Verklaring van toepasselijkheid ISO 27001

Save this PDF as:
 WORD  PNG  TXT  JPG

Maat: px
Weergave met pagina beginnen:

Download "Verklaring van toepasselijkheid ISO 27001"

Transcriptie

1 Van toepassing A.5 Beveiligingsbeleid A.5.1 A Managementaanwijzing voor Beleidsregels voor Het verschaffen van directieaansturing van en -steun voor in overeenstemming met bedrijfseisen en relevante wet- en regelgeving. Ten behoeve van moet een reeks beleidsregels worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen. A Beoordeling van het Het beleid voor moet met geplande Informatiebeveiligingsbeleid tussenpozen of als zich significante veranderingen voordoen, worden beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is. A.6 Organisatie van A.6.1 Interne organisatie Een beheerkader vaststellen om de implementatie en uitvoering van de binnen de organisatie te initiëren en te beheersen. A Rollen en verantwoordelijkheden bij Alle verantwoordelijkheden bij moeten worden gedefinieerd en toegewezen. A Scheiding van taken Conflicterende taken en verantwoordelijkheidsgebieden moeten zoveel mogelijk worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de van de organisatie te verminderen. A Contact met overheidsinstanties Er moeten passende contacten met relevante overheidsinstanties worden onderhouden. A Contact met speciale Er moeten passende contacten met speciale belangengroepen belangengroepen of andere gespecialiseerde beveiligingsfora en professionele organisaties worden onderhouden. A Informatiebeveiliging in Informatiebeveiliging moet aan de orde komen in projectbeheer, projectbeheer ongeacht het soort project. A.6.2 Mobiele computers en Het waarborgen van de veiligheid van telewerken en het gebruik telewerken van mobiele apparatuur. A Beleid voor mobiele Beleid en ondersteunende beveiligingsmaatregelen moeten apparatuur worden vastgesteld om de risico s die het gebruik van mobiele apparatuur met zich meebrengt te beheren. A Telewerken Beleid en ondersteunende beveiligingsmaatregelen moeten worden geïmplementeerd ter beveiliging van informatie die vanaf telewerklocaties wordt bereikt, verwerkt of opgeslagen. A.7 Beveiliging personeel A.7.1 Voorafgaand aan het dienstverband Waarborgen dat medewerkers en contractanten hun verantwoordelijkheden begrijpen en geschikt zijn voor de functies waarvoor zij in aanmerking komen. A Screening Verificatie van de achtergrond van alle kandidaten voor een dienstverband moet worden uitgevoerd in overeenstemming met relevante wet- en regelgeving en ethische overwegingen en moet in verhouding staan tot de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico s. A Arbeidsvoorwaarden De contractuele overeenkomst met medewerkers en contractanten moet hun verantwoordelijkheden voor en die van de organisatie vermelden. A.7.2 Tijdens het dienstverband Ervoor zorgen dat medewerkers en contractanten zich bewust zijn van hun verantwoordelijkheden op het gebied van en deze nakomen. A A Directieverantwoordelijkhed en Bewustzijn, opleiding en training ten aanzien van De directie moet van alle medewerkers en contractanten eisen dat ze toepassen in overeenstemming met de vastgestelde beleidsregels en procedures van de organisatie. Alle medewerkers van de organisatie en, voor zover relevant, contractanten moeten een passende bewustzijns-opleiding en - training krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie. A Disciplinaire procedure Er moet een formele en gecommuniceerde disciplinaire procedure zijn om actie te ondernemen tegen medewerkers die een inbreuk hebben gepleegd op de. A.7.3 A Beëindiging en wijziging dienstverband Beëindiging of wijziging van verantwoordelijkheden van het dienstverband Het beschermen van de belangen van de organisatie als onderdeel van de wijzigings- of beëindigingsprocedure van het dienstverband. Verantwoordelijkheden en taken met betrekking tot die van kracht blijven na beëindiging of wijziging van het dienstverband moeten worden gedefinieerd, gecommuniceerd aan de medewerker of contractant, en ten uitvoer worden gebracht. A.8 Beheer Bedrijfsmiddelen A.8.1 Verantwoordelijkheden voor Bedrijfsmiddelen van de organisatie identificeren en passende verantwoordelijkheden ter bescherming definiëren. A Inventariseren van Bedrijfsmiddelen die samenhangen met informatie en informatieverwerkende faciliteiten moeten worden geïdentificeerd, en van deze moet een inventaris worden opgesteld en onderhouden. A Eigendom van ISO Bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden moeten een eigenaar hebben. Ja Ja X Eisen/ wensen van instanties Pagina 1 van 9 Classificatie: 4 - Openbaar SOA.xlsx, SOA

2 Van toepassing A A Aanvaardbaar gebruik van Teruggeven van Voor het aanvaardbaar gebruik van informatie en van die samenhangen met informatie en informatieverwerkende faciliteiten moeten regels worden geïdentificeerd, gedocumenteerd en geïmplementeerd. Alle medewerkers en externe gebruikers moeten alle van de organisatie die ze in hun bezit hebben bij beëindiging van hun dienstverband, contract of overeenkomst teruggeven. A.8.2 Classificatie van informatie Bewerkstelligen dat informatie een passend beschermingsniveau krijgt dat in overeenstemming is met het belang ervan voor de organisatie. A Classificatie van Informatie Informatie moet worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging. A Informatie labelen Om informatie te labelen moet een passende reeks procedures worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie. A Behandelen van Procedures voor het behandelen van moeten worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie. A.8.3 Behandeling media Onbevoegde openbaarmaking, wijziging, verwijdering of vernietiging van informatie die op media is opgeslagen voorkomen. A Beheer van verwijderbare media Voor het beheren van verwijderbare media moeten procedures worden geïmplementeerd in overeenstemming met het classificatieschema dat door de organisatie is vastgesteld. A Verwijderen van media Media moeten op een veilige en beveiligde manier worden verwijderd als ze niet langer nodig zijn, overeenkomstig formele procedures A Media fysiek overdragen Media die gevoelige informatie en/of vertrouwelijke persoonsgegevens bevatten, moeten worden beschermd tegen onbevoegde toegang, misbruik of corruptie tijdens transport. A.9 Toegangscontrole A.9.1 Bedrijfsvereisten voor toegangscontrole A Beleid voor toegangsbeveiliging A Toegang tot netwerken en netwerkdiensten Toegang tot informatie en informatieverwerkende faciliteiten beperken. Een beleid voor toegangsbeveiliging moet worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfs- en seisen. Gebruikers moeten alleen toegang krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn. A.9.2 A A A A A A A.9.3 A Beheer van toegangsrechten van gebruikers Registratie en uitschrijving van gebruikers Gebruikers toegang verlenen Beheren van speciale toegangsrechten Beheer van geheime authenticatieinformatie van gebruikers Beoordeling van toegangsrechten van gebruikers Toegangsrechten intrekken of aanpassen Verantwoordelijkheden van gebruikers Geheime authenticatieinformatie gebruiken Toegang voor bevoegde gebruikers bewerkstelligen en onbevoegde toegang tot systemen en diensten voorkomen. Een formele registratie- en uitschrijvingsprocedure moet worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken. Een formele gebruikerstoegangs-verleningsprocedure moet worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken. Het toewijzen en gebruik van bevoorrechte toegangsrechten moeten worden beperkt en gecontroleerd. Het toewijzen van geheime authenticatie-informatie moet worden beheerst via een formeel beheersproces. Eigenaren van moeten toegangsrechten van gebruikers regelmatig beoordelen. De toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatieverwerkende faciliteiten moeten bij beëindiging van hun dienstverband, contract of overeenkomst worden verwijderd, en bij wijzigingen moeten ze worden aangepast. Gebruikers verantwoordelijk maken voor het beschermen van hun authenticatie-informatie. Van gebruikers moet worden verlangd dat zij zich bij het gebruiken van geheime authenticatie-informatie houden aan de praktijk van de organisatie. A.9.4 Systeem en applicatie toegangscontrole Onbevoegde toegang tot systemen en toepassingen voorkomen. A Beperking toegang tot informatie Toegang tot informatie en systeemfuncties van applicaties moet worden beperkt in overeenstemming met het beleid voor toegangscontrole. A Beveiligde inlogprocedures Indien het beleid voor toegangsbeveiliging dit vereist, moet toegang tot systemen en toepassingen worden beheerst door een beveiligde inlogprocedure. A Systeem voor wachtwoordbeheer Systemen voor wachtwoordbeheer moeten interactief zijn en sterke wachtwoorden waarborgen. A Speciale systeemhulpmiddelen gebruiken Het gebruik van systeemhulpmiddelen die in staat zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen moet worden beperkt en nauwkeurig worden gecontroleerd. Pagina 2 van 9 Classificatie: 4 - Openbaar SOA.xlsx, SOA

