risico van onbevoegde toegang tot of veranderingen aan de productieomgeving te verlagen Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer Als besturingsplatforms zijn veranderd, behoren bedrijf kritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact is op de activiteiten of de beveiliging van de organisatie Wijzigingen aan softwarepakketten behoren te worden ontraden, beperkt tot noodzakelijke veranderingen en alle veranderingen behoren strikt te worden gecontroleerd Organisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie, die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling Uitbestede systeemontwikkeling behoort onder supervisie te staan van en te worden gemonitord door de organisatie Tijdens ontwikkelactiviteiten behoort de beveiligingsfunctionaliteit te worden getest Voor nieuwe informatiesystemen, upgrades en nieuwe versies behoren programma s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld Back-up van informatie Regelmatig behoren back-upkopieën van informatie, software en systeemafbeeldingen te worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid Beperkingen voor het installeren van software Voor het door gebruikers installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd. IBPDOC29, versie 1.0 Pagina 19 van 25

20 Nr Risicobeschrijving Categorie ISO verwijzingen Maatregelen 45 Het risico van te grote responstijden bij incidenten door nalatig incidentmanagement met als gevolg ontevredenheid bij eindgebruikers en wantrouwen. 46 Het risico van niet-relevante ICT-inkoop door niet afstemmen van vraag en aanbod met als gevolg financieel verlies. 47 Het risico van onderbezetting servicedesk door toename omvang aantal applicaties met als gevolg teruglopend niveau van dienstverlening en ontevreden gebruikers. 48 Het risico van versnippering van IT-beheer door applicatie georiënteerd beheer of lokaal georiënteerd beheer met als gevolg een overall IT-beheer met weinig samenhang en inefficiënt IT-beheer. 49 Het risico van bedrijfsschade door onvoldoende kennisborging bij de IT-beheerprocessen met als gevolg dat identieke (IT)verstoringen van bedrijfsprocessen zich steeds blijven herhalen tegen oplopende kosten. 50 Het risico van backup-uitval door gebrek aan monitoring met als gevolg moeizame tot onmogelijke recovery. 51 Het risico van oververhitting van het center door falende koeling en gebrekkig monitoren met als gevolg uitval van het center. 52 Het risico dat uitgeleende apparatuur niet ingeleverd wordt door onvoldoende monitoring met als gevolg dat de apparatuur zoek raakt, dus kapitaal vernietigd wordt. 53 Het risico dat een leverancier/producent failliet gaat door het ontbreken van ecscrow afspraken met als gevolg onderbreken continuïteit van de organisatie. 54 Risico van uitval van de SAN door leeftijd SAN en opgezegd onderhoudscontract Dell met als gevolg continuiteitverlies en verlies. 55 Het risico op instabiliteit van de ICT-infrastructuur door het niet op tijd vervangen van verouderde servers met als gevolg dat systemen niet beschikbaar zijn. 56 Het risico dat er te veel applicaties aan de kernsystemen gekoppeld zijn door onvoldoende ontwikkelmogelijkheden binnen de kernsystemen met als gevolg beheerissues Verantwoordelijkheden en procedures Rapportage van (informatiebeveiligings) gebeurtenissen Rapportage van zwakke plekken in de informatiebeveiliging Beoordeling van en besluitvorming over (informatiebeveiligings)gebeurtenissen Respons op informatiebeveiligingsincidenten Lering uit informatiebeveiligingsincidenten nvt nvt nvt nvt Directieverantwoordelijkheden en -procedures behoren te worden vastgesteld om een snelle, doeltreffende en ordelijke respons op (informatiebeveiligings)incidenten te bewerkstelligen Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd Van medewerkers en contractanten die gebruikmaken van de informatiesystemen en -diensten van de organisatie behoort te worden geëist dat zij de in systemen of diensten waargenomen of vermeende zwakke plekken in de informatiebeveiliging registreren en rapporteren Informatiebeveiligingsgebeurtenissen behoren te worden beoordeeld en er behoort te worden geoordeeld of zij moeten worden geclassificeerd als informatiebeveiligingsincidenten Op informatiebeveiligingsincidenten behoort te worden gereageerd in overeenstemming met de gedocumenteerde procedures Kennis die is verkregen door informatiebeveiligingsincidenten te analyseren en op te lossen behoort te worden gebruikt om de waarschijnlijkheid of impact van toekomstige incidenten te verkleinen. 1. Vaststellen functionele en technische requirements. 2. Opstellen business case inclusief leveranciersanalyse. 3. Goedkeuring door manager ICT en verantwoordelijk directielid voor aankoop op basis van businesscase. 1. Personeelsplanning. 2. Perdiodieke herbeoordeling applicatielandschap. 1. Beschrijven specifieke taken en verantwoordelijkheden. 2. Periodieke herbeoordeling IT beheer en aanpassingen doorvoeren waar nodig. 1. Opzetten trainingsprogramma's gekoppeld aan het functieprofiel van de medewerkers. 2. Documenteren best-practice werkinstructies. 3. Kwaliteitscontrole (juistheid, volledigheid, tijdigheid) uitvoeren voorafgaand aan communicatie van best-practice Back-up van informatie Regelmatig behoren back-upkopieën van informatie, software en systeemafbeeldingen te worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid Nutsvoorzieningen Onderhoud van apparatuur Inventariseren van bedrijfsmiddelen Eigendom van bedrijfsmiddelen Teruggeven van bedrijfsmiddelen Monitoring en beoordeling dienstverlening van leveranciers Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen Apparatuur behoort correct te worden onderhouden om de continue beschikbaarheid en integriteit ervan te waarborgen Bedrijfsmiddelen die samenhangen met informatie en informatie verwerkende faciliteiten behoren te worden geidentificeerd, en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden Bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, behoren een eigenaar te hebben Alle medewerkers gebruikers behoren alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben bij beëindiging van hun dienstverband, contract of overeenkomst terug te geven Organisaties behoren regelmatig de dienstverlening van leveranciers te monitoren, te beoordelen en te auditen Onderhoud van apparatuur Apparatuur behoort correct te worden onderhouden om de continue beschikbaarheid en integriteit ervan te waarborgen Onderhoud van apparatuur Apparatuur behoort correct te worden onderhouden om de continue beschikbaarheid en integriteit ervan te waarborgen. nvt 1.Functionele eisen specificeren in selectietraject. 2.Eisen met betrekking tot interfacing opnemen in selectie traject. 3. Servicecontracten afsluiten voor maatwerk ontwikkelingen IBPDOC29, versie 1.0 Pagina 20 van 25

