SAMENHANG BEHEERPROCESSEN EN INFORMATIEBEVEILIGING

Maat: px
Weergave met pagina beginnen:

Download "SAMENHANG BEHEERPROCESSEN EN INFORMATIEBEVEILIGING"

Transcriptie

1 SAMENHANG BEHEERPROCESSEN EN INFORMATIEBEVEILIGING Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

2 Colofon Naam document Samenhang beheerprocessen en informatiebeveiliging Versienummer 1.02 Versiedatum Augustus 2016 Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Copyright Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. KING wordt als bron vermeld; 2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. Publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door KING; 4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling. Rechten en vrijwaring KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. Met dank aan De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product. Wijzigingshistorie: versie datum Opmerkingen Initiële versie Kleine tekstuele aanpassingen Tekstuele aanpassingen en links hersteld 2

3 Voorwoord De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING). De IBD is de sectorale CERT / CSIRT voor alle Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. De IBD is voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De IBD beheert de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en geeft regelmatig kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere overheidslagen, met vitale sectoren en met leveranciers. De IBD heeft de volgende doelen: 1. het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 3. het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het ICT-Beveiligingsassessment DigiD is een voorbeeld van een dergelijk project. 4. het faciliteren van kennisdeling tussen gemeenten op het vlak van informatiebeveiliging. Hoe realiseert de IBD haar doelen? Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de website en community van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie in control is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische en Tactische Baseline te ondersteunen, zijn door de IBD in samenwerking met de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) producten ontwikkeld op operationeel niveau. Dit heeft een productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten. Onderhavig product is er één van. Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld. Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website van de IBD De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de regels. Hierbij geldt: - Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: BRP, SUWI, BAG, PUN en Wbp, maar ook de archiefwet. - Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). - De gemeente stelt dit normenkader vast, waarbij er ruimte is in de naleving van dat kader voor afweging en prioritering op basis van het pas toe of leg uit principe. 3

4 Leeswijzer Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Doel Het beschrijven van de samenhang tussen de beheerprocessen die in de BIG zijn beschreven, zodat de diverse beheerprocessen naadloos op elkaar aansluiten. Dit document geeft tevens inzicht in welke informatie als invoer wordt gebruikt voor de diverse beheerprocessen en welke beheerprocessen deze informatie dienen te leveren. Voor een gedetailleerde beschrijving van de afzonderlijke beheerprocessen wordt verwezen naar de afzonderlijke operationele producten van de BIG. Doelgroep Dit document is van belang voor de systeemeigenaren, technisch-, applicatiebeheerders en de ICTafdeling. Relatie met overige producten Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) o Strategische variant van de Baseline Informatiebeveiliging voor Gemeenten o Tactische variant van de Baseline Informatiebeveiliging voor Gemeenten Informatiebeveiligingsbeleid van de gemeente Managementsysteem voor informatiebeveiliging/information Security Management Systeem (ISMS) Baselinetoets BIG Diepgaande risicoanalyse GAP- en impactanalyse Incidenmanagement en responsebeleid Basis procedure configuratiebeheer Basis procedure wijzigingsbeheer Patchmanagement Hardening Business Continuity Management (BCM) Basis beveiligingsparagraaf Service Level Agreement (SLA) Uitbesteding ICT-diensten 4

5 Inhoud 1 Inleiding Procesgerichte aanpak Aanwijzing voor gebruik 7 2 Beheerprocessen en de BIG ISMS en PDCA Risicomanagement Incidentbeheer Patchmanagement Hardening Wijzigingsbeheer Configuratiebeheer Bedrijfscontinuïteitsbeheer Totaaloverzicht 24 Bijlage 1: Matching Incident Prioritering en Alarmfasen 26 Bijlage 2: Definities 28 Bijlage 3: Literatuur/bronnen 30 5

6 1 Inleiding De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) heeft maatregelen beschreven die te maken hebben met diverse beheerprocessen. Voor de beheerprocessen die in dit document worden behandeld zijn afzonderlijke operationele BIG-producten opgeleverd. Dit document bevat geen handreikingen of aanvullend beleid met betrekking tot het gebruik en implementatie van de afzonderlijke beheerprocessen. Doel Het doel van dit document is het verkrijgen van inzicht in de relatie, de logische samenhang, tussen de beheerprocessen die relevant zijn voor de BIG. 1.1 Procesgerichte aanpak Beheer wordt over het algemeen ingericht volgens een procesgerichte aanpak, Information Technology Infrastructure Library (ITIL) is daar een voorbeeld van. In figuur 1 wordt hiervoor het gehanteerde model weergegeven. Beheerprocessen zijn opgebouwd uit activiteiten die zijn onder te verdelen in: plannen, implementeren, evalueren en onderhouden. Dit is beter bekend als de Plan-Do-Check-Act (PDCA)-cyclus. Ieder beheerproces bestaat met een doel. Dit doel wordt bereikt door het uitvoeren van een verzameling activiteiten. Deze activiteiten staan niet op zichzelf maar hangen met elkaar samen. Daarom spreken we van een proces. De trigger van het proces vormt de invoer, de resultaten van het proces de uitvoer. De samenhang met de andere processen wordt beschreven in de relaties. Proces Doelstellingen Invoer Proces Activiteiten Uitvoer Relaties met andere processen Figuur 1 Procesgerichte aanpak 6

7 1.2 Aanwijzing voor gebruik Naast een korte beschrijving van het beheerproces ligt de nadruk vooral op de interactie tussen de beheerprocessen. Concreet betekent dit, wat is de in- en uitvoer voor de verschillende beheerprocessen. Dit document bevat dan ook geen handreikingen of aanvullend beleid met betrekking tot het gebruik en implementatie van de afzonderlijke beheerprocessen. Per beheerproces wordt aangegeven welke gegevens door het beheerproces worden geleverd (aangegeven door ) aan een ander beheerproces, en welke gegevens het ontvangt (aangegeven door )van een ander beheerproces. De uitvoer van het ene beheerproces is de invoer voor een ander beheerproces. Dit wordt steeds in een figuur en tabel weergegeven. 7

8 2 Beheerprocessen en de BIG In het kader van informatieveiligheid zijn er diverse beheerprocessen noodzakelijk. In dit hoofdstuk worden de belangrijkste uitgelicht. Daarmee is niet gezegd dat de niet genoemde beheerprocessen niet uitgewerkt dienen te worden. Als men het bekijkt vanuit de dreigingen die op gemeente afkomen, hebben een aantal beveiligingsbeheerprocessen topprioriteit. 2.1 ISMS en PDCA Een managementsysteem voor informatiebeveiliging/information Security Management Systeem (ISMS) 1 is binnen de gemeente noodzakelijk om informatieveiligheid ook over een langere tijd te laten werken. Het is hierbij van belang dat beveiligingsmaatregelen continue worden beoordeeld of ze (nog) passend zijn en indien nodig bijgesteld worden. Het hebben van een ISMS is geen eenmalige activiteit, het is een voortdurend proces dat binnen de gemeente dient te worden uitgevoerd. Het ISMS legt de basis voor passende beveiligingsmaatregelen door bijvoorbeeld risicoanalyses 2, een Business Impact Analyse (BIA) 3 en classificatie van informatie 4. Evaluatie van maatregelen door middel van het beoordelen van opgetreden incidenten en uitgevoerde audits zijn ook input voor het ISMS. Een ISMS helpt gemeenten om de beveiligingsdoelstellingen te ondersteunen. Bijvoorbeeld door: Het faciliteren van bedrijfscontinuïteit. Het verbeteren van de manier hoe op informatiebeveiligingsincidenten wordt gereageerd. Het omgaan met verantwoording en rapportage. Het reduceren van kosten die nodig zijn om beveiligingsmaatregelen te implementeren. Het bijdragen aan een juiste beveiliging van middelen van de gemeente. Het bijdragen aan verbeterde interne controle over beveiliging. Hieronder worden de onderwerpen risicobeoordeling, GAP- en impactanalyse en het opstellen van een informatiebeveiligingsplan beschreven, aangezien dit de basis vormt voor passende beveiligingsmaatregelen. Risicobeoordeling In principe dient de gemeente te voldoen aan de maatregelen van de Tactische Baseline, waarbij ruimte is voor een afweging op basis van pas toe of leg uit. De Tactische Baseline is zo opgebouwd dat er, zonder de voor het basisniveau getroffen maatregelen aan te tasten, een verdieping bovenop gebouwd kan worden. Zo kan worden voldaan aan hogere of specialistische eisen. Voor de specialistische maatregelen voor afwijkende situaties of hogere beveiligingsniveaus dan het basisniveau, moet teruggegrepen worden naar een gerichte risicoafweging. De middelen hiervoor zijn: 1 Zie hiervoor ook het operationele product Information Security Management System van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 2 Zie hiervoor ook het operationele product Diepgaande Risicoanalysemethode gemeenten van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 3 Zie hiervoor ook het operationele product Baselinetoets BIG van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 4 Zie hiervoor ook het operationele product Handreiking dataclassificatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 8

9 De baselinetoets BIG, om vast te stellen of een informatiesysteem door de maatregelen in de BIG voldoende beschermd wordt. De baselinetoets BIG doet een uitspraak over de impactniveaus voor vertrouwelijkheid, integriteit, beschikbaarheid en tevens de privacy. Als er meer maatregelen nodig zijn: het hanteren van een vaste risicobeoordelingsaanpak, de diepgaande risicoanalyse. Deze risicoanalyseaanpak geeft ruimte voor het vaststellen van welke risico s onaanvaardbaar zijn en daarom moeten worden beperkt. Als de diepgaande risicoanalyse goed wordt uitgevoerd is de uitkomst de maatregelen die nodig zijn bovenop de BIG. De Privacy Impact Assessment (PIA) legt in de eerste plaats de risico s bloot van projecten die te maken hebben met privacy, en dragen bij aan het vermijden of verminderen van deze privacyrisico s. Op basis van de antwoorden van de PIA wordt op systematische wijze inzichtelijk gemaakt of er een kans is dat de privacy van de betrokkene wordt geschaad, hoe hoog deze is en op welke gebieden dit is. Een resultaat kan hier ook zijn dat er meer beveiligingsmaatregelen moeten worden genomen. Het overblijvende risico dient beheerst te worden door middel van zorgvuldig opgestelde bedrijfsregels, procedures en controlemechanismen. Het kiezen van een standaard risicobeoordelingsmethode voor alle gemeenten is een van de belangrijkste onderdelen van het opzetten van het ISMS. Daarnaast kan het operationele BIGproduct voor het classificeren van bedrijfsmiddelen en gegevens van pas komen: Uitvoeren GAP- en impactanalyse De gemeente dient inzicht te hebben in de te beschermen bedrijfsinformatiesystemen en hun status ten opzichte van de Tactische Baseline. Door het uitvoeren van de GAP- en impactanalyse wordt inzicht verkregen in ontbrekende maatregelen, gemeentebreed of per informatiesysteem. De impactanalyse geeft daarnaast input aan het op te stellen informatiebeveiligingsplan. Opstellen informatiebeveiligingsplan Als bekend is welke maatregelen uit de impactanalyse en een eventuele aanvullende diepgaande risicoanalyse nog niet zijn geïmplementeerd, dienen deze maatregelen in een informatiebeveiligingsplan te worden opgenomen. In dit plan worden aan maatregelen actiehouders toegewezen, welke verantwoordelijk zijn voor de invoering van de maatregelen. Planning & Control cyclus (P&C-cyclus) Door het informatiebeveiligingsbeleid in te bedden in de reguliere Planning & Control (P&C)-cyclus en hierover door de afdelingen verantwoording af te laten leggen in reguliere voortgangsrapportages, heeft informatiebeveiliging een duidelijke rol in de verticale sturingskolom van een gemeente. De P&C-cyclus gaat over de beheersing en kwaliteitshandhaving van de bedrijfsvoeringcyclus/-processen en is veelal vastgelegd in de gemeentelijke begrotingssystematiek. Aansluiting hierbij voorkomt dat informatiebeveiliging als een eigenstandig onderwerp wordt behandeld en daardoor laag geprioriteerd wordt. Over het functioneren van de informatiebeveiliging wordt conform de P&C-cyclus binnen de gemeente en richting het college van burgemeester en wethouders (college B&W) verantwoording afgelegd door het management. Dit aansluiten bij de P&C-cyclus is noodzakelijk, omdat de in te voeren beveiligingsmaatregelen moeten worden ingepland en worden begroot. De middelen voor beveiligingsmaatregelen dienen door een goede onderbouwing op tijd aangevraagd te worden. Het ISMS moet effectief zijn over de langere termijn, in verband met het effectueren van informatiebeveiliging, en dient onderhouden te worden volgens de Plan-Do-Check-Act (PDCA)- cyclus. Na het vaststellen wat nodig is, worden maatregelen getroffen en wordt gecontroleerd of 9

10 die maatregelen het gewenste effect sorteren (controle). Deze controle kan direct aanleiding geven tot bijsturing in de maatregelen. Ook kan het totaal van eisen, maatregelen en controle aan revisie toe zijn (evaluatie). Het goed doorlopen van deze kwaliteitscirkel zorgt voor kwaliteitsbeheersing door continue controle en verbetering van het beveiligingsniveau. Verbetercyclus De basis van het managementsysteem is een verbetercyclus opgesteld, hierin zijn de volgende vier activiteiten noodzakelijk die de essentie van de PDCA-cyclus vormen: PLAN, Opstellen verbeterplan: verbetervoorstellen om de tekortkomingen op te heffen. DO, Uitvoeren verbeterplan: invoeren van de verbetervoorstellen. CHECK, Evalueren: om mogelijke tekortkomingen vast te stellen. ACT, Update processen: input van de check fase. Het ISMS wordt echter vaak als de ultieme oplossing gezien bij de invoering van informatiebeveiliging binnen organisaties. Echter het ISMS is geen doel op zich, net zo min als ITIL een doel op zich is. Het ISMS is het middel om beveiliging te laten werken en te verankeren binnen de organisatie. Het managementsysteem dient te worden afgestemd op de behoefte van de gemeente. De uitgebreidheid hangt onder andere af van de beschikbare specialisaties binnen de gemeenten. Vaak ligt bij een ISMS de nadruk op de documentatie en administratie en wordt voor de administratie naar een (GRC) 5 tool gegrepen. Een deel van de documentatie is echter maar noodzakelijk om de doelstelling met betrekking tot informatieveiligheid te ondersteunen. 6 De rest van documentatie is vooral bedoeld om belanghebbenden de gelegenheid te geven controles uit te voeren. De focus dient vooral te liggen op de eerste set aan documentatie. Uiteraard kan een tool wel bijdragen aan de effectiviteit van een ISMS. Om het ISMS als proces effectief te laten zijn, dient de directie dat proces actief te ondersteunen. Dit houdt in dat taken, verantwoordelijkheden en bevoegdheden gekoppeld dienen te worden aan personen om de (virtuele) beveiligingsorganisatie vorm te geven. Een van de operationele producten van de BIG is een functieprofiel van de Chief Information Security Officer (CISO). Daarnaast hebben ook andere personen een rol. 2.2 Risicomanagement Het primaire uitgangspunt voor informatiebeveiliging is en blijft risicomanagement en het is de basis voor passende beveiligingsmaatregelen (zie ook paragraaf 2.1 ISMS en PDCA ). Risicomanagement is het systematisch opzetten, uitvoeren en bewaken van acties om risico s te identificeren, te prioriteren en te analyseren. Om vervolgens voor deze risico s oplossingen te bedenken, te selecteren en uit te voeren. De BIG biedt al een vastgestelde set aan maatregelen die voor alle gemeenten geldt, echter er is ruimte voor pas toe en leg uit. Dat betekent dat op basis van een risicoafweging een maatregel in individuele gevallen niet van toepassing verklaard kan worden. Deze keuze dient wel te worden vastgelegd en verantwoord. Daarnaast kan men de instrumenten baselinetoets BIG en diepgaande risicoanalyse gebruiken. De baselinetoets BIG bevat een aantal vragenlijsten om te bepalen of de BIG voldoende dekking biedt. Zo niet, dan kan er een diepgaande risicoanalyse worden uitgevoerd. De baselinetoets BIG 5 GRC staat voor Governance, Riskmanagement & Compliance 6 Als doelstelling wordt hier bedoeld: Informatieveiligheid over een langere periode op een steeds hoger niveau uitvoeren 10

11 geeft ook uitsluitsel of een Privacy Impact Assessment (PIA) 7 noodzakelijk is. Deze instrumenten zijn aan te bevelen bij nieuwe informatiesystemen of bij twijfel als men denkt dat er bij een bestaand informatiesysteem meer maatregelen nodig kunnen zijn. 2.3 Incidentbeheer Incidentbeheer 8 is belangrijk omdat 100% beveiligen niet bestaat en los daarvan, incidenten niet te voorkomen zijn. Het is niet de vraag óf er iets gaat gebeuren maar wanneer. De belangrijkste te verwachte incidenten kunnen van te voren bedacht worden. De bijpassende reactie- en escalatieprocedure kan dus ook van te voren uitgewerkt en geoefend worden. Incidenten staan vaak niet op zichzelf en kunnen een uitwerking hebben naar andere ketenpartners. Sommige incidenten doen zich niet bij één gemeente, maar bij meerdere gemeenten voor. Een incident dient daarom behalve intern opgelost soms ook extern geëscaleerd te worden. Zo kunnen anderen gemeenten gewaarschuwd worden en daarmee kan de impact van het incident zo klein mogelijk gehouden worden. Extern escaleren gebeurt naar de IBD. Zij hebben het overzicht, de contacten en de middelen om andere (keten)partners en gemeenten snel te kunnen waarschuwen. Ook hebben zij een directe ingang bij het Nationaal Cyber Security Center (NCSC). Zie bijlage 1 voor de match tussen incident prioritering en alarmfasen. Incidenten Een incident, in het kader van Incidentbeheer, is een gebeurtenis die de bedrijfsvoering negatief kan beïnvloeden. Incidentbeheer is het geheel van organisatorische maatregelen die ervoor moeten zorgen dat een incident adequaat gedetecteerd, gemeld en behandeld wordt. Dit om de kans op uitval van bedrijfsvoeringsprocessen of schade, ontstaan als gevolg van het incident, te minimaliseren dan wel te voorkomen. Incidentbeheer kan het beste aansluiten bij het bestaande Incidentbeheerproces van de ICTafdeling van de gemeente. Neem maatregelen om de oorzaak van het incident te blokkeren of te verwijderen, verminder de impact door verdere blootstelling van de gevoelige gegevens te voorkomen, maak een start om de bedrijfsprocessen te herstarten als deze gestopt waren als gevolg van het incident en zorg ervoor dat risico s die verband houden met dit incident worden gemitigeerd. Bedenk dat er achter een incident een dieperliggende oorzaak kan zitten, dus het oplossen kan bestaan uit een eenvoudige (nood) oplossing gevolgd door een structurele aanpak. Een voorbeeld: een openstaande netwerkpoort kan eenvoudig worden dichtgezet, er kan ook daarna worden onderzocht waarom een bepaalde poort is opengezet, zijn beheer processen wel gevolgd? 7 Zie hiervoor ook het operationele product Privacy Impact Assessment van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 8 Zie hiervoor ook het operationele product Incidentmanagement en responsebeleid van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 11

12 (ICT) Bedrijfscontinuïteitsbeheer / Beschikbaarheidsbeheer Informatie (rapportages) over opgetreden incidenten die als (potentiële) calamiteit zijn aangemerkt met behulp waarvan onder andere gegevens over aard, duur (hersteltijden, reparatietijden) en dergelijke worden verkregen. Op basis hiervan worden de gerealiseerde beschikbaarheden bepaald. Voortgangsbewaking en statusinformatie van tijdens uitwijktesten opgetreden incidenten. incidentbeheer Oorzaken van beschikbaarheidgerelateerde incidenten (problemen). Normen voor het classificeren van incidenten als een (potentiële) calamiteit. Incidentmeldingen van tijdens uitwijktesten geconstateerde verstoringen en knelpunten. Oplossen van incidenten door uitgevoerde wijzigingen. Informatie over wjzigingen die incidenten veroorzaken. Informatie over geplande wijzigingen en status daarvan. wijzigingsbeheer Informatie (middels incidenten) over de afwijkingen die geconstateerd worden tussen de ICT-infrastructuur en de CMDB. Informatie over incidenten van bij een incident betrokken CIs (koppelen incident aan CIs, status bijwerken). configuratiebeheer Informatie over en relaties tussen CIs, eventueel gerelateerde problemen of bekende fouten inclusief de workaround, ten behoeve van het registreren van incidenten (incidentrecord). Figuur 2 Incidentbeheer en relaties met de overige beheerprocessen Incidentbeheer Oplossen van incidenten door uitgevoerde wijzigingen. Informatie over wijzigingen die incidenten veroorzaken. Incidentbeheer Informatie (vanuit incidenten) over de afwijkingen die geconstateerd worden tussen de ICT-infrastructuur en de CMDB. Informatie over incidenten van bij een incident betrokken configuratie-item (CI) (koppelen incident aan CIs, status bijwerken). Wijzigingsbeheer Informatie over geplande wijzigingen en status daarvan. Configuratiebeheer Informatie over en relaties tussen CIs, eventueel gerelateerde problemen 9 of bekende fouten 10 inclusief de workaround, ten behoeve van het registreren van incidenten (incidentrecord). 9 Een probleem is een ongewenste situatie die de nog onbekende oorzaak van een of meer bestaande of potentiële incidenten aanduidt. 10 Known errors zijn problemen waarvan de oorzaak met succes is vastgesteld (gereproduceerd). 12

13 Incidentbeheer Bedrijfscontinuïteitsbeheer Informatie (rapportages) over opgetreden incidenten die als (potentiële) calamiteit zijn aangemerkt met behulp waarvan onder andere gegevens over aard, duur (hersteltijden, reparatietijden) en dergelijke worden verkregen. Op basis hiervan worden de gerealiseerde beschikbaarheden bepaald. Voortgangsbewaking en statusinformatie van tijdens uitwijktesten opgetreden incidenten. Oorzaken van aan beschikbaarheid gerelateerde incidenten (problemen). Normen voor het classificeren van incidenten als een (potentiële) calamiteit. Incidentmeldingen van tijdens uitwijktesten geconstateerde verstoringen en knelpunten. Tabel 1 Incidentbeheer en relaties met de overige beheerprocessen 2.4 Patchmanagement Patchmanagement 11 is het proces waarmee patches op gecontroleerde beheerste (risico beperkende) wijze uitgerold kunnen worden. Patches zijn doorgaans kleine programma s die aanpassingen maken om fouten op te lossen, of verbeteringen aan te brengen in bestaande programmatuur en/of hardware. Behoudens de door de leverancier goedgekeurde beveiligingsupdates/patches worden er geen wijzigingen aangebracht in applicaties en infrastructurele programmatuur. Patchmanagement sluit het beste aan bij het proces wijzigingsbeheer van de ICT-afdeling. Het doel van Patchmanagement is tweeledig. Ten eerste is het gericht op het inzichtelijk maken van de actuele stand van kwetsbaarheden en toegepaste patches binnen de beheerde infrastructuur. Het tweede doel is op een zo efficiënt en effectief mogelijke wijze met zo min mogelijk verstoringen stabiele (veilige) systemen te creëren en te behouden. Patches Indien een patch beschikbaar is, dienen de risico's die verbonden zijn met de installatie van de patch te worden geëvalueerd (de risico's die verbonden zijn met de kwetsbaarheid dienen vergeleken te worden met de risico's van het installeren van de patch). Configuratiebeheer houdt zich bezig met het bijhouden van alle ICT-componenten van de gemeente, deze informatie is cruciaal om vast te stellen of een advies van de IBD of van een leverancier van toepassing is op de gemeentelijke ICT-infrastructuur en applicaties. Beveiligingsupdates/patches voor kwetsbaarheden waarvan de kans op misbruik hoog is en waarvan de schade hoog is (spoed-patch) is het zaak om zo spoedig mogelijk te patchen. Echter 11 Zie hiervoor ook het operationele product Patch Management voor gemeenten van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 13

14 minimaal binnen één week. Hierbij dient het wijzigingsbeheerproces verkort doorlopen te worden. De patch dient voor installatie wel altijd getest te worden. Minder kritische beveiligingsupdates/patches kunnen wijzigingsbeheerproces in om als (reguliere) wijziging verder behandeld te worden. Bijvoorbeeld het doorvoeren van de patch tijdens een gepland onderhoudsweekend. Vanuit het wijzigingsbeheerproces en na het uitvoeren van een impact assessment betreffende de wijziging, dient de patch uitvoerig te worden getest op de testomgeving van de geraakte systemen. Indien nog geen patch beschikbaar is, dient gehandeld te worden volgens het advies van de IBD of een andere Computer Emergency Response Team (CERT), zoals het Nationaal Cyber Security Centrum (NCSC). Na een succesvolle update zijn de gemeentelijke systemen weer up to date en dient de systeemdocumentatie en configuratiebeheerdatabase (CMDB) bijgewerkt te worden naar de laatste stand van zaken. Bijvoorbeeld nieuwe versienummers van de ICT-componenten. Testen, monitoring en rapportage Om vast te stellen of er nog bekende kwetsbaarheden in de eigen ICT- infrastructuur of applicaties aanwezig zijn kan men een kwetsbaarhedenscan of vulnerability scan (laten) uitvoeren. De daarbij gebruikte hulpmiddelen (tooling) kent van iedere soort hardware en software wat de laatste updates zijn en kan ook toetsen op het aanwezig zijn van bekende kwetsbaarheden. De vulnerability scan is een belangrijk onderdeel in het onderhouden van de informatieveiligheid binnen de eigen ICT-infrastructuur, immers apparatuur en software wordt geïnstalleerd en onderhouden en die veranderingen kunnen weer nieuwe kwetsbaarheden introduceren. Het resultaat is een rapport met alle mogelijke aanbevelingen welke geprioriteerd zijn op belangrijkheid. Met dit rapport kan men gericht patches installeren of systemen vervangen voor nieuwere versies. Het is aan te bevelen om eerdere scanrapportages te bewaren om verschillen te ontdekken, in ieder geval dient dit gedaan te worden voor belangrijke systemen. Alle veranderingen in systemen (open netwerkpoorten, toegevoegde services) dienen onderzocht te worden. Veranderde open netwerkpoorten en veranderde services zijn een belangrijke indicator voor het aanwezig zijn van malware, een ondernomen hack poging of een niet geautoriseerde wijziging. wijzigingsbeheer Informatie over de standaard of spoed patch. Impactanalyses, goedkeuringen of adviezen voor bijstelling en evaluatie van wijzigingen vanwege mogelijk invloed op de ICTinfrastructuur. Verzoeken voor bepaling impact, goedkeuring, of evaluatie van standaard patch op de ICT-infrastructuur. patchmanagement configuratiebeheer Informatie over welke systemen worden geraakt door de patch, en of de patch überhaupt wel van toepassing is. Informatie (bijvoorbeeld versienummer) over de CIs die door een patch worden geraakt Figuur 3 Patchmanagement en relaties met de overige beheerprocessen 14

15 Patchmanagement Wijzigingsbeheer Informatie over de standaard of spoed patch. Impactanalyses, goedkeuringen of adviezen voor bijstelling en evaluatie van wijzigingen vanwege mogelijk invloed op de ICT-infrastructuur. Patchmanagement Informatie (bijvoorbeeld versienummer) over de CIs die door een patch worden geraakt. Verzoeken voor bepaling impact, goedkeuring, of evaluatie van standaard patch op de ICT-infrastructuur. Configuratiebeheer Informatie over welke systemen worden geraakt door de patch, en of de patch überhaupt wel van toepassing is. Tabel 2 Patchmanagement en relaties met de overige beheerprocessen 2.5 Hardening Eén van de makkelijkste doelen voor een aanvaller is een niet goed actueel gehouden systeem met de laatste patches en beveiligingsupdates en een systeem waarbij functionaliteiten en privileges niet zijn teruggebracht tot het minimum dat noodzakelijk is voor het uitvoeren van de taak. Aanvallen op systemen kunnen ook plaatsvinden door het misbruiken van functies van informatiesystemen en hardware die standaard aan staan als men software of hardware koopt en installeert. Het proces om ervoor te zorgen dat functies die niet nodig zijn worden uitgeschakeld heet hardening, vrij vertaald, het harder maken van systemen. Hardening 12 wordt uitgevoerd door de ICT-afdeling van de gemeente. Hardening van de actieve infrastructuur, servers en netwerkcomponenten, is een belangrijke stap in de strijd om persoonlijke gegevens en informatie te beschermen. Dit proces werkt aan de hand van het elimineren van een aanval door het patchen van kwetsbaarheden en het uitschakelen van niet-wezenlijke diensten. Bij het hardenen van een ICT-componenten worden wijzigingen op ICT-componenten aangebracht en deze wijzigingen dienen onder verantwoordelijkheid van wijzigingsbeheer doorgevoerd te worden. Configuratiebeheer houdt zich bezig met het bijhouden van de gegevens van alle ICT-componenten van de gemeente, hieronder vallen ook de systeemconfiguraties van de ICT-middelen. Maatregelen Maatregelen voor hardening staan nooit op zichzelf, er dienen ook andere maatregelen te worden uitgevoerd. Zoals patchmanagement, het inzetten van antivirus oplossingen, het inzetten van logging, het inzetten van Firewalls en IDS, IPS 13 en SIEM 14, die allen bijdragen aan een verdediging in lagen strategie. Het regelmatig toepassen van leveranciers beveiligingsupdates/patches is de eerste stap om computersystemen te hardenen. 12 Zie hiervoor ook het operationele product Hardening beleid van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 13 Intrusion Detection System en Intrusion Prevention System. 14 security information and event management 15

16 Testen, monitoring en rapportage Hardening kan deels getest worden door middel van de genoemde kwetsbaarhedenscan of vulnerability scan voor patchmanagement. Alle apparatuur moet regelmatig worden getest op bekende kwetsbaarheden zoals beschreven in de paragraaf 2.4 patchmanagement. wijzigingsbeheer Initiëren wijzigingen voor aanpassingen van de ICTcomponenten. Impactanalyses, goedkeuringen of adviezen voor bijstelling en evaluatie van wijzigingen vanwege mogelijk invloed op de beveiliging. Verzoeken voor bepaling impact, goedkeuring, of evaluatie van wijzigingen op de beveiliging. hardening configuratiebeheer Informatie over de systeemconfiguratie Informatie over de systeemconfiguratie (baselines) van de verschillende CIs. Figuur 4 Hardening en relaties met de overige beheerprocessen Hardening Informatie over de systeemconfiguratie. Hardening Initiëren wijzigingen voor aanpassingen van de ICT-componenten. Impactanalyses, goedkeuringen of adviezen voor bijstelling en evaluatie van wijzigingen vanwege mogelijk invloed op de beveiliging. Configuratiebeheer Informatie over de systeemconfiguratie (baselines) van de verschillende CIs. Wijzigingsbeheer Verzoeken voor bepaling impact, goedkeuring, of evaluatie van wijzigingen op de beveiliging. Tabel 3 Hardening en relaties met de overige beheerprocessen 2.6 Wijzigingsbeheer Wijzigingsbeheer 15 draagt er zorg voor dat wijzigingen op een beheerste wijze op de gemeentelijke ICT-infrastructuur (ICT-middelen en -diensten) efficiënt en effectief worden doorgevoerd. Met zo 15 Zie hiervoor ook het operationele product Handreiking proces wijzigingsbeheer van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 16

17 min mogelijk verstoring van de kwaliteit van de dienstverlening. Zodat deze dienstverlening blijft voldoen aan de eisen die hieraan zijn gesteld. Onder een wijziging wordt het toevoegen, veranderen of verwijderen van alles dat een effect kan hebben op ICT-diensten verstaan. Kwetsbaarheden die verholpen worden door een beveiligingsupdate (patch) zijn een ander voorbeeld van een wijziging. De implementatie van wijzigingen in ICT-voorzieningen en informatiesystemen behoren te worden beheerst door middel van formele procedures voor wijzigingsbeheer. In de procedure voor wijzigingsbeheer is minimaal aandacht besteed aan: Het aanmelden van wijzigingen. Wijzigingen verlopen via een formeel verzoek (Verzoek tot Wijziging (VTW) of Request for Change (RFC)) en bevat details van de voorgestelde wijziging. Het administreren van wijzigingen. Met een mogelijkheid om te registreren welke CIs bij de wijziging betrokken zijn (bevat een relatie met de CMDB). De impactanalyse van mogelijke gevolgen van de wijzigingen. Een goedkeuringsprocedure voor wijzigingen, waaronder nieuwe ICT-voorzieningen en afvoeren ICT-voorzieningen. Informatie over geplande wijzigingen en status daarvan, zodat plannen kloppend en actueel blijven bij wijzigingen van invloed op dienstverlening of uitwijk. Verzoeken voor bepaling impact, goedkeuring, of evaluatie van wijzigingen op beschikbaarheidimpact. (ICT) Bedrijfscontinuïteitsbeheer / Beschikbaarheidsbeheer Initiëren wijzigingen (bijvoorbeeld in verband met zwakke CIs) die beschikbaarheid/continuïteit dienstverlening verbeteren. Initiëren wijzigingen voor aanpassingen van de uitwijkinfrastructuur. Impactanalyses, goedkeuringen of adviezen voor bijstelling en evaluatie van wijzigingen vanwege mogelijk invloed op de beschikbaarheid dienstverlening en/ of uitwijkplannen. incidentbeheer Oplossen van incidenten door uitgevoerde wijzigingen. Informatie over wjzigingen die incidenten veroorzaken. wijzigingsbeheer Informatie over en relaties tussen CIs die door een wijziging worden geraakt, onder andere ter ondersteuning van de impactanalyse. configuratiebeheer Informatie over geplande wijzigingen en status daarvan. Informatie over de wijziging van bij een wijziging betrokken CIs (koppelen wijziging aan CIs). patchmanagement Informatie over de standaard of spoed patch. Impactanalyses, goedkeuringen of adviezen voor bijstelling en evaluatie van wijzigingen vanwege mogelijk invloed op de ICT-infrastructuur. Verzoeken voor bepaling impact, goedkeuring, of evaluatie van standaard patch op de ICT-infrastructuur. Verzoeken voor bepaling impact, goedkeuring, of evaluatie van wijzigingen op de beveiliging. Initiëren wijzigingen voor aanpassingen van de ICT-componenten. Impactanalyses, goedkeuringen of adviezen voor bijstelling en evaluatie van wijzigingen vanwege mogelijk invloed op de beveiliging. Figuur 5 Wijzigingsbeheer en relaties met de overige beheerprocessen hardening Wijzigingsbeheer Informatie over de wijziging (bijvoorbeeld statuswisseling) van bij een wijziging betrokken CIs (koppelen wijziging aan CIs). Configuratiebeheer Informatie over en relaties tussen CIs die door een wijziging worden geraakt, onder 17

18 andere ter ondersteuning van de impactanalyse. Wijzigingsbeheer Incidentbeheer Informatie over geplande wijzigingen en status daarvan. Oplossen van incidenten door uitgevoerde wijzigingen. Informatie over wijzigingen die incidenten veroorzaken. Wijzigingsbeheer Bedrijfscontinuïteitsbeheer Informatie over geplande wijzigingen en status daarvan, zodat plannen kloppend en actueel blijven bij wijzigingen van invloed op dienstverlening of uitwijk. Verzoeken voor bepaling impact, goedkeuring, of evaluatie van wijzigingen op beschikbaarheid. Wijzigingsbeheer Verzoeken voor bepaling impact, goedkeuring, of evaluatie van standaard patch op de ICT-infrastructuur. Wijzigingsbeheer Verzoeken voor bepaling impact, goedkeuring, of evaluatie van wijzigingen op de beveiliging. Initiëren wijzigingen (bijvoorbeeld in verband met zwakke CIs) die beschikbaarheid/continuïteit dienstverlening verbeteren. Initiëren wijzigingen voor aanpassingen van de uitwijkinfrastructuur. Impactanalyses, goedkeuringen of adviezen voor bijstelling en evaluatie van wijzigingen vanwege mogelijk invloed op de beschikbaarheid dienstverlening en/of uitwijkplannen. Patchmanagement Informatie over de standaard of spoed patch. Impactanalyses, goedkeuringen of adviezen voor bijstelling en evaluatie van wijzigingen vanwege mogelijk invloed op de ICT-infrastructuur. Hardening Initiëren wijzigingen voor aanpassingen van de ICT-componenten. Impactanalyses, goedkeuringen of adviezen voor bijstelling en evaluatie van wijzigingen vanwege mogelijk invloed op de beveiliging. 18

19 Tabel 4 Wijzigingsbeheer en relaties met de overige beheerprocessen 2.7 Configuratiebeheer Configuratiebeheer 16 zorgt er voor dat de gegevens over de ICT-infrastructuur (ICT-middelen en - diensten) betrouwbaar worden vastgelegd en dat accurate en betrouwbare informatie over die ICTmiddelen beschikbaar is, wanneer en waar dat nodig is. Deze gegevens over de ICT-infrastructuur worden aangeduid als configuratie-item (CI) en hebben betrekking op hard- en software, netwerkverbindingen en documentatie. Deze gegevens omvatten details over hoe de ICTinfrastructuur is samengesteld en details over relaties tussen de ICT-middelen onderling en de relaties met ICT-diensten. Configuratiebeheer zorgt ervoor dat geen CI wordt toegevoegd, aangepast, vervangen of verwijderd, zonder dat daarvan passende documentatie aanwezig is, zoals een goedgekeurd wijzigingsverzoek of een aangepaste specificatie. Het is de verantwoordelijkheid van configuratiebeheer om alleen wijzigingen op de ICT-infrastructuur toe te staan, die via wijzigingsbeheer zijn geautoriseerd. Wijzigingsbeheer is verantwoordelijk voor wijzigingen aan de ICT-middelen. Dit wordt bijgehouden in een Configuratie Beheer Database (CMDB) en deze dient ook als middel bij het identificeren van beveiligingsupdates en patches. Uitgangspunten (gemeentelijke beleidsregels) voor een goede werking van configuratiebeheer zijn onder andere: Alle bedrijfsmiddelen moeten geïdentificeerd zijn. Hiervan dienteen inventaris van worden bijgehouden. Alle informatie en de bedrijfsmiddelen die verband houden met ICT-voorzieningen dienen aan een 'eigenaar' (een deel van de organisatie) te zijn toegewezen. De verantwoordelijkheid voor specifieke beheersmaatregelen mag door de eigenaar worden gedelegeerd. Maar de eigenaar blijft verantwoordelijk voor een goede bescherming van de ICT-middelen. ICT-voorzieningen, zoals apparatuur, informatie en programmatuur van de organisatie, mogen niet zonder toestemming vooraf, van de locatie worden meegenomen. Alle classificaties van alle bedrijfskritische systemen zijn centraal vastgelegd door de CISO en dienen jaarlijks gecontroleerd te worden door de eigenaren. Het object van classificatie informatie is en dat er wordt geclassificeerd op het niveau van informatiesystemen (of informatieservices). Wijzigingen 17 op CIs kunnen door verschillende gemeentefunctionarissen en als gevolg van verschillende oorzaken aan configuratiebeheer gemeld worden, bijvoorbeeld: Bij het oplossen van een incident wordt een fout in de CMDB geconstateerd. Er wordt een wijziging om een incident of bekend probleem op te lossen doorgevoerd. Er wordt een nieuwe release van een applicatie doorgevoerd. De CIs worden in de CMDB gewijzigd aan de hand van de ontvangen gegevens, zodat de CMDB weer overeenkomt met de fysieke situatie van de CIs. 18 Er dient te worden vastgesteld of een wijziging op een CI gevolgen heeft op de gegevens van, of de relatie met andere CIs. De mogelijke 16 Zie hiervoor ook het operationele product Handreiking proces configuratiebeheer van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 17 De wijziging moet goedgekeurd zijn door wijzigingsbeheer. De uitvoerder van een wijziging controleert of er mogelijk ook andere configuratie-items wijzigen als gevolg van een door hem gemaakte aanpassing in de ICTinfrastructuur. 18 Configuratiebeheer verifieert bij wijzigingsbeheer of de wijziging is goedgekeurd. 19

20 wijzigingen worden in de CMDB doorgevoerd. Bij wijzigingen in de CMDB is geborgd dat de relaties consistent blijven. Informatie over de ICT-infrastructuur en uitwijkinfrastructuur voor opbouw/herstel infrastructuur. Informatie in verband met de analyse welke CIs bijdragen aan een dienst en het identificeren van zwakke CIs. (ICT) Bedrijfscontinuïteitsbeheer / Beschikbaarheidsbeheer Informatie van basisconfiguraties en van de opbouw van de ICT-infrastructuur zodat de ICT-infrastructuur, na een calamiteit, hersteld kan worden. Wijzigingen in de uitwijkinfrastructuur. incidentbeheer Informatie (middels incidenten) over de afwijkingen die geconstateerd worden tussen de ICT-infrastructuur en de CMDB. Informatie over incidenten van bij een incident betrokken CIs (koppelen incident aan CIs, status bijwerken). Informatie over en relaties tussen CIs, eventueel gerelateerde problemen of bekende fouten inclusief de workaround, ten behoeve van het registreren van incidenten (incidentrecord). configuratiebeheer Informatie over de wijziging van bij een wijziging betrokken CIs (koppelen wijziging aan CIs). Informatie over en relaties tussen CIs die door een wijziging worden geraakt, onder andere ter ondersteuning van de impactanalyse. wijzigingsbeheer patchmanagement Informatie (bijvoorbeeld versienummer) over de CIs die door een patch worden geraakt Informatie over welke systemen worden geraakt door de patch, en of de patch überhaupt wel van toepassing is. Informatie over de systeemconfiguratie (baselines) van de verschillende CIs. Informatie over de systeemconfiguratie Figuur 6 Configuratiebeheer en relaties met de overige beheerprocessen hardening Configuratiebeheer Informatie over en relaties tussen CIs, eventueel gerelateerde problemen 19 of bekende fouten 20 inclusief de workaround, ten behoeve van het registreren van incidenten (incidentrecord). Configuratiebeheer Informatie over en relaties tussen CIs die door een wijziging worden geraakt, onder andere ter ondersteuning van de impactanalyse. Incidentbeheer Informatie (vanuit incidenten) over de afwijkingen die geconstateerd worden tussen de ICT-infrastructuur en de CMDB. Informatie over incidenten van bij een incident betrokken CIs (koppelen incident aan CIs, status bijwerken). Wijzigingsbeheer Informatie over de wijziging (bijvoorbeeld statuswisseling) van bij een wijziging betrokken CIs (koppelen wijziging aan CIs). 19 Een probleem is een ongewenste situatie die de nog onbekende oorzaak van een of meer bestaande of potentiële incidenten aanduidt. 20 Known errors zijn problemen waarvan de oorzaak met succes is vastgesteld (gereproduceerd). 20

21 Configuratiebeheer Bedrijfscontinuïteitsbeheer Informatie over de ICT-infrastructuur en uitwijkinfrastructuur voor opbouw/herstel infrastructuur. Informatie in verband met de analyse welke CIs bijdragen aan een dienst en het identificeren van zwakke CIs. Configuratiebeheer Informatie over welke systemen worden geraakt door de patch, en of de patch überhaupt wel van toepassing is. Configuratiebeheer Informatie over de systeemconfiguratie (baselines) van de verschillende CIs. Informatie van basisconfiguraties en van de opbouw van de ICT-infrastructuur zodat de ICT-infrastructuur, na een calamiteit, hersteld kan worden. Wijzigingen in de uitwijkinfrastructuur. Patchmanagement Informatie (bijvoorbeeld versienummer) over de CIs die door een patch worden geraakt. Hardening Informatie over de systeemconfiguratie. Tabel 5 Configuratiebeheer en relaties met de overige beheerprocessen 2.8 Bedrijfscontinuïteitsbeheer Ondanks dat Bedrijfscontinuïteitsbeheer de gemeentelijke bedrijfsprocessen als uitgangspunt heeft, wordt in deze paragraaf ook beschikbaarheidsbeheer en ICT-dienstencontinuïteitsbeheer kort beschreven (zie figuur 7). Deze processen zijn alleen van belang als de gemeente een eigen ICTorganisatie heeft. (klant) Organisatie ICT-organisatie Bedrijfscontinuïteitsbeheer (BCM) Afspraken (Service Level Agreements) ICTdienstencontinuïteitsbeheer Beschikbaarheidsbeheer Figuur 7 Samenhang continuïteits-/beschikbaarheidsprocessen. 21

22 Bedrijfscontinuïteitsbeheer Bedrijfscontinuïteitsbeheer (BCM) is een proces dat verantwoordelijk is voor het beheersen van risico s die een bedrijf ernstige schade kunnen toedienen. Het proces bevat het reduceren van risico s tot een aanvaardbaar niveau en het maken van plannen voor herstel van de meest kritische bedrijfsprocessen wanneer de bedrijfsvoering verstoord is. Hierbij treft de organisatie de nodige maatregelen om ongeacht de omstandigheden de continuïteit van de meest kritische processen te garanderen. In geval van een onderbreking van één of meerdere van deze processen, dient de organisatie in staat te zijn snel en kordaat op te treden. Zodat de gevolgen van verstoringen binnen de kritische processen tot een acceptabel minimum beperkt blijven. Bedrijfscontinuïteitsbeheer zal de kans op een verstorend incident verkleinen en ervoor zorgen dat, als er toch een storing optreedt, de organisatie op gepaste wijze kan reageren. Zo kan de mogelijke schade door een storing drastisch wordt verkleind. Bedrijfscontinuïteitsbeheer bepaalt de doelstellingen, scope en vereisten voor ICT-dienstencontinuïteitsbeheer. Bedrijfscontinuïteitsplan Bedrijfscontinuïteitsplan (BCP) is een plan dat de vereiste stappen voor het herstellen van bedrijfsprocessen na een storing definieert. Het doel is om de onderbrekingstijd van de bedrijfsprocessen tot een minimum te beperken. Het plan identificeert ook de aanleiding voor activering, de maatregelen en belangrijke gegevens van de bedrijfsprocessen van de gemeente, de mensen die betrokken moeten worden, de communicatie, et cetera. ICT-dienstencontinuïteitsbeheer ICT-dienstencontinuïteitsbeheer is het proces dat verantwoordelijk is voor het beheersen van risico's die ICT-diensten ernstig kunnen schaden. Dit proces garandeert dat de ICTdienstenaanbieder de ICT-infrastructuur en de ICT-diensten na het optreden van een calamiteit zo snel mogelijk weer worden hersteld binnen de afspraken (overeengekomen dienstenniveaus) die hierover met de klanten zijn gemaakt. Dit doen zij door de risico's tot een aanvaardbaar niveau te reduceren en plannen te maken voor het herstel van ICT-diensten. ICT-dienstencontinuïteitsbeheer ondersteunt bedrijfscontinuïteitsbeheer. Hierbij wordt een calamiteit gedefinieerd als een ongeplande situatie waarbij verwacht wordt dat de duur van het niet-beschikbaar zijn van één of meer ICT-diensten afgesproken drempelwaarden wordt overschrijden. Het bepalen van de continuïteitsspecificaties (vaststellen uitwijk-/herstelniveaus) wordt niet tot de scope van het proces ICT-dienstencontinuïteitsbeheer gerekend omdat dit buiten de verantwoordelijkheid van de ICT-organisatie valt. Het is de taak van de klantenorganisatie om op basis van een risicoanalyse van de bedrijfsprocessen te bepalen in welke mate bescherming tegen de gevolgen van calamiteiten nodig is. Het is echter wel de taak van het proces ICTdienstencontinuïteitsbeheer om het door de klantenorganisatie verlangde niveau op haalbaarheid te toetsen en ervoor te zorgen dat dit naar duidelijke afspraken in Service Level Agreements (SLA s) wordt vertaald. De uitvoering van het proces ICT-dienstencontinuïteitsbeheer is in principe onafhankelijk van de gekozen ICT-infrastructuur. Bij het beschrijven van de normen die aan het operationeel deel van het proces worden gesteld, is echter uitgegaan van de variant waarin de gevolgen van een calamiteit worden opgevangen door de gegevensverwerking naar een uitwijkcentrum (uitbesteed of in eigen beheer) te verplaatsen en daar te hervatten. Beschikbaarheidsbeheer Beschikbaarheidsbeheer is het proces dat verantwoordelijk is om te garanderen dat ICT-diensten, op een zo kosteneffectieve manier, voldoen aan de eisen en wensen zoals afgesproken in SLA s. 22

SAMENHANG BEHEERPROCESSEN EN INFORMATIEBEVEILIGING

SAMENHANG BEHEERPROCESSEN EN INFORMATIEBEVEILIGING SAMENHANG BEHEERPROCESSEN EN INFORMATIEBEVEILIGING Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Samenhang beheerprocessen

Nadere informatie

TOELICHTING OP GAP-ANALYSE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

TOELICHTING OP GAP-ANALYSE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) TOELICHTING OP GAP-ANALYSE Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Toelichting op GAP-analyse Versienummer

Nadere informatie

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VERSLAG PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Verslag PIA Versienummer 1.0 Versiedatum April 2014

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

PATCH MANAGEMENT VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

PATCH MANAGEMENT VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) PATCH MANAGEMENT VOOR GEMEENTEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Patch Management voor gemeenten

Nadere informatie

Gemeente Zandvoort. Telefoon: Fax:

Gemeente Zandvoort. Telefoon: Fax: Vastgesteld door het college : d.d. 19 mei 2015 Gepubliceerd in de Zandvoortse Courant : d.d. 26 mei 2015 Inwerkingtreding : d.d. 19 mei 2015 Registratienr: 2015/05/000532 Auteur: R. Zwietering Gemeente

Nadere informatie

RESPONSIBLE DISCLOSURE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

RESPONSIBLE DISCLOSURE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) RESPONSIBLE DISCLOSURE Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Responsible Disclosure Versienummer 1.0 Versiedatum

Nadere informatie

HARDENING-BELEID VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

HARDENING-BELEID VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) HARDENING-BELEID VOOR GEMEENTEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Hardening-beleid voor gemeenten

Nadere informatie

INKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN

INKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN INKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Inkoopvoorwaarden

Nadere informatie

MOBIELE GEGEVENSDRAGERS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

MOBIELE GEGEVENSDRAGERS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) MOBIELE GEGEVENSDRAGERS Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Mobiele gegevensdragers Versienummer 1.0

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Hardening Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD De Baseline Informatiebeveiliging & grote gemeenten 6 oktober 2014 John van Huijgevoort, IBD Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): Samenhang Instrumenten Hoe om te gaan

Nadere informatie

IMPLEMENTATIE BIG. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

IMPLEMENTATIE BIG. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) IMPLEMENTATIE BIG Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Implementatie BIG Versienummer 1.0 Versiedatum

Nadere informatie

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Information Security Management

Nadere informatie

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Information Security Management

Nadere informatie

ANTI-MALWARE BELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

ANTI-MALWARE BELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) ANTI-MALWARE BELEID Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Anti-malware beleid Versienummer 1.0 Versiedatum

Nadere informatie

TOEGANGSBELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

TOEGANGSBELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) TOEGANGSBELEID Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Toegangsbeleid Versienummer 1.0 Versiedatum oktober

Nadere informatie

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging Het ICT-Beveiligings- i assessment DigiD & Informatiebeveiliging De aanleiding 2011: Diginotar 2011: Lektober En ook: 2012: Dorifel 2012: Citadel 2013: DongIT Botnet De reactie vanuit VNG/KING Starting

Nadere informatie

CONTRACTMANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

CONTRACTMANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) CONTRACTMANAGEMENT Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Contractmanagement Versienummer 1.0 Versiedatum

Nadere informatie

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Toelichting op GAP-analyse Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

VEILIGE AFVOER VAN ICT- MIDDELEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VEILIGE AFVOER VAN ICT- MIDDELEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VEILIGE AFVOER VAN ICT- MIDDELEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Veilige afvoer van ICT-middelen

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Implementatie BIR Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Gemeente Alphen aan den Rijn

Gemeente Alphen aan den Rijn Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013. Anita van Nieuwenborg

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013. Anita van Nieuwenborg INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013 Anita van Nieuwenborg Agenda 1. De IBD 2. Doelen van de IBD 3. Dienstverlening van de IBD 4. Aansluiting bij de IBD 5. Vragen 2 1. De IBD

Nadere informatie

HANDREIKING PROCES WIJZIGINGSBEHEER

HANDREIKING PROCES WIJZIGINGSBEHEER HANDREIKING PROCES WIJZIGINGSBEHEER Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Handreiking proces wijzigingsbeheer

Nadere informatie

BABVI/U201300696 Lbr. 13/057

BABVI/U201300696 Lbr. 13/057 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatiebeveiliging uw kenmerk ons kenmerk BABVI/U201300696 Lbr. 13/057 bijlage(n) datum 6 juni 2013 Samenvatting

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur.

Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur. ITIL Wat is ITIL? Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur. Begrippen Rol Functie Proces Proceseigenaar Procesmanager Product Dienst Problem Problem

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk

Nadere informatie

Service Niveau Overeenkomst Digikoppeling

Service Niveau Overeenkomst Digikoppeling Service Niveau Overeenkomst Digikoppeling Versie 1.3 Datum 26 mei 2015 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl

Nadere informatie

Security Operations Center. CISO: Bob van Graft

Security Operations Center. CISO: Bob van Graft Security Operations Center CISO: Bob van Graft OPENING De digitale toekomst van Nederland is in het geding Onderwijs en bedrijfsleven geven te weinig aandacht aan cybersecurity Het is van groot belang

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

HANDREIKING PROCES CONFIGURATIEBEHEER

HANDREIKING PROCES CONFIGURATIEBEHEER HANDREIKING PROCES CONFIGURATIEBEHEER Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Handreiking proces configuratiebeheer

Nadere informatie

BACK-UP EN RECOVERY GEMEENTE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

BACK-UP EN RECOVERY GEMEENTE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) BACK-UP EN RECOVERY GEMEENTE Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Back-up en Recovery Gemeente Versienummer

Nadere informatie

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 Anita van Nieuwenborg Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 De IBD Gezamenlijk initiatief VNG en KING Opgericht vanuit behoefte van gemeenten aan coördinatie en ondersteuning

Nadere informatie

Proefexamen ITIL Foundation

Proefexamen ITIL Foundation Proefexamen ITIL Foundation 1. Van welk proces is risicoanalyse een essentieel onderdeel? a. IT Service Continuity Management b. Service Level Management c. Capacity Management d. Financial Management

Nadere informatie

24/7. Support. smart fms

24/7. Support. smart fms 24/7 Support Smart FMS vindt het van het grootste belang dat haar klanten helder inzicht hebben in de voorwaarden, zekerheid over gemaakte afspraken en het vertrouwen in haar als softwareaanbieder. Het

Nadere informatie

1 Dienstbeschrijving all-in beheer

1 Dienstbeschrijving all-in beheer 1 Dienstbeschrijving all-in beheer De all-in beheer overeenkomst van Lancom is modulair opgebouwd. U kunt bij Lancom terecht voor deelgebieden zoals helpdesk ondersteuning of backup, maar ook voor totale

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL )

Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL ) Exameneisen Practitioner s Certificate in IT Service Management: Release & Control (based on ITIL ) Publicatiedatum 1-1-2008 Startdatum 1-3-2007 Doelgroep IT Service Management Practitioner: Release &

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Generieke systeemeisen

Generieke systeemeisen Bijlage Generieke Systeem in kader van LAT-RB, versie 27 maart 2012 Generieke systeem NTA 8620 BRZO (VBS elementen) Arbowet Bevb / NTA 8000 OHSAS 18001 ISO 14001 Compliance competence checklist 1. Algemene

Nadere informatie

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident?

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident? VRAAG 1 Bij welk van onderstaande alternatieven vind je een beschrijving van een afdeling in plaats van een proces? A Change Management B Incident Management D Service Desk VRAAG 2 Welke van onderstaande

Nadere informatie

Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit

Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit Beheer kan efficiënter en met hogere kwaliteit Leveranciers van beheertools en organisaties die IT-beheer uitvoeren prijzen

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

PROCEDURE NIEUWE ICT- VOORZIENINGEN CONFIGURATIEBEHEER

PROCEDURE NIEUWE ICT- VOORZIENINGEN CONFIGURATIEBEHEER PROCEDURE NIEUWE ICT- VOORZIENINGEN CONFIGURATIEBEHEER Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) 1 Colofon Naam document Procedure

Nadere informatie

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

o n k Ö A fia* V/ \ ^ * f

o n k Ö A fia* V/ \ ^ * f - JAGT_P_U201300696.docx - 20130606_ledenbri... http://www.vng.nl/files/vng/brieven/2013/20130606_ledenbrief_inf.. o n k Ö A fia* V/ \ ^ * f 6 JUNI 2013 U,< v ~. ^. Vereniging van 1 Nederlandse Gemeenten

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga INFORMATIEVEILIGHEID een uitdaging van ons allemaal ICT Noord, Harro Spanninga Agenda Toelichting op de Taskforce BID Introductie thema Informatieveiligheid Technisch perspectief Perspectief van de overheid

Nadere informatie

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Contractmanagement Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

ECIB/U Lbr. 17/010

ECIB/U Lbr. 17/010 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatieveiligheid en privacy uw kenmerk ons kenmerk ECIB/U201700133 Lbr. 17/010 bijlage(n) - datum 20 februari

Nadere informatie

Voorstel Informatiebeveiliging beleid Twente

Voorstel Informatiebeveiliging beleid Twente Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)

Nadere informatie

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom Gemeente 's-hertogenbosch Definitief s-hertogenbosch, 30-10-2015 A. Kieboom 1 Projectidentificatie Projectnaam: Status: Beleid Informatieveiligheid Definitief Documenthistorie Status Datum Versie Auteur(s)

Nadere informatie

Het ITIL Foundation Examen

Het ITIL Foundation Examen Het ITIL Foundation Examen Proefexamen A, versie 5.2 Meerkeuzevragen Instructies 1. Alle 40 vragen moeten worden ingevuld. 2. Alle antwoorden moeten op het bijgeleverde antwoordformulier worden ingevuld.

Nadere informatie

PQR Lifecycle Services. Het begint pas als het project klaar is

PQR Lifecycle Services. Het begint pas als het project klaar is PQR Lifecycle Services Het begint pas als het project klaar is IT wordt een steeds crucialer onderdeel van de dagelijkse bedrijfsvoering. Waar u ook bent, het moet altijd beschikbaar en binnen bereik zijn.

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Veilige afvoer van ICT-middelen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

INFORMATIEVEILIGHEID een uitdaging van ons allemaal

INFORMATIEVEILIGHEID een uitdaging van ons allemaal INFORMATIEVEILIGHEID een uitdaging van ons allemaal FAMO Mini Congres: Harro Spanninga, Peter Keur Agenda Inleiding op informatieveiligheid De opdracht van de taskforce Interactief verankeren van informatieveiligheid

Nadere informatie

Voorbeeld SLA

Voorbeeld SLA <applicatie> Naam Best Practice Voorbeeld SLA IDnr 067_BP_N Datum aangepast 01/01/2011 Omschrijving van de inhoud Een voorbeelddocument van (SLA) Soort document Voorbeeld ASL Processen Servicelevel management

Nadere informatie

Q3 Concept BV Tel: +31 (0)413 331 331

Q3 Concept BV Tel: +31 (0)413 331 331 Algemeen Deze Service Level Agreement (SLA) beschrijft de dienstverlening van Q3 Concept BV op het gebied van het beheer van de Q3 applicatie zoals Q3 Concept BV deze aanbiedt aan opdrachtgever en de service

Nadere informatie

A-1: Zijn de procedures omtrent het beheer van de IT infrastructuur vastgelegd?

A-1: Zijn de procedures omtrent het beheer van de IT infrastructuur vastgelegd? ITIL CHECKLIST: Algemeen A-1: Zijn de procedures omtrent het beheer van de IT infrastructuur vastgelegd? A-2: Wordt gebruik gemaakt van een geautomatiseerd administratie systeem waar alle gegevens in kunnen

Nadere informatie

Business Impact Anlayses worden in de meeste organisaties eens per jaar of eens per halfjaar geactualiseerd en bevatten meestal beschrijvingen van:

Business Impact Anlayses worden in de meeste organisaties eens per jaar of eens per halfjaar geactualiseerd en bevatten meestal beschrijvingen van: (BIA s) Veel organisaties beschikken over BIA s ofwel Business Impact Analyses per Business Unit of per Afdeling. Hierna gaan we verder uit van Business Impact Analyses op Business Unit niveau. Dit artikel

Nadere informatie

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Mike de Bruijn roduct Owner Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement

Nadere informatie

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015 Anita van Nieuwenborg Teamleider IBD Stand van zaken IBD Regiobijeenkomsten juni-juli 2015 Agenda IBD in de praktijk Terugblik Ontwikkelingen Leveranciersmanagement Meldplicht datalekken IBD producten-

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe Leguit

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe Leguit INFORMATIEVEILIGHEID een uitdaging van ons allemaal Douwe Leguit Wake Up Call http://www.youtube.com/watch?v=f7pyhn9ic9i&sns=em Leverancier gehacked Onbereikbaarheid door DDoS aanvallen op websites Verlies

Nadere informatie

Systeemconfiguratie Policy VICnet/SPITS

Systeemconfiguratie Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Systeemconfiguratie Policy VICnet/SPITS 15 Februari 2005 Eindverantwoordelijkheid Opgesteld Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Overzicht Informatiebeveiliging Inlichtingenbureau GGK Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende

Nadere informatie

Een beetje beveiligen kan niet Op weg naar veiliger gemeenten Jaarplan 2015 en toekomst IBD Consulterend Overleg 22 september 2014 Boudien Glashouwer

Een beetje beveiligen kan niet Op weg naar veiliger gemeenten Jaarplan 2015 en toekomst IBD Consulterend Overleg 22 september 2014 Boudien Glashouwer Een beetje beveiligen kan niet Op weg naar veiliger gemeenten Jaarplan 2015 en toekomst IBD Consulterend Overleg 22 september 2014 Boudien Glashouwer Doelstellingen en scope IBD Het preventief en structureel

Nadere informatie

Business Continuity Management

Business Continuity Management Business Continuity Management Aart Bitter - 14 januari 2014 SAFER, SMARTER, GREENER Praktijk case Wij zijn als bierbrouwerij voorgedragen om onze producten te leveren aan het Holland House tijdens het

Nadere informatie

BUSINESS CONTINUITY MANAGEMENT Hoe kunt u uw onderneming beschermen voor gevaren.

BUSINESS CONTINUITY MANAGEMENT Hoe kunt u uw onderneming beschermen voor gevaren. BUSINESS CONTINUITY MANAGEMENT Hoe kunt u uw onderneming beschermen voor gevaren. Business Continuity Plan Handboek J.H. van den Berg M. Baas B U S I N E S S C O N T I N U I T Y M A N A G E M E N T Business

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

Leones. Business Case Service Management Tool

Leones. Business Case Service Management Tool Leones Business Case Service Management Tool Inhoudsopgave 1. AFBAKENING... 3 1.1 DOEL... 3 1.2 AANNAMES... 3 1.3 HUIDIGE SITUATIE... 3 1.4 PROBLEEMSTELLING... 3 1.5 WAT ALS ER NIETS GEBEURT?... 3 2. OPTIES...

Nadere informatie

Digikoppeling adapter

Digikoppeling adapter Digikoppeling adapter Versie 1.0 Datum 02/06/2014 Status Definitief Van toepassing op Digikoppeling versies: 1.0, 1.1, 2.0, 3.0 Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555

Nadere informatie

Informatiebeveiligingsbeleid 2015-2018

Informatiebeveiligingsbeleid 2015-2018 Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen

Nadere informatie

De maatregelen in de komende NEN Beer Franken

De maatregelen in de komende NEN Beer Franken De maatregelen in de komende NEN 7510 Beer Franken Twee delen in komende NEN 7510 Deel 1: het infosec management system (ISMS) hoofdstuk 4 in huidige NEN 7510 Deel 2: de maatregelen hoofdstukken 5 t/m

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

J.H. van den Berg. Versie 1.0 Mei 2011

J.H. van den Berg. Versie 1.0 Mei 2011 Versie 1.0 Mei 2011 J.H. van den Berg B U S I N E S S C O N T I N U I T Y M A N A G E M E N T Business Continuity Plan Handboek Vertrouw niet altijd op iemands blauwe ogen. Meiberg Consultancy Bronkhorsterweg

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Bijlage 2 Newway Definities UNI 121126.2 DEF v3. Newway-Definities. Venlo, november 2012, directie. Pagina 1 van 5

Bijlage 2 Newway Definities UNI 121126.2 DEF v3. Newway-Definities. Venlo, november 2012, directie. Pagina 1 van 5 Bijlage 2 Newway Definities UNI 121126.2 DEF v3 Newway-Definities Venlo, november 2012, directie Pagina 1 van 5 Definities In de documenten van Newway wordt onder de gehanteerde begrippen het volgende

Nadere informatie

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Programma 1. De IBD 2. stappenplan Aansluiten bij de IBD 3. VCIB-gesprek (plenair) 2 1.1 De IBD Gezamenlijk initiatief

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag www.rijksoverheid.nl www.facebook.com/minbzk www.twitter.com/minbzk Uw kenmerk 2016Z05065 Datum Betreft Beantwoording

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Henk Wesseling

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Henk Wesseling INFORMATIEVEILIGHEID een uitdaging van ons allemaal Henk Wesseling Wake Up Call http://www.youtube.com/watch?v=f7pyhn9ic9i&sns=em Leverancier gehacked Remote Bediening door een hacker Gemalen in Veere

Nadere informatie

HOE IMPLEMENTEER IK DE BIG? HANDLEIDING GERICHT OP KLEINE GEMEENTEN

HOE IMPLEMENTEER IK DE BIG? HANDLEIDING GERICHT OP KLEINE GEMEENTEN HOE IMPLEMENTEER IK DE BIG? HANDLEIDING GERICHT OP KLEINE GEMEENTEN Auteur IBD Datum maandag 29 september 2014 Versie versie 1.0 2 Inhoud 1 De BIG 4 1.1 Waarom 4 1.2 Wat 4 1.3 Tijdpad 5 1.4 Voordelen 6

Nadere informatie

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen: RI&E Privacy Introductie Vanaf 25 mei 2018 wordt de nieuwe Europese privacywetgeving (GDPR) gehandhaafd. Dit heeft belangrijke gevolgen voor het bedrijfsleven. Er is onder andere een meldplicht voor datalekken

Nadere informatie

Aantoonbaar in control op informatiebeveiliging

Aantoonbaar in control op informatiebeveiliging Aantoonbaar in control op informatiebeveiliging Agenda 1. Introductie key2control 2. Integrale interne beheersing 3. Informatiebeveiliging 4. Baseline Informatiebeveiliging Gemeenten 5. Demonstratie ISMS

Nadere informatie

Assurance-rapport en Verantwoording 2012 Product van Logius

Assurance-rapport en Verantwoording 2012 Product van Logius Assurance-rapport en Verantwoording 2012 Product van Logius Digipoort (koppelvlakken SMTP, X.400, FTP en POP3) Datum 19 december 2013 Status Definitief Definitief Assurance-rapport en Verantwoording 2012

Nadere informatie

Service Level Rapportage

Service Level Rapportage Service Level Rapportage Service Level Agreement nummer S115 Service Level Agreement naam HomeWURk Idealis Applicaties n.v.t. Naam klant Idealis Naam contactpersoon klant Hans van Haren Naam Service manager

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid 'BI t# ". Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Ede Postbus 9022 6710 HK EDE GLD. Programma B Postbus90801 2509

Nadere informatie