3 Van toepassing A Toegangsbeveiliging op programmabroncode Toegang tot de programmabroncode moet worden beperkt. A.10 Cryptografie A.10.1 Cryptografische beheersmaatregelen A Beleid inzake het gebruik van cryptografische beheersmaatregelen Zorgen voor correct en doeltreffend gebruik van cryptografie om de vertrouwelijkheid, authenticiteit en/of integriteit van informatie te beschermen. Ter bescherming van informatie moet een beleid voor het gebruik van cryptografische beheersmaatregelen worden ontwikkeld en geïmplementeerd. A Sleutelbeheer Met betrekking tot het gebruik, de bescherming en de levensduur van cryptografische sleutels moet tijdens hun gehele levenscyclus een beleid worden ontwikkeld en geïmplementeerd. A.11 Fysieke en omgevingsbeveiliging A.11.1 Beveiligde gebieden Onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en informatieverwerkende faciliteiten van de organisatie voorkomen. A Fysieke beveiligingszone Beveiligingszones moeten worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatieverwerkende faciliteiten bevatten. A A A A Fysieke toegangsbeveiliging Kantoren, ruimten en faciliteiten beveiligen Beschermen tegen bedreigingen van buitenaf Werken in beveiligde gebieden Beveiligde gebieden moeten worden beschermd door passende toegangsbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt. Voor kantoren, ruimten en faciliteiten moet fysieke beveiliging worden ontworpen en toegepast. Tegen natuurrampen, kwaadwillige aanvallen of ongelukken moet fysieke bescherming worden ontworpen en toegepast. Voor het werken in beveiligde gebieden moeten procedures worden ontwikkeld en toegepast. A Laad- en loslocatie Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden, moeten worden beheerst, en zo mogelijk worden afgeschermd van informatieverwerkende faciliteiten om onbevoegde toegang te vermijden. A.11.2 Beveiliging van apparatuur Verlies, schade, diefstal of compromittering van en onderbreking van de bedrijfsvoering van de organisatie voorkomen. A Plaatsing en bescherming van apparatuur Apparatuur moet zo worden geplaatst en beschermd dat risico s van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind. A Nutsvoorzieningen Apparatuur moet worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen. A Beveiliging van bekabeling Voedings- en telecommunicatiekabels voor het versturen van gegevens of die informatiediensten ondersteunen, moeten worden beschermd tegen interceptie, verstoring of schade. A Onderhoud van apparatuur Apparatuur moet correct worden onderhouden om de continue beschikbaarheid en integriteit ervan te waarborgen. A A A A A Verwijdering van Beveiliging van apparatuur en buiten het terrein Veilig verwijderen of hergebruiken van apparatuur Onbeheerde gebruikersapparatuur Clear desk - en clear screen -beleid Apparatuur, informatie en software mogen niet van de locatie worden meegenomen zonder voorafgaande goedkeuring. Bedrijfsmiddelen die zich buiten het terrein bevinden, moeten worden beveiligd, waarbij rekening moet worden gehouden met de verschillende risico s van werken buiten het terrein van de organisatie. Alle onderdelen van de apparatuur die opslagmedia bevatten, moeten worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of veilig zijn overschreven. Gebruikers moeten ervoor zorgen dat onbeheerde apparatuur voldoende beschermd is. Er moet een clear desk -beleid voor papieren documenten en verwijderbare opslagmedia en een clear screen -beleid voor informatieverwerkende faciliteiten worden ingesteld. A.12 Beveiliging operatie A.12.1 Bedieningsprocedures en verantwoordelijkheden Correcte en veilige bediening van informatieverwerkende faciliteiten waarborgen. A Gedocumenteerde bedieningsprocedures Bedieningsprocedures moeten worden gedocumenteerd en beschikbaar gesteld aan alle gebruikers die ze nodig hebben. A Wijzigingsbeheer Veranderingen in de organisatie, bedrijfsprocessen, informatieverwerkende faciliteiten en systemen die van invloed zijn op de moeten worden beheerst. A Capaciteitsbeheer Het gebruik van middelen moet worden gemonitord en afgestemd, en er moeten verwachtingen worden opgesteld voor toekomstige capaciteitseisen om de vereiste systeemprestaties te waarborgen. ; bescherming van ; bescherming van ; bescherming van ; bescherming van ; bescherming van ; bescherming van ; bescherming van ; bescherming van ; bescherming van ; bescherming van ; bescherming van ; bescherming van ; bescherming van ; bescherming van ; bescherming van Pagina 3 van 9 Classificatie: 4 - Openbaar SOA.xlsx, SOA

4 Van toepassing A Scheiding van ontwikkel-, test- en productieomgevingen Ontwikkel-, test- en productieomgevingen moeten worden gescheiden om het risico van onbevoegde toegang tot of veranderingen aan de productieomgeving te verlagen. A.12.2 Bescherming Malware Waarborgen dat informatie en informatieverwerkende faciliteiten beschermd zijn tegen malware. A Beheersmaatregelen tegen malware Ter bescherming tegen malware moeten beheersmaatregelen voor detectie, preventie en herstel worden geïmplementeerd, in combinatie met een passend bewustzijn van gebruikers. A.12.3 Back-up Beschermen tegen het verlies van gegevens. A Back-up van informatie Regelmatig moeten back-upkopieën van informatie, software en systeemafbeeldingen worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid. A.12.4 Logging en bewaking Gebeurtenissen vastleggen en bewijs verzamelen. A Gebeurtenissen registreren Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en s-gebeurtenissen registreren, moeten worden gemaakt, bewaard en regelmatig worden beoordeeld. A Beschermen van informatie in logbestanden Logfaciliteiten en informatie in logbestanden moeten worden beschermd tegen vervalsing en onbevoegde toegang. A Logbestanden van beheerders en operators Activiteiten van systeembeheerders en -operators moeten worden vastgelegd en de logbestanden moeten worden beschermd en regelmatig worden beoordeeld. A Kloksynchronisatie De klokken van alle relevante informatieverwerkende systemen binnen een organisatie of beveiligingsdomein moeten worden gesynchroniseerd met één referentietijdbron. A.12.5 A Beheersing van operationele programmatuur Software installeren op operationele systemen De integriteit van operationele systemen waarborgen. Om het op operationele systemen installeren van software te beheersen moeten procedures worden geïmplementeerd. A.12.6 Beheer van technische kwetsbaarheden A Beheersing van technische kwetsbaarheden A Beperkingen voor het installeren van software A.12.7 Overwegingen bij audits van informatiesystemen A Beheersmaatregelen betreffende audits van informatiesystemen Benutting van technische kwetsbaarheden voorkomen. Informatie over technische kwetsbaarheden van informatiesystemen die worden gebruikt moet tijdig worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden moet worden geëvalueerd en passende maatregelen moeten worden genomen om het risico dat ermee samenhangt aan te pakken. Voor het door gebruikers installeren van software moeten regels worden vastgesteld en geïmplementeerd. De impact van auditactiviteiten op uitvoeringssystemen zo gering mogelijk maken. Auditeisen en -activiteiten die verificatie van uitvoeringssystemen met zich meebrengen, moeten zorgvuldig worden gepland en afgestemd om bedrijfsprocessen zo min mogelijk te verstoren. A.13 Beveiliging van verbindingen A.13.1 Beheer van netwerkbeveiliging De bescherming van informatie in netwerken en de ondersteunende informatieverwerkende faciliteiten waarborgen. A Beheersmaatregelen voor netwerken Netwerken moeten worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen. A Beveiliging van Beveiligingsmechanismen, dienstverleningsniveaus en netwerkdiensten beheerseisen voor alle netwerkdiensten moeten worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten. A Scheiding in netwerken Groepen van informatiediensten, -gebruikers en -systemen moeten in netwerken worden gescheiden. A.13.2 Informatie-uitwisseling Handhaven van de beveiliging van informatie die wordt uitgewisseld binnen een organisatie en met een externe entiteit. A A Beleid en procedures voor informatietransport Overeenkomsten over informatietransport Ter bescherming van het informatietransport, dat via alle soorten communicatiefaciliteiten verloopt, moeten formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht zijn. Overeenkomsten moeten betrekking hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen. A Elektronische berichten Informatie die is opgenomen in elektronische berichten moet passend beschermd zijn. A Vertrouwelijkheids- of Eisen voor vertrouwelijkheids- of geheimhoudingsovereenko geheimhoudingsovereenkomsten die de behoeften van de mst organisatie betreffende het beschermen van informatie weerspiegelen moeten worden vastgesteld, regelmatig worden beoordeeld en gedocumenteerd. A.14 Verwerving, ontwikkeling en onderhoud van informatiesystemen Pagina 4 van 9 Classificatie: 4 - Openbaar SOA.xlsx, SOA

5 Van toepassing A.14.1 A A A A.14.2 A A A A A A A Beveiligingseisen voor informatiesystemen Waarborgen dat integraal deel uitmaakt van informatiesystemen in de gehele levenscyclus. Hiertoe behoren ook de eisen voor informatiesystemen die diensten verlenen via openbare netwerken. Analyse en specificatie van De eisen die verband houden met moeten s-eisen worden opgenomen in de eisen voor nieuwe informatiesystemen of voor uitbreidingen van bestaande informatiesystemen. Toepassingsdiensten op openbare netwerken beveiligen Transacties van toepassingsdiensten beschermen Beveiliging bij ontwikkelings- en ondersteuningsprocessen Beleid voor beveiligd ontwikkelen Procedures voor wijzigingsbeheer met betrekking tot systemen Technische beoordeling van toepassingen na wijzigingen bedieningsplatform Beperkingen op wijzigingen aan softwarepakketten Principes voor engineering van beveiligde systemen Beveiligde ontwikkelingsomgeving Uitbestede softwareontwikkeling Informatie die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, moet worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging. Informatie die deel uitmaakt van transacties van toepassingsdiensten moet worden beschermd ter voorkoming van onvolledige overdracht, foutieve routering, onbevoegd wijzigen van berichten, onbevoegd openbaar maken, onbevoegd vermenigvuldigen of afspelen. Bewerkstelligen dat wordt ontworpen en geïmplementeerd binnen de ontwikkelingslevenscyclus van informatiesystemen. Voor het ontwikkelen van software en systemen moeten regels worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie worden toegepast. Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling moeten worden beheerst door het gebruik van formele controleprocedures voor wijzigingsbeheer. Als bedieningsplatforms zijn veranderd, moeten bedrijfskritische toepassingen worden beoordeeld en getest om te waarborgen dat er geen nadelige impact is op de activiteiten of de beveiliging van de organisatie. Wijzigingen aan softwarepakketten moeten worden ontraden, beperkt tot noodzakelijke veranderingen en alle veranderingen moeten strikt worden gecontroleerd. Principes voor de engineering van beveiligde systemen moeten worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen. Organisaties moeten beveiligde ontwikkelomgevingen vaststellen en passend beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling. Uitbestede systeemontwikkeling moet onder supervisie staan van en worden gemonitord door de organisatie. A Testen van systeembeveiliging Tijdens ontwikkelactiviteiten moet de beveiligingsfunctionaliteit worden getest. A Systeemacceptatietests Voor nieuwe informatiesystemen, upgrades en nieuwe versies moeten programma s voor het uitvoeren van acceptatietests en gerelateerde criteria worden vastgesteld. A.14.3 Testen gegevens Bescherming waarborgen van gegevens die voor het testen zijn gebruikt. A Bescherming van Testgegevens moeten zorgvuldig worden gekozen, beschermd testgegevens en gecontroleerd. ; prestatiebeoordeling uitbesteed werk A.15 Relaties leveranciers A.15.1 Informatiebeveiliging in leveranciersrelaties A Informatiebeveiligingsbeleid voor leveranciersrelaties A A Opnemen van beveiligingsaspecten in leveranciersovereenkomsten Toeleveringsketen van informatie- en communicatietechnologie De bescherming waarborgen van van de organisatie die toegankelijk zijn voor leveranciers. Met de leverancier moeten de seisen om risico s te verlagen die verband houden met de toegang van de leverancier tot de van de organisatie, worden overeengekomen en gedocumenteerd. Alle relevante s-eisen moeten worden vastgesteld en overeengekomen met elke leverancier die toegang heeft tot IT-infrastructuur-elementen ten behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt. Overeenkomsten met leveranciers moeten eisen bevatten die betrekking hebben op de s-risico s in verband met de toeleveringsketen van de diensten en producten op het gebied van informatie- en communicatietechnologie. A.15.2 A A Beheersing van leveranciersdiensten Monitoring en beoordeling van dienstverlening van leveranciers Beheer van veranderingen in dienstverlening van leveranciers A.16 Beheer van sincidenten Een overeengekomen niveau van en dienstverlening in overeenstemming met de leveranciersovereenkomsten handhaven. Organisaties moeten regelmatig de dienstverlening van leveranciers monitoren, beoordelen en auditen. Veranderingen in de dienstverlening van leveranciers, met inbegrip van handhaving en verbetering van bestaande beleidslijnen, procedures en beheersmaatregelen voor, moeten worden beheerd, rekening houdend met de kritikaliteit van bedrijfsinformatie, betrokken systemen en processen en herbeoordeling van risico s. ; prestatiebeoordeling ingekochte producten en diensten Pagina 5 van 9 Classificatie: 4 - Openbaar SOA.xlsx, SOA

6 Van toepassing A.16.1 A Rapportage van sgebeurtenissen en verbeteringen Verantwoordelijkheden en procedures Een consistente en doeltreffende aanpak bewerkstelligen van het beheer van sincidenten, met inbegrip van communicatie over beveiligingsgebeurtenissen en zwakke plekken in de beveiliging. Directieverantwoordelijkheden en -procedures moeten worden vastgesteld om een snelle, doeltreffende en ordelijke respons op informatie-beveiligingsincidenten te bewerkstelligen. A A Rapportage van sgebeurtenissen Rapportage van zwakke plekken in de A Beoordeling van en besluitvorming over sgebeurtenissen A Respons op sincidenten A Lering uit sincidenten A Verzamelen van bewijsmateriaal A.17 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer Informatiebeveiligingsgebeurtenissen moeten zo snel mogelijk via de juiste leidinggevende niveaus worden gerapporteerd. Van medewerkers en contractanten die gebruikmaken van de informatiesystemen en -diensten van de organisatie moet worden geëist dat zij de in systemen of diensten waargenomen of vermeende zwakke plekken in de registreren en rapporteren. Informatiebeveiligingsgebeurtenissen moeten worden beoordeeld en er moet worden geoordeeld of zij moeten worden geclassificeerd als sincidenten. Op sincidenten moet worden gereageerd in overeenstemming met de gedocumenteerde procedures. Kennis die is verkregen door sincidenten te analyseren en op te lossen moet worden gebruikt om de waarschijnlijkheid of impact van toekomstige incidenten te verkleinen. De organisatie moet procedures definiëren en toepassen voor het identificeren, verzamelen, verkrijgen en bewaren van informatie die als bewijs kan dienen. A.17.1 in het proces van bedrijfscontinuïteitsbeheer Informatiebeveiligingscontinuïteit moet worden ingebed in de systemen van het bedrijfscontinuïteitsbeheer van de organisatie. A Informatiebeveiligingscontin uïteit plannen De organisatie moet haar eisen voor en voor de continuïteit van het sbeheer in ongunstige situaties, bijv. een crisis of een ramp, vaststellen. ; continuïteit bedrijfsvoering A A Informatiebeveiligingscontin uïteit implementeren Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren De organisatie moet processen, procedures en beheersmaatregelen vaststellen, documenteren, implementeren en handhaven om het vereiste niveau van continuïteit voor tijdens een ongunstige situatie te waarborgen. De organisatie moet de ten behoeve van scontinuïteit vastgestelde en geïmplementeerde beheersmaatregelen regelmatig verifiëren om te waarborgen dat ze deugdelijk en doeltreffend zijn tijdens ongunstige situaties. A.17.2 Redundancies Beschikbaarheid van informatieverwerkende faciliteiten bewerkstelligen. A Beschikbaarheid van informatieverwerkende faciliteiten Informatieverwerkende faciliteiten moeten met voldoende redundantie worden geïmplementeerd om aan beschikbaarheidseisen te voldoen. A.18 Naleving A.18.1 A A A A A Naleving van wettelijke en contractuele verplichtingen Vaststellen van toepasselijke wetgeving en contractuele eisen Intellectuele eigendomsrechten Beschermen van registraties Privacy en bescherming van persoonsgegevens Voorschriften voor het gebruik van cryptografische beheersmaatregelen Voorkomen van schendingen van wettelijke, statutaire, regelgevende of contractuele verplichtingen betreffende en beveiligingseisen. Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de organisatie om aan deze eisen te voldoen moeten voor elk informatiesysteem en de organisatie expliciet worden vastgesteld, gedocumenteerd en actueel gehouden. Om de naleving van wettelijke, regelgevende en contractuele eisen in verband met intellectuele-eigendomsrechten en het gebruik van eigendomssoftwareproducten te waarborgen moeten passende procedures worden geïmplementeerd. Registraties moeten in overeenstemming met wettelijke, regelgevende, contractuele en bedrijfseisen worden beschermd tegen verlies, vernietiging, vervalsing, onbevoegde toegang en onbevoegde vrijgave. Privacy en bescherming van persoonsgegevens moeten, voor zover van toepassing, worden gewaarborgd in overeenstemming met relevante wet- en regelgeving. Cryptografische beheersmaatregelen moeten worden toegepast in overeenstemming met alle relevante overeenkomsten, weten regelgeving. ; continuïteit bedrijfsvoering ; continuïteit bedrijfsvoering Ja Ja X X X Verlaging van risico's met betrekking tot ; wettelijke eisen; eisen ; wettelijke eisen; eisen ; wettelijke eisen; eisen ; wettelijke eisen; eisen ; wettelijke eisen; eisen A.18.2 Herbeoordelingen van Verzekeren dat wordt geïmplementeerd en uitgevoerd in overeenstemming met de beleidsregels en procedures van de organisatie. Pagina 6 van 9 Classificatie: 4 - Openbaar SOA.xlsx, SOA

7 Van toepassing A Onafhankelijk beoordeling van De aanpak van de organisatie ten aanzien van het beheer van en de implementatie ervan (bijv. beheersdoelstellingen, beheersmaatregelen, beleidsregels, processen en procedures voor ), moeten onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen worden beoordeeld. A A Naleving van beveiligingsbeleid en - normen Beoordeling van technische naleving Coördinatie van Goedkeurings-proces voor middelen voor de informatie-voorziening Identificatie van risico's die betrekking hebben op externe partijen Beveiliging in de omgang met klanten De directie moet regelmatig de naleving van de informatieverwerking en -procedures binnen haar verantwoordelijkheidsgebied beoordelen aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging. Informatiesystemen moeten regelmatig worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor. NEN 7510 Vertegenwoordigers uit verschillende delen van de organisatie met relevante rollen en functies behoren activiteiten voor te coördineren. Er behoort een goedkeuringsproces voor nieuwe middelen voor de informatievoorziening te worden vastgesteld en geïmplementeerd. De risico's voor de informatie en informatievoorziening van de organisatie vanuit bedrijfsprocessen waarin externe partijen betrokken zijn, behoren te worden geïdentificeerd en er behoren geschikte beheersmaatregelen te worden geïmplementeerd voordat toegang wordt verleend. Alle geïdentificeerde beveiligingseisen behoren te worden geadresseerd voordat klanten toegang wordt verleend tot de informatie of van de organisatie. Ja Ja X X X Verlaging van risico's met betrekking tot Ja Ja X X X Verlaging van risico's met betrekking tot Beveiliging van apparatuur buiten het terrein Apparatuur buiten de terreinen behoort te worden beveiligd waarbij rekening wordt gehouden met de diverse risico's van werken buiten het terrein van de organisatie. Een organisatie die patiëntgegevens verwerkt behoort te zorgen voor toestemming voor elk gebruik buiten de instelling van medische apparaten die gegevens registreren en/of doorgeven, met inbegrip van apparatuur die, al of niet permanent, in gebruik is bij ambulante medewerkers en mogelijk tot hun vaste uitrusting behoort Maatregelen tegen mobile code Reservekopieën (backups) Procedures voor de behandeling van informatie Beveiliging van systeemdocumentatie Systemen voor bedrijfsinformatie Openbaar beschikbare informatie Als gebruik van mobile code is toegelaten, behoort de configuratie te bewerkstelligen dat de geautoriseerde mobile code functioneert volgens een duidelijk vastgesteld beveiligingsbeleid, en behoort te worden voorkomen dat onbevoegde mobile code wordt uitgevoerd. Er behoren stelselmatig back-upkopieën van informatie en programmatuur te worden gemaakt en de herstelprocedure behoort regelmatig te worden getest, overeenkomstig het vastgestelde back-upbeleid. Een organisatie, die patiëntgegevens verwerkt, behoort van alle patiëntgegevens back-upkopieën te maken en in een veilige omgeving op te slaan om de beschikbaarheid te waarborgen. Er behoren procedures worden vastgesteld voor de behandeling en opslag van informatie om deze te beschermen tegen onbevoegde openbaarmaking of misbruik. Systeemdocumentatie behoort te worden beschermd tegen onbevoegde toegang. Beleid en procedures behoren te worden ontwikkeld en geïmplementeerd om informatie te beschermen die een rol speelt bij de onderlinge koppeling van systemen voor bedrijfsinformatie. De betrouwbaarheid van de informatie die beschikbaar wordt gesteld op een openbaar toegankelijk systeem behoort te worden beschermd om onbevoegde modificatie te voorkomen. Openbaar beschikbare zorginformatie (te onderscheiden van patiëntgegevens) behoort systematisch te worden gearchiveerd. Van openbaar beschikbare zorginformatie behoort de bron of auteur te zijn vermeld. Nee Nee X Systemen voor bedrijfsinformatie worden niet gekoppeld. Nee Nee X Er wordt geen zorginformatie openbaar beschikbaar gesteld. Pagina 7 van 9 Classificatie: 4 - Openbaar SOA.xlsx, SOA

8 Van toepassing Registratie van storingen Storingen behoren in logbestanden te worden vastgelegd en te worden geanalyseerd en er behoren geschikte Beleid ten aanzien van het gebruik van netwerkdiensten Identificatie van netwerkapparatuur Bescherming op afstand van poorten voor diagnose en configuratie Beheersmaatregelen voor netwerkverbindingen Beheersmaatregelen voor netwerkroutering Gebruikersidentificatie en -authenticatie maatregelen te worden genomen. Gebruikers behoort alleen toegang te worden verleend tot diensten waarvoor ze specifiek bevoegd zijn. Automatische identificatie van apparatuur behoort te worden overwogen als methode om verbindingen vanaf specifieke locaties en apparatuur te authenticeren. De fysieke en logische toegang tot poorten voor diagnose en configuratie behoort te worden beheerst. Voor gemeenschappelijke netwerken, vooral waar deze de grenzen van de organisatie overschrijden, behoren de toegangsmogelijkheden voor gebruikers te worden beperkt overeenkomstig het toegangsbeleid en de eisen van bedrijfstoepassingen (zie 11.1). Netwerken behoren te zijn voorzien van beheersmaatregelen voor netwerkroutering om te bewerkstelligen dat computerverbindingen en informatiestromen niet in strijd zijn met het toegangsbeleid voor de bedrijfstoepassingen. Elke gebruiker behoort over een unieke identificatiecode beschikken (gebruikers-id) voor persoonlijk gebruik, en er behoort een geschikte authenticatietechniek te worden gekozen om de geclaimde identiteit van de gebruiker te bewijzen Time-out van sessies Interactieve sessies behoren na een vastgestelde periode van inactiviteit automatisch ontoegankelijk te worden gemaakt Beperking van verbindingstijd Isoleren van gevoelige systemen Validatie van invoergegevens Beheersing van interne gegevensverwerking De verbindingstijd behoort te worden beperkt als aanvullende beveiliging voor toepassingen met een verhoogd risico Systemen met een bijzonder hoge gevoeligheid waar het gaat om vertrouwelijkheid en/of om beschikbaarheid en/of om integriteit behoren een eigen, vast toegewezen (geïsoleerde) computeromgeving te hebben. Gegevens die worden ingevoerd in toepassingen behoren te worden gevalideerd om te bewerkstelligen dat deze gegevens juist en geschikt zijn. Informatiesystemen die patiëntgegevens verwerken moeten alle patiëntgegevens gecontroleerd van de juiste patiëntidentificatie voorzien. Er behoren validatiecontroles te worden opgenomen in toepassingen om eventueel corrumperen van informatie door verwerkingsfouten of opzettelijke handelingen te ontdekken Integriteit van berichten Er behoren eisen te worden vastgesteld, en geschikte beheersmaatregelen te worden vastgesteld en geïmplementeerd, voor het bewerkstelligen van authenticiteit en het beschermen van integriteit van berichten in toepassingen Validatie van uitvoergegevens Gegevensuitvoer uit een toepassing behoort te worden gevalideerd, om te bewerkstelligen dat de verwerking van opgeslagen gegevens op de juiste manier plaatsvindt en geschikt is gezien de omstandigheden. Informatiesystemen behoren bij het presenteren van patiëntgegevens altijd voldoende identificerende gegevens te tonen om het de zorgverlener mogelijk te maken vast te stellen dat de patiëntgegevens de patiënt in kwestie betreffen Informatielekken Er behoort te worden voorkomen dat informatielekken ontstaan. Nee Nee X WinBase neemt geen deel aan netwerken die de grenzen van de organisatie overschrijden. Nee Nee X WinBase neemt geen deel aan netwerken die de grenzen van de organisatie overschrijden. Pagina 8 van 9 Classificatie: 4 - Openbaar SOA.xlsx, SOA

9 Van toepassing Bedrijfscontinuïteit en risicobeoordeling Gebeurtenissen die tot onderbreking van bedrijfsprocessen kunnen leiden, behoren te worden geïdentificeerd, tezamen met de waarschijnlijkheid en de gevolgen van dergelijke onderbrekingen en hun gevolgen voor. Organisaties die patiëntgegevens verwerken behoren een continuïteitsstrategie vast te stellen, te documenteren, in te voeren en te onderhouden. Hierin behoort voor ieder bedrijfsproces een maximaal toegelaten uitvalduur (MUD) en een maximaal toelaatbaar verlies aan gegevens (MGV) te worden vastgesteld Kader voor de bedrijfscontinuïteits-planning Bescherming van bedrijfsdocumenten Er behoort een enkelvoudig kader voor bedrijfscontinuïteitsplannen te worden gehandhaafd om te bewerkstelligen dat alle plannen consistent zijn, om eisen voor op consistente wijze te behandelen en om prioriteiten vast te stellen voor testen en onderhoud. Belangrijke registraties behoren te worden beschermd tegen verlies, vernietiging en vervalsing, overeenkomstig wettelijke en regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen Voorkomen van misbruik van IT-voorzieningen Organisaties die patiëntgegevens verwerken behoren ervoor te zorgen dat tot een persoon herleidbare gegevens niet langer worden bewaard dan noodzakelijk en dat het risico van onbedoelde openbaarmaking van persoonsgegevens waar mogelijk wordt beperkt door vernietigen van de gegevens, danwel door anonimiseren of pseudonimiseren. Zie NPR-ISO/TS 25237:2008 [30]. Gebruikers behoren ervan te worden weerhouden ITvoorzieningen te gebruiken voor onbevoegde doeleinden Bescherming van audithulpmiddelen voor audits van informatie-systemen Toegang tot hulpmiddelen voor audits van informatiesystemen behoort te worden beschermd om mogelijk misbuik of compromittering te voorkomen. Pagina 9 van 9 Classificatie: 4 - Openbaar SOA.xlsx, SOA

ISO27001:2013 Verklaring van toepasselijkheid

ISO27001:2013 Verklaring van toepasselijkheid ITB-Kwadraat B.V. Pagina 1 van 15 A.5 Beveiligingsbeleid A.5.1 Managementaanwijzing voor informatiebeveiliging A.5.1.1 A.5.1.2 Beleidsregels voor informatiebeveiliging Beoordeling van het Informatiebeveiligingsbeleid

Nadere informatie

Hoe operationaliseer ik de BIC?

Hoe operationaliseer ik de BIC? Hoe operationaliseer ik de BIC? Baseline Informatiebeveiliging Corporaties UTRECHT, 14 November 2017. Code voor Informatiebeveiliging NEN/ISO 27001; Informatietechnologie - Beveiligingstechnieken - Managementsystemen

Nadere informatie

VVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord

VVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord VVT - Broad Horizon CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, 29-08-2017 Voorwoord Voorwoord Voor u ligt de verklaring van toepasselijkheid. De verklaring van toepasselijkheid vloeit voort uit de risicobeoordeling

Nadere informatie

De maatregelen in de komende NEN Beer Franken

De maatregelen in de komende NEN Beer Franken De maatregelen in de komende NEN 7510 Beer Franken Twee delen in komende NEN 7510 Deel 1: het infosec management system (ISMS) hoofdstuk 4 in huidige NEN 7510 Deel 2: de maatregelen hoofdstukken 5 t/m

Nadere informatie

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm Beheersmaatregelen volgens Bijlage A van de ISO/IEC 27001 norm A.5.1.1 Beleidsdocumenten voor informatiebeveiliging A.5.1.2 Beoordeling van het Informatiebeveiligingsbeleid A.6.1.1 Informatiebeveiligings

Nadere informatie

MBO toetsingskader Informatiebeveiliging Handboek MBOaudit

MBO toetsingskader Informatiebeveiliging Handboek MBOaudit MBO toetsingskader Informatiebeveiliging Handboek MBOaudit IBBDOC3+ Toelichting Kenmerkend voor het vakgebied auditing is dat een onderzoek plaatsvindt ten opzichte van een eerder opgesteld en afgestemd

Nadere informatie

Normenkader Informatiebeveiliging MBO

Normenkader Informatiebeveiliging MBO Normenkader Informatiebeveiliging MBO IBBDOC2 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Met dank aan: Maturity Werkgroep SURFibo: Hans Alfons (Vrije Universiteit) Ludo

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie : Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen

Nadere informatie

Handleiding Risicomanagement

Handleiding Risicomanagement Handleiding Risicomanagement IBPDOC29 Verantwoording Opdrachtgever Kennisnet / sambo-ict Dit document is geschreven voor IT managers, IT security officers, Information officers binnen de MBO sector. Dit

Nadere informatie

Normenkader Informatiebeveiliging HO 2015

Normenkader Informatiebeveiliging HO 2015 Gebaseerd op ISO 27002:2013 Auteur(s): Alf Moens Versie: 1.4 Datum: Status: 5 mei 2015 Vastgesteld door stuurgroep Informatiebeveiliging en Privacy op 30 maart 2015 Moreelsepark 48 3511 EP Utrecht Postbus

Nadere informatie

Normenkader Informatiebeveiliging MBO

Normenkader Informatiebeveiliging MBO Normenkader Informatiebeveiliging MBO IBPDOC2A Verantwoording Bron: Normenkader Informatiebeveiliging HO 2015 Gebaseerd op ISO 27002:2013 Stichting SURF April 2015 Met dank aan: Maturity Werkgroep SURFibo:

Nadere informatie

Preview. Informatie- Beveiligingsbeleid NEN-ISO/IEC 27002 (CvI / BIG)

Preview. Informatie- Beveiligingsbeleid NEN-ISO/IEC 27002 (CvI / BIG) Preview Informatie- Beveiligingsbeleid NEN-ISO/IEC 27002 (CvI / BIG) Gemeentelijk Efficiency Adviesbureau bv Schoonouwenseweg 10 2821 NX Stolwijk 0182-341350 info@gea-bv.nl Versie: preview Datum: oktober

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging Informatiebeveiliging HKZ, november 2016 Wie ik ben: adviseur/trainer/qarebase begeleiden bij kwaliteitsmanagement en certificering Lead Auditor Kiwa, o.a. HKZ, ISO 9001, ZKN, VMS, NEN 7510 en NEN-ISO

Nadere informatie

Handboek mbo-audits: normenkader ib compliance kader privacy normenkader examineren normenkader digitaal ondertekenen

Handboek mbo-audits: normenkader ib compliance kader privacy normenkader examineren normenkader digitaal ondertekenen : normenkader ib compliance kader privacy normenkader examineren normenkader digitaal ondertekenen IBBPDOC21 Inhoudsopgave 1. Normenkader informatiebeveiliging (cluster 1 t/m 6)... 3 1.1 1.2 Cluster beleid

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Overzicht Informatiebeveiliging Inlichtingenbureau GGK Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende

Nadere informatie

Vragenlijst voor zelfevaluatie

Vragenlijst voor zelfevaluatie Hoe voorbereid bent u voor ISO / IEC 27001: 2013? Dit document is bedoeld om te beoordelen in hoeverre uw bedrijf klaar is voor het ISO / IEC 27001 Informatie Security Management System (ISMS). Door het

Nadere informatie

CONCEPT ISO/IEC 27002: 2005 Grafimedia Implementatie van Informatietechnologie, Beveiligingstechnieken en de Code voor Informatiebeveiliging

CONCEPT ISO/IEC 27002: 2005 Grafimedia Implementatie van Informatietechnologie, Beveiligingstechnieken en de Code voor Informatiebeveiliging CONCEPT ISO/IEC 27002: 2005 Grafimedia Implementatie van Informatietechnologie, Beveiligingstechnieken en de Code voor Informatiebeveiliging Uitgave van de Stichting Certificatie Grafimedia branche (SCGM)

Nadere informatie

ISO 27001 met Qmanage

ISO 27001 met Qmanage A : Auke Vleerstraat 6D I : www.quarantainenet.nl 7521 PG Enschede E : info@quarantainenet.nl T : 053-7503070 B : NL89 RABO 0317 2867 14 F : 053-7503071 KvK : 08135536 ISO 27001 met Qmanage Inclusief NEN

Nadere informatie

Handboek Beveiliging Belastingdienst. Deel C Implementatierichtlijnen

Handboek Beveiliging Belastingdienst. Deel C Implementatierichtlijnen Handboek Beveiliging Belastingdienst 2015 Deel C en 2 Inhoudsopgave Boekdata...7 Toelichting op Deel C...9 C.1. C.2. Strategisch beveiligingsbeleid en -organisatie... 10 C.1.1. Strategisch beveiligingsbeleid...

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen Auteur Datum Ludo Cuijpers 5 februari 2016 1. Informatiebeveiliging en privacy in het mbo 2. IBP framework 3. Mens

Nadere informatie

Handleiding Risico management

Handleiding Risico management Handleiding Risico management IBPDOC29 Verantwoording Opdrachtgever Kennisnet / sambo-ict Dit document is geschreven voor IT managers, IT security officers, Information officers binnen de MBO sector. Dit

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Informatiebeveiliging: Hoe voorkomen we issues?

Informatiebeveiliging: Hoe voorkomen we issues? Informatiebeveiliging: Hoe voorkomen we issues? Workshop C Remco de Boer (Kennisnet) Ludo Cuijpers (MBO Taskforce IBB) Inhoud 1. Voorstelronde 2. Over uw rol 3. Maatregelen 4. De diepte in Voorstelronde

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Beknopt overzicht van bedreigingen en maatregelen

Beknopt overzicht van bedreigingen en maatregelen Beknopt overzicht van bedreigingen en maatregelen Dit voorbeelddocument omvat een beknopt overzicht van bedreigingen en maatregelen. De opgesomde componenten, bedreigingen en maatregelen zijn bedoeld om

Nadere informatie

Informatiebeveiligingsbeleid Heemstede

Informatiebeveiligingsbeleid Heemstede Informatiebeveiligingsbeleid Heemstede Definitieve versie April 2013 Verseonnummer 607112 Inhoudsopgave DEEL 1: BELEIDSKADERS INFORMATIEBEVEILIGING 3 1. Inleiding 3 2. Definities en belang van informatiebeveiliging

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

Toelichting op de. ISO/IEC 27002: 2005 Grafimedia

Toelichting op de. ISO/IEC 27002: 2005 Grafimedia Toelichting op de ISO/IEC 27002: 2005 Grafimedia Implementatie van Informatietechnologie, Beveiligingstechnieken en de Code voor Informatiebeveiliging Uitgave van de Stichting Certificatie Grafimedia branche

Nadere informatie

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht

Nadere informatie

Toetsingskader Informatiebeveiliging cluster 1 t/m 6

Toetsingskader Informatiebeveiliging cluster 1 t/m 6 Toetsingskader Informatiebeveiliging cluster 1 t/m 6 IBPDOC3 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Met dank aan: Maturity Werkgroep SURFibo: Hans Alfons (Vrije Universiteit)

Nadere informatie

Technische QuickScan (APK voor het MBO)

Technische QuickScan (APK voor het MBO) Technische QuickScan (APK voor het MBO) IBPDOC30 Verantwoording Opdrachtgever: Kennisnet / sambo-ict Auteurs Leo Bakker Ludo Cuijpers Robbin van den Dobbelsteen Albert Hankel Bart van den Heuvel Frank

Nadere informatie

Informatiebeveiliging integreren in projecten

Informatiebeveiliging integreren in projecten Informatiebeveiliging integreren in projecten (ISO 27002 6.1.5) John Heinrich Roos Informatiebeveiliging integreren in projecten 1 Inhoud Inhoudsopgave Voorwoord vanuit het perspectief informatiebeveiliging

Nadere informatie

PRIVACY- EN COOKIEBELEID MKB Webhoster gepubliceerd op 1 januari 2015

PRIVACY- EN COOKIEBELEID MKB Webhoster gepubliceerd op 1 januari 2015 PRIVACY- EN COOKIEBELEID MKB Webhoster gepubliceerd op 1 januari 2015 MKB Webhoster erkent dat privacy belangrijk is. Dit Privacy- en Cookiebeleid (verder: Beleid) is van toepassing op alle producten diensten

Nadere informatie

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie)

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) 1) Welke documenten registraties zijn vereist? De onderstaande lijst toont de minimale set van documenten en registraties

Nadere informatie

RICHTSNOEREN MET BETREKKING TOT DE INFORMATIEBEVEILIGING VAN PERSOONSGEGEVENS. Juni 2012

RICHTSNOEREN MET BETREKKING TOT DE INFORMATIEBEVEILIGING VAN PERSOONSGEGEVENS. Juni 2012 RICHTSNOEREN MET BETREKKING TOT DE INFORMATIEBEVEILIGING VAN PERSOONSGEGEVENS Juni 2012 Versie: 1.0 Opdeling van de normen in: deel A globale beleidsgerelateerde normen en maatregelen deel B specifieke/technische

Nadere informatie

Informatieveiligheidsbeleid. Gemeenteraad van 31 maart 2016

Informatieveiligheidsbeleid. Gemeenteraad van 31 maart 2016 Gemeenteraad van 31 maart 2016 Inhoud 1. Inleiding... 3 2. Informatieveiligheidsbeleid... 3 3. Interne organisatie... 3 4. Medewerkers... 3 5. Bedrijfsmiddelen... 3 6. Logische toegangsbeveiliging... 4

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Welke informatie verzamelen we en wat doen we ermee? Voor ons volledige pakket van diensten kunnen wij de volgende soorten informatie verzamelen:

Welke informatie verzamelen we en wat doen we ermee? Voor ons volledige pakket van diensten kunnen wij de volgende soorten informatie verzamelen: Privacy 11 September 2017 Privacybeleid Flexx4Nu Services is sinds 10 augustus 2017 onderdeel van HelloFlex People. Dit privacybeleid is geld voor: Flexx4Nu personeelsdiensten werving en selectie en Flexx4Nu

Nadere informatie

Privacy Policy v Stone Internet Services bvba

Privacy Policy v Stone Internet Services bvba Privacy Policy v09.16 Stone Internet Services bvba Stone Internet Services Privacy Policy Dit document heeft als doel te beschrijven hoe Stone Internet Services bvba omgaat met het opslaan en beheren van

Nadere informatie

BEWERKERSOVEREENKOMST

BEWERKERSOVEREENKOMST BEWERKERSOVEREENKOMST 1. [ORGANISATIE], statutair gevestigd te [PLAATS], kantoor houdende [ADRES], ingeschreven in het handelsregister onder nummer [KVKNR], hierbij vertegenwoordigd door [DHR/MEVR] [NAAM],

Nadere informatie

ISO/IEC 27002: 2013 Grafimedia

ISO/IEC 27002: 2013 Grafimedia normatieve uitwerking van de hls creatieve ISO/IEC 27002: 2013 Grafimedia Praktijkrichtlijn met beheersmaatregelen voor Informatietechnologie, Beveiligingstechnieken en de Code voor Informatiebeveiliging

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...

