Verklaring van toepasselijkheid ISO 27001

Maat: px
Weergave met pagina beginnen:

Download "Verklaring van toepasselijkheid ISO 27001"

Transcriptie

1 Van toepassing A.5 Beveiligingsbeleid A.5.1 A Managementaanwijzing voor Beleidsregels voor Het verschaffen van directieaansturing van en -steun voor in overeenstemming met bedrijfseisen en relevante wet- en regelgeving. Ten behoeve van moet een reeks beleidsregels worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen. A Beoordeling van het Het beleid voor moet met geplande Informatiebeveiligingsbeleid tussenpozen of als zich significante veranderingen voordoen, worden beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is. A.6 Organisatie van A.6.1 Interne organisatie Een beheerkader vaststellen om de implementatie en uitvoering van de binnen de organisatie te initiëren en te beheersen. A Rollen en verantwoordelijkheden bij Alle verantwoordelijkheden bij moeten worden gedefinieerd en toegewezen. A Scheiding van taken Conflicterende taken en verantwoordelijkheidsgebieden moeten zoveel mogelijk worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de van de organisatie te verminderen. A Contact met overheidsinstanties Er moeten passende contacten met relevante overheidsinstanties worden onderhouden. A Contact met speciale Er moeten passende contacten met speciale belangengroepen belangengroepen of andere gespecialiseerde beveiligingsfora en professionele organisaties worden onderhouden. A Informatiebeveiliging in Informatiebeveiliging moet aan de orde komen in projectbeheer, projectbeheer ongeacht het soort project. A.6.2 Mobiele computers en Het waarborgen van de veiligheid van telewerken en het gebruik telewerken van mobiele apparatuur. A Beleid voor mobiele Beleid en ondersteunende beveiligingsmaatregelen moeten apparatuur worden vastgesteld om de risico s die het gebruik van mobiele apparatuur met zich meebrengt te beheren. A Telewerken Beleid en ondersteunende beveiligingsmaatregelen moeten worden geïmplementeerd ter beveiliging van informatie die vanaf telewerklocaties wordt bereikt, verwerkt of opgeslagen. A.7 Beveiliging personeel A.7.1 Voorafgaand aan het dienstverband Waarborgen dat medewerkers en contractanten hun verantwoordelijkheden begrijpen en geschikt zijn voor de functies waarvoor zij in aanmerking komen. A Screening Verificatie van de achtergrond van alle kandidaten voor een dienstverband moet worden uitgevoerd in overeenstemming met relevante wet- en regelgeving en ethische overwegingen en moet in verhouding staan tot de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico s. A Arbeidsvoorwaarden De contractuele overeenkomst met medewerkers en contractanten moet hun verantwoordelijkheden voor en die van de organisatie vermelden. A.7.2 Tijdens het dienstverband Ervoor zorgen dat medewerkers en contractanten zich bewust zijn van hun verantwoordelijkheden op het gebied van en deze nakomen. A A Directieverantwoordelijkhed en Bewustzijn, opleiding en training ten aanzien van De directie moet van alle medewerkers en contractanten eisen dat ze toepassen in overeenstemming met de vastgestelde beleidsregels en procedures van de organisatie. Alle medewerkers van de organisatie en, voor zover relevant, contractanten moeten een passende bewustzijns-opleiding en - training krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie. A Disciplinaire procedure Er moet een formele en gecommuniceerde disciplinaire procedure zijn om actie te ondernemen tegen medewerkers die een inbreuk hebben gepleegd op de. A.7.3 A Beëindiging en wijziging dienstverband Beëindiging of wijziging van verantwoordelijkheden van het dienstverband Het beschermen van de belangen van de organisatie als onderdeel van de wijzigings- of beëindigingsprocedure van het dienstverband. Verantwoordelijkheden en taken met betrekking tot die van kracht blijven na beëindiging of wijziging van het dienstverband moeten worden gedefinieerd, gecommuniceerd aan de medewerker of