CERTIFICATIESCHEMA. Edukoppeling en SAAS. In ontwikkeling. DATUM 8 januari 2014 STATUS VERSIE 1.0

Maat: px
Weergave met pagina beginnen:

Download "CERTIFICATIESCHEMA. Edukoppeling en SAAS. In ontwikkeling. DATUM 8 januari 2014 STATUS VERSIE 1.0"

Transcriptie

1 CERTIFICATIESCHEMA Edukoppeling en SAAS DATUM 8 januari 2014 STATUS In ontwikkeling VERSIE 1.0

2 INHOUDSOPGAVE Inhoudsopgave 2 1 Achtergrond en aanleiding Achtergrond Aanleiding Doel Scope en ambitie Status van het schema Eigenaarschap Beheer van dit certificatieschema Termen, definities en afkortingen Brondocumenten 5 2 Aanwijzigingen voor het certificatieschema Hoofdlijnen van het certificatieschema 6 3 Eisen aan de functionaliteit Bron voor normen Verantwoording voor selectie van normen Interpretation notes 9 4 Onderhoud van dit certificatieschema Periodieke evaluatie 10 A Inhoudelijke normen en interpretation notes 11 B Template voor bewerkersovereenkomst 31 C Template voor zelfverklaring SAAS-leverancier 35 D Template voor bijlage bij zelfverklaring 38 E Veelgestelde vragen 39 2/40

3 1 ACHTERGROND EN AANLEIDING 1.1 Achtergrond Binnen Kennisnet is het programmabureau van het programma Samenwerkingsplatform Informatie Onderwijs (SION) belegd. Het SION is een samenwerkingsverband van de zes onderwijsraden (PO-raad, VO-raad, MBO-raad, AOC-raad, Vereniging Hoge scholen en VSNU) die zich bezighouden met het verbeteren van de informatiehuishouding voor wat betreft de gemeenschappelijke vraagstukken die de verschillende deelsectoren in het onderwijs overstijgen. 1.2 Aanleiding Een van de vraagstukken behelst een veilige en uniforme manier van gegevensuitwisseling binnen de administratieve keten in het onderwijsdomein. Wanneer gegevens worden uitgewisseld met een onderwijsinstelling die gebruik maakt van een (multi tenant) SAAS-oplossing kan een probleem ontstaan in het berichtenverkeer wanneer de technische identiteit en de inhoudelijke identiteit van één van de ketenpartijen van elkaar verschilt. Technisch worden dan gegevens uitgewisseld met de SAAS-leverancier, terwijl inhoudelijk de gegevens bedoeld zijn voor of gevraagd worden van één van de scholen die gebruik maakt van die SAAS-oplossing. Vanuit het project Referentie Architectuur Onderwijs (RAO) is met ketenpartijen (DUO, leveranciers) gezocht naar een duurzame en standaardoplossing voor gegevensuitwisseling met SAAS-leveranciers die voldoet aan de benodigde beveiligingsnormen. Deze afspraak wordt binnen de RAO 1 geschaard bij andere (nog te ontwikkelen) ict-infrastructurele afspraken en voorzieningen onder de noemer Edukoppeling 2. De oplossingsrichting die is geïdentificeerd om dit probleem aan te pakken, richt zich op de kwaliteit van en rechtstreekse uitwisseling met de SAAS-leverancier in plaats van met de onderwijsinstelling. Bij deze oplossingsrichting worden gegevens verstuurd 'aan SAAS-leverancier Y, ter attentie van onderwijsinstelling X'. Alle ketenpartijen moeten erop kunnen vertrouwen dat gegevens die aan de SAAS-leverancier worden geleverd op de juiste manier worden verwerkt. De SAAS-leverancier zal, via bijvoorbeeld het doen uitvoeren van onafhankelijke audits, aan alle ketenpartijen moeten kunnen aantonen dat dat vertrouwen gerechtvaardigd is. In dit scenario zijn vanuit het onderwijsdomein daarom gezamenlijk opgestelde 'aansluitcriteria' nodig op basis waarvan softwareproducten en - leveranciers kunnen worden getoetst. 1 De Referentie Architectuur Onderwijs (RAO) zal vanaf 2014 overgaan in de ROSA Edukoppeling sluit aan bij Digikoppeling dat binnen het overheidsdomein gebruikt wordt. 3/40

4 1.3 Doel Het certificatieschema Edukoppeling en SAAS is bedoeld voor aanbieders van een (multi tenant) SAAS-oplossing. Het doel van het certificeringsproces is om vertrouwen te creëren in de betrouwbaarheid van de door de leveranciers geleverde SAAS-oplossing. Dit certificeringsschema: 1. specificeert de minimale eisen waaraan een toepassing moet voldoen om te mogen worden ingezet als SAAS oplossing binnen; en 2. beschrijft de eisen aan de wijze waarop wordt vastgesteld dat aan deze normen wordt voldaan. Een SAAS-leverancier moet aan de eisen in dit schema voldoen, vóórdat de betreffende SAASdienst binnen de context van Edukoppeling mag worden ingezet. 1.4 Scope en ambitie Het huidige certificatieschema is er in eerste instantie op gericht om SAAS-leveranciers te certificeren die op basis van één PKI-certificaat met DUO wensen uit te wisselen. In een vervolg zal het certificatieschema uitgebreid worden, waarbij gestreefd wordt na een uniforme en gemeenschappelijk certificatieschema voor het gehele onderwijsdomein (waaronder ook overige leveranciers), en waarbij voor specifieke ketenprocessen aanvullende normen gesteld kunnen worden. Het huidige certificatieschema gaat niet in op de certificering van instellingen. Binnen het samenwerkingsplatform (Sion) wordt in 2014 gewerkt aan een beleidskatern privacy en beveiliging, waarin ook normen opgenomen worden waaraan de scholen (op termijn) dienen te voldoen. 1.5 Status van het schema Het toepassen van een certificeringsproces is binnen de context van Edukoppeling, haar gebruikers en de leveranciers nog niet gebruikelijk. Dit schema moet worden gezien als een eerste stap in een groeiproces. De inhoud van dit schema zal in onderling overleg tussen de betrokkenen in de komende periode verder worden ontwikkeld en/of aangevuld. Het huidige schema ziet toe op de inrichting van een basisniveau voor betrouwbaarheid. In volgende versies zullen zowel de minimale eisen als de toetsingsmethode zich verder ontwikkelen. 4/40

5 1.6 Eigenaarschap Het eigenaarschap van dit certificatieschema is op dit moment nog niet belegd 3. Het is de verantwoordelijkheid van Kennisnet als uitvoerder van het programma om te zorgen voor de invulling van de rol van schemabeheerder en het publiceren van dit schema. 1.7 Beheer van dit certificatieschema Deze versie van het certificatieschema Edukoppeling en SAAS wordt namens de betrokkenen initieel en tijdelijk beheerd door het Samenwerkingsplatform Informatie Onderwijs. Bij de eerste evaluatie van het certificatieschema zal ook de invulling van de rol van schemabeheerder worden besproken. 1.8 Termen, definities en afkortingen De begrippen certificatie en accreditatie worden vaak door elkaar gebruikt. In de context van Edukoppeling wordt gebruik gemaakt van de volgende definities. Daarmee wordt gekozen voor certificatie als leidende term. Certificatie Een certificaat is een schriftelijke verklaring, bedoeld als bewijsstuk voor de kwaliteit van een bedrijf, mens, dienst of product. Aan de afgifte van een certificaat liggen criteria ten grondslag, zoals normen, wettelijke eisen of brancheregels. Accreditatie Een accreditatieinstelling beoordeelt het managementsysteem als de technische competentie van de certificerende instelling. Daarbij houdt de accreditatieinstelling toezicht om de onpartijdigheid en deskundigheid van de instelling die de certificerende instelling te garanderen. 1.9 Brondocumenten Voor de samenstelling van dit schema is gebruik gemaakt van de volgende bronnen: Cloud Control Matrix CSA_CCM_v Cloud Security Alliance. Edukoppeling transactiestandaard versie 0.92, datum Initieel heeft Kennisnet vanuit het programma SION opdracht gegeven voor de ontwikkeling van het certificatieschema en moet daarmee worden gezien als acting eigenaar, totdat een permanente invulling van deze rol is gevonden. 5/40

6 2 AANWIJZIGINGEN VOOR HET CERTIFICATIESCHEMA 2.1 Hoofdlijnen van het certificatieschema Het doel van het certificeringsproces is om vertrouwen te creëren in de betrouwbaarheid van de door de leveranciers geleverde SAAS oplossing. Het certificeringsproces valt uiteen in twee onderdelen: Inhoudelijke normen waartegen de betrouwbaarheid van de geboden dienstverlening wordt vastgesteld. Voor de inhoudelijke normen wordt gebruik gemaakt van een basisset van normen die door de markt als toonaangevend worden beschouwd, aangevuld met specifieke aanvullingen of interpretaties voor Edukoppeling. Een beschrijving van de wijze waarop wordt vastgesteld dat de dienstverlening daadwerkelijk voldoet aan de gestelde eisen. In dit schema is in eerste instantie gekozen voor de systematiek van een zogenaamde zelfverklaring, waarbij de leverancier zelf vaststelt en verklaart dat zijn product of dienst aan de normen voldoet. In de paragrafen hierna worden deze hoofdlijnen nader beschreven Verantwoordelijkheid van de SAAS-leveranciers De SAAS-leveranciers worden geacht om de volgende activiteiten uit te voeren: 1. Kennis nemen van de van toepassing zijnde normen en interpretation notes (zie Bijlage A). 2. Voor zichzelf te bepalen in welke mate aan de betreffende normen en interpretation notes wordt voldaan. 3. Voor zichzelf vast te stellen op welke wijze kan worden aangetoond dat aan de betreffende normen en interpretation notes wordt voldaan. Het wordt geadviseerd de bewijsvoering hiertoe vast te leggen, dit in verband met eventuele latere vragen om openheid van zaken te geven. 4. De mate waarin wordt voldaan vast te leggen in de verplichte bijlage van de Letter (zie Bijlage D). 5. Daar waar verbeterpotentieel aanwezig is deze expliciet te benoemen in de bijlage, aangevuld met een planning wanneer leverancier verwacht de verbetering te hebben gerealiseerd. Hierbij kan worden volstaan met een indicatieve planning per kwartaal (bijvoorbeeld Q1 of Q2 ). 6. Een zelfverklaring op te stellen, die overeenkomt met de tekst zoals deze in Bijlage C is opgenomen Eisen aan de zelfverklaring De tekst van de zelfverklaring moet overeenkomen met de tekst zoals deze in Bijlage C is opgenomen. Let op: afwijkingen in de tekst kunnen zonder voorafgaande toestemming van schemabeheerder niet worden geaccepteerd. 6/40

7 Een zelfverklaring moet altijd vergezeld gaan van een bijlage waarin wordt aangegeven of en in welke mate aan normen wordt voldaan (zie Bijlage D). De zelfverklaring is een fysiek document en moet worden ondertekend door een bij de KvK geregistreerde tekenbevoegde. De zelfverklaring wordt zowel elektronisch als fysiek verstrekt aan de schemabeheerder. Contactpersoon namens de schemabeheerder is Tonny Plas. De contactgegevens van de schemabeheerder zijn: en Paletsingel 2718 NT Zoetermeer Periode van geldigheid van de zelfverklaring De zelfverklaring is maximaal één jaar geldig en dient jaarlijks te worden verstrekt. De zelfverklaring moet jaarlijks op de laatste werkdag vóór 31 januari worden verstrekt Steekproefsgewijze toetsing De schemabeheerder heeft het recht om de SAAS-leveranciers steekproefsgewijs te vragen aantoonbaar te maken dat feitelijk aan de betreffende normen is voldaan. Ook bij gerede twijfel heeft de schemabeheerder het recht om dit te vragen. Hiertoe wordt door de schemabeheerder een onafhankelijke onderzoeker aangesteld die zal beoordelen of de SAAS-leverancier daadwerkelijk aan de normen voldoet. SAAS-leverancier is verplicht om binnen vier weken aan dit verzoek gehoor te geven en toegang te verlenen aan onderzoekers die door de schemabeheerder worden aangewezen. De tijd en middelen die de SAAS-leverancier hiervoor moet inzetten kunnen niet worden doorbelast aan de schemabeheerder Sancties Het niet of niet tijdig overleggen van de zelfverklaring kan leiden tot passende sancties. Mocht gaandeweg een steekproefsgewijze toetsing blijken dat de feitelijke stand van zaken niet overeenstemt met de zelfverklaring en dat aannemelijk is dat de betreffende SAAS-leverancier dit had kunnen weten kan dit leiden tot passende sancties. In deze fase van de volwassenheid van dit certificatieschema is er geen behoefte om het sanctieregime verder uit te werken. Partijen zullen onderling moeten vaststellen wat een passende sanctie is. De schemabeheerder heeft hierbij de rol van liaison / intermediair. 7/40

8 3 EISEN AAN DE FUNCTIONALITEIT 3.1 Bron voor normen SAAS dienstverlening (of ook: cloud dienstverlening) is zodanig nieuw en veelomvattend type dienstverlening dat nog geen wereldwijd geaccepteerde set aan betrouwbaarheidseisen bestaat. Tegelijkertijd zijn er wel initiatieven vanuit de sector zelf (Cloud Security Alliance, Eurocloud) en vanuit andere belangenorganisaties (bijvoorbeeld ISACA of lokale overheden) om te komen tot een gemeenschappelijke standaard. Op het moment van de initiële totstandkoming van dit schema (Q4 2013) heeft de Cloud Security Alliance (CSA) een grote voorsprong op andere initiatieven. Dit is onder andere zichtbaar in de uitwerking van een normenkader voor Cloud dienstverlening, de Cloud Control Matrix 4. Versie 3.0 van de Cloud control matrix is de basis voor de in dit schema voorgestelde normen. 3.2 Verantwoording voor selectie van normen De Cloud Control Matrix (CCM) bestaat uit meer dan 130 normen, verdeeld over 16 domeinen. Op basis van de specifieke functionaliteit van EDU-koppeling en het specifieke risicoprofiel is de keuze gemaakt om uit de volledige set aan normen een minimale basis set te selecteren die als basis normenkader van toepassing is. De selectie van de normen heeft plaatsgevonden op basis van 2 criteria: 1. Negen aspectgebieden die door CSA worden onderkend als meest cruciale dreigingen voor een veilige cloud waartegen effectieve controls moeten worden ingezet 5 : a. Data Breaches b. Data Loss c. Account or Service Hijacking d. Insecure Interfaces and API s e. Denial of Service f. Malicious Insiders g. Abuse of Cloud Services h. Insufficient Due Diligence i. Shared Technology Vulnerabilities CSA heeft zelf een relatie gelegd tussen deze negen aspectgebieden en de maatregelen ( controls ) die een effectieve bescherming vormen tegen deze dreigingen. 4 https://cloudsecurityalliance.org/research/ccm/ 5 The Notorious Nine Cloud Computing Top Threats in /40

9 2. De samenwerkingspartners rondom Edukoppeling hebben daarnaast drie specifieke risicogebieden geïdentificeerd: interoperabiliteit, betrouwbaarheid en privacy. Er zijn hierbinnen vijf aspectgebieden die specifiek in de context van Edukoppeling aanvullend en specifiek als risicogebied worden gezien: a. Interoperabiliteit: i. de services waarmee gegevens met andere ketenpartijen worden uitgewisseld moeten voldoen aan de Edukoppeling transactie-standaard; b. Betrouwbaarheid i. misbruik door eigen (oud-) medewerkers die toegang kunnen hebben tot de gegevens van de school; ii. vermenging van gegevens met die van andere klanten; iii. leverancier moet een log of audittrail vastleggen per klantomgeving om het uitvoeren van digitaal (forensisch) onderzoek en audits te ondersteunen; c. Privacy i. tussen SAAS-leverancier en de onderwijsinstelling moet een bewerkersovereenkomst (zie Bijlage B) worden afgesloten. Voor deze aspecten heeft de schemabeheerder een relatie gelegd met de maatregelen ( controls ) die een effectieve bescherming vormen tegen deze dreigingen. Op deze manier zijn enkele maatregelen / controls aan het nomenkader toegevoegd. 3.3 Interpretation notes Bij de toepassing van het normenkader kan het voorkomen dat onduidelijkheden bestaan over het begrijpen van de norm in relatie tot de specifieke context van Edukoppeling. In die gevallen waar het noodzakelijk is om een specifieke aanvulling of toelichting te geven worden door de schemabeheerder interpretation notes aan de normbeschrijving toegevoegd. Hierbij wordt er bewust voor gekozen om restrictief te zijn in de aanvullingen, omdat er bij veel aanvullingen op de marktstandaard via een omweg een nieuwe markststandaard wordt gecreëerd. 9/40

10 4 ONDERHOUD VAN DIT CERTIFICATIESCHEMA 4.1 Periodieke evaluatie De eigenaar bespreekt de opzet en de werking van het certificatieschema met alle relevante stakeholders, waaronder minimaal: DUO, Leveranciers, sambo-ict en Kennisnet. Deze samenstelling bepaalt gezamenlijk hoe frequent de inhoud van het schema of het normenkader wordt geëvalueerd. In eerste instantie wordt uitgegaan van een evaluatiefrequentie van tweemaal per jaar (mei en november). 10/40

11 A Inhoudelijke normen en interpretation notes De gedachte achter de zelfverklaring is dat de leverancier transparant is over de mate waarin aan de eisen wordt voldaan. Dit in tegenstelling tot de een onafhankelijke toetsing, waarin deze vaststelling door een derde plaatsvindt. De leverancier dient daarom voor zichzelf te bepalen hoe hij een bepaalde control voor de eigen dienstverlening zou moeten toepassen. De formuleringen in kolommen Control Domain, Control ID en Control Specification zijn overgenomen uit de Cloud Security Agency (CSA) Cloud Control Matrix (CCM) versie 3.0. De controls waarvan het control id eindigt op een a en de control specification in het Nederlands is geschreven zijn specifiek toegevoegd. Toelichting kolom Compliance eis Daar waar een control is gemarkeerd met volledig betekent dit dat de leverancier volledig aan deze control moet voldoen en dat er geen verbeterpunten meer mogen zijn. Daar waar een control is gemarkeerd met deels betekent dit dat verbeterpunten zijn toegestaan. De leverancier moet op termijn aan deze control moet voldoen en op dit moment al deze control in een bepaalde mate moet hebben ingericht. Voor alle controls geldt daarmee dat het niet acceptabel is als er nog helemaal geen maatregelen zijn getroffen om aan deze control te voldoen. De kolom ISO27001:2005 is overgenomen uit de Cloud Security Agency (CSA) Cloud Control Matrix (CCM) versie 3.0 en bevat een mapping naar de volgens CSA van toepassing zijnde paragrafen uit ISO 27001: De kolom Interpretation note is toegevoegd door de schemabeheerder en dient als illustratie / achtergrondbeschrijving van de betreffende control.

12 Control Domain Control Control Specification Compli- ISO : Interpretation note ID ance 2005 eis Application & AIS-01 Applications and interfaces (APIs) shall be designed, A Interface developed, and deployed in accordance with industry A Security acceptable standards (e.g., OWASP for web applications) A Application and adhere to applicable legal, statutory, or regulatory A Security compliance obligations. A A A A A A A AIS-01.a Daar waar partijen kiezen voor een gegevensuitwisseling Volledig Toegevoegd als specifieke eis vanuit conform Edukoppeling moet de thans geldende versie van de de schema eigenaar. transactiestandaard zijn toegepast. Application & AIS-04 Policies and procedures shall be established, and supporting A Interface business processes and technical measures implemented, to A Security ensure protection of confidentiality, integrity, and availability A Data Security / of data exchanged between one or more system interfaces, A Integrity jurisdictions, or external business relationships to prevent A improper disclosure, alteration, or destruction. These policies, A procedures, processes, and measures shall be in accordance A /40

13 with known legal, statutory and regulatory compliance A obligations. Audit AAC-03 An inventory of the organization's external legal, statutory, ISO/IEC Organisatie houdt bij wat de impact is Assurance & and regulatory compliance obligations associated with (and 27001:2005 van nieuwe wet- en regelgeving. Ten Compliance mapped to) any scope and geographically-relevant presence Clause b) aanzien van de impact van nieuwe Information of data or organizationally-owned or managed (physical or 2) privacy wetgeving is de organisatie pro- System virtual) infrastructure network and systems components shall Clause c) actief. Met pro-actief wordt bedoeld dat Regulatory be maintained and regularly updated as per the business 1) een organisatie niet alleen Mapping need (e.g., change in impacted-scope and/or a change in any Clause g) nieuwsbrieven maar ook met compliance obligation). Clause d) gespecialiseerde adviseurs of 6) gesprekspartners afstemt hoe nieuwe Clause richtlijnen zich vertalen naar Clause a-f implementatie in de eigen Clause 7.3 c) 4) bedrijfsvoering. A A A A A AAC- Onderdeel van deze norm is dat een passende Volledig Toegevoegd als specifieke eis vanuit 03a bewerkersovereenkomst is afgesloten, conform het geldende de schema eigenaar. 13/40

14 model. AAC- Onderdeel van deze norm is dat persoonsgegevens door de Volledig Toegevoegd als specifieke eis vanuit 03b leverancier op geen enkele wijze aan derden ter beschikking de schema eigenaar. worden gesteld. Business BCR-12 Policies and procedures shall be established, and supporting Clause Minimaal onderdeel van een retention Continuity & Operational Resilience Retention Policy business processes and technical measures implemented, for defining and adhering to the retention period of any critical asset as per established policies and procedures, as well as applicable legal, statutory, or regulatory compliance obligations. Backup and recovery measures shall be incorporated as part of business continuity planning and tested accordingly for effectiveness. A A policy moet zijn: - welke data is onderdeel van de backup - hoe lang mag welk type data worden bewaard - op welke manier moet data worden vernietigd / verwijderd als deze data niet langer wordt gebruikt / mag worden gebruikt Data Security & DSI-02 Policies and procedures shall be established, and supporting Doel van de policies en procedures Information business processes and technical measures implemented, to moet zijn dat vermenging van gegevens Lifecycle inventory, document, and maintain data flows for data that is met die van andere klanten wordt resident (permanently or temporarily) within the service's voorkomen. Data Inventory / geographically distributed (physical and virtual) applications Flows and infrastructure network and systems components and/or Het is hierbij belangrijk om dit enerzijds shared with other third parties to ascertain any regulatory, te bezien in de relatie tussen School en statutory, or supply chain agreement (SLA) compliance SAAS leverancier, maar ook in de impact, and to address any other business risks associated relatie tussen SAAS leverancier en with the data. Upon request, provider shall inform customer onderwijsketen. (tenant) of compliance impact and risk, especially if customer data is used as part of the services. 14/40

15 Data Security & DSI-04 Policies and procedures shall be established for labeling, A Het labelen moet worden Information handling, and the security of data and objects which contain A geïnterpreteerd als fysiek of Lifecycle data. Mechanisms for label inheritance shall be implemented A elektronisch markeren van data. for objects that act as aggregate containers for data. A Handling / Labeling / Security Policy Data Security & DSI-05 Security mechanisms shall be implemented to prevent data A Doel van de deze mechanismen moet Information leakage. A zijn dat vermenging van gegevens met Lifecycle die van andere klanten wordt voorkomen. Information Leakage Data Security & DSI-06 Production data shall not be replicated or used in non- Volledig A Information production environments. A Lifecycle A A Non-Production Data Data Security & DSI-07 All data shall be designated with stewardship, with assigned A Het moet helder zijn wie de steward is Information responsibilities defined, documented, and communicated. A van de data. Dit is een randvoorwaarde Lifecycle A om vermenging van gegevens met die van andere klanten te kunnen Ownership / voorkomen. Stewardship 15/40

16 Data Security & DSI-08 Policies and procedures shall be established, and supporting A Information business processes and technical measures implemented, A Lifecycle for the secure disposal and complete removal of data from all storage media, ensuring data is not recoverable by any Secure Disposal computer forensic means. Datacenter DCS-04 Authorization must be obtained prior to relocation or transfer A Security of hardware, software, or data to an offsite premises. A Off-Site Authorization Datacenter DCS-08 Ingress and egress points such as service areas and other A Security points where unauthorized personnel may enter the premises A Unauthorized shall be monitored, controlled and, if possible, isolated from Persons Entry data storage and processing facilities to prevent unauthorized data corruption, compromise, and loss. Datacenter DCS-09 Physical access to information assets and functions by users A Security and support personnel shall be restricted. User Access 16/40

17 Encryption & EKM-02 Policies and procedures shall be established, and supporting Clause Deze eis is specifiek van toepassing Key business processes and technical measures implemented, A voor de Key die de SAAS leverancier for the management of cryptographic keys in the service's A zelf gebruikt om gegevens met de Key Generation cryptosystem (e.g., lifecycle management from key A keten uit te wisselen. generation to revocation and replacement, public key infrastructure, cryptographic protocol design and algorithms used, access controls in place for secure key generation, and exchange and storage including segregation of keys used for encrypted data or sessions). Upon request, provider shall inform the customer (tenant) of changes within the cryptosystem, especially if the customer (tenant) data is used as part of the service, and/or the customer (tenant) has some shared responsibility over implementation of the control. Encryption & EKM-03 Policies and procedures shall be established, and supporting A Key business processes and technical measures implemented, A for the use of encryption protocols for protection of sensitive A Sensitive Data data in storage (e.g., file servers, databases, and end-user A Protection workstations) and data in transmission (e.g., system A interfaces, over public networks, and electronic messaging) A as per applicable legal, statutory, and regulatory compliance A obligations. A EKM- Toegang tot (gegevens in) de clouddienst verloopt altijd via Volledig 03.a een HTTPS (SSL/TLS)-verbinding. Governance GRM-01 Baseline security requirements shall be established for A De SAAS leverancier stelt voor intern and Risk developed or acquired, organizationally-owned or managed, A gebruik dergelijke baselines op. 17/40

18 Baseline Requirements Governance and Risk Data Focus Risk Assessments Governance and Risk Policy Enforcement physical or virtual, applications and infrastructure system and network components that comply with applicable legal, statutory and regulatory compliance obligations. Deviations from standard baseline configurations must be authorized following change management policies and procedures prior to deployment, provisioning, or use. Compliance with security baseline requirements must be reassessed at least annually unless an alternate frequency has been established and established and authorized based on business need. GRM-02 Risk assessments associated with data governance requirements shall be conducted at planned intervals and shall consider the following: Awareness of where sensitive data is stored and transmitted across applications, databases, servers, and network infrastructure Compliance with defined retention periods and end-of-life disposal requirements Data classification and protection from unauthorized use, access, loss, destruction, and falsification GRM-07 A formal disciplinary or sanction policy shall be established for employees who have violated security policies and procedures. Employees shall be made aware of what action might be taken in the event of a violation, and disciplinary measures must be stated in the policies and procedures. Clause c) & g) Clause 4.2.3d) Clause & Clause 7.2 & 7.3 A.7.2 A A A Volledig A /40

19 Governance and Risk Risk Assessments Human Resources Background Screening Human Resources Employment Agreements GRM-10 Aligned with the enterprise-wide framework, formal risk assessments shall be performed at least annually or at planned intervals, to determine the likelihood and impact of all identified risks using qualitative and quantitative methods. The likelihood and impact associated with inherent and residual risk shall be determined independently, considering all risk categories (e.g., audit results, threat and vulnerability analysis, and regulatory compliance). HRS-02 Pursuant to local laws, regulations, ethics, and contractual constraints, all employment candidates, contractors, and third parties shall be subject to background verification proportional to the data classification to be accessed, the business requirements, and acceptable risk. HRS-03 Employment agreements shall incorporate provisions and/or terms for adherence to established information governance and security policies and must be signed by newly hired or on-boarded workforce personnel (e.g., full or part-time employee or contingent staff) prior to granting workforce personnel user access to corporate facilities, resources, and assets. Clause c) through g) Clause d) Clause 5.1 f) Clause 7.2 & 7.3 A A A A A A A A Deze eis geldt specifiek in relatie tot de eis dat misbruik door eigen (oud-) medewerkers die toegang kunnen hebben tot de gegevens van de school moet worden voorkomen. A Deze eis geldt specifiek in relatie tot de A eis dat misbruik door eigen (oud-) medewerkers die toegang kunnen hebben tot de gegevens van de school moet worden voorkomen. 19/40

20 Human Resources Employment Termination Human Resources Non-Disclosure Agreements Human Resources Roles / Responsibilities Identity & Access Audit Tools Access HRS-04 Roles and responsibilities for performing employment termination or change in employment procedures shall be assigned, documented, and communicated. HRS-07 Requirements for non-disclosure or confidentiality agreements reflecting the organization's needs for the protection of data and operational details shall be identified, documented, and reviewed at planned intervals. HRS-08 Roles and responsibilities of contractors, employees, and third-party users shall be documented as they relate to information assets and security. IAM-01 Access to, and use of, audit tools that interact with the organization's information systems shall be appropriately segmented and restricted to prevent compromise and misuse of log data. A Deze eis geldt specifiek in relatie tot de eis dat misbruik door eigen (oud-) medewerkers die toegang kunnen hebben tot de gegevens van de school moet worden voorkomen. ISO/IEC Deze eis geldt specifiek in relatie tot de 27001:2005 eis dat misbruik door eigen (oud-) Annex A medewerkers die toegang kunnen hebben tot de gegevens van de school moet worden voorkomen. Clause 5.1 c) A A A A Doel hiervan is dat vermenging van gegevens met die van andere klanten wordt voorkomen. Doel hiervan is tevens om vast te stellen dat SAAS-leverancier afdoende maatregelen heeft getroffen om per klantomgeving een log of audittrail vast te leggen om het uitvoeren van digitaal en/of forensisch onderzoek en audits te ondersteunen. 20/40

CERTIFICERINGSSCHEMA EDUKOPPELING

CERTIFICERINGSSCHEMA EDUKOPPELING CERTIFICERINGSSCHEMA EDUKOPPELING DATUM 6 november 2014 VERSIE 1.1 AUTEUR LICENTIE Kennisnet Creative Commons Naamsvermelding INHOUDSOPGAVE Inhoudsopgave 2 1 Inleiding 3 1.1 Achtergrond en aanleiding 3

Nadere informatie

CERTIFICERINGSSCHEMA EDUKOPPELING

CERTIFICERINGSSCHEMA EDUKOPPELING CERTIFICERINGSSCHEMA EDUKOPPELING DATUM 24 september 2014 VERSIE 1.1 AUTEUR LICENTIE Kennisnet Creative Commons Naamsvermelding INHOUDSOPGAVE Inhoudsopgave 2 1 Inleiding 3 1.1 Achtergrond en aanleiding

Nadere informatie

Informatiebeveiliging & ISO/IEC 27001:2013

Informatiebeveiliging & ISO/IEC 27001:2013 Informatiebeveiliging & ISO/IEC 27001:2013 Aart Bitter Haarlem, 18 maart 2014 Kwaliteitskring Noord-Holland www.information-security-governance.com Agenda 13:45-14:15 - Informatiebeveiliging Introductie

Nadere informatie

2 e webinar herziening ISO 14001

2 e webinar herziening ISO 14001 2 e webinar herziening ISO 14001 Webinar SCCM 25 september 2014 Frans Stuyt Doel 2 e webinar herziening ISO 14001 Planning vervolg herziening Overgangsperiode certificaten Korte samenvatting 1 e webinar

Nadere informatie

Incidenten in de Cloud. De visie van een Cloud-Provider

Incidenten in de Cloud. De visie van een Cloud-Provider Incidenten in de Cloud De visie van een Cloud-Provider Overzicht Cloud Controls Controls in de praktijk Over CloudVPS Cloudhosting avant la lettre Continu in ontwikkeling CloudVPS en de Cloud Wat is Cloud?

Nadere informatie

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007 ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard NGI Limburg 30 mei 2007 1 Tijdlijn 80-er jaren: ITIL versie 1 2000: BS 15000 2001: ITIL versie 2 2002: Aangepaste versie BS 15000 2005: BS

Nadere informatie

Snel naar ISO20000 met de ISM-methode

Snel naar ISO20000 met de ISM-methode Snel naar ISO20000 met de ISM-methode Cross-reference Datum: 16 oktober 2012 Versie: 1.0 Auteur: J. van Bon Integrated Service Management Snel naar ISO20000 met de ISM-methode! Organisaties moeten, door

Nadere informatie

Aantoonbaar in control over uw IT én de veiligheid van uw deelnemergegevens! Rocus van Oossanen (DNB) en Jeroen Biekart (NOREA)

Aantoonbaar in control over uw IT én de veiligheid van uw deelnemergegevens! Rocus van Oossanen (DNB) en Jeroen Biekart (NOREA) Aantoonbaar in control over uw IT én de veiligheid van uw deelnemergegevens! Rocus van Oossanen (DNB) en Jeroen Biekart (NOREA) Agenda Over uw sprekers; De toezichtaanpak van DNB: Focus! IT risico in Focus!

Nadere informatie

Uitbesteding van processen

Uitbesteding van processen Certification Providers Uitbesteding van processen College van Belanghebbenden TTP.NL Over deze presentatie s Signalen van marktpartijen - twijfel of alle s op de juiste wijze omgaan met (buitenlandse)

Nadere informatie

Process Mining and audit support within financial services. KPMG IT Advisory 18 June 2014

Process Mining and audit support within financial services. KPMG IT Advisory 18 June 2014 Process Mining and audit support within financial services KPMG IT Advisory 18 June 2014 Agenda INTRODUCTION APPROACH 3 CASE STUDIES LEASONS LEARNED 1 APPROACH Process Mining Approach Five step program

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

BCM en de Cloud. CSA-nl 10 april 2012 André Koot

BCM en de Cloud. CSA-nl 10 april 2012 André Koot BCM en de Cloud CSA-nl 10 april 2012 André Koot info@i3advies.nl Twitter: @meneer Agenda Cloud Risico's Maatregelen 1. Cloud Cloud omnipresent Wereldwijd alle grote aanbieders Volop management aandacht

Nadere informatie

Europese Privacy Verordening (EPV) Een wet met Tanden

Europese Privacy Verordening (EPV) Een wet met Tanden Europese Privacy Verordening (EPV) Een wet met Tanden WBP en EPV grote verschillen? WBP Transparantie X X Proportionaliteit X X Doelbinding X X Subsidiariteit X X Accountability en auditability Boetes

Nadere informatie

1.1 ORGANIZATION INFORMATION 1.2 CONTACT INFORMATION 2.1 SCOPE OF CERTIFICATION 2.2 AUDITOR INFORMATION 3.1 AUDIT CONCLUSIONS 3.2 MANAGEMENT SYSTEM EFFECTIVENESS 3.3 OBSERVATIONS Organization Address Name

Nadere informatie

CLOUD COMPUTING & PRIVACY CHECKLIST CONTRACTUELE AFSPRAKEN

CLOUD COMPUTING & PRIVACY CHECKLIST CONTRACTUELE AFSPRAKEN CLOUD COMPUTING & PRIVACY CHECKLIST CONTRACTUELE AFSPRAKEN De onderwijsinstelling die een cloud dienst wil afnemen, zal daarvoor een contract moeten sluiten met de cloud provider. Het kan voordelen opleveren

Nadere informatie

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus Inhoud Compliance vakgebied en organisatie CMMI software en systems engineering

Nadere informatie

Enterprisearchitectuur

Enterprisearchitectuur Les 2 Enterprisearchitectuur Enterprisearchitectuur ITarchitectuur Servicegeoriënteerde architectuur Conceptuele basis Organisatiebrede scope Gericht op strategie en communicatie Individuele systeemscope

Nadere informatie

Onderwerp: Toelichting op Toetsingskader Informatiebeveiliging 2014

Onderwerp: Toelichting op Toetsingskader Informatiebeveiliging 2014 Confidentieel 1 van 5 Onderwerp: Toelichting op Toetsingskader Informatiebeveiliging 2014 1. INLEIDING Sinds 2010 onderzoekt DNB de kwaliteit van informatiebeveiliging als thema binnen de financiële sector.

Nadere informatie

The Power of N. Novell File Management Products. Dupaco Cafe. Anthony Priestman Sr. Solution Architect Novell Inc.

The Power of N. Novell File Management Products. Dupaco Cafe. Anthony Priestman Sr. Solution Architect Novell Inc. The Power of N Novell File Management Products Dupaco Cafe Anthony Priestman Sr. Solution Architect Novell Inc. Twentieth Century Fox Data Governance Beheren en monitoren van toegang File Management Zoek

Nadere informatie

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT

Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009. Cross reference ISM - COBIT Auteurs: Jan van Bon, Wim Hoving Datum: 9 maart 2009 Cross reference ISM - COBIT ME: Monitor & Evaluate Cross reference ISM - COBIT Management summary Organisaties gebruiken doorgaans twee soorten instrumenten

Nadere informatie

EPD in the cloud. Workshop informatieveiligheidsconsulenten FOD VG 5/12/2013

EPD in the cloud. Workshop informatieveiligheidsconsulenten FOD VG 5/12/2013 EPD in the cloud Workshop informatieveiligheidsconsulenten FOD VG 5/12/2013 ICT:... van tool naar strategie Strategische implicaties Administratieve functies Medisch- Individualisatie technische patiëntbenadering

Nadere informatie

Cloud Computing. Checklist privacy afspraken. SURFnet Kennisnet Innovatieprogramma

Cloud Computing. Checklist privacy afspraken. SURFnet Kennisnet Innovatieprogramma Cloud Computing & Privacy Checklist privacy afspraken Wanneer een onderwijsinstelling een cloud dienst wil afnemen, zal daarvoor een contract moeten worden gesloten met de cloud leverancier. Van belang

Nadere informatie

Offshore Outsourcing van Infrastructure Management

Offshore Outsourcing van Infrastructure Management Offshore Outsourcing van Infrastructure Management an emerging opportunity dr. Erik Beulen Atos Origin/Tilburg University 1 Agenda Introductie Ontwikkelingen Risicovergelijking Best practices Conclusies

Nadere informatie

Over cloud-computing en Europese privacywetgeving: nu en straks

Over cloud-computing en Europese privacywetgeving: nu en straks SURFNET SEMINAR PRIVACY & DE CLOUD: DE STAND VAN ZAKEN Over cloud-computing en Europese privacywetgeving: nu en straks Gerrit-Jan Zwenne Utrecht 26 juni 2012 roadmap privacyrichtlijn 95/46/EG - verantwoordelijke

Nadere informatie

Mobile Devices, Applications and Data

Mobile Devices, Applications and Data Mobile Devices, Applications and Data 1 Jits Langedijk Senior Consultant Jits.langedijk@pqr.nl Peter Sterk Solution Architect peter.sterk@pqr.nl Onderwerpen - Rol van Mobile IT in Tomorrow s Workspace

Nadere informatie

Cloud security. Ing. Renato Kuiper CISSP, CISA, CSF Research & Development CSA NL. Copyright 2013 Cloud Security Alliance

Cloud security. Ing. Renato Kuiper CISSP, CISA, CSF Research & Development CSA NL. Copyright 2013 Cloud Security Alliance Cloud security Ing. Renato Kuiper CISSP, CISA, CSF Research & Development CSA NL Copyright 2013 Cloud Security Alliance ! Over de CSA! Cloud computing en uitdagingen! Hoe bouwen we aan een veilige cloud?!

Nadere informatie

Cloud & Privacy. B2B Clouddiensten. Robert Boekhorst Amsterdam 27 juni 2013

Cloud & Privacy. B2B Clouddiensten. Robert Boekhorst Amsterdam 27 juni 2013 Cloud & Privacy B2B Clouddiensten Robert Boekhorst Amsterdam 27 juni 2013 Inleiding Privacyrecht: in vogelvlucht Knelpunten Hoe hier mee om te gaan? toekomstige ontwikkelingen Privacyrecht in vogelvlucht

Nadere informatie

EXIN WORKFORCE READINESS professional

EXIN WORKFORCE READINESS professional EXIN WORKFORCE READINESS professional DE ERVARING LEERT ICT is overal. Het is in het leven verweven geraakt. In een wereld waarin alles steeds sneller verandert, is het lastig te bepalen wat er nodig is

Nadere informatie

Joop Cornelissen BMC Klantendag 2011. Professionaliseren dienstverlening CMS

Joop Cornelissen BMC Klantendag 2011. Professionaliseren dienstverlening CMS Joop Cornelissen BMC Klantendag 2011 Professionaliseren dienstverlening CMS Agenda Introductie CIBER Waarom verder professionaliseren Tijdslijnen selectietraject Businesscase Scope implementatie Status

Nadere informatie

Preserva'on metadata voor cer'ficering van Trusted Digital Repositories

Preserva'on metadata voor cer'ficering van Trusted Digital Repositories Preserva'on metadata voor cer'ficering van Trusted Digital Repositories Paula Witkamp Data Archiving and Networked Services paula.witkamp@dans.knaw.nl Wat is DANS Het data archief Duurzame toegang Rol

Nadere informatie

Enterprise Portfolio Management

Enterprise Portfolio Management Enterprise Portfolio Management Strategische besluitvorming vanuit integraal overzicht op alle portfolio s 22 Mei 2014 Jan-Willem Boere Vind goud in uw organisatie met Enterprise Portfolio Management 2

Nadere informatie

Het beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14

Het beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14 QUICK GUIDE C Het beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14 Version 0.9 (June 2014) Per May 2014 OB10 has changed its name to Tungsten Network

Nadere informatie

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen:

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen: Partijen: 1 Het bevoegd gezag van de school, geregistreerd onder een BRIN-nummer bij de Dienst Uitvoering Onderwijs van het Ministerie van Onderwijs, hierna te noemen: Onderwijsinstelling. en 2 de naamloze

Nadere informatie

EXIN WORKFORCE READINESS werkgever

EXIN WORKFORCE READINESS werkgever EXIN WORKFORCE READINESS werkgever DE ERVARING LEERT ICT is overal. Het is in het leven verweven geraakt. In een wereld waarin alles steeds sneller verandert, is het lastig te bepalen wat er nodig is om

Nadere informatie

SURFnet User Survey 2006

SURFnet User Survey 2006 SURFnet User Survey 2006 Walter van Dijk Madrid, 21 September 2006 Agenda A few facts General picture resulting from the survey Consequences for the service portfolio Consequences for the yearly innovation

Nadere informatie

EXIN WORKFORCE READINESS opleider

EXIN WORKFORCE READINESS opleider EXIN WORKFORCE READINESS opleider DE ERVARING LEERT ICT is overal. Het is in het leven verweven geraakt. In een wereld waarin alles steeds sneller verandert, is het lastig te bepalen wat er nodig is om

Nadere informatie

ISO 20000 @ CTG Europe

ISO 20000 @ CTG Europe ISO 20000 @ CTG Europe 31/10/2007 mieke.roelens@ctg.com +32 496266725 1 Agenda 31 oktober 2007 Voorstelling Project Business Case: Doel & Scope Projectorganisatie Resultaten assessments en conclusies De

Nadere informatie

IAM en Cloud Computing

IAM en Cloud Computing IAM en Cloud Computing Cloud café 14 Februari 2013 W: http://www.identitynext.eu T: @identitynext www.everett.nl www.everett.nl Agenda 1. Introductie 2. IAM 3. Cloud 4. IAM en Cloud 5. Uitdagingen 6. Tips

Nadere informatie

HET GAAT OM INFORMATIE

HET GAAT OM INFORMATIE Aan leiding C OB IT HET GAAT OM INFORMATIE Informatie is belangrijk voor het functioneren van een organisatie Informatie wordt gegenereerd, gebruikt, bewaard, ontsloten, verwijderd Informatietechnologie

Nadere informatie

Meer Business mogelijk maken met Identity Management

Meer Business mogelijk maken met Identity Management Meer Business mogelijk maken met Identity Management De weg naar een succesvolle Identity & Access Management (IAM) implementatie David Kalff OGh 14 september 2010 't Oude Tolhuys, Utrecht Agenda Herkent

Nadere informatie

Support Center GIS-Flanders

Support Center GIS-Flanders Support Center GIS-Flanders Our mission: Ensuring the optimal use of geographic information in Flanders Het Ondersteunend Centrum GIS-Vlaanderen is

Nadere informatie

Implementeren van complianceen risicomanagement met Panoptys

Implementeren van complianceen risicomanagement met Panoptys Implementeren van complianceen risicomanagement met Panoptys Michiel Bareman 11 september 2014 1 Panoptys is alziend Argus Panoptys was een reus uit de Griekse mythologie die over zijn gehele lichaam honderd

Nadere informatie

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving

Nadere informatie

Round Table ISO27001:2013. 5 mei 2014

Round Table ISO27001:2013. 5 mei 2014 Round Table ISO27001:2013 5 mei 2014 Agenda Introductie Samenvatting certificering ISO27001:2005 versus ISO27001:2013 Wat is er veranderd? Wat zijn de consequenties? Wat zijn de eerste ervaringen met de

Nadere informatie

User-supplied VMs op BiG Grid hardware

User-supplied VMs op BiG Grid hardware User-supplied VMs op BiG Grid hardware Policies, User Requirements en Risico Analyse Pieter van Beek 3 september 2009 Begrippen CERN classificatie (class 1, 2, 3) In deze presentatie:

Nadere informatie

Requirements Traceability. Marcel de Baas, Jan Bank, Edwin Buisman, Frits Jacobs, Kitty Spaas, Erik Venema, Arno Zandman

Requirements Traceability. Marcel de Baas, Jan Bank, Edwin Buisman, Frits Jacobs, Kitty Spaas, Erik Venema, Arno Zandman Requirements Traceability Marcel de Baas, Jan Bank, Edwin Buisman, Frits Jacobs, Kitty Spaas, Erik Venema, Arno Zandman 22 Mei 2008 Werkgroep Traceability Doel van de werkgroep: Aanbieden van hulpmiddelen

Nadere informatie

Maturity van security architectuur

Maturity van security architectuur Renato Kuiper Principal Consultant LogicaCMG renato.kuiper@logicacmg.com LogicaCMG 2006. All rights reserved Over de spreker Renato Kuiper Principal consultant Information Security bij LogicaCMG Hoofdredacteur

Nadere informatie

Kennissessie ISO27001:2013. 23 januari 2014

Kennissessie ISO27001:2013. 23 januari 2014 Kennissessie ISO27001:2013 23 januari 2014 Agenda Introductie Samenvatting certificering ISO27001:2005 versus ISO27001:2013 Wat is er veranderd? Wat zijn de consequenties? Wat zijn de eerste ervaringen

Nadere informatie

Cloud Computing: de juridische aspecten. wie zijn wij? Alan Steele Nicholson. Jeroen van der Lee. Cloud en Grid Computing Symposium

Cloud Computing: de juridische aspecten. wie zijn wij? Alan Steele Nicholson. Jeroen van der Lee. Cloud en Grid Computing Symposium Cloud Computing: Een bliksembezoek be aan de juridische aspecten Alan Steele Nicholson Jeroen van der Lee Cloud en Grid Computing Symposium ONAFHANKELIJK IT ADVIESBUREAU VANUIT DISCIPLINES: bedrijfskundig

Nadere informatie

Inhoud Deze pdf bevat de volgende Engelstalige voorbeeldrapportages van sectie II, deel 3 HRA:

Inhoud Deze pdf bevat de volgende Engelstalige voorbeeldrapportages van sectie II, deel 3 HRA: Handleiding Regelgeving Accountancy Engelstalige voorbeeldteksten Inhoud Deze pdf bevat de volgende Engelstalige voorbeeldrapportages van sectie II, deel 3 HRA: 1.1.1.4: Goedkeurende controleverklaring,

Nadere informatie

Cloud. Regie. Cases.

Cloud. Regie. Cases. Cloud. Regie. Cases. Cloud security testen. Cloud is a security nightmare and it can't be handled in traditional ways. John Chambers - CEO Cisco Marinus Kuivenhoven Sr. Security Specialist 2 Waarom Cloud

Nadere informatie

Gebruik van GRI-indicatoren voor interne sturingsprocessen. Mark van Rijn 14 October 2004

Gebruik van GRI-indicatoren voor interne sturingsprocessen. Mark van Rijn 14 October 2004 Gebruik van GRI-indicatoren voor interne sturingsprocessen Mark van Rijn 14 October 2004 Een jaar geleden... Heineken verwijderd uit DJSI STOXX Positie binnen FTSE4Good onder druk Heineken scoort laag

Nadere informatie

Contract- en Service Management in de CLOUD. 29 September 2011

Contract- en Service Management in de CLOUD. 29 September 2011 Contract- en Service Management in de CLOUD 2011 29 September 2011 Agenda Opening CLOUD Service Management in de cloud (de praktijk) Vragen / discussie Opening Opening Jos Beeloo Service Manager Gerard

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

Risk & Requirements Based Testing

Risk & Requirements Based Testing Risk & Requirements Based Testing Tycho Schmidt PreSales Consultant, HP 2006 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Agenda Introductie

Nadere informatie

Software Processen. Ian Sommerville 2004 Software Engineering, 7th edition. Chapter 4 Slide 1. Het software proces

Software Processen. Ian Sommerville 2004 Software Engineering, 7th edition. Chapter 4 Slide 1. Het software proces Software Processen Ian Sommerville 2004 Software Engineering, 7th edition. Chapter 4 Slide 1 Het software proces Een gestructureerd set van activiteiten nodig om een software systeem te ontwikkelen Specificatie;

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst Bewerkersovereenkomst Datum: 25-04-2015 Versie: 1.1 Status: Definitief Bewerkersovereenkomst Partijen De zorginstelling, gevestigd in Nederland, die met een overeenkomst heeft gesloten in verband met het

Nadere informatie

Missie organisatie scope status 2015 ketenborging.nl

Missie organisatie scope status 2015 ketenborging.nl Missie organisatie scope status 2015 ketenborging.nl Inhoud Missie, Organisatie & Scope Certificatieproces FSSC 22000-Q module Status Ketenborging.nl Integriteitsprogramma Onaangekondigde audits Productintegriteit

Nadere informatie

AANVULLENDE AJS SAFETY RULES

AANVULLENDE AJS SAFETY RULES Pagina: 1 van 5 Inleiding Naast de regels en procedures die Harsco Infrastructure B.V. heeft opgesteld hebben een aantal van onze klanten aanvullende veiligheidseisen en procedures. Als je voor onze opdrachtgever

Nadere informatie

Identity & Access Management & Cloud Computing

Identity & Access Management & Cloud Computing Identity & Access Management & Cloud Computing Emanuël van der Hulst Edwin Sturrus KPMG IT Advisory 11 juni 2015 Cloud Architect Alliance Introductie Emanuël van der Hulst RE CRISC KPMG IT Advisory Information

Nadere informatie

Veilig samenwerken. November 2010

Veilig samenwerken. November 2010 Veilig samenwerken November 2010 Overzicht Introductie Veilig Samenwerken Visie Vragen Afsluiting Introductie SkyDec Communicatie Navigatie Services Introductie Communicatie Voor afgelegen gebieden: Telefonie

Nadere informatie

Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013

Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013 Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013 - cloud computing: het via het internet op aanvraag beschikbaar stellen van hardware, software en gegevens. - cloud: een netwerk van computers, waarbij

Nadere informatie

Introductie iwelcome. Paul Eertink product marketing lustrum e-herkenning 2015

Introductie iwelcome. Paul Eertink product marketing lustrum e-herkenning 2015 Introductie iwelcome Paul Eertink product marketing lustrum e-herkenning 2015 Voorstelrondje o Naam o Functie o Bedrijf o Waar hoop je antwoord op te krijgen in deze sessie 2 iwelcome BV 2015 Confidential

Nadere informatie

Bewerkersovereenkomst ARVODI-2014

Bewerkersovereenkomst ARVODI-2014 Instructie: 1 - Teksten/bepalingen die optioneel zijn, staat voor vermeld. - Bij teksten waar OF tussen de bepalingen in staat, dient een keuze tussen de verschillende opties gemaakt te worden.

Nadere informatie

Data Protection Impact Assessment (DPIA)

Data Protection Impact Assessment (DPIA) Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief

Nadere informatie

Managementsystemen. De sprekers

Managementsystemen. De sprekers Managementsystemen Studiedag Prebes, 5 mei 2015 De sprekers Myriam Van der Steen Zaakvoerder-consultant Expert managementsystemen Konsilo bvba Yves Grognet Zaakvoerder-consultant Freelance Auditor Adiuvare

Nadere informatie

STICHTING LIGHTREC NEDERLAND MANAGER LIGHTREC

STICHTING LIGHTREC NEDERLAND MANAGER LIGHTREC STICHTING LIGHTREC NEDERLAND MANAGER LIGHTREC LIGHTREC Energiezuinige lampen zijn goed voor het milieu, maar mogen niet worden afgedankt bij het gewone huisvuil. De materialen uit energiezuinige verlichting

Nadere informatie

Van Virtualisatie naar Cloud Computing De roadmap voor de toekomst?

Van Virtualisatie naar Cloud Computing De roadmap voor de toekomst? Van Virtualisatie naar Cloud Computing De roadmap voor de toekomst? Louis Joosse Principal Consultant Alle intellectuele eigendomsrechten met betrekking tot de inhoud van of voortvloeiende uit dit document

Nadere informatie

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING ELAW BASISCURSUS WBP EN ANDERE PRIVACYWETGEVING DE ALGEMENE VERORDENING GEGEVENSBESCHERMING Gerrit-Jan Zwenne 28 november 2013 general data protection regulation een snelle vergelijking DP Directive 95/46/EC

Nadere informatie

BootCamp. Template Powerpoint Datum

BootCamp. Template Powerpoint Datum Template Powerpoint Datum Managed Security Services Ontwikkelingen en demo security is een proces, geen product Jelmer Hartman & Peter Mesker! " Security Engineer! " @SecureLinkNL! " Security Consultant!

Nadere informatie

NVM BEWERKERSOVEREENKOMST

NVM BEWERKERSOVEREENKOMST NVM BEWERKERSOVEREENKOMST DE ONDERGETEKENDEN: 1. De besloten vennootschap met beperkte aansprakelijkheid ID CHECKER.NL B.V., gevestigd te Haarlem, ten deze enerzijds rechtsgeldig vertegenwoordigd door

Nadere informatie

Continuous testing in DevOps met Test Automation

Continuous testing in DevOps met Test Automation Continuous ing in met Continuous testing in met Marco Jansen van Doorn Tool Consultant 1 is a software development method that emphasizes communication, collaboration, integration, automation, and measurement

Nadere informatie

SimplerInvoicing: E-factureren voor iedereen Tony van Oorschot

SimplerInvoicing: E-factureren voor iedereen Tony van Oorschot SimplerInvoicing: E-factureren voor iedereen Tony van Oorschot Agenda Huidig landschap e-factureren SimplerInvoicing: Het 4-rollen model Use-cases Deliverables Deelnemers Planning & Organisatie Project

Nadere informatie

Private Governance : Werkt het? Is het genoeg?

Private Governance : Werkt het? Is het genoeg? Private Governance : Werkt het? Is het genoeg? Workshop Public & Private Governance Wageningen UR / MinBuZa Th Hague, February 1, 2013 The Hague, Febr. 1, 2013 Public & Private Governance slide 1 Initiatieven

Nadere informatie

Introduction to IBM Cognos Express = BA 4 ALL

Introduction to IBM Cognos Express = BA 4 ALL Introduction to IBM Cognos Express = BA 4 ALL Wilma Fokker, IBM account manager BA Ton Rijkers, Business Project Manager EMI Music IBM Cognos Express Think big. Smart small. Easy to install pre-configured

Nadere informatie

Windows Server 2003 EoS. GGZ Nederland

Windows Server 2003 EoS. GGZ Nederland Windows Server 2003 EoS GGZ Nederland Inleiding Inleiding Op 14 juli 2015 gaat Windows Server 2003 uit Extended Support. Dat betekent dat er geen nieuwe updates, patches of security releases worden uitgebracht.

Nadere informatie

Betekenis nieuwe GRI - Richtlijnen. Rob van Tilburg Adviesgroep duurzaam ondernemen DHV Utrecht, 23 November 2006

Betekenis nieuwe GRI - Richtlijnen. Rob van Tilburg Adviesgroep duurzaam ondernemen DHV Utrecht, 23 November 2006 Betekenis nieuwe GRI - Richtlijnen Rob van Tilburg Adviesgroep duurzaam ondernemen DHV Utrecht, 23 November 2006 Opbouw presentatie 1. Uitgangspunten veranderingen G2 - > G3 2. Overzicht belangrijkste

Nadere informatie

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer Optimale ICT-beveiliging Van advies en ontwikkeling tot implementatie en beheer 1 Inhoud Deze brochure geeft u meer uitleg over de manier waarop Telenet de ICT van uw bedrijf kan beveiligen. Ervaring,

Nadere informatie

Seminar 360 on Renewable Energy

Seminar 360 on Renewable Energy Seminar 360 on Renewable Energy Financieren van duurzame energie initiatieven ING Lease (Nederland) B.V. Roderik Wuite - Corporate Asset Specialist - Agenda I 1. Introductie 2. Financiering van duurzame

Nadere informatie

Examenreglement Opleidingen/ Examination Regulations

Examenreglement Opleidingen/ Examination Regulations Examenreglement Opleidingen/ Examination Regulations Wilde Wijze Vrouw, Klara Adalena August 2015 For English translation of our Examination rules, please scroll down. Please note that the Dutch version

Nadere informatie

Disclosure belangen spreker

Disclosure belangen spreker Disclosure belangen spreker (potentiële) belangenverstrengeling Voor bijeenkomst mogelijk relevante relaties met bedrijven Sponsoring of onderzoeksgeld Honorarium of andere (financiële) vergoeding Aandeelhouder

Nadere informatie

BIG DATA, BIG BUSINESS, BIG TROUBLE?

BIG DATA, BIG BUSINESS, BIG TROUBLE? BIG DATA, BIG BUSINESS, BIG TROUBLE? Marketing, Big Data en privacyregels Jitty van Doodewaerd Compliance officer -DDMA - 14 november 2013 - Big data & marketing (Energieverbruik, KNMI data en bouwjaar

Nadere informatie

Fraude & Integriteit: what makes people tick?

Fraude & Integriteit: what makes people tick? Fraude & Integriteit: what makes people tick? 6 december 2010 Peter Schimmel Grant Thornton Forensic & Investigation Services B.V Alle rechten voorbehouden. Integriteitbeheersing Fraud & Integrity Management

Nadere informatie

vragen cloud-computing cloudcomputing en de privacywet NATIONAAL PRIVACY CONGRES 18 november 2011 Gerrit-Jan Zwenne

vragen cloud-computing cloudcomputing en de privacywet NATIONAAL PRIVACY CONGRES 18 november 2011 Gerrit-Jan Zwenne cloudcomputing en de privacywet NATIONAAL PRIVACY CONGRES 18 november 2011 Gerrit-Jan Zwenne gerrit-jan.zwenne@twobirds.com twitter @grrtjnzwnne #NPC2011 vragen Patriot Act 2001 houdbaarheid van de oplossingen

Nadere informatie

Information security officer: Where to start?

Information security officer: Where to start? 1 Information security officer: Where to start? The information security policy process is a continuous and cyclic process 2 1. PLAN: establish ISMS CREATE Information Security Policy (ISP) Inventarise

Nadere informatie

Organisatie, beheer en lifecycle management. Vergroot de grip op uw cyber security domein.

Organisatie, beheer en lifecycle management. Vergroot de grip op uw cyber security domein. Organisatie, beheer en lifecycle management Vergroot de grip op uw cyber security domein. Verschillen tussen IT en Operational Technology (OT) Next Generation SCADA Proprietary Protocollen en OS Steeds

Nadere informatie

Hoe gaan we het in Groningen doen? De Energiekoepel van de Provincie Groningen

Hoe gaan we het in Groningen doen? De Energiekoepel van de Provincie Groningen Hoe gaan we het in Groningen doen? De Energiekoepel van de Provincie Groningen Froombosch Frans N. Stokman frans.stokman@grunnegerpower.nl 28 mei 2013 Hoe realiseren wij duurzaamheid? Decentrale duurzame

Nadere informatie

GMPZ herziening 2013 H7 Uitbestede werkzaamheden Pagina 1 van 6

GMPZ herziening 2013 H7 Uitbestede werkzaamheden Pagina 1 van 6 -Z Hoofdstuk 7 Uitbestede werkzaamheden Inleiding Voor het uitbesteden van de gehele bereiding of een onderdeel daarvan geldt de. De -principes van dit hoofdstuk zijn van toepassing op het uitbesteden

Nadere informatie

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds <Leverancier> Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds Plaats : Organisatie : Datum : Status : Definitief Versie : 1.0 1 De ondergetekenden:

Nadere informatie

Nieuwsbrief NRGD. Editie 11 Newsletter NRGD. Edition 11. pagina 1 van 5. http://nieuwsbrieven.nrgd.nl/newsletter/email/47

Nieuwsbrief NRGD. Editie 11 Newsletter NRGD. Edition 11. pagina 1 van 5. http://nieuwsbrieven.nrgd.nl/newsletter/email/47 pagina 1 van 5 Kunt u deze nieuwsbrief niet goed lezen? Bekijk dan de online versie Nieuwsbrief NRGD Editie 11 Newsletter NRGD Edition 11 17 MAART 2010 Het register is nu opengesteld! Het Nederlands Register

Nadere informatie

Cloud, revolutie of evolutie?

Cloud, revolutie of evolutie? Cloud, revolutie of evolutie? Keuze voor model iphone wordt bepaald door de cloud! Reno van der Looij Account Manager Alweer 15 jaar actief in de wereld van ICT Bovenmatige nieuwsgierigheid naar Cloud

Nadere informatie

DECLARATION FOR GAD approval

DECLARATION FOR GAD approval Version 1.2 DECLARATION FOR GAD approval Declare that for the following central heating boilers Intergas Calderas de Calefacción S. L. Kombi Kompakt R 24, 28/24, 36/30 and Prestige The installation and

Nadere informatie

Droom of werkelijkheid? Integratie VMware NSX en F5 zorgt voor effectieve uitrol van applicaties.

Droom of werkelijkheid? Integratie VMware NSX en F5 zorgt voor effectieve uitrol van applicaties. Droom of werkelijkheid? Integratie VMware NSX en F5 zorgt voor effectieve uitrol van applicaties. Ralph Wanders Datacenter Solutions Manager IT SECURITY IS TOPSPORT! Datacenter solutions componenten Orchestrate

Nadere informatie

Enterprise Security Architecture A BUSINESS DRIVEN APPROACH AAD UITENBROEK COMPETENCE CENTER SECURITY 0 / MAXIMAAL DRIE WOORDEN

Enterprise Security Architecture A BUSINESS DRIVEN APPROACH AAD UITENBROEK COMPETENCE CENTER SECURITY 0 / MAXIMAAL DRIE WOORDEN Enterprise Architecture A BUSINESS DRIVEN APPROACH AAD UITENBROEK COMPETENCE CENTER SECURITY 0 / MAXIMAAL DRIE WOORDEN Agenda Inleiding architectuur Architectuur en ICT Architecture Praktijkvoorbeeld Afsluiting

Nadere informatie

GMP-Z Annex 11 Geautomatiseerde systemen

GMP-Z Annex 11 Geautomatiseerde systemen -Z Annex 11 Geautomatiseerde systemen item Gewijzigd richtsnoer -Z Toelichting Principle This annex applies to all forms of computerised systems used as part of a regulated activities. A computerised system

Nadere informatie

CSRQ Center Rapport over onderwijsondersteunende organisaties: Samenvatting voor onderwijsgevenden

CSRQ Center Rapport over onderwijsondersteunende organisaties: Samenvatting voor onderwijsgevenden CSRQ Center Rapport over onderwijsondersteunende organisaties: Samenvatting voor onderwijsgevenden Laatst bijgewerkt op 25 november 2008 Nederlandse samenvatting door TIER op 5 juli 2011 Onderwijsondersteunende

Nadere informatie

Pijlers van Beheer. Bram van der Vos www.axisintoict.nl ict@axisinto.nl

Pijlers van Beheer. Bram van der Vos www.axisintoict.nl ict@axisinto.nl Welkom Pijlers van Beheer Bram van der Vos www.axisintoict.nl ict@axisinto.nl Waarom doe je Beheer Business perspectief Stabiliteit Security Enablen voor gebruikers Ondersteuning Technisch Perspectief

Nadere informatie

StartReady Partnership. Detailed Portfolio overview

StartReady Partnership. Detailed Portfolio overview StartReady Partnership Detailed Portfolio overview Microsoft Based Communications Organisatie in 2007 opgericht door twee voormalige Microsoft medewerkers Specialist in Unified Communications: Microsoft

Nadere informatie

Uitnodiging Security Intelligence 2014 Dertiende editie: Corporate IAM

Uitnodiging Security Intelligence 2014 Dertiende editie: Corporate IAM Uitnodiging Security Intelligence 2014 Dertiende editie: Corporate IAM 5 maart 2014 De Beukenhof Terweeweg 2-4 2341 CR Oegstgeest 071-517 31 88 Security Intelligence Bijeenkomst Corporate IAM On the Internet,

Nadere informatie