Nadere informatie

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom Gemeente 's-hertogenbosch Definitief s-hertogenbosch, 30-10-2015 A. Kieboom 1 Projectidentificatie Projectnaam: Status: Beleid Informatieveiligheid Definitief Documenthistorie Status Datum Versie Auteur(s)

Nadere informatie

PRIVACYREGLEMENT PUBLIEKE XS-KEYS behorend bij XS-Key Systeem van Secure Logistics BV

PRIVACYREGLEMENT PUBLIEKE XS-KEYS behorend bij XS-Key Systeem van Secure Logistics BV PRIVACYREGLEMENT PUBLIEKE XS-KEYS behorend bij XS-Key Systeem van Secure Logistics BV Artikel 1. Definities In dit privacy reglement worden de volgende niet-standaard definities gebruikt: 1.1 XS-Key De

Nadere informatie

Fysieke beveiliging en beveiliging van de omgeving

Fysieke beveiliging en beveiliging van de omgeving Fysieke beveiliging en beveiliging van de omgeving 9.1.1.1 Voor iedere locatie is een beveiligingsplan opgesteld op basis van een risicoafweging. 9.1.1.2 Voor voorzieningen (binnen of buiten het gebouw)

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

Privacy Verklaring Definities Toegang tot Innerview

Privacy Verklaring Definities Toegang tot Innerview Privacy Verklaring Dit is de Privacy Verklaring van Pearson Assessment and Information B.V. (hierna te noemen: Pearson of wij ) te Amsterdam (Postbus 78, 1000 AB). In deze verklaring wordt uiteengezet

Nadere informatie

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Bijlage 1 Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Uitgeverij Zwijsen B.V. is een educatieve uitgeverij die verschillende digitale producten en diensten ( digitale leermiddelen

Nadere informatie

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan.

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan. ISO 9001:2015 ISO 9001:2008 Toelichting van de verschillen. 1 Scope 1 Scope 1.1 Algemeen 4 Context van de organisatie 4 Kwaliteitsmanagementsysteem 4.1 Inzicht in de organisatie en haar context. 4 Kwaliteitsmanagementsysteem

Nadere informatie

Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers

Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden. 4.3 Het toepassingsgebied van het milieumanagementsystee m vaststellen

4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden. 4.3 Het toepassingsgebied van het milieumanagementsystee m vaststellen 4 Context van de organisatie 4 Milieumanagementsysteemeisen 4.1 Inzicht in de organisatie en haar context 4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden 4.3 Het toepassingsgebied

Nadere informatie

Rfc Afgeleide principes 35-40

Rfc Afgeleide principes 35-40 Rfc Afgeleide principes 35-40 Wijzigingsvoorstel voor de NORA Gebruikersraad Versie 14 juni 2016 Bestaande Afgeleide Principes 35-40 AP 35: Continuiteit van de dienst. De levering van de dienst is continu

Nadere informatie

Informatiebeveiligingsbeleid extern

Informatiebeveiligingsbeleid extern ISO 27001:2013 Informatiebeveiligingsbeleid extern 25 oktober 2016 Status document: versie 1.0 Auteur: Frankie Lipsius CONCLUSION LEARNING CENTERS Postbus 85030 3508 AA Utrecht Nederland T +31 (0)30 744

Nadere informatie

Privacy Verklaring versie 01-10-2015

Privacy Verklaring versie 01-10-2015 Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,

Nadere informatie

Bijlage A: Beheersmaatregelen & Toetsingscriteria Toetsingskader Informatieveiligheid in de Zorg

Bijlage A: Beheersmaatregelen & Toetsingscriteria Toetsingskader Informatieveiligheid in de Zorg Bijlage A: Beheersmaatregelen & Toetsingscriteria Toetsingskader Informatieveiligheid in de Zorg 4 Aanpak van de informatiebeveiliging 4.1 Managementsysteem voor informatiebeveiliging: ISMS 4.1 Managementsysteem

Nadere informatie

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk)

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) 2 april 2015, versie 2.1 Artikel 1 begrippen en afkortingen De hierna met een hoofdletter aangeduide begrippen hebben in deze

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

NETQ Healthcare: Voor inzicht in het effect van therapie

NETQ Healthcare: Voor inzicht in het effect van therapie NETQ Healthcare: Voor inzicht in het effect van therapie INHOUD Inleiding 3 Eisen vanuit NEN 7510 en de Wet Bescherming Persoonsgegevens 4 Beheerst wijzigingsproces 4 Toegankelijkheid geautoriseerde gebruikers

Nadere informatie

Ontwerp norm NEN 7510. Health Informatics - Information security management in health september 2010 ICS 11.020; 35.240.80 Commentaar vóór 2010-12-15

Ontwerp norm NEN 7510. Health Informatics - Information security management in health september 2010 ICS 11.020; 35.240.80 Commentaar vóór 2010-12-15 Nederlandse Ontwerp norm NEN 7510 Medische informatica Informatiebeveiliging in de zorg Publicatie uitsluitend voor commentaar Health Informatics - Information security management in health september 2010

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

Privacy statement voor de gebruiker van de RadiologieNetwerk-Services

Privacy statement voor de gebruiker van de RadiologieNetwerk-Services Privacy statement voor de gebruiker van de RadiologieNetwerk-Services Missie XS2RA B.V. tevens handelend onder de naam RadiologieNetwerk ( RadiologieNetwerk ) heeft als missie om via haar RadiologieNetwerk

Nadere informatie

en alle aan haar gelieerde entiteiten, waaronder maar niet uitsluitend ESJ Accounting &

en alle aan haar gelieerde entiteiten, waaronder maar niet uitsluitend ESJ Accounting & 1. Algemeen In deze privacy voorwaarden wordt verstaan onder: 1.1 Dienstenvoorwaarden: de Dienstenvoorwaarden van Bewerker, die onverkort van toepassing zijn op iedere afspraak tussen Bewerker en Verantwoordelijke

Nadere informatie

Informatieveiligheid, de praktische aanpak

Informatieveiligheid, de praktische aanpak Informatieveiligheid, de praktische aanpak Wie ben ik? Frederik Baert Domeinverantwoordelijke Informatieveiligheid Domeinverantwoordelijke Infrastructuur & Connectiviteit @ V-ICT-OR V-ICT-OR cvba Dienstenorganisatie

Nadere informatie

PRIVACYREGLEMENT Publicatiedatum

PRIVACYREGLEMENT Publicatiedatum PRIVACYREGLEMENT Publicatiedatum 05-12-2012 Doel Doel van het reglement is een vastlegging van de maatregelen die Huisartsenpraktijk Van Santen heeft genomen om zeker te stellen dat zorgvuldig met patiëntgegevens

Nadere informatie

Preview. Algemeen Handboek Informatiebeveiliging NEN-ISO/IEC 27002 (CvI / BIG) Gemeentelijk Efficiency Adviesbureau bv

Preview. Algemeen Handboek Informatiebeveiliging NEN-ISO/IEC 27002 (CvI / BIG) Gemeentelijk Efficiency Adviesbureau bv Preview Algemeen Handboek Informatiebeveiliging NEN-ISO/IEC 27002 (CvI / BIG) Gemeentelijk Efficiency Adviesbureau bv Schoonouwenseweg 10 2821 NX Stolwijk 0182-341350 info@gea-bv.nl Versie: preview Datum:

Nadere informatie

Cloud Computing. Bijzondere inkoopvoorwaarden. Hoogheemraadschap van Delfland

Cloud Computing. Bijzondere inkoopvoorwaarden. Hoogheemraadschap van Delfland Cloud Computing Bijzondere inkoopvoorwaarden Hoogheemraadschap van Delfland Inhoud 1 INKOOPVOORWAARDEN CLOUD COMPUTING... 3 1.1 ARTIKEL 1 - DEFINITIES... 3 1.2 Artikel 2 Dienstverlening algemeen... 3 1.3

Nadere informatie

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Bijlage 1 Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Blink is een educatieve uitgeverij die verschillende (digitale) producten en diensten (

Nadere informatie

Toetsingskader Informatiebeveiliging cluster 1 t/m 6 (versie 3.0, juli 2017)

Toetsingskader Informatiebeveiliging cluster 1 t/m 6 (versie 3.0, juli 2017) Toetsingskader Informatiebeveiliging cluster 1 t/m 6 (versie 3.0, juli 2017) IBPDOC3 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Bewerkt door: Kennisnet / sambo-ict Auteurs

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam PRIVACYBELEID Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam Inhoudsopgave Inhoudsopgave... 1 1. Documentinformatie... 2 1.1. Documentgeschiedenis... 2 2. Privacybeleid Pseudonimiseer

Nadere informatie

Privacybeleid HelpHamster (versie 1.0)

Privacybeleid HelpHamster (versie 1.0) Privacybeleid HelpHamster (versie 1.0) Definities Privacybeleid : dit document van toepassing op HelpHamster BV met betrekking tot het verzamelen, gebruiken, opslaan, delen en beschermen van uw persoonsgegevens.

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

RICHTSNOEREN MET BETREKKING TOT DE INFORMATIEBEVEILIGING VAN PERSOONSGEGEVENS. December 2014

RICHTSNOEREN MET BETREKKING TOT DE INFORMATIEBEVEILIGING VAN PERSOONSGEGEVENS. December 2014 RICHTSNOEREN MET BETREKKING TOT DE INFORMATIEBEVEILIGING VAN PERSOONSGEGEVENS December 2014 Versie: 2.0 Opdeling van de normen in: deel A globale beleidsgerelateerde normen en maatregelen deel B specifieke/technische

Nadere informatie

Toetsingskader Privacy (Pluscluster 7)

Toetsingskader Privacy (Pluscluster 7) Toetsingskader Privacy (Pluscluster 7) IBPDOC7 Verantwoording Bronnen: SURFaudit toetsingskader Stichting SURF Februari 2015 Met dank aan: Opdracht verstrekking door: Kennisnet / sambo-ict Auteurs Leo

Nadere informatie

van de Tactische Baseline van de Tactische Baseline

van de Tactische Baseline van de Tactische Baseline sorteersleutel Compleet Suwi Audit BRP BAG Faciltair HRM Inkoop Categorie Sub-Categorie Vraag 3 i800.79687 Vragenlijst BIG hs 3: Implementatie Vragen hs 3.1 Benoem 3.1.a Is er een integraal implementatieplan?

Nadere informatie

Gebruikersvoorwaarden mijndoomijn portaal / app

Gebruikersvoorwaarden mijndoomijn portaal / app Gebruikersvoorwaarden mijndoomijn portaal / app versie april 2016 Deze gebruikersvoorwaarden zijn van toepassing op het gebruik van de software "mijndoomijn". Lees deze goed door. Zodra u de gebruikersvoorwaarden

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/08/195 ADVIES NR 08/18 VAN 2 DECEMBER 2008 BETREFFENDE DE AANVRAAG VAN DE LANDSBOND DER CHRISTELIJKE MUTUALITEITEN

Nadere informatie

Doel van de opleiding informatieveiligheid

Doel van de opleiding informatieveiligheid Doel van de opleiding informatieveiligheid Het netwerk voor elektronische uitwisseling van persoonsgegevens tussen de diverse instellingen van de sociale zekerheid, dat door de Kruispuntbank wordt beheerd,

Nadere informatie

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA

Nadere informatie

Stichting Hogeschool van Arnhem en Nijmegen. Rapport definitieve bevindingen

Stichting Hogeschool van Arnhem en Nijmegen. Rapport definitieve bevindingen POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl Stichting Hogeschool van Arnhem en Nijmegen

Nadere informatie

Information security officer: Where to start?

Information security officer: Where to start? 1 Information security officer: Where to start? The information security policy process is a continuous and cyclic process 2 1. PLAN: establish ISMS CREATE Information Security Policy (ISP) Inventarise

Nadere informatie

Gebruik van Slim laden

Gebruik van Slim laden Gebruik van Slim laden Laatste aangepast: 26 september 2017 Vandebron is een energieleverancier met een missie: de transitie naar een duurzame energiemarkt. Zo leveren wij onder andere duurzame energie,

Nadere informatie

Privacyreglement

Privacyreglement Privacyreglement De Verwerking van Persoonsgegevens is aangemeld bij het College Bescherming Persoonsgegevens (CBP) onder nummer m1602696. Persoonsgegevens in een vorm die het mogelijk maakt de Betrokkene

Nadere informatie

Cross reference: NEN7510 en Identity & Access Management

Cross reference: NEN7510 en Identity & Access Management Cross reference: NEN7510 en Identity & Access Management Een overzicht van onderdelen uit de NEN 7510 norm voor informatiebeveiliging in de zorg die door een integrale identity en access management oplossing

Nadere informatie

GEBRUIKERSVOORWAARDEN

GEBRUIKERSVOORWAARDEN GEBRUIKERSVOORWAARDEN Voor het gebruik van MIJN POSITIEVE GEZONDHEID gelden de volgende gebruiksvoorwaarden. Het gebruik van MIJN POSITIEVE GEZONDHEID is alleen mogelijk indien u met deze gebruiksvoorwaarden

Nadere informatie

Rapport definitieve bevindingen

Rapport definitieve bevindingen POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl Stichting Hogeschool Utrecht Onderzoek

Nadere informatie

Ontwerp norm NEN Health Informatics - Information security management in health september 2010 ICS ; Commentaar vóór

Ontwerp norm NEN Health Informatics - Information security management in health september 2010 ICS ; Commentaar vóór Nederlandse Ontwerp norm NEN 7510 Medische informatica Informatiebeveiliging in de zorg Publicatie uitsluitend voor commentaar Health Informatics - Information security management in health september 2010

Nadere informatie

POP locatie. Straatkast. i-box. i-box NOC. i-box. Datacenter

POP locatie. Straatkast. i-box. i-box NOC. i-box. Datacenter Straatkast POP locatie Datacenter Het beheer van uw telecomruimten neemt veel tijd in beslag en is een kostbaar proces. U heeft immers 24/7 personeel nodig dat alle processen nauwkeurig in de gaten houdt.

Nadere informatie

Privacyverklaring. Ben je op zoek naar andere juridische informatie? Kijk dan even bij onze juridische informatie.

Privacyverklaring. Ben je op zoek naar andere juridische informatie? Kijk dan even bij onze juridische informatie. Privacyverklaring Wij van Stimuliz wijden ons toe aan het respecteren en beschermen van de correctheid, vertrouwelijkheid en beveiliging van jouw persoonlijke informatie. Wij zorgen ervoor dat jij je veilig

Nadere informatie

Informatiebeveiligingsbeleid Gemeente Alphen aan den Rijn 2014-2018

Informatiebeveiligingsbeleid Gemeente Alphen aan den Rijn 2014-2018 Informatiebeveiligingsbeleid Gemeente Alphen aan den Rijn 2014-2018 Document Beheer Auteur Organisatie / Functie Datum Versie Opmerkingen Sincerus Nov. 2013 0.1 Eerste concept Sincerus Dec. 2013 0.5 Derde

Nadere informatie

Privacy reglement publieke XS-Key

Privacy reglement publieke XS-Key Privacy reglement publieke XS-Key Dit is het Privacy reglement behorend bij XS-Key Systeem van Secure Logistics BV (hierna te noemen SL ). 1. Definities In dit reglement worden de navolgende begrippen

Nadere informatie