contractant, en ten uitvoer worden gebracht. A.8 Beheer Bedrijfsmiddelen A.8.1 Verantwoordelijkheden voor Bedrijfsmiddelen van de organisatie identificeren en passende verantwoordelijkheden ter bescherming definiëren. A Inventariseren van Bedrijfsmiddelen die samenhangen met informatie en informatieverwerkende faciliteiten moeten worden geïdentificeerd, en van deze moet een inventaris worden opgesteld en onderhouden. A Eigendom van ISO Bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden moeten een eigenaar hebben. Ja Ja X Eisen/ wensen van instanties Pagina 1 van 9 Classificatie: 4 - Openbaar SOA.xlsx, SOA

2 Van toepassing A A Aanvaardbaar gebruik van Teruggeven van Voor het aanvaardbaar gebruik van informatie en van die samenhangen met informatie en informatieverwerkende faciliteiten moeten regels worden geïdentificeerd, gedocumenteerd en geïmplementeerd. Alle medewerkers en externe gebruikers moeten alle van de organisatie die ze in hun bezit hebben bij beëindiging van hun dienstverband, contract of overeenkomst teruggeven. A.8.2 Classificatie van informatie Bewerkstelligen dat informatie een passend beschermingsniveau krijgt dat in overeenstemming is met het belang ervan voor de organisatie. A Classificatie van Informatie Informatie moet worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging. A Informatie labelen Om informatie te labelen moet een passende reeks procedures worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie. A Behandelen van Procedures voor het behandelen van moeten worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie. A.8.3 Behandeling media Onbevoegde openbaarmaking, wijziging, verwijdering of vernietiging van informatie die op media is opgeslagen voorkomen. A Beheer van verwijderbare media Voor het beheren van verwijderbare media moeten procedures worden geïmplementeerd in overeenstemming met het classificatieschema dat door de organisatie is vastgesteld. A Verwijderen van media Media moeten op een veilige en beveiligde manier worden verwijderd als ze niet langer nodig zijn, overeenkomstig formele procedures A Media fysiek overdragen Media die gevoelige informatie en/of vertrouwelijke persoonsgegevens bevatten, moeten worden beschermd tegen onbevoegde toegang, misbruik of corruptie tijdens transport. A.9 Toegangscontrole A.9.1 Bedrijfsvereisten voor toegangscontrole A Beleid voor toegangsbeveiliging A Toegang tot netwerken en netwerkdiensten Toegang tot informatie en informatieverwerkende faciliteiten beperken. Een beleid voor toegangsbeveiliging moet worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfs- en seisen. Gebruikers moeten alleen toegang krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn. A.9.2 A A A A A A A.9.3 A Beheer van toegangsrechten van gebruikers Registratie en uitschrijving van gebruikers Gebruikers toegang verlenen Beheren van speciale toegangsrechten Beheer van geheime authenticatieinformatie van gebruikers Beoordeling van toegangsrechten van gebruikers Toegangsrechten intrekken of aanpassen Verantwoordelijkheden van gebruikers Geheime authenticatieinformatie gebruiken Toegang voor bevoegde gebruikers bewerkstelligen en onbevoegde toegang tot systemen en diensten voorkomen. Een formele registratie- en uitschrijvingsprocedure moet worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken. Een formele gebruikerstoegangs-verleningsprocedure moet worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken. Het toewijzen en gebruik van bevoorrechte toegangsrechten moeten worden beperkt en gecontroleerd. Het toewijzen van geheime authenticatie-informatie moet worden beheerst via een formeel beheersproces. Eigenaren van moeten toegangsrechten van gebruikers regelmatig beoordelen. De toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatieverwerkende faciliteiten moeten bij beëindiging van hun dienstverband, contract of overeenkomst worden verwijderd, en bij wijzigingen moeten ze worden aangepast. Gebruikers verantwoordelijk maken voor