Handleiding Risico management

Handleiding Risico management Handleiding Risico management IBPDOC29 Verantwoording Opdrachtgever Kennisnet / sambo-ict Dit document is geschreven voor IT managers, IT security officers, Information officers binnen de MBO sector. Dit

Nadere informatie

Handleiding Risicomanagement

Handleiding Risicomanagement Handleiding Risicomanagement IBPDOC29 Verantwoording Opdrachtgever Kennisnet / sambo-ict Dit document is geschreven voor IT managers, IT security officers, Information officers binnen de MBO sector. Dit

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

MBO toetsingskader Informatiebeveiliging Handboek MBOaudit

MBO toetsingskader Informatiebeveiliging Handboek MBOaudit MBO toetsingskader Informatiebeveiliging Handboek MBOaudit IBBDOC3+ Toelichting Kenmerkend voor het vakgebied auditing is dat een onderzoek plaatsvindt ten opzichte van een eerder opgesteld en afgestemd

Nadere informatie

Normenkader Informatiebeveiliging MBO

Normenkader Informatiebeveiliging MBO Normenkader Informatiebeveiliging MBO IBBDOC2 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Met dank aan: Maturity Werkgroep SURFibo: Hans Alfons (Vrije Universiteit) Ludo

Nadere informatie

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen.

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen. FUNCTIEPROFIEL Opdrachtgever: Functienaam: BKR Compliance Officer Security & Risk BKR is een onafhankelijke stichting met een maatschappelijk doel. BKR streeft sinds 1965, zonder winstoogmerk, een financieel

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

De maatregelen in de komende NEN Beer Franken

De maatregelen in de komende NEN Beer Franken De maatregelen in de komende NEN 7510 Beer Franken Twee delen in komende NEN 7510 Deel 1: het infosec management system (ISMS) hoofdstuk 4 in huidige NEN 7510 Deel 2: de maatregelen hoofdstukken 5 t/m

Nadere informatie

Informatiebeveiliging als proces

Informatiebeveiliging als proces Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Informatiebeveiliging: Hoe voorkomen we issues?

Informatiebeveiliging: Hoe voorkomen we issues? Informatiebeveiliging: Hoe voorkomen we issues? Workshop C Remco de Boer (Kennisnet) Ludo Cuijpers (MBO Taskforce IBB) Inhoud 1. Voorstelronde 2. Over uw rol 3. Maatregelen 4. De diepte in Voorstelronde

Nadere informatie

Normenkader Informatiebeveiliging HO 2015

Normenkader Informatiebeveiliging HO 2015 Gebaseerd op ISO 27002:2013 Auteur(s): Alf Moens Versie: 1.4 Datum: Status: 5 mei 2015 Vastgesteld door stuurgroep Informatiebeveiliging en Privacy op 30 maart 2015 Moreelsepark 48 3511 EP Utrecht Postbus

Nadere informatie

Generieke systeemeisen

Generieke systeemeisen Bijlage Generieke Systeem in kader van LAT-RB, versie 27 maart 2012 Generieke systeem NTA 8620 BRZO (VBS elementen) Arbowet Bevb / NTA 8000 OHSAS 18001 ISO 14001 Compliance competence checklist 1. Algemene

Nadere informatie

WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN.

WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN. WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN. COMPLIANCE RADAR De Compliance Radar helpt gemeenten een brug te slaan tussen beleidsdoelstellingen en uitvoering. Door

Nadere informatie

Uitbestedingsbeleid Stichting Pensioenfonds NIBC

Uitbestedingsbeleid Stichting Pensioenfonds NIBC Uitbestedingsbeleid Stichting Pensioenfonds NIBC Vastgesteld 11 november 2016 Artikel 1 Doel van het uitbestedingsbeleid 1.1 Het bestuur streeft de doelstellingen van het pensioenfonds na met betrekking

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

DOORSTAAT UW RISICOMANAGEMENT DE APK?

DOORSTAAT UW RISICOMANAGEMENT DE APK? WHITEPAPER DOORSTAAT UW RISICOMANAGEMENT DE APK? DOOR M. HOOGERWERF, SENIOR BUSINESS CONS ULTANT Risicomanagement is tegenwoordig een belangrijk onderdeel van uw bedrijfsvoering. Dagelijks wordt er aandacht

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Introductie OHSAS 18001

Introductie OHSAS 18001 Introductie OHSAS 18001 OHSAS 18001 -in het kort OHSAS 18001 is een norm voor een managementsysteem die de veiligheid en gezondheid in en rondom de organisatie waarborgt. OHSAS staat voor Occupational

Nadere informatie

Risk & Compliance Charter Clavis Family Office B.V.

Risk & Compliance Charter Clavis Family Office B.V. Risk & Compliance Charter Clavis Family Office B.V. Datum: 15 april 2013 Versie 1.0 1. Inleiding Het Risk & Compliance Charter (charter) bevat de uitgeschreven principes, doelstellingen en bevoegdheden

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!! Tom Veerman! Triple A Risk Finance B.V.! 1! Programma! Solvency II stand

Nadere informatie

Normenkader Informatiebeveiliging MBO

Normenkader Informatiebeveiliging MBO Normenkader Informatiebeveiliging MBO IBPDOC2A Verantwoording Bron: Normenkader Informatiebeveiliging HO 2015 Gebaseerd op ISO 27002:2013 Stichting SURF April 2015 Met dank aan: Maturity Werkgroep SURFibo:

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE. Bijlage 04 Kwaliteitsborging en auditing

GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE. Bijlage 04 Kwaliteitsborging en auditing GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE Bijlage 04 Kwaliteitsborging en auditing Inhoud 1 Inleiding 3 2 Aantonen kwaliteitsborging van de dienstverlening 4 3 Auditing 5 3.1 Wanneer toepassen

Nadere informatie

Nulmeting regionale brandweer Zuidoost-Brabant taakinhoudelijk deel (taakvervulling volgens PVPP)

Nulmeting regionale brandweer Zuidoost-Brabant taakinhoudelijk deel (taakvervulling volgens PVPP) Nulmeting regionale brandweer Zuidoost-Brabant taakinhoudelijk deel (taakvervulling volgens PVPP) versie november 2002 Gemeente: Ingevuld 1 door + functie: Telefoon: email: Definitie pro-actie: Pro-actie

Nadere informatie

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland OVER OOSTZAAN Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland WORMERLAND. GESCAND OP 13 SEP. 2013 Gemeente Oostzaan Datum : Aan: Raadsleden gemeente Oostzaan Uw BSN : - Uw brief van :

Nadere informatie

Compliance Charter. a.s.r

Compliance Charter. a.s.r Compliance Charter a.s.r Status: definitief Versie: 4.0 Datum opgesteld: 19 september 2013 Goedgekeurd door: Raad van Bestuur op 29 november 2013 Goedgekeurd door: Audit & Risicocommissie op 9 december

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

ISA 610, GEBRUIKMAKEN VAN DE WERKZAAMHEDEN VAN INTERNE AUDITORS

ISA 610, GEBRUIKMAKEN VAN DE WERKZAAMHEDEN VAN INTERNE AUDITORS INTERNATIONAL STANDARD ON AUDITING (ISA) ISA 610, GEBRUIKMAKEN VAN DE WERKZAAMHEDEN VAN INTERNE AUDITORS Deze Internationale controlestandaard (ISA) werd in 2009 in de Engelse taal gepubliceerd door de

Nadere informatie

Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V.

Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V. Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V. Een kwaliteitsmanagementsysteem helpt bij de beheersing van risico s Want

Nadere informatie

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw OPERATIONEEL RISKMANAGEMENT Groningen, maart 2016 Wim Pauw Risicomanagement Risicomanagement is steeds meer een actueel thema voor financiële beleidsbepalers, maar zij worstelen vaak met de bijbehorende

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...

Nadere informatie

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015

Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 ISO Revisions Nieuw en herzien Vergelijking van de eisen in ISO 9001:2008 met die in ISO FDIS 9001:2015 Inleiding Dit document maakt een vergelijking tussen ISO 9001:2008 en de Final Draft International

Nadere informatie

Energiemanagement Actieplan

Energiemanagement Actieplan 1 van 8 Energiemanagement Actieplan Datum 18 04 2013 Rapportnr Opgesteld door Gedistribueerd aan A. van de Wetering & H. Buuts 1x Directie 1x KAM Coördinator 1x Handboek CO₂ Prestatieladder 1 2 van 8 INHOUDSOPGAVE

Nadere informatie

Functieprofiel: Manager Functiecode: 0202

Functieprofiel: Manager Functiecode: 0202 Functieprofiel: Manager Functiecode: 0202 Doel Zorgdragen voor de vorming van beleid voor de eigen functionele discipline, alsmede zorgdragen voor de organisatorische en personele aansturing van een of

Nadere informatie

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Mike de Bruijn roduct Owner Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement

Nadere informatie

1. FORMAT PLAN VAN AANPAK

1. FORMAT PLAN VAN AANPAK INHOUDSOPGAVE 1. FORMAT PLAN VAN AANPAK 1.1. Op weg naar een kwaliteitsmanagementsysteem 1.2. Besluit tot realisatie van een kwaliteitsmanagementsysteem (KMS) 1.3. Vaststellen van meerjarenbeleid en SMART

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

Toetsingskader Informatiebeveiliging cluster 1 t/m 6

Toetsingskader Informatiebeveiliging cluster 1 t/m 6 Toetsingskader Informatiebeveiliging cluster 1 t/m 6 IBPDOC3 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Met dank aan: Maturity Werkgroep SURFibo: Hans Alfons (Vrije Universiteit)

Nadere informatie

Energiemanagementprogramma HEVO B.V.

Energiemanagementprogramma HEVO B.V. Energiemanagementprogramma HEVO B.V. Opdrachtgever HEVO B.V. Project CO2 prestatieladder Datum 7 december 2010 Referentie 1000110-0154.3.0 Auteur mevrouw ir. C.D. Koolen Niets uit deze uitgave mag zonder

Nadere informatie

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom Gemeente 's-hertogenbosch Definitief s-hertogenbosch, 30-10-2015 A. Kieboom 1 Projectidentificatie Projectnaam: Status: Beleid Informatieveiligheid Definitief Documenthistorie Status Datum Versie Auteur(s)

Nadere informatie

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan.

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan. ISO 9001:2015 ISO 9001:2008 Toelichting van de verschillen. 1 Scope 1 Scope 1.1 Algemeen 4 Context van de organisatie 4 Kwaliteitsmanagementsysteem 4.1 Inzicht in de organisatie en haar context. 4 Kwaliteitsmanagementsysteem

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Doen of laten? Een dag zonder risico s is een dag niet geleefd

Doen of laten? Een dag zonder risico s is een dag niet geleefd Doen of laten? Een dag zonder risico s is een dag niet geleefd Wie, wat en hoe Eric Lopes Cardozo & Rik Jan van Hulst sturen naar succes Doel Delen van inzichten voor praktisch operationeel risico management

Nadere informatie

Compliance Charter. Pensioenfonds NIBC

Compliance Charter. Pensioenfonds NIBC Compliance Charter Pensioenfonds NIBC Vastgesteld in bestuursvergadering 9 december 2016 Inleiding Pensioenfonds NIBC voert de pensioenregeling van NIBC Bank N.V. uit. Het pensioenfonds is een stichting

Nadere informatie

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie)

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) 1) Welke documenten registraties zijn vereist? De onderstaande lijst toont de minimale set van documenten en registraties

Nadere informatie

Gemeente Alphen aan den Rijn

Gemeente Alphen aan den Rijn Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid

Nadere informatie

Hoofdstuk 2 Beleid en doelstellingen / directieverantwoordelijkheid

Hoofdstuk 2 Beleid en doelstellingen / directieverantwoordelijkheid Hoofdstuk 2 Beleid en doelstellingen / directieverantwoordelijkheid 2.1 KAM beleidsverklaring De directie van Axent Groen BV onderschrijft het volgende KAM-beleid: Het beleid is er op gericht te willen

Nadere informatie

Energie management Actieplan

Energie management Actieplan Energie management Actieplan Conform niveau 3 op de CO 2 -prestatieladder 2.2 Auteur: Mariëlle de Gans - Hekman Datum: 30 september 2015 Versie: 1.0 Status: Concept Inhoudsopgave 1 Inleiding... 2 2 Doelstellingen...

Nadere informatie

Projectmanagement De rol van een stuurgroep

Projectmanagement De rol van een stuurgroep Projectmanagement De rol van een stuurgroep Inleiding Projecten worden veelal gekenmerkt door een relatief standaard projectstructuur van een stuurgroep, projectgroep en enkele werkgroepen. De stuurgroep

Nadere informatie

Security in systemen en netwerken 1

Security in systemen en netwerken 1 Keuzedeel mbo Security in systemen en netwerken 1 behorend bij één of meerdere kwalificaties mbo Op dit moment is een wijziging van de WEB in voorbereiding waarmee de positie van keuzedelen in de kwalificatiestructuur

Nadere informatie

Energie Management Programma. InTraffic

Energie Management Programma. InTraffic Energie Management Programma InTraffic Wijzigingsblad Versie Datum Auteur Wijzigingen 0.1 17/2/2012 Marije de Vreeze Opzet structuur 0.2 13/3/2012 Marije de Vreeze Gegevens 0.3 5/4/2012 Dirk Bijkerk Input

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit

Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit Beheer kan efficiënter en met hogere kwaliteit Leveranciers van beheertools en organisaties die IT-beheer uitvoeren prijzen

Nadere informatie

BARRIER DENKEN, BARRIER DOEN! PRAGMATISCH EN PROAC TIEVE RISICOANALYSE DOOR MARTIN HOOGERWERF, SENIOR BUSINESS CONSULTANT

BARRIER DENKEN, BARRIER DOEN! PRAGMATISCH EN PROAC TIEVE RISICOANALYSE DOOR MARTIN HOOGERWERF, SENIOR BUSINESS CONSULTANT WHITEPAPER BARRIER DENKEN, BARRIER DOEN! PRAGMATISCH EN PROAC TIEVE RISICOANALYSE DOOR MARTIN HOOGERWERF, SENIOR BUSINESS CONSULTANT RISICOMANAGEMENT IN BALANS Ondernemen betekent risico s nemen om de

Nadere informatie

Functieprofiel Functioneel Beheerder Functieprofiel titel Functiecode 00

Functieprofiel Functioneel Beheerder Functieprofiel titel Functiecode 00 Functieprofiel Functioneel Beheerder Functieprofiel titel Functiecode 00 Doel Zorgdragen voor adequaat beheer en onderhoud van systemen en applicaties, voor tijdige en effectieve ondersteuning van en kennisontwikkeling

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Energie Management Actieplan

Energie Management Actieplan Tijssens Electrotechniek B.V. De Boelakkers 25 5591 RA Heeze Energie Management Actieplan 2015 Status: definitief versie 1.0 Datum: november 2015 Datum gewijzigd: n.v.t. Auteur: U.Dorstijn Pagina 1 Inhoud

Nadere informatie

Geen ISO zonder pragmatiek! Implementeren van een ISMS, niets nieuws.

Geen ISO zonder pragmatiek! Implementeren van een ISMS, niets nieuws. Geen ISO 27001 zonder pragmatiek! Implementeren van een ISMS, niets nieuws. Agenda Introductie Beveiligingsproces Framework (ISO 27001) IB organisatie en processen ISMS informatiesysteem Lessons learned

Nadere informatie

Interne audits, het rendement

Interne audits, het rendement Interne audits, het rendement HKZ Kwaliteitsdag Olav Kloek 8 april 2014 SAFER, SMARTER, GREENER Strategie van de organisatie Herontwerp van organisaties, door: Nieuw financieringsstelsel Zelfsturende/zelfregulerende

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Het BiSL-model. Een whitepaper van The Lifecycle Company

Het BiSL-model. Een whitepaper van The Lifecycle Company Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte

Nadere informatie

RISICOMANAGEMENT. Wat voegt risicomanagement toe?

RISICOMANAGEMENT. Wat voegt risicomanagement toe? RISICOMANAGEMENT Risicomanagement ondersteunt op een gestructureerde manier het behalen van doelstellingen en het opleveren van projectresultaten. Dit kan door risico s expliciet te maken, beheersmaatregelen

Nadere informatie

Stichting Achmea Algemeen Pensioenfonds

Stichting Achmea Algemeen Pensioenfonds Stichting Achmea Algemeen Pensioenfonds Profielschets risicomanager Datum: 25 juli 2016 vergunning van De Nederlandsche Bank voor het uitoefenen van het bedrijf van algemeen pensioenfonds als bedoeld in

Nadere informatie

Informatiebeveiligingsbeleid 2015-2018

Informatiebeveiligingsbeleid 2015-2018 Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen

Nadere informatie

ENERGIEMANAGEMENT ACTIEPLAN. 3 oktober 2013

ENERGIEMANAGEMENT ACTIEPLAN. 3 oktober 2013 ENERGIEMANAGEMENT ACTIEPLAN code: B1308 3 oktober 2013 datum: 3 oktober 2013 referentie: lak code: B1308 blad: 3/8 Inhoudsopgave 1. Inleiding 4 2. Onderdelen van het energiemanagement actieplan 5 2.1

Nadere informatie

6.6 Management en informatiebeveiliging in synergie

6.6 Management en informatiebeveiliging in synergie 6.6 Management en informatiebeveiliging in synergie In veel organisaties ziet men dat informatiebeveiliging, fysieke beveiliging en fraudemanagement organisatorisch op verschillende afdelingen is belegd.

Nadere informatie

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved. 1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?

Nadere informatie

Aan welke eisen moet het beveiligingsplan voldoen?

Aan welke eisen moet het beveiligingsplan voldoen? Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN INHOUDSOPGAVE Paragrafen Inleiding... 1-4 Reikwijdte en doelstellingen van de interne audit... 5 Verhouding

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern

Nadere informatie

Overzicht van taken en competenties. Demandmanager-rol

Overzicht van taken en competenties. Demandmanager-rol Overzicht van taken en competenties Demandmanager-rol Inhoudsopgave 1 Taakomschrijving... 2 1.1 AA-1 Goedkeuren/beoordelen opdracht, verzoek, e.d.... 2 1.2 AA-7 Evalueren opdracht... 2 1.3 CA-1 Onderhouden

Nadere informatie

Functioneel Applicatie Beheer

Functioneel Applicatie Beheer Functioneel Applicatie Beheer Functioneel Applicatie Beheer Goed functioneel beheer werkt als smeerolie voor uw organisatie en zorgt voor een optimale aansluiting van de informatievoorziening op de primaire

Nadere informatie

Functieprofiel: Ondersteuner ICT Functiecode: 0405

Functieprofiel: Ondersteuner ICT Functiecode: 0405 Functieprofiel: Ondersteuner ICT Functiecode: 0405 Doel Registreren en (laten) oplossen van vragen en storingen van ICT-gebruikers binnen de richtlijnen van de afdeling, teneinde bij te dragen aan efficiënt

Nadere informatie

CO2 prestatieladder Energie management plan

CO2 prestatieladder Energie management plan CO2 prestatieladder Versie: Definitief Datum: februari 2015 Eis: 2.C.3 Westgaag 42b - 3155 DG Maasland Postbus 285-3140 AG Maassluis Telefoon: 010-5922888 Fax: 010-5918621 E-mail: info@kroes.org Versie:

Nadere informatie

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth De taak van de raad onder het dualisme Kaders stellen (WMO, Jeugdwet, handhaving) Budgetteren (begroting) Lokale wetgeving

Nadere informatie

Grip op fiscale risico s

Grip op fiscale risico s Grip op fiscale risico s Wat is een Tax Control Framework? Een Tax Control Framework (TCF) is een instrument van interne beheersing, specifiek gericht op de fiscale functie binnen een organisatie. Een

Nadere informatie

Hoofdlijnen Corporate Governance Structuur

Hoofdlijnen Corporate Governance Structuur Hoofdlijnen Corporate Governance Structuur 1. Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe een

Nadere informatie

Strategisch Risicomanagement

Strategisch Risicomanagement Commitment without understanding is a liability Strategisch Risicomanagement Auteur Drs. Carla van der Weerdt RA Accent Organisatie Advies Effectief en efficiënt risicomanagement op bestuursniveau Risicomanagement

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

ISMS (Information Security Management System)

ISMS (Information Security Management System) ISMS (Information Security Management System) File transfer policy: richtlijnen voor uitwisseling van bestanden en documenten tussen openbare instellingen van de sociale zekerheid (OISZ) en geautoriseerde

Nadere informatie

Wij leggen rekenschap af over:

Wij leggen rekenschap af over: VRAGEN Het afleggen van rekenschap. ANTWOORDEN TOELICHTING / VOORBEELDEN VRAAG 1. Onze organisatie legt rekenschap af over onze effecten op de maatschappij, de economie en het milieu. Welke activiteiten

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Verbeterplan Suwinet

Verbeterplan Suwinet Verbeterplan Suwinet Inhoudsopgave 1. Aanleiding... 3 2. Verbeterpunten Suwinet... 4 2.1 Informatiebeveiligingsbeleid... 4 2.2 Uitdragen van het beleid... 4 2.3 Functiescheiding... 4 2.4 Security Officer...

Nadere informatie

Risicomanagement en NARIS gemeente Amsterdam

Risicomanagement en NARIS gemeente Amsterdam Risicomanagement en NARIS gemeente Amsterdam Robert t Hart / Geert Haisma 26 september 2013 r.hart@risicomanagement.nl / haisma@risicomanagement.nl 1www.risicomanagement.nl Visie risicomanagement Gemeenten

Nadere informatie

1 Dienstbeschrijving all-in beheer

1 Dienstbeschrijving all-in beheer 1 Dienstbeschrijving all-in beheer De all-in beheer overeenkomst van Lancom is modulair opgebouwd. U kunt bij Lancom terecht voor deelgebieden zoals helpdesk ondersteuning of backup, maar ook voor totale

Nadere informatie

Informatieveiligheid, de praktische aanpak

Informatieveiligheid, de praktische aanpak Informatieveiligheid, de praktische aanpak Wie ben ik? Frederik Baert Domeinverantwoordelijke Informatieveiligheid Domeinverantwoordelijke Infrastructuur & Connectiviteit @ V-ICT-OR V-ICT-OR cvba Dienstenorganisatie

Nadere informatie

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo notities Versie: versie datum Onderwerp Aan CC Van Hans Wolters 29 januari 2016 c-n-hawo-0004-20160129 HaWo 1. Leveringsvoorwaarden 1.1. Algemene gegevens ISC Het ICT Servicecentrum (ISC) is voor de Radboud

Nadere informatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie DIENST Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie Advies over en ondersteuning bij het initieel inrichten/optimaliseren

Nadere informatie

Energie Kwailteitsmanagement systeem

Energie Kwailteitsmanagement systeem Energie Kwailteitsmanagement systeem (4.A.2) Colofon: Opgesteld : drs. M.J.C.H. de Ruijter paraaf: Gecontroleerd : W. van Houten paraaf: Vrijgegeven : W. van Houten paraaf: Datum : 1 april 2012 Energie

Nadere informatie

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012 Functioneel (informatie) beheerder Doel Zorgdragen voor het inrichten, aanpassen, vernieuwen en onderhouden van de informatievoorziening (processen, procedures en/of systemen), passend binnen het informatiebeleid

Nadere informatie

Service Niveau Overeenkomst Digikoppeling

Service Niveau Overeenkomst Digikoppeling Service Niveau Overeenkomst Digikoppeling Versie 1.3 Datum 26 mei 2015 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl

Nadere informatie

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 Stichting Pensioenfonds Wolters Kluwer Nederland Compliance program Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 1 Inleiding In dit Compliance Program is de inrichting van de

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

HKZ-norm voor ketens en netwerken in de zorg en het sociale domein versie 2015

HKZ-norm voor ketens en netwerken in de zorg en het sociale domein versie 2015 HKZ-norm voor ketens en netwerken in de zorg en het sociale domein versie 2015 Versiebeheer Datum Activiteit Versie 27 februari Niveau 2 losgekoppeld van overige niveaus 0.1 5 maart 2015 Input projectoverleg

Nadere informatie