Benchmark mbo sector IBPDOC11
|
|
- Agnes Gerritsen
- 6 jaren geleden
- Aantal bezoeken:
Transcriptie
1 IBPDOC
2 Verantwoording Benchmark mbo sector Productie Kennisnet / sambo-ict Benchmark is uitgevoerd met behulp van de tool Coable van het bedrijf Coblue Sybersecurity. Het Hoger Onderwijs (SURF SCIPR) maakt ook gebruik van deze tool. Auteurs Leo Bakker (Kennisnet) Ludo Cuijpers (sambo-ict, ROC Leeuwenborgh) Paulo Moekotte (ROC van Twente) December 05 Met dank aan Aeres Groep Albeda Arcus College Citaverde Deltion Graafschap College Grafisch Lyceum Rotterdam Hoornbeeck MBO Utrecht Nimeto Noorderpoort Nordwin College Nova College Onderwijsgroep Tilburg ROC TOP ROC Twente ROC van Amsterdam Summa College Zadkine Martin Deiman Rienk de Vries Joep Lemmens Martijn van Hoorn Rene Dol Donny Toebos Don van der Linden Willem Flink Marjolein Rombouts Esther van der Hei Martijn Broekhuizen Rob Smit Rob Smit Brom Bogers Theo Kuilboer Kim Kuipers Co Klerkx Martien van Beekveld Wim Arendse Sommige rechten voorbehouden Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaarden de auteur(s), redacteur(s) en uitgever van Kennisnet geen aansprakelijkheid voor eventuele fouten of onvolkomenheden. Creative commons Naamsvermelding.0 Nederland (CC BY.0) De gebruiker mag: Het werk kopiëren, verspreiden en doorgeven Remixen afgeleide werken maken Onder de volgende voorwaarde: Naamsvermelding De gebruiker dient bij het werk de naam van Kennisnet te vermelden (maar niet zodanig dat de indruk gewekt wordt dat zij daarmee instemt met uw werk of uw gebruik van het werk). IBPDOC, versie.0 Pagina van 8
3 Inhoudsopgave Benchmark mbo sector Verantwoording.... Conclusies benchmark.... Terugblik.... Representativiteit.... Bevindingen Aanbevelingen Hoe nu verder? Resultaten IBP benchmark Toelichting op de tabellen Wat gaat goed en wat gaat minder goed? Beleid en organisatie Personeel, studenten en gasten Ruimtes en apparatuur Continuïteit Vertrouwelijkheid en integriteit....8 Controle en Logging.... Informatieveiligheid in perspectief.... Bestuurlijke verantwoordelijkheid en verantwoording.... Kwaliteitszorg Organisatorische inbedding... 6 Bijlage : Framework Informatiebeveiliging en Privacy voor het MBO... 8 IBPDOC, versie.0 Pagina van 8
4 . Conclusies benchmark Benchmark mbo sector. Terugblik Medio 0 is de Taskforce Informatiebeveiliging en privacy van start gegaan met een duidelijke opdracht die verwoord is in het Verantwoordingsdocument. De eerste paragraaf spreekt boekdelen: Het zal duidelijk zijn dat het thema Informatiebeveiliging en zeker ook privacy de laatste tijd met een sneltreinvaart in het onderwijs in de belangstelling is komen te staan. Dat heeft zo zijn redenen. Afgelopen jaren zijn in alle sectoren van het onderwijs incidenten rondom examinering in de publiciteit gekomen. In sommige gevallen ging dit ook om ernstige incidenten die breed in de media zijn uitgemeten. Dat levert voor het onderwijs veel schade op, waarbij imagoschade voorop staat. Het onderwijs wordt geacht op betrouwbare wijze diploma s uit te reiken en het kan niet zo zijn dat daar twijfels over bestaan omdat examens op straat liggen dan wel op het internet te koop zijn. Een ander voorbeeld is de vraag of het onderwijs met de toenemende registratie van gegevens van leerlingen de bescherming van de privacy nog kan waarborgen. Steeds vaker zijn hier ook externe partijen en leveranciers bij betrokken en zonder goede afspraken hierover kan de privacybescherming zomaar in het geding zijn. Zeker bij jonge kinderen wordt dit door de maatschappij onacceptabel gevonden. Daar komt bij dat een vraag naar hoe het in de onderwijs sector gesteld is met de informatiebeveiliging en de bescherming van de privacy nauwelijks kan worden beantwoord. Dat beeld is op zijn minst zeer gebrekkig en onhelder te noemen. En om aan te geven of je iets op orde hebt moet je daarover ook eerste afspraken gemaakt hebben over wat dan op orde is. Die afspraken ontbreken vooralsnog. Daarom is het in het belang van zowel het onderwijs zelf als van het ministerie van Onderwijs, Cultuur en Wetenschap (OCW) dat er gemeenschappelijke afsprakenkaders komen, dat die met alle onderwijsinstellingen en ook met de relevante externe partijen worden gedeeld en geïmplementeerd. Pas dan kan er een beeld ontstaan van hoe scholen het doen op deze terreinen en kunnen er verbeteringstrajecten worden ingezet en doelen gesteld worden om een bepaalde graad van beveiliging en bescherming te creëren. In het hoger onderwijs is dit traject al eerder ingezet. Dit alles heeft er toe geleid dat OCW de vraag bij de mbo sector heeft neergelegd om een beeld van de stand van zaken in het mbo met betrekking tot informatiebeveiliging en privacy te schetsen en er voor te zorgen dat er naar een gewenste situatie kan worden toegewerkt. De sector heeft deze uitdaging opgepakt en wil met dit programma de stappen zetten om in het mbo op een volwassen wijze met deze problematiek om te gaan en een acceptabel van beveiliging en bescherming te bieden aan al haar studenten en medewerkers. Als sector hebben we het afgelopen jaar hard gewerkt om Informatiebeveiliging en privacy in onze sector op de strategische agenda te zetten. Op tactisch hebben we een groot aantal documenten opgeleverd (zie bijlage ) en is er volop geschoold in de masterclasses InformatieBeveiliging en Privacy (IBP) waar een vijftigtal mbo instellingen aan hebben deelgenomen. Op operationeel is deze kennis binnen de mbo instellingen vertaald in een actief IBP beleid. Weliswaar staan we als sector aan het begin van een lange weg maar toch hebben we het gevoel dat we een vliegende start hebben gemaakt. We willen nu graag weten waar de mbo sector staat. Daarvoor hebben we een benchmark uitgevoerd om de bepalen op welk volwassenheids, de nulmeting, we ons nu bevinden.. Representativiteit Aan de eerste IBP benchmark hebben 9 mbo instellingen deel genomen waaronder AOC s, ROC s en vakscholen. De regionale spreiding was afdoende. Zowel grote (ROC Amsterdam) als kleine (Nimeto) mbo instellingen hebben deelgenomen. Het is dan ook statistisch verdedigbaar dat deze deelwaarneming een getrouw beeld schetst van de 5 mbo instellingen die actief betrokken zijn bij het informatie en privacy beleid in onze sector. Van instellingen is niet duidelijk of zij stappen genomen hebben op dit gebied. Zie IBPDOC: Verantwoordingsdocument Informatiebeveiliging en privacy (IBP) in het mbo. IBPDOC, versie.0 Pagina van 8
5 . Bevindingen Benchmark mbo sector De benchmark is uitgevoerd op basis van het vastgestelde toetsingskader IBP. De toets is dan ook uitgevoerd op de 6 clusters die afgeleid zijn van het ISO 700/ normenkader. De opzet van de benchmark is gelijk aan die van het Hoger Onderwijs. Een samenvatting van de resultaten, de gemiddelde scores van alle mbo instellingen van alle statements (onderzochte onderwerpen) per cluster: Cluster : Beleid en organisatie.7 Cluster : Personeel, studenten en gasten.7 Cluster : Ruimtes en apparatuur. Cluster : Continuïteit.0 Cluster 5: Vertrouwelijkheid en integriteit.0 Cluster 6: Controle en Logging.6 De gemiddelde score van de mbo sector is:,9 Ter vergelijking de score van het Hoger Onderwijs in 0 was,. In hoofdstuk worden de resultaten verder toegelicht.. Aanbevelingen Volwassenheids (ad hoc) betekent dat de mbo instelling het IBP probleem onderkent maar nog geen actie heeft ondernomen. Niveau houdt in dat er goedgekeurd beleid is dat echter nog niet bij de hele mbo instelling bekend is, laat staan gedragen wordt. Alleen een kleine groep (managers, functioneel en technisch beheerders, etc.) weet van de hoed en de rand. Stel dat we als baseline (gewenst in 06/07) hanteren dan leiden de resultaten tot de volgende aanbevelingen binnen onze sector: Aanbeveling : Aanbeveling : Aanbeveling : Onderzoek waarom mbo instellingen niet deelnemen aan de initiatieven (conferenties, masterclasses, benchmark, etc.) van de Taskforce IBP. Wellicht dat de MBO-Raad hier een inspirerende rol in kan spelen. Cluster (Personeel, studenten en gasten) scoort onder de maat. Awareness sessies en trainingen van personeel kunnen leiden tot een betere acceptatie van het IBP beleid binnen de mbo sector. Het is zinvol om best practices en tools vanuit Kennisnet aan te bieden. Cluster 6 is onder de maat. Ondersteuning vanuit Kennisnet en SURF is gewenst. De 5 mbo instellingen moeten in staat zijn om de overige clusters op te brengen. Cluster scoort onder de maat maar kan snel op een hoger komen als de instellingen de IBP beleidsstukken binnen de instellingen geïmplementeerd hebben..5 Hoe nu verder? De mbo sector is voornemens om in 06 een peer review uit te voeren. Wellicht dat in 07 peer audits mogelijk worden uitgevoerd. Een en ander moet er toe leiden dat we in de toekomst binnen onze sector middels zelf regulatie kunnen aantonen dat IBP in control is. In hoofdstuk wordt een en ander uitvoerig beschreven. IBPDOC: Toetsingskader informatiebeveiliging cluster t/m 6 IBPDOC, versie.0 Pagina 5 van 8
6 . Resultaten IBP benchmark Benchmark mbo sector. Toelichting op de tabellen Alle tabellen zijn op dezelfde manier opgebouwd. Een korte toelichting: ISO700 Statement Beleidsregels voor informatiebeveiliging (beleid gedefinieerd en goedgekeurd door CvB ) 7 8,9 Kolom, Kolom. ISO700 Geeft het nummer van het statement weer. Deze nummering is gelijk aan de nummering van het Hoger Onderwijs / MBO normenkader. Het eerste cijfer staat voor het cluster, het tweede cijfer voor het statement nummer. Geeft het nummer van de norm uit ISO700. Een zestal normen zijn gesplitst in in statements. Dus 79 normen uit het ISO normenkader zijn gekoppeld aan 85 statements uit het HO/MBO normenkader. Clusterindeling Hoger Onderwijs Hoofdstukken ISO-700 ISO-700 : Beleid : personeel : Ruimten : Continuïteit 5: Toegang 6: Controle Niet gebruikt 5. Informatiebeveiligingsbeleid 6. Organiseren van informatiebeveiliging Veilig personeel 6 8. Beheer van bedrijfsmiddelen Toegangsbeveiliging 9 0. Cryptografie. Fysieke beveiliging en beveiliging van de omgeving 5. Beveiliging bedrijfsvoering 7. Communicatiebeveiliging 7. Acquisitie, ontwikkeling en onderhoud van informatiesystemen 7 5. Leveranciersrelaties 5 6. Beheer van informatiebeveiligingsincidenten 7 7. Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer 8. Naleving Clustertotaal inclusief splitsing (85) IBPDOC, versie.0 Pagina 6 van 8
7 ISO700 Statement Beleidsregels voor informatiebeveiliging (beleid gedefinieerd en goedgekeurd door CvB ) 7 8,9 Niveau,,, en 5 verwijzen naar de volwassenheidss (maturity levels). Het Normenkader Informatiebeveiliging MBO wordt gebruikt om de volwassenheid van informatiebeveiliging te meten bij de MBO instellingen. Hiervoor wordt een 5-punts schaal gehanteerd gebaseerd op het Capability Maturity Model (CMM). Het CMM model is gebaseerd op procesvolwassenheid, de 5 s zijn in de onderstaande tabel weergegeven. CMM 5 Omschrijving Initieel, ad hoc: De processen zijn ad hoc georganiseerd, erg afhankelijk van individuele personen Ad hoc Herhaalbaar, maar intuïtief: Er wordt op een vaste manier gewerkt Beleid is gemaakt en goedgekeurd en bij een kleine groep bekend. Gedefinieerd proces: De processen zijn gedocumenteerd en bekend bij betrokkenen Beleid is bij alle medewerkers, studenten en externen bekend (awareness campagnes, trainingen, etc.). Beheerd en meetbaar: De processen worden beheerd, zitten in een verbetercyclus en zijn meetbaar. (PDCA) IBP is onderdeel geworden van de PDCA cyclus. Geoptimaliseerd: Er wordt als vanzelfsprekend verbeterd en volgens best practices gewerkt. IBP is toekomstbestendig, effectief en efficiënt. Bij ieder volwassenheids is de score weergegeven van de deelnemende mbo instellingen aan de benchmark. Niveau is rood omkaderd als een mogelijke baseline voor de sector. De modale klasse (klasse met de hoogste frequentie dichtheid) is weergegeven in geel. Indien klassen dezelfde dichtheid hebben is de hoogste klasse geel gearceerd. Het gemiddelde cijfer is het rekenkundige gemiddelde van de individuele waarnemingen.. Wat gaat goed en wat gaat minder goed? Best scorende statements. ISO700 Statement.5... Back-up van informatie 7 9,6.9.. Plaatsing en bescherming van apparatuur 7,5.0.. Nutsvoorzieningen 5 9, Software installeren op operationele systemen 7 9, Beperkingen voor het installeren van software. 9 8, Beheersmaatregelen voor netwerken 7 9,5.... Beheersmaatregelen tegen malware (beheersmaatregelen) 8, Registratie en afmelden van gebruikers 6, IBPDOC, versie.0 Pagina 7 van 8
8 Opvallend is dat de top 8 van de goed scorende statements allemaal in de cluster, en 5 zitten. Technisch lijkt het dus in orde te zijn. Slechts scorende statements. ISO700 Statement IBPDOC, versie.0 Pagina 8 van Classificatie van informatie 6, Informatie labelen 6, Beleid inzake het gebruik van cryptografische beheersmaatregelen (beleid geïmplementeerd) 6, Sleutelbeheer 6, Sleutelbeheer 5, Testen van systeembeveiliging 6, Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging Vertrouwelijkheids- of geheimhoudingsovereenkomst Rapportage van zwakke plekken in de informatiebeveiliging 5, 7, 8,. 7.. Informatiebeveiligingscontinuïteit implementeren 7, Verzamelen van bewijsmateriaal, Cluster kent geen statement dat zeer slecht scoort. Cluster en, beleid en personeel, zijn oververtegenwoordigd.. Beleid en organisatie ISO700 Statement Beleidsregels voor informatiebeveiliging (beleid gedefinieerd en goedgekeurd door CvB ) Beleidsregels voor informatiebeveiliging (gecommuniceerd met medewerkers en externen) 7 8,9 0 8, Beoordeling van het Informatiebeveiligingsbeleid 0 6, Taken en verantwoordelijkheden informatiebeveiliging, Informatiebeveiliging in projectbeheer, Beleid voor mobiele apparatuur (beleid vastgesteld) 6, Classificatie van informatie 6, Informatie labelen 6, Beleid inzake het gebruik van cryptografische beheersmaatregelen (beleid vastgesteld) Beleid inzake het gebruik van cryptografische beheersmaatregelen (beleid geïmplementeerd) 5,5 6,...5 Verwijdering van bedrijfsmiddelen 9 7,7
9 ... Beleid en procedures voor informatietransport 7,6... Overeenkomsten over informatietransport, Analyse en specificatie van informatiebeveiligingseisen Opnemen van beveiligingsaspecten in leveranciersovereenkomsten Toeleveringsketen van informatie- en communicatietechnologie,9 6,5 7, Verantwoordelijkheden en procedures 6, Rapportage van informatiebeveiligingsgebeurtenissen 6 0, Beschermen van registraties 9 8, Privacy en bescherming van persoonsgegevens, Scheiding van taken 5,9 In dit cluster valt veel winst te behalen. Een goedgekeurd IBP beleidsplan heeft invloed op de statements:.,.,.,.,.7,.8 en.0. Dit cluster is voor een gemiddelde instelling te behalen in een aantal maanden.. Personeel, studenten en gasten ISO700 Statement IBPDOC, versie.0 Pagina 9 van Arbeidsvoorwaarden 6 9, Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging 5, Toegangsrechten intrekken of aanpassen 5,...9 Clear desk - en clear screen -beleid 5, Vertrouwelijkheids- of geheimhoudingsovereenkomst Rapportage van zwakke plekken in de informatiebeveiliging 7, 8, Screening 0, Dit is een moeilijk te realiseren cluster voor veel mbo instellingen. Met name de statements.. en. vragen veel tijd en energie van alle medewerkers en studenten..5 Ruimtes en apparatuur ISO700 Statement Beleid voor mobiele apparatuur 8 7,. 8.. Verwijderen van media,0... Fysieke beveiligingszone. 0 6,... Fysieke toegangsbeveiliging,9
10 .5.. Kantoren, ruimten en faciliteiten beveiligen,.6.. Beschermen tegen bedreigingen van buitenaf 7,.7..5 Werken in beveiligde gebieden. 8 9, Laad- en loslocatie. 7 9,9.9.. Plaatsing en bescherming van apparatuur 7,5.0.. Nutsvoorzieningen 5 9,5... Beveiliging van bekabeling 8 6,... Onderhoud van apparatuur.,...6 Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein 5,8...7 Veilig verwijderen of hergebruiken van apparatuur.,.5.. Kloksynchronisatie. 0 5, Het best scorende statement van de mbo sector geeft weinig aanleiding voor kritische beschouwingen. Feit blijft dat een aantal instellingen niet realiseren. Nader onderzoek is dan ook gewenst om de oorzaak te kunnen achterhalen..6 Continuïteit ISO700 Statement IBPDOC, versie.0 Pagina 0 van 8... Wijzigingsbeheer 9 5, Scheiding van ontwikkel-, test- en productieomgevingen Beheersmaatregelen tegen malware (beheersmaatregelen) 5,9 8,.... Beheersmaatregelen tegen malware (bewustzijn) 7 8, Back-up van informatie 7 9, Back-up van informatie 5 0, Software installeren op operationele systemen 7 9, Beheer van technische kwetsbaarheden 6, Beperkingen voor het installeren van software. 9 8, Beveiligde ontwikkelomgeving 7 0, Beheer van veranderingen in dienstverlening van leveranciers Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen. 6,7 9 9, Respons op informatiebeveiligingsincidenten 8 9, Informatiebeveiligingscontinuïteit implementeren 7, Beschikbaarheid van informatie verwerkende faciliteiten 7 9,8
11 Cluster scoort goed. Opvallen is statement, dat uit de toon valt. Nota bene een belangrijk statement in het IBP veld (Informatiebeveiligingscontinuïteit implementeren)..7 Vertrouwelijkheid en integriteit ISO700 Statement IBPDOC, versie.0 Pagina van Beleid voor toegangsbeveiliging, Toegang tot netwerken en netwerkdiensten. 0 7, Registratie en afmelden van gebruikers 6, Gebruikers toegang verlenen, Beheren van speciale toegangsrechten 7, Beheer van geheime authenticatie-informatie van gebruikers 6 7, Geheime authenticatie-informatie gebruiken 6 8, Beperking toegang tot informatie 0 6, Beveiligde inlogprocedures 7, Sleutelbeheer 6, Sleutelbeheer 5, 5... Beschermen van informatie in logbestanden, Beheersmaatregelen voor netwerken 7 9, Beveiliging van netwerkdiensten 7 9, Scheiding in netwerken. 8 7, Elektronische berichten 6 0, Transacties van toepassingen beschermen 0 7,6 Dit cluster scoort gemiddeld. Opvallend is dat de (digitaal) sleutelbeheer onder de maat scoort..8 Controle en Logging ISO700 Statement Beoordeling van toegangsrechten van gebruikers. 7 0, Gebeurtenissen registreren 8 0, Logbestanden van beheerders en operators 9 9, Uitbestede softwareontwikkeling 7, Testen van systeembeveiliging 6, Systeemacceptatietests 6 9,0
12 Monitoring en beoordeling van dienstverlening van leveranciers Benchmark mbo sector 5, Verzamelen van bewijsmateriaal, Naleving van beveiligingsbeleid en normen 0 9, Beoordeling van technische naleving 7,5 Dit cluster scoort ver onder de maat. Registratie van informatie zal sector breed aangepakt moeten worden. IBPDOC, versie.0 Pagina van 8
13 . Informatieveiligheid in perspectief Benchmark mbo sector. Bestuurlijke verantwoordelijkheid en verantwoording Informatieveiligheid reikt verder dan mogelijke aanspraken op bestuurlijke verantwoordelijkheid, imagoschade of boetes. Het gaat ook over het effectief en efficiënt gebruik kunnen maken van informatie. Digitalisering vergroot de invloedssfeer van derden (studenten, leveranciers, partners, agentschappen, etc.). Het slim koppelen van gegevens/slimmer werken in de keten biedt kansen en bedreigingen. De vernetwerking van gegevens heeft bijvoorbeeld studenten en ouders veel gemak in dienstverlening gebracht. Denk aan de informatieoverdracht bij doorstroom in de beroepskolom of aan de inkijkfunctie voor ouders van veel leerlingvolgsystemen. Het toenemend digitaliseren van bedrijfsinformatie en -documentatie creëert echter ook nieuwe bedrijfsrisco s. De maatschappelijke, politieke en organisatorische risico s die dat met zich meebrengt, vragen om een brede(re) oriëntatie. meer dan de helft van de scholen geen beleid en weet men niet hoe het nu staat met de informatieveiligheid. Verder valt op dat er scholen zijn die wel maatregelen hebben genomen, maar die geen risicoanalyse hebben gemaakt. Ruim 0 procent van de scholen heeft een beleidsplan voor privacy, en iets minder dan 5 procent heeft een privacy officer aangesteld. Om te zorgen dat de aandacht niet verslapt, is een systeembenadering belangrijk waardoor je continuïteit borgt: - informatieveiligheid moet geen bestuurlijke bananenschil worden; - blik naar binnen: onderwerp moet niet beperkt blijven tot de jongens van de ICT-afdeling ; - blik naar buiten: ook de tuin van de buurman is van belang. Het gebruik van normen en kaders betreft in het mbo vooral van de WBP-kaders (7%) de ISO 700 en ISO 700 (%) en SURF juridisch normenkader cloudservices (5%). Expliciete verantwoording heeft betrekking op enerzijds de kwaliteit van de informatiehuishouding en voorziening en anderzijds op de veiligheid van de informatiehuishouding en voorziening. Bestuurders/directeuren: - informatieveiligheid gedegen en structureel verankeren in de bedrijfsprocessen; - het belang van informatieveiligheid binnen alle organisatielagen benadrukken via de lijn van de verplichtende zelfregulering; - de kwaliteit van informatieveiligheid bespreken met studenten en ouders; - de dialoog in de sector aangaan over de baseline, maturity levels en wijze van samenwerken; - de dialoog aangaan met stakeholders (overheid en inspectie) over de vraag hoe ver we gaan in het aanvaarden van onveiligheid. Waar sprake is van toenemende digitalisering en het ontwerpen en optimaliseren met behulp van architectuurprincipes, is het resultaat een even fijnmazig en meeraderig als kwetsbaar informatielandschap. Risico s m.b.t. de kwaliteit van document gestuurde bedrijfsprocessen (IDC, 0) Stichting Kennisnet (05). ICT monitor mbo 0 Vergelijking van ICT organisatie, visie, infrastructuur, applicaties, projecten, personeel en financiën van mbo instellingen. Zoetermeer: Stichting Kennisnet. Onderwijs Innovatie Groep (05). Onderzoeksrapport Standaarden en beveiliging in het po, vo, mbo en ho. Uitgevoerd in opdracht van de directie Kennis van het Ministerie van Onderwijs Cultuur en Wetenschap. Utrecht: Onderwijs Innovatie Groep. IBPDOC, versie.0 Pagina van 8
14 75,9% van de respondenten (n=56) ondervond tijdens de laatste vijf jaar ernstige bedrijfsrisico s en/of problemen met naleving als direct gevolg van inefficiënte document gestuurde bedrijfsprocessen. gevolgen: 6,% kon niet voldoen aan de vereisten voor naleving; 0,% verloor belangrijke werknemers;,9% verloor belangrijke klanten;,8% ondervond problemen met de IT-beveiliging; 0,% moest een grote bedrijfsaudit ondergaan; 9,% kreeg te maken met een ernstige PR-crisis. afhankelijk van het type proces meldden tussen 5,9% en 5,% van de deelnemers dat de document gestuurde processen waarvan ze persoonlijk kennis hadden niet efficiënt of effectief waren. Resultaten tellen, mensen doen ertoe. Het toenemend gebruik van informatie van derden (studenten) met derden (leveranciers, agentschappen) voor derden (agentschappen, gemeenten) vraagt om expliciete verantwoording. Zorg voor kinderen betekent dus ook zorgen voor de veiligheid van hun gegevens. (Erik Gerritsen, Bureau Jeugdzorg Agglomeratie Amsterdam) Als bestuurder vertegenwoordig je ook de belangen van ouders door werk te maken van de veiligheid van de gegevens van hun kinderen. Wat vinden ouders eigenlijk van het gebruik van informatie door scholen? Of wat willen ze zeker weten? De meerderheid van ouders (n=00) kent bezwaren t.a.v. veiligheid en privacy, en wel daar een elektronisch leerlingdossier (leeftijd kinderen van 0-7 jaar): - kan worden gehackt of gestolen (87%); - door de school of een medewerker kan worden gebruikt tegen het kind (68%) 5. 5 Future of Privacy Forum (05). Beyond The Fear Factor. Parental Support For Technology and Data Use in Schools. Washington DC: Future of Privacy Forum. IBPDOC, versie.0 Pagina van 8
15 Bijna 9 van de 0 ouders ondersteunen het verzamelen en gebruiken van elektronische leerling gegevens, wanneer ze weten dat een school/dienstverlener: - veiligheidsgaranties kan afgeven (85%) - elektronische leerling gegevens alleen gebruikt voor onderwijsdoeleinden (87%). Maak ouders (en studenten) bewust van de waarborgen die er al zijn en hoe deze werken.. Kwaliteitszorg Kwaliteitszorg helpt verantwoordelijkheden van instellingen te benadrukken, intensiveert kritische reviews van externen en stimuleert aandacht voor de onderwijsfunctie en didactische methoden binnen instellingen. Tevens versterkt kwaliteitszorg de organisatie, zo worden studenten empowered doordat naar ze wordt geluisterd en worden organisatieonderdelen gestimuleerd om transparant en open te zijn over hun keuzes en beslissingen. Ook kan het een bijdrage leveren aan groeiend vertrouwen van de maatschappij in instellingen 6. Systeembenadering Verantwoordelijkheid dragen voor informatieveiligheid vereist een goed functionerende PDCA cyclus. Centraal staat de aansluiting van informatieveiligheid op de reguliere Plan-Do-Check-Act cyclus, waardoor een systeem van zelfregulering op het gebied van informatieveiligheid wordt gerealiseerd. Een systeembenadering draagt er ook aan bij dat kwaliteit wordt verbeterd zonder de regeldruk te verhogen: - geen aparte datasets; - geen aparte cycli; - geen aparte controles. Benchmark informatieveiligheid Een benchmark wordt ingezet als instrument of methode om binnen een sector voortdurende verbetering na te streven. In de profit sector ligt daarbij het accent vooral op concurrentie en het vergroten van het onderscheidend vermogen. Binnen de non profit sector ligt het accent vooral op transparantie en het vergroten van het regulerend vermogen. Organisaties moeten informatieveiligheid leren te beschouwen als een vast onderdeel van de dagelijkse praktijk. Informatieveiligheid moet worden ingericht als een doorlopend proces van leren en verbeteren, dat onder de bestuurlijke verantwoordelijkheid valt. Hiertoe creëren we als sector gezamenlijk enkele handige en goede kaders die middels een benchmark worden ingezet als toetssteen. Met de opbrengsten van de taskforce in handen is ieder bestuur in staat om de gewenste zelfregulering verder vorm en inhoud te geven. Het is de verantwoordelijkheid van bestuurders om dit proces tot een succes te maken. Baseline (normen, grenswaarden en standaarden) Het is belangrijk om de informatiehuishouding goed op orde te hebben. Eén van de hulpmiddelen hierbij is de implementatie van een baseline informatiebeveiliging 7. Met een baseline hebben bestuur en management een instrument in handen waarmee zij in staat zijn om te meten of de organisatie in control is op gebied van informatieveiligheid. Een groeiende digitale onderwijskundige infrastructuur is gebaat bij passende regelgeving en onderlinge afspraken en garanties, zoals richtlijnen voor het gebruik van elektronische informatie, gedragscodes en voorschriften voor de beveiliging. De beschikbaarheid en de continuïteit van de dienstverlening en de bescherming van gegevens hebben daarbij de allerhoogste prioriteit. Volwassenheid De volwassenheid van de sector en de instellingen waaruit de sector bestaat, kan worden afgelezen aan de hand waarop met technologieën op een verantwoorde wijze wordt geëxperimenteerd. Het invullen van een 6 Leest, B.,Mommers, A., Sijstermans, E., & Verrijt, T. (05). Kwaliteitszorg en kwaliteitscultuur in het hoger onderwijs. Literatuurstudie. Nijmegen: ITS, Radboud Universiteit. 7 Baselines vormen een instrument om de informatieveiligheid van (overheids)organisaties te verbeteren en zijn gebaseerd op algemeen geaccepteerde kaders, zoals de NEN- ISO-700/. IBPDOC, versie.0 Pagina 5 van 8
16 experimenteerruimte vergt allereerst een kader voor de risicogebieden of clusters waarop kan worden geëxperimenteerd. Wanneer is vallen en opstaan acceptabel? Welke risico s kunnen worden geaccepteerd? Wie bepaalt dat en hoe wordt dat bepaald? In het algemeen kan worden gesteld dat de ernst van de risico s bepaalt in welke mate er ruimte kan worden gegeven om te experimenteren. Voor een beeld van de volwassenheid van de hele sector is een vorm van benchmarking noodzakelijk opdat kan worden vastgesteld of er sprake is van een normale distributie. Belangrijke vraag die op alle s beantwoord dient te worden: Hoe ver gaan we in het aanvaarden van onveiligheid? (Michel van Eeten, Hoogleraar Governance van Cybersecurity) Het is niet aan te geven waar onze samenleving zich bevindt in dit traject van aanvaarding, omdat dit sterk verschilt per risicogebied. Het optimale van onveiligheid bepalen we van geval tot geval. Zowel het gebruiken van nieuwe technologieën als het niet-gebruiken ervan leidt tot risico s onzekerheden en problemen rondom verantwoordelijkheden. Als sector kunnen we de verplichte zelfregulering oriënteren op een groeiperspectief waarbij sprake is van een genormeerde experimenteerruimte 8 : in bepaalde gevallen en onder bepaalde (proces)condities de mogelijkheid te krijgen om te experimenteren met nieuwe technologieën. De baseline voor ons denken en handelen m.b.t. informatieveiligheid is bepaald door wet- en regelgeving, noties omtrent maatschappelijk verantwoord ondernemen en regels van goed fatsoen. Daarnaast wordt een tijdelijke gedoogzone gecreëerd om nieuwe technologieën te ontwikkelen zonder dat een onderwijsinstelling zich direct overgeeft aan deze nieuwe technologieën. Peer review Een peer review heeft vooral tot doel met en van elkaar te leren. Door middel van een peer review kan meer de nadruk worden gelegd op waarderende en stimulerende vormen van verkenning en onderzoek. Door middel van een peer review wordt het lerend vermogen van de sector vergroot. Het is hierbij cruciaal dat externe experts geaccepteerd worden als onbevooroordeelde specialisten en dat deze specialisten naar gelang het doel van het bezoek variëren (bijvoorbeeld managementexperts als het gaat om instellingsaudits) 9.. Organisatorische inbedding Werkvloer (implementatie) Uitgangspunten voor implementatie - vanuit een baseline op een verantwoorde wijze stapsgewijs streven naar maximale volwassenheid 0 ; - gaat niet om de techniek maar om de structuur en de verantwoordelijkheidsverdeling binnen organisaties; - minstens zo belangrijk is het gedrag van de medewerkers, hoe gaan docenten/medewerkers met informatie en dossiers om en met nieuwe technologieën, zoals sociale media. Succesfactoren voor implementatie: - beschouw een dergelijk project als een ingrijpend veranderingstraject en niet als een technisch project; - begin niet zonder de nadrukkelijk commitment van de leiding; - zorg voor een transparant en zichtbaar project; - beleg project niet uitsluitend bij externe adviseurs; - benoem op sleutelposities in het project eigen medewerkers met voldoende kennis, tijd en mandaat; - voorkom als (te) star ervaren digitale werkprocesondersteuning; - start nooit een pilotimplementatie zonder dat door-en-door getest is; - Zorg voor voldoende financiële reserves. 8 Broeders, D., Cuijpers, M. K. C., & Prins, J. E. J. (Eds.). (0). De staat van informatie (Vol. 5). Wetenschappelijke Raad voor het Regeringsbeleid. Amsterdam: Amsterdam University Press. 9 Leest, B.,Mommers, A., Sijstermans, E., & Verrijt, T. (05). Kwaliteitszorg en kwaliteitscultuur in het hoger onderwijs. Literatuurstudie. Nijmegen: ITS, Radboud Universiteit. 0 Bollaert, L. (0). Quality Assurance (Qa) in Europe (005 05). From Internal and Institutional to External and International. Journal of the European Higher Education Area,, -. IBPDOC, versie.0 Pagina 6 van 8
17 Benchmark als activiteit/proces inbedden in de staande kwaliteitszorgorganisatie (single information single audit - SISA) en cultuur Werkvloer (houding) Cultuur: appelleert aan de intrinsieke motivatie van docenten en medewerkers om in- en extern hoogwaardige kennis en ervaring te ontwikkelen, in te zetten en te delen. Het is van het grootste belang dat de organisatiecultuur een positieve houding kent ten aanzien van informatieveiligheid in de gehele organisatie. Het is bovendien van belang dat activiteiten binnen de organisatie op een consistente wijze beantwoorden aan praktijken van een informatieveiligheidscultuur. Kwaliteitscultuur is een onderdeel van de organisatiecultuur. Ze wordt inmiddels erkend als een van de meest essentiële factoren van kwaliteit. Kwaliteitscultuur vormt een uitdrukking van onderhuidse individuele en collectieve waarden in het perspectief van effectief presteren als professional en onderwijsorganisatie. Categorieen als gedrevenheid, betrokkenheid en collectiviteit worden, hoewel niet altijd meetbaar, gezien als belangrijke graadmeters voor de identificatie van de kwaliteitscultuur. De informatieveiligheidscultuur is een onderdeel van die kwaliteitscultuur en dient voor een spillover te zorgen naar handelingsstrategieën en -repertoire als uitingen van organisatiebewustzijn en -gedrag. Figuur Model van Berings (00) Alnatheer, M., & Nelson, K. (009). Proposed framework for understanding information security culture and practices in the Saudi context. Bollaert, L. (0). Quality Assurance (Qa) in Europe (005 05). From Internal and Institutional to External and International. Journal of the European Higher Education Area,, -. IBPDOC, versie.0 Pagina 7 van 8
18 Bijlage : Framework Informatiebeveiliging en Privacy voor het MBO Verantwoordingsdocument informatiebeveiliging en privacy in het mbo onderwijs (IBPDOC) Mbo referentie architectuur (IBPDOC) Mbo roadmap informatiebeveiligingsbeleid en privacy beleid (IBPDOC5) Model Informatiebeveiligingsbeleid voor de mbo sector op basis van ISO700 en ISO700 (IBPDOC 6) Toetsingskader IB: clusters t/m 6 (IBPDOC) Toetsingskader Examinering Pluscluster 8 IBPDOC8 Handleiding BIV classificatie IBPDOC Starterkit Identity mngt mbo versie IBPDOC Toetsingskader Online leren Pluscluster 9 IBPDOC9 BIV classificatie Bekostiging IBPDOC5 Starterkit RBAC mbo versie IBPDOC Toetsingskader VMBO-MBO Pluscluster 0 IBPDOC0 BIV classificatie Indiensttreding IBPDOC6 Starterkit BCM mbo versie IBPDOC Benchmark mbo sector IBPDOC BIV classificatie Online leren IBPDOC7 Integriteit Code mbo versie IBPDOC5 Implementatievoorbeelden van kleine en grote instellingen Model Informatiebeveiligingsbeleid en Privacy voor de mbo sector (IBPDOC 8) Toetsingskader Privacy: cluster 7 (IBPDOC7) Functiewaardering IBP IBPDOC PIA Deelnemers Bekostiging IBPDOC9 Acceptable Use Policy mbo versie IBPDOC6 Positionering IBP IBPDOC PIA Personeel Indiensttreding IBPDOC0 Responsible Disclosure mbo versie IBPDOC7 Risico inventarisatie IBP IBPDOC9 PIA Onderwijs Online leren IBPDOC Leveranciers Overeenkomst mbo versie IBPDOC8 Technische quick scan (APK) IBPDOC0 Privacy Compliance kader mbo (IBPDOCB) Normenkader Informatiebeveiliging mbo (IBPDOCA) Hoe? Zo! Informatiebeveiligingsbeleid in het mbo en Hoe? Zo! Privacy in het mbo Taskforce IBP mbo Voorbeelden SCIPR IBPDOC, versie.0 Pagina 8 van 8
Benchmark informatiebeveiliging
Benchmark informatiebeveiliging in de mbo sector 05 IBPDOCb Verantwoording Productie Kennisnet / sambo-ict Benchmark is uitgevoerd met behulp van de tool Coable van het bedrijf Coblue Sybersecurity. Het
Nadere informatieBenchmark informatiebeveiliging
Benchmark informatiebeveiliging in de mbo sector IBPDOC11a Verantwoording Productie Kennisnet / sambo-ict Benchmark is uitgevoerd met behulp van de tool Coable van het bedrijf Coblue Sybersecurity. Het
Nadere informatieVerklaring van Toepasselijkheid
Verklaring van Toepasselijkheid Parantion Groep B.V. ISO27001:2013 Verklaring van toepasselijkheid_openbaar Extern vertrouwelijk Versie: 3.0 Parantion Groep B.V. Pagina 1 van 9 Datum: maart 2016 Document
Nadere informatieISO 27001:2013 INFORMATIE VOOR KLANTEN
ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en
Nadere informatieHoe operationaliseer ik de BIC?
Hoe operationaliseer ik de BIC? Baseline Informatiebeveiliging Corporaties UTRECHT, 14 November 2017. Code voor Informatiebeveiliging NEN/ISO 27001; Informatietechnologie - Beveiligingstechnieken - Managementsystemen
Nadere informatieVVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord
VVT - Broad Horizon CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, 29-08-2017 Voorwoord Voorwoord Voor u ligt de verklaring van toepasselijkheid. De verklaring van toepasselijkheid vloeit voort uit de risicobeoordeling
Nadere informatieInformatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers
Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam
Nadere informatieTaskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector.
Taskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector. Doel Aanbieden handreikingen, op basis van best practices uit het Hoger Onderwijs en MBO sector,
Nadere informatieBenchmark informatiebeveiliging. mbo sector 2016 IBPDOC20
Benchmark informatiebeveiliging en privacy in de mbo sector 2016 IBPDOC20 Verantwoording Productie Kennisnet / sambo-ict Benchmark is uitgevoerd met behulp van de tool Coable van het bedrijf Coblue Sybersecurity.
Nadere informatieBedrijvenbijeenkomst informatiebeveiliging en privacy
Bedrijvenbijeenkomst informatiebeveiliging en privacy Auteur Datum Jan Bartling, Alf Moens, Ludo Cuijpers, Leo Bakker 26 februari 2016 1. Welkom - Jan 2. Gebruikersgroep en sambo-ict - Jan 3. Programma
Nadere informatieInformatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen
Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen Auteur Datum Ludo Cuijpers 5 februari 2016 1. Informatiebeveiliging en privacy in het mbo 2. IBP framework 3. Mens
Nadere informatiePositionering informatiebeveiliging en privacy (enquête)
Positionering informatiebeveiliging en privacy (enquête) IBPDOC13 Verantwoording Met dank aan: Deelnemers enquête uit de mbo sector. Willem Karssenberg (sambo-ict) voor het ontwerpen en beheren van de
Nadere informatieVerklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid
Beveiligingsbeleid 5,1 Informatiebeveiligingsbeleid 5.1.1 Beleidsdocument voor informatiebeveiliging 5.1.2 Beoordeling van het informatiebeveiligingsbeleid Organiseren van informatiebeveiliging 6,1 Interne
Nadere informatieInformatiebeveiliging: Hoe voorkomen we issues?
Informatiebeveiliging: Hoe voorkomen we issues? Workshop C Remco de Boer (Kennisnet) Ludo Cuijpers (MBO Taskforce IBB) Inhoud 1. Voorstelronde 2. Over uw rol 3. Maatregelen 4. De diepte in Voorstelronde
Nadere informatieVoortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector. sambo-ict conferentie, 2 oktober 2015
Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector sambo-ict conferentie, 2 oktober 2015 Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark
Nadere informatieDe maatregelen in de komende NEN Beer Franken
De maatregelen in de komende NEN 7510 Beer Franken Twee delen in komende NEN 7510 Deel 1: het infosec management system (ISMS) hoofdstuk 4 in huidige NEN 7510 Deel 2: de maatregelen hoofdstukken 5 t/m
Nadere informatieBeheersmaatregelen volgens Bijlage A van de ISO/IEC norm
Beheersmaatregelen volgens Bijlage A van de ISO/IEC 27001 norm A.5.1.1 Beleidsdocumenten voor informatiebeveiliging A.5.1.2 Beoordeling van het Informatiebeveiligingsbeleid A.6.1.1 Informatiebeveiligings
Nadere informatieNormenkader Informatiebeveiliging MBO
Normenkader Informatiebeveiliging MBO IBPDOC2A Verantwoording Bron: Normenkader Informatiebeveiliging HO 2015 Gebaseerd op ISO 27002:2013 Stichting SURF April 2015 Met dank aan: Maturity Werkgroep SURFibo:
Nadere informatieVerantwoordingsdocument informatiebeveiliging en privacy (ibp) in het mbo.
Verantwoordingsdocument informatiebeveiliging en privacy (ibp) in het mbo. IBPDOC1 IBPDOC1, versie 2.1 Pagina 1 van 12 Auteurs Leo Bakker (Kennisnet) Ludo Cuijpers (Leeuwenborgh Opleidingen) Versie 2.1
Nadere informatieMBO toetsingskader Informatiebeveiliging Handboek MBOaudit
MBO toetsingskader Informatiebeveiliging Handboek MBOaudit IBBDOC3+ Toelichting Kenmerkend voor het vakgebied auditing is dat een onderzoek plaatsvindt ten opzichte van een eerder opgesteld en afgestemd
Nadere informatieVerantwoordingsdocument Informatiebeveiliging (IB) en Privacy in het MBO
Verantwoordingsdocument Informatiebeveiliging (IB) en Privacy in het MBO IBBDOC1 Inhoudsopgave Verantwoordingsdocument IB en privacy in het MBO 1. Inleiding... 3 1.1 Aanleiding... 3 1.2 Aanpak... 3 1.3
Nadere informatieNormenkader Informatiebeveiliging HO 2015
Gebaseerd op ISO 27002:2013 Auteur(s): Alf Moens Versie: 1.4 Datum: Status: 5 mei 2015 Vastgesteld door stuurgroep Informatiebeveiliging en Privacy op 30 maart 2015 Moreelsepark 48 3511 EP Utrecht Postbus
Nadere informatieVerantwoordingsdocument programma Informatiebeveiliging en Privacy (IBP) in het mbo
Verantwoordingsdocument programma Informatiebeveiliging en Privacy (IBP) in het mbo IBPDOC1 Inhoudsopgave Verantwoordingsdocument Informatiebeveiliging en privacy (IBP) in het mbo 1. Inleiding... 3 1.1
Nadere informatie: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie
: Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen
Nadere informatieNormenkader Informatiebeveiliging MBO
Normenkader Informatiebeveiliging MBO IBBDOC2 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Met dank aan: Maturity Werkgroep SURFibo: Hans Alfons (Vrije Universiteit) Ludo
Nadere informatieToetsingskader Informatiebeveiliging cluster 1 t/m 6 (versie 3.0, juli 2017)
Toetsingskader Informatiebeveiliging cluster 1 t/m 6 (versie 3.0, juli 2017) IBPDOC3 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Bewerkt door: Kennisnet / sambo-ict Auteurs
Nadere informatieEven bijpraten. Auteur Datum. Jan Bartling (sambo-ict) en Leo Bakker (Kennisnet) 18 januari 2019
Even bijpraten. Auteur Datum Jan Bartling (sambo-ict) en Leo Bakker (Kennisnet) 18 januari 2019 1. IBP Benchmark 2018 2. Onderwijslogistiek 3. Kennisnet Technologiekompas 2019-2020 4. De digitale overheid
Nadere informatieInformatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours
Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen
Nadere informatieISO27001:2013 Verklaring van toepasselijkheid
ITB-Kwadraat B.V. Pagina 1 van 15 A.5 Beveiligingsbeleid A.5.1 Managementaanwijzing voor informatiebeveiliging A.5.1.1 A.5.1.2 Beleidsregels voor informatiebeveiliging Beoordeling van het Informatiebeveiligingsbeleid
Nadere informatieInformatiebeveiliging
Informatiebeveiliging HKZ, november 2016 Wie ik ben: adviseur/trainer/qarebase begeleiden bij kwaliteitsmanagement en certificering Lead Auditor Kiwa, o.a. HKZ, ISO 9001, ZKN, VMS, NEN 7510 en NEN-ISO
Nadere informatieVerklaring van toepasselijkheid ISO 27001:2017 Absoluta Food and Facilities B.V Versie 2
A.5 Beveiligingsbeleid A.5.1 Managementaanwijzing voor A.5.1.1 A.5.1.2 Beleidsregels voor Beoordeling van het Informatiebeveiligingsbeleid A.6 Organisatie van Het verschaffen van directieaansturing van
Nadere informatieTaskforce Informatiebeveiligingsbeleid.
Taskforce Informatiebeveiligingsbeleid. Cursus 1 2015-2016 plus overnachting Aanleiding: Om het deskundigheidsniveau van instellingen te vergroten, zal een masterclass Privacy georganiseerd worden. Deze
Nadere informatieCYBERDREIGINGSBEELD 2015
CYBERDREIGINGSBEELD 2015 SECTOR ONDERWIJS EN ONDERZOEK Bart Bosma, SURFnet bart.bosma@surfnet.nl CYBERDREIGINGSBEELD 2015 Vrijdag 4 december gepubliceerd op de SURF website: www.surf.nl/cyberdreigingsbeeld
Nadere informatieMBO roadmap informatiebeveiligingsbeleid. privacy beleid
; MBO roadmap informatiebeveiligingsbeleid en privacy beleid IBPDOC5 IBPDOC5, versie 1.1 Pagina 2 van 30 Verantwoording Bron: Informatiebeveiliging Stichting SURF Februari 2015 SURFibo Het SURF Informatie
Nadere informatie20A. Verklaring van Toepasselijkheid ISO bosworx
20A. Verklaring van Toepasselijkheid ISO 27001 bosworx Nummer Omschrijving Beheersmaatregel Van toepassing Geïmple-menteerd Wet Contract Risico Onderbouwing uitsluiting A.5 IB-beleid A.5.1 Aansturing door
Nadere informatieImpl. Wet Contract Risico Onderbouwing uitsluiting
A.5 IB-beleid A.5.1 Aansturing door de directie van de IB Doelstelling: Het verschaffen van directieaansturing van en -steun voor IB in overeenstemming met bedrijfseisen en relevante wet- en regelgeving.
Nadere informatieNieuws en Centraal Aanmelden
Nieuws en Centraal Aanmelden Auteur Datum Jan Bartling 29-01-2018 1. Nieuws IBP benchmark ICT Monitor Jaarstart 2. Centraal aanmelden (CA) Achtergrond VVA en CA Governance Benchmark IBP - N = 47 - het
Nadere informatieInformation Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8
Information Security Management System Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8 Versiebeheer De verantwoordelijke van dit document is Paul den Otter (directielid). Hieronder is het versiebeheer
Nadere informatieToetsingskader Informatiebeveiliging cluster 1 t/m 6
Toetsingskader Informatiebeveiliging cluster 1 t/m 6 IBPDOC3 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Met dank aan: Maturity Werkgroep SURFibo: Hans Alfons (Vrije Universiteit)
Nadere informatieManagementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C
Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht
Nadere informatieHandleiding Risicomanagement
Handleiding Risicomanagement IBPDOC29 Verantwoording Opdrachtgever Kennisnet / sambo-ict Dit document is geschreven voor IT managers, IT security officers, Information officers binnen de MBO sector. Dit
Nadere informatieInformatiebeveiligingsbeleid
Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...
Nadere informatieJohan Verklaring van Toepasselijkheid ISO27001:2013. Versie 1.1, dd
A.5 IB-beleid A.5.1 Aansturing door de directie van de IB Doelstelling: Het verschaffen van directieaansturing van en -steun voor IB in overeenstemming met bedrijfseisen en relevante wet- en regelgeving.
Nadere informatieSeminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging
Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging
Nadere informatie1. Beveiligingsbijlage
Bijlage 2 1. Beveiligingsbijlage 1.1 Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang
Nadere informatieNEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR
NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR Theo de Breed Standards and Regulations 1 Agenda AVG voorbereiding in 10 stappen (Bron: AP) Praktische invulling door gebruik van
Nadere informatiePrivacy in het mbo, verwerkersovereenkomsten Sebastiaan Wagemans, Contract-/ productmanager SURFmarket Leo Bakker, adviseur ibp Kennisnet
Privacy in het mbo, verwerkersovereenkomsten Sebastiaan Wagemans, Contract-/ productmanager SURFmarket Leo Bakker, adviseur ibp Kennisnet Het belang van privacy De be(ver)werkersovereenkomsten Werkgroep
Nadere informatieHandleiding Risico management
Handleiding Risico management IBPDOC29 Verantwoording Opdrachtgever Kennisnet / sambo-ict Dit document is geschreven voor IT managers, IT security officers, Information officers binnen de MBO sector. Dit
Nadere informatieWho are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL
Privacy in de zorg Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL Audit & Advisory Security Assessments Training and Awareness
Nadere informatieMBO roadmap informatiebeveiligingsbeleid. privacy beleid
; MBO roadmap informatiebeveiligingsbeleid en privacy beleid IBPDOC5 IBPDOC5, versie 1.1 Pagina 2 van 30 Verantwoording Bron: Informatiebeveiliging Stichting SURF Februari 2015 SURFibo Het SURF Informatie
Nadere informatieInformatieveiligheid in de steiger
29e sambo-ict conferentie Graafschap College Donderdag 16 januari 2014 Informatieveiligheid in de steiger André Wessels en Paul Tempelaar Informatieveiligheid en Risicomanagement Agenda Introductie Borging
Nadere informatieVOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatieToetsingskader Privacy (Pluscluster 7)
Toetsingskader Privacy (Pluscluster 7) IBPDOC7 Verantwoording Bronnen: SURFaudit toetsingskader Stichting SURF Februari 2015 Met dank aan: Opdracht verstrekking door: Kennisnet / sambo-ict Auteurs Leo
Nadere informatieHandboek mbo-audits: normenkader ib compliance kader privacy normenkader examineren normenkader digitaal ondertekenen
: normenkader ib compliance kader privacy normenkader examineren normenkader digitaal ondertekenen IBBPDOC21 Inhoudsopgave 1. Normenkader informatiebeveiliging (cluster 1 t/m 6)... 3 1.1 1.2 Cluster beleid
Nadere informatieCertificaat Het managementsysteem van:
QMSI Quality Management Systems International Certificaat Het managementsysteem van: Concorde Group B.V. Handelend onder de naam: Livewords Van Heuven Goedhartlaan 121 1181 KK Amstelveen Nederland een
Nadere informatieBIJLAGE 2: BEVEILIGINGSBIJLAGE
BIJLAGE 2: BEVEILIGINGSBIJLAGE De Verwerker is overeenkomstig de AVG en artikel 7 en 8 Verwerkersovereenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van
Nadere informatieHet treffen van adequate organisatorische en technische beveiligingsmaatregelen Nieuwsjaarscongres Adfiz Ing. Luuk Akkermans CISA CISM 11 januari 2018 I. Informatiebeveiliging Waarom is informatiebeveiliging
Nadere informatieINFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop
INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG 25 juni 2018 Paul Frencken Johan van Middelkoop GEBRUIKTE AFKORTINGEN Afkorting Betekenis AVG Algemene Verordening Gegevensbescherming (ook wel de privacy wetgeving)
Nadere informatieToelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC
Toelichting NEN7510 Informatiebeveiliging in de zorg Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC Inhoud Toelichting informatiebeveiliging Aanpak van informatiebeveiliging
Nadere informatieCompetenties Informatiebeveiliging en Privacy
Competenties Informatiebeveiliging en Privacy IBPDOC12 Verantwoording Auteurs Leo Bakker (Kennisnet) Mireille Boonstra-Kints (Kints Fuwa Advies) Ludo Cuijpers (sambo-ict, Kennisnet en ROC Leeuwenborgh)
Nadere informatieThema-audit Informatiebeveiliging bij lokale besturen
Thema-audit Informatiebeveiliging bij lokale besturen I. Audit Vlaanderen Missie Partner van de organisatie... Onafhankelijk Objectief Bekwaam... bij het beheersen van financiële, wettelijke en organisatorische
Nadere informatieTammo Beek beleidsmedewerker Communicatie Jos Bosten Beleidsadviseur Elearning en ICT. Wie zijn wij
Tammo Beek beleidsmedewerker Communicatie Jos Bosten Beleidsadviseur Elearning en ICT Wie zijn wij Openbaar Primair onderwijs Haarlem 23 scholen (2x SO, 3x S(B)O, 18 PO) 31 locaties 6800 leerlingen 950
Nadere informatiePrivacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers
Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende
Nadere informatieEen Information Security Management System: iedereen moet het, niemand doet het.
ADVIESRAPPORT Een Information Security Management System: iedereen moet het, niemand doet het. Een onderzoek naar de betekenis van het ISMS ter borging van de Baseline Informatiebeveiliging Nederlandse
Nadere informatieRisicomanagement en NARIS gemeente Amsterdam
Risicomanagement en NARIS gemeente Amsterdam Robert t Hart / Geert Haisma 26 september 2013 r.hart@risicomanagement.nl / haisma@risicomanagement.nl 1www.risicomanagement.nl Visie risicomanagement Gemeenten
Nadere informatieChecklist Beveiliging Persoonsgegevens
Checklist Beveiliging Persoonsgegevens Beveiliging is een één van de belangrijkste vereisten binnen het privacyrecht. Iedere organisatie zal passende technische en organisatorische maatregelen moeten treffen
Nadere informatieBerry Kok. Navara Risk Advisory
Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging
Nadere informatieBeveiligingsbeleid Stichting Kennisnet
Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek
Nadere informatieInformatiebeveiligingsbeleid
Informatiebeveiligingsbeleid Document nummer ISMS 2 Versie 1.4 Auteur M. Konersmann Goedgekeurd door J. Meijer Datum 30-08-2017 Classificatie Openbaar Versie Datum Reden voor Aangepast door opmaak 1.0
Nadere informatieIedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.
Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris
Nadere informatieRené IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG
ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases
Nadere informatieInformatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.
1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?
Nadere informatieMbo roadmap informatiebeveiligings- beleid IBPDOC5
; Mbo roadmap informatiebeveiligings- en privacy beleid IBPDOC5 Verantwoording Bron: Starterkit Informatiebeveiliging (SCIPR) Stichting SURF Februari 2015 Herschreven door: Kennisnet / sambo-ict Auteurs
Nadere informatieResultaten SURFaudit benchmark 2015
Auteur(s): Bart Bosma Versie: 1.0 Datum: juni 2016 Moreelsepark 48 3511 EP Utrecht Postbus 19035 3501 DA Utrecht 088 787 30 00 admin@surfnet.nl www.surfnet.nl ING Bank NL54INGB0005936709 KvK Utrecht 30090777
Nadere informatieSamenvatting en Conclusie Revalidatiecentra
Samenvatting en Conclusie Revalidatiecentra RIVM Onderzoek ICT in de Zorg December 2016 Correspondentie: onderzoek_over_ict@rivm.nl Resultaat statistieken De data representeert 30% van de revalidatiecentra
Nadere informatieTechnische QuickScan (APK voor het MBO)
Technische QuickScan (APK voor het MBO) IBPDOC30 Verantwoording Opdrachtgever: Kennisnet / sambo-ict Auteurs Leo Bakker Ludo Cuijpers Robbin van den Dobbelsteen Albert Hankel Bart van den Heuvel Frank
Nadere informatieQuick scan Informatiebeveiliging gemeente Zoetermeer
Bes t uur l i j kenot a I nf or mat i ebev ei l i gi ng Dec ember2017 Quick scan Informatiebeveiliging gemeente Zoetermeer Conclusies en aanbevelingen Gemeenten beheren veel persoonlijke en gevoelige data
Nadere informatieResultaten SURFaudit-benchmark 2017
Resultaten SURFauditbenchmark 2017 Utrecht, 16 juli 2018 Versienummer: 1.0 Colofon Resultaten SURFauditbenchmark 2017 SURF Postbus 19035 NL3501 DA Utrecht T + 31 88 78 73 000 info@surf.nl www.surf.nl Auteur
Nadere informatieCompliance and Control
SURFaudit Compliance and Control Terena&TF(MSP&(&Trondheim&(&sept.&11th,&2013&(&Alf&Moens What is SURFaudit? Introduc@on How&did&it&start? Where&are&we&now? standards,&coopera@on&with&other§ors What&do&all&agree&upon&(and&where&do&they&disagree)?
Nadere informatieHRM in GDPR. 06 feb 2017 Gent. Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo. V-ICT-OR Vlaamse ICT Organisatie
HRM in GDPR Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo 06 feb 2017 Gent V-ICT-OR Vlaamse ICT Organisatie 16 stappen (roadmap) voor de implementatie (Algemene Verordening Gegevensbescherming)
Nadere informatieWat heb je nodig op 25 mei?
FG, Governance en wat nog meer? Wat heb je nodig op 25 mei? Wim Arendse Ileen Smits 1 Wat heb je nodig op 25 mei? 10-stappenplan Aanpak Autoriteit Persoonsgegevens Inventarisatie en toelichting Bij Zadkine
Nadere informatieISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18
ISMS BELEIDSVERKLARING info@thepeoplegroup.nl +31(0) 73 523 67 78 www.thepeoplegroup.nl Versie 1.0: 3/7/18 INTRODUCTIE De directie van The People Group zal bij het voorbereiden en uitvoeren van het algemeen
Nadere informatieBABVI/U201300696 Lbr. 13/057
Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatiebeveiliging uw kenmerk ons kenmerk BABVI/U201300696 Lbr. 13/057 bijlage(n) datum 6 juni 2013 Samenvatting
Nadere informatieEven Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017
GEGEVENSBESCHERMING IN DE PRAKTIJK Folkert van Hasselt 29 november 2017 Even Voorstellen Folkert van Hasselt RI Register informaticus Werkzaam bij Instituut Verbeeten Manager ICT Information Security Officer
Nadere informatieBEVEILIGINGSARCHITECTUUR
BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten
Nadere informatieAgenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht
(AVG) Introductie Peter van der Zwan Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht 10:15 AVG, hoe nu verder -
Nadere informatieInformatiebeveiliging En terugblik op informatiebeveiliging 2016
Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen
Nadere informatieBIJLAGE 2: BEVEILIGINGSBIJLAGE LEARNBEAT
BIJLAGE 2: BEVEILIGINGSBIJLAGE LEARNBEAT Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel
Nadere informatieVoorstel Informatiebeveiliging beleid Twente
Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)
Nadere informatieNEN 7510: een ergernis of een hulpmiddel?
NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens
Nadere informatieCompetenties informatiebeveiliging en privacy
Competenties informatiebeveiliging en privacy IBPDOC12 Verantwoording Auteurs Leo Bakker (Kennisnet) Mireille Boonstra-Kints (Kints Fuwa Advies) Ludo Cuijpers (sambo-ict, Kennisnet en ROC Leeuwenborgh)
Nadere informatieCompetenties Informatiebeveiliging en Privacy
Competenties Informatiebeveiliging en Privacy IBPDOC12 Verantwoording Auteurs Leo Bakker (Kennisnet) Mireille Boonstra-Kints (Kints Fuwa Advies) Ludo Cuijpers (sambo-ict, Kennisnet en ROC Leeuwenborgh)
Nadere informatieGemeente Alphen aan den Rijn
Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid
Nadere informatieActieplan Informatiebeveiligingsbeleid mbo
Actieplan Informatiebeveiligingsbeleid mbo V.1.0, 14-05-2014 Opdrachtgever: sambo-ict Inhoudsopgave 1. Inleiding... 3 2. Doelstelling... 4 2.1. Waarom informatiebeveiligingsbeleid... 4 2.2. Doelstellingen...
Nadere informatieBIJLAGE 2: VRAGENLIJST PASSENDE TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
BIJLAGE 2: VRAGENLIJST PASSENDE TECHNISCHE EN ORGANISATORISCHE MAATREGELEN Naam van de organisatie Benaming: Corilus NV Adres: 5032 Gembloux, Rue Camille Hubert 23 Ondernemingsnummer (KBO): 0428.555.896
Nadere informatie"Baselines: eigenwijsheid of wijsheid?"
"Baselines: eigenwijsheid of wijsheid?" Een afrondende 'beschouwende' presentatie Ing. Ernst J. Oud CISA CISSP Philips Toshiba Crypsys Data Security Getronics Business Continuity (a.k.a. CUC) Urenco Deloitte
Nadere informatieInformatiebeveiliging voor gemeenten: een helder stappenplan
Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers
Nadere informatieScenario 1: risico s. competenties; 1. Onveilige configuraties op IT-systemen en IT-infrastructuur; 2. Gebrek aan netwerkscheiding;
Scenario 1: risico s 1. Onveilige configuraties op IT-systemen en IT-infrastructuur; 2. Gebrek aan netwerkscheiding; 3. Verouderde software op IT-systemen; 4. Geen bijgewerkte antivirus; 5. IT-leverancier
Nadere informatieHOE OMGAAN MET DE MELDPLICHT DATALEKKEN?
HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We
Nadere informatie