het beschermen van hun authenticatie-informatie. Van gebruikers moet worden verlangd dat zij zich bij het gebruiken van geheime authenticatie-informatie houden aan de praktijk van de organisatie. A.9.4 Systeem en applicatie toegangscontrole Onbevoegde toegang tot systemen en toepassingen voorkomen. A Beperking toegang tot informatie Toegang tot informatie en systeemfuncties van applicaties moet worden beperkt in overeenstemming met het beleid voor toegangscontrole. A Beveiligde inlogprocedures Indien het beleid voor toegangsbeveiliging dit vereist, moet toegang tot systemen en toepassingen worden beheerst door een beveiligde inlogprocedure. A Systeem voor wachtwoordbeheer Systemen voor wachtwoordbeheer moeten interactief zijn en sterke wachtwoorden waarborgen. A Speciale systeemhulpmiddelen gebruiken Het gebruik van systeemhulpmiddelen die in staat zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen moet worden beperkt en nauwkeurig worden gecontroleerd. Pagina 2 van 9 Classificatie: 4 - Openbaar SOA.xlsx, SOA

3 Van toepassing A Toegangsbeveiliging op programmabroncode Toegang tot de programmabroncode moet worden beperkt. A.10 Cryptografie A.10.1 Cryptografische beheersmaatregelen A Beleid inzake het gebruik van cryptografische beheersmaatregelen Zorgen voor correct en doeltreffend gebruik van cryptografie om de vertrouwelijkheid, authenticiteit en/of integriteit van informatie te beschermen. Ter bescherming van informatie moet een beleid voor het gebruik van cryptografische beheersmaatregelen worden ontwikkeld en geïmplementeerd. A Sleutelbeheer Met betrekking tot het gebruik, de bescherming en de levensduur van cryptografische sleutels moet tijdens hun gehele levenscyclus een beleid worden ontwikkeld en geïmplementeerd. A.11 Fysieke en omgevingsbeveiliging A.11.1 Beveiligde gebieden Onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en informatieverwerkende faciliteiten van de organisatie voorkomen. A Fysieke beveiligingszone Beveiligingszones moeten worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatieverwerkende faciliteiten bevatten. A A A A Fysieke toegangsbeveiliging Kantoren, ruimten en faciliteiten beveiligen Beschermen tegen bedreigingen van buitenaf Werken in beveiligde gebieden Beveiligde gebieden moeten worden beschermd door passende toegangsbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt. Voor kantoren, ruimten en faciliteiten moet fysieke beveiliging worden ontworpen en toegepast. Tegen natuurrampen, kwaadwillige aanvallen of ongelukken moet fysieke bescherming worden ontworpen en toegepast. Voor het werken in beveiligde gebieden moeten procedures worden ontwikkeld en toegepast. A Laad- en loslocatie Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden, moeten worden beheerst, en zo mogelijk worden afgeschermd van informatieverwerkende faciliteiten om onbevoegde toegang te vermijden. A.11.2 Beveiliging van apparatuur Verlies, schade, diefstal of compromittering van en onderbreking van de bedrijfsvoering van de organisatie voorkomen. A Plaatsing en bescherming van apparatuur Apparatuur moet zo worden geplaatst en beschermd dat risico s van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind. A Nutsvoorzieningen Apparatuur moet worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen. A Beveiliging van bekabeling Voedings- en telecommunicatiekabels voor het versturen van gegevens of die informatiediensten ondersteunen, moeten worden beschermd tegen interceptie, verstoring of schade. A Onderhoud van apparatuur Apparatuur moet correct worden onderhouden om de continue beschikbaarheid en integriteit ervan te waarborgen. A A A A A Verwijdering van Beveiliging van apparatuur en buiten het terrein Veilig verwijderen of hergebruiken van apparatuur Onbeheerde gebruikersapparatuur Clear desk - en clear screen -beleid Apparatuur, informatie en software mogen niet van de locatie worden meegenomen zonder voorafgaande goedkeuring. Bedrijfsmiddelen die zich buiten het terrein bevinden, moeten worden beveiligd, waarbij rekening moet worden gehouden met de verschillende risico s van werken buiten het terrein van de organisatie. Alle onderdelen van de apparatuur die opslagmedia bevatten, moeten worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of veilig zijn overschreven. Gebruikers moeten ervoor zorgen dat onbeheerde apparatuur voldoende beschermd is. Er moet een clear desk -beleid voor papieren documenten en verwijderbare opslagmedia en een clear screen -beleid voor informatieverwerkende faciliteiten worden ingesteld. A.12 Beveiliging operatie A.12.1 Bedieningsprocedures en verantwoordelijkheden Correcte en veilige bediening van informatieverwerkende faciliteiten waarborgen. A Gedocumenteerde bedieningsprocedures Bedieningsprocedures moeten worden gedocumenteerd en beschikbaar gesteld aan alle gebruikers die ze nodig hebben. A Wijzigingsbeheer Veranderingen in de organisatie, bedrijfsprocessen, informatieverwerkende faciliteiten en systemen die van invloed zijn op de moeten worden beheerst. A Capaciteitsbeheer Het gebruik van middelen moet worden gemonitord en afgestemd, en er moeten verwachtingen worden opgesteld voor toekomstige capaciteitseisen om de vereiste systeemprestaties te waarborgen. ; bescherming van ; bescherming van ; bescherming van ; bescherming van ; bescherming van ; bescherming van ; bescherming van ; bescherming van ; bescherming van ; bescherming van ; bescherming van ; bescherming van ; bescherming van ; bescherming van ; bescherming van Pagina 3 van 9 Classificatie: 4 - Openbaar SOA.xlsx, SOA

4 Van toepassing A Scheiding van ontwikkel-, test- en productieomgevingen Ontwikkel-, test- en productieomgevingen moeten worden gescheiden om het risico van onbevoegde toegang tot of veranderingen aan de productieomgeving te verlagen. A.12.2 Bescherming Malware Waarborgen dat informatie en informatieverwerkende faciliteiten beschermd zijn tegen malware. A Beheersmaatregelen tegen malware Ter bescherming tegen malware moeten beheersmaatregelen voor detectie, preventie en herstel worden geïmplementeerd, in combinatie met een passend bewustzijn van gebruikers. A.12.3 Back-up Beschermen tegen het verlies van gegevens. A Back-up van informatie Regelmatig moeten back-upkopieën van informatie, software en systeemafbeeldingen worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid. A.12.4 Logging en bewaking Gebeurtenissen vastleggen en bewijs verzamelen. A Gebeurtenissen registreren Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en s-gebeurtenissen registreren, moeten worden gemaakt, bewaard en regelmatig worden beoordeeld. A Beschermen van informatie in logbestanden Logfaciliteiten en informatie in logbestanden moeten worden beschermd tegen vervalsing en onbevoegde toegang. A Logbestanden van beheerders en operators Activiteiten van systeembeheerders en -operators moeten worden vastgelegd en de logbestanden moeten worden beschermd en regelmatig worden beoordeeld. A Kloksynchronisatie De klokken van alle relevante informatieverwerkende systemen binnen een organisatie of beveiligingsdomein moeten worden gesynchroniseerd met één referentietijdbron. A.12.5 A Beheersing van operationele programmatuur Software installeren op operationele systemen De integriteit van operationele systemen waarborgen. Om het op operationele systemen installeren van software te beheersen moeten procedures worden geïmplementeerd. A.12.6 Beheer van technische kwetsbaarheden A Beheersing van technische kwetsbaarheden A Beperkingen voor het installeren van software A.12.7 Overwegingen bij audits van informatiesystemen A Beheersmaatregelen betreffende audits van informatiesystemen Benutting van technische kwetsbaarheden voorkomen. Informatie over technische kwetsbaarheden van informatiesystemen die worden gebruikt moet tijdig worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden moet worden geëvalueerd en passende maatregelen moeten worden genomen om het risico dat ermee samenhangt aan te pakken. Voor het door gebruikers installeren van software moeten regels worden vastgesteld en geïmplementeerd. De impact van auditactiviteiten op uitvoeringssystemen zo gering mogelijk maken. Auditeisen en -activiteiten die verificatie van uitvoeringssystemen met zich meebrengen, moeten zorgvuldig worden gepland en afgestemd om bedrijfsprocessen zo min mogelijk te verstoren. A.13 Beveiliging van verbindingen A.13.1 Beheer van netwerkbeveiliging De bescherming van informatie in netwerken en de ondersteunende informatieverwerkende faciliteiten waarborgen. A Beheersmaatregelen voor netwerken Netwerken moeten worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen. A Beveiliging van Beveiligingsmechanismen, dienstverleningsniveaus en netwerkdiensten beheerseisen voor alle netwerkdiensten moeten worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten. A Scheiding in netwerken Groepen van informatiediensten, -gebruikers en -systemen moeten in netwerken worden gescheiden. A.13.2 Informatie-uitwisseling Handhaven van de beveiliging van informatie die wordt uitgewisseld binnen een organisatie en met een externe entiteit. A A Beleid en procedures voor informatietransport Overeenkomsten over informatietransport Ter bescherming van het informatietransport, dat via alle soorten communicatiefaciliteiten verloopt, moeten formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht zijn. Overeenkomsten moeten betrekking hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen. A Elektronische berichten Informatie die is opgenomen in elektronische berichten moet passend beschermd zijn. A Vertrouwelijkheids- of Eisen voor vertrouwelijkheids- of geheimhoudingsovereenko geheimhoudingsovereenkomsten die de behoeften van de mst organisatie betreffende het beschermen van informatie weerspiegelen moeten worden vastgesteld, regelmatig worden beoordeeld en gedocumenteerd. A.14 Verwerving, ontwikkeling en onderhoud van informatiesystemen Pagina 4 van 9 Classificatie: 4 - Openbaar SOA.xlsx, SOA

5 Van toepassing A.14.1 A A A A.14.2 A A A A A A A Beveiligingseisen voor informatiesystemen Waarborgen dat integraal deel uitmaakt van informatiesystemen in de gehele levenscyclus. Hiertoe behoren ook de eisen voor informatiesystemen die diensten verlenen via openbare netwerken. Analyse en specificatie van De eisen die verband houden met moeten s-eisen worden opgenomen in de eisen voor nieuwe informatiesystemen of voor uitbreidingen van bestaande informatiesystemen. Toepassingsdiensten op openbare netwerken beveiligen Transacties van toepassingsdiensten beschermen Beveiliging bij ontwikkelings- en ondersteuningsprocessen Beleid voor beveiligd ontwikkelen Procedures voor wijzigingsbeheer met betrekking tot systemen Technische beoordeling van toepassingen na wijzigingen bedieningsplatform Beperkingen op wijzigingen aan softwarepakketten Principes voor engineering van beveiligde systemen Beveiligde ontwikkelingsomgeving Uitbestede softwareontwikkeling Informatie die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, moet worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging. Informatie die deel uitmaakt van transacties van toepassingsdiensten moet worden beschermd ter voorkoming van onvolledige overdracht, foutieve routering, onbevoegd wijzigen van berichten, onbevoegd openbaar maken, onbevoegd vermenigvuldigen of afspelen. Bewerkstelligen dat wordt ontworpen en geïmplementeerd binnen de ontwikkelingslevenscyclus van informatiesystemen. Voor het ontwikkelen van software en systemen moeten regels worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie worden toegepast. Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling moeten worden beheerst door het gebruik van formele controleprocedures voor wijzigingsbeheer. Als bedieningsplatforms zijn veranderd, moeten bedrijfskritische toepassingen worden beoordeeld en getest om te waarborgen dat er geen nadelige impact is op de activiteiten of de beveiliging van de organisatie. Wijzigingen aan softwarepakketten moeten worden ontraden, beperkt tot noodzakelijke veranderingen en alle veranderingen moeten strikt worden gecontroleerd. Principes voor de engineering van beveiligde systemen moeten worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen. Organisaties moeten beveiligde ontwikkelomgevingen vaststellen en passend beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling. Uitbestede systeemontwikkeling moet onder supervisie staan van en worden gemonitord door de organisatie. A Testen van systeembeveiliging Tijdens ontwikkelactiviteiten moet de beveiligingsfunctionaliteit worden getest. A Systeemacceptatietests Voor nieuwe informatiesystemen, upgrades en nieuwe versies moeten programma s voor het uitvoeren van acceptatietests en gerelateerde criteria worden vastgesteld. A.14.3 Testen gegevens Bescherming waarborgen van gegevens die voor het testen zijn gebruikt. A Bescherming van Testgegevens moeten zorgvuldig worden gekozen, beschermd testgegevens en gecontroleerd. ; prestatiebeoordeling uitbesteed werk A.15 Relaties leveranciers A.15.1 Informatiebeveiliging in leveranciersrelaties A Informatiebeveiligingsbeleid voor leveranciersrelaties A A Opnemen van beveiligingsaspecten in leveranciersovereenkomsten Toeleveringsketen van informatie- en communicatietechnologie De bescherming waarborgen van van de organisatie die toegankelijk zijn voor leveranciers. Met de leverancier moeten de seisen om risico s te verlagen die verband houden met de toegang van de leverancier tot de van de organisatie, worden overeengekomen en gedocumenteerd. Alle relevante s-eisen moeten worden vastgesteld en overeengekomen met elke leverancier die toegang heeft tot IT-infrastructuur-elementen ten behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt. Overeenkomsten met leveranciers moeten eisen bevatten die betrekking hebben op de s-risico s in verband met de toeleveringsketen van de diensten en producten op het gebied van informatie- en communicatietechnologie. A.15.2 A A Beheersing van leveranciersdiensten Monitoring en beoordeling van dienstverlening van leveranciers Beheer van veranderingen in dienstverlening van leveranciers A.16 Beheer van sincidenten Een overeengekomen niveau van en dienstverlening in overeenstemming met de leveranciersovereenkomsten handhaven. Organisaties moeten regelmatig de dienstverlening van leveranciers monitoren, beoordelen en auditen. Veranderingen in de dienstverlening van leveranciers, met inbegrip van handhaving en verbetering van bestaande beleidslijnen, procedures en beheersmaatregelen voor, moeten worden beheerd, rekening houdend met de kritikaliteit van bedrijfsinformatie, betrokken systemen en processen en herbeoordeling van risico s. ; prestatiebeoordeling ingekochte producten en diensten Pagina 5 van 9 Classificatie: 4 - Openbaar SOA.xlsx, SOA

6 Van toepassing A.16.1 A Rapportage van sgebeurtenissen en verbeteringen Verantwoordelijkheden en procedures Een consistente en doeltreffende aanpak bewerkstelligen van het beheer van sincidenten, met inbegrip van communicatie over beveiligingsgebeurtenissen en zwakke plekken in de beveiliging. Directieverantwoordelijkheden en -procedures moeten worden vastgesteld om een snelle, doeltreffende en ordelijke respons op informatie-beveiligingsincidenten te bewerkstelligen. A A Rapportage van sgebeurtenissen Rapportage van zwakke plekken in de A Beoordeling van en besluitvorming over sgebeurtenissen A Respons op sincidenten A Lering uit sincidenten A Verzamelen van bewijsmateriaal A.17 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer Informatiebeveiligingsgebeurtenissen moeten zo snel mogelijk via de juiste leidinggevende niveaus worden gerapporteerd. Van medewerkers en contractanten die gebruikmaken van de informatiesystemen en -diensten van de organisatie moet worden geëist dat zij de in systemen of diensten waargenomen of vermeende zwakke plekken in de registreren en rapporteren. Informatiebeveiligingsgebeurtenissen moeten worden beoordeeld en er moet worden geoordeeld of zij moeten worden geclassificeerd als sincidenten. Op sincidenten moet worden gereageerd in overeenstemming met de gedocumenteerde procedures. Kennis die is verkregen door sincidenten te analyseren en op te lossen moet worden gebruikt om de waarschijnlijkheid of impact van toekomstige incidenten te verkleinen. De organisatie moet procedures definiëren en toepassen voor het identificeren, verzamelen, verkrijgen en bewaren van informatie die als bewijs kan dienen. A.17.1 in het proces van bedrijfscontinuïteitsbeheer Informatiebeveiligingscontinuïteit moet worden ingebed in de systemen van het bedrijfscontinuïteitsbeheer van de organisatie. A Informatiebeveiligingscontin uïteit plannen De organisatie moet haar eisen voor en voor de continuïteit van het sbeheer in ongunstige situaties, bijv. een crisis of een ramp, vaststellen. ; continuïteit bedrijfsvoering A A Informatiebeveiligingscontin uïteit implementeren Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren De organisatie moet processen, procedures en beheersmaatregelen vaststellen, documenteren, implementeren en handhaven om het vereiste niveau van continuïteit voor tijdens een ongunstige situatie te waarborgen. De organisatie moet de ten behoeve van scontinuïteit vastgestelde en geïmplementeerde beheersmaatregelen regelmatig verifiëren om te waarborgen dat ze deugdelijk en doeltreffend zijn tijdens ongunstige situaties. A.17.2 Redundancies Beschikbaarheid van informatieverwerkende faciliteiten bewerkstelligen. A Beschikbaarheid van informatieverwerkende faciliteiten Informatieverwerkende faciliteiten moeten met voldoende redundantie worden geïmplementeerd om aan beschikbaarheidseisen te voldoen. A.18 Naleving A.18.1 A A A A A Naleving van wettelijke en contractuele verplichtingen Vaststellen van toepasselijke wetgeving en contractuele eisen Intellectuele eigendomsrechten Beschermen van registraties Privacy en bescherming van persoonsgegevens Voorschriften voor het gebruik van cryptografische beheersmaatregelen Voorkomen van schendingen van wettelijke, statutaire, regelgevende of contractuele verplichtingen betreffende en beveiligingseisen. Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de organisatie om aan deze eisen te voldoen moeten voor elk informatiesysteem en de organisatie expliciet worden vastgesteld, gedocumenteerd en actueel gehouden. Om de naleving van wettelijke, regelgevende en contractuele eisen in verband met intellectuele-eigendomsrechten en het gebruik van eigendomssoftwareproducten te waarborgen moeten passende procedures worden geïmplementeerd. Registraties moeten in overeenstemming met wettelijke, regelgevende, contractuele en bedrijfseisen worden beschermd tegen verlies, vernietiging, vervalsing, onbevoegde toegang en onbevoegde vrijgave. Privacy en bescherming van persoonsgegevens moeten, voor zover van toepassing, worden gewaarborgd in overeenstemming met relevante wet- en regelgeving. Cryptografische beheersmaatregelen moeten worden toegepast in overeenstemming met alle relevante overeenkomsten, weten regelgeving. ; continuïteit bedrijfsvoering ; continuïteit bedrijfsvoering Ja Ja X X X Verlaging van risico's met betrekking tot ; wettelijke eisen; eisen ; wettelijke eisen; eisen ; wettelijke eisen; eisen ; wettelijke eisen; eisen ; wettelijke eisen; eisen A.18.2 Herbeoordelingen van Verzekeren dat wordt geïmplementeerd en uitgevoerd in overeenstemming met de beleidsregels en procedures van de organisatie. Pagina 6 van 9 Classificatie: 4 - Openbaar SOA.xlsx, SOA

7 Van toepassing A Onafhankelijk beoordeling van De aanpak van de organisatie ten aanzien van het beheer van en de implementatie ervan (bijv. beheersdoelstellingen, beheersmaatregelen, beleidsregels, processen en procedures voor ), moeten onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen worden beoordeeld. A A Naleving van beveiligingsbeleid en - normen Beoordeling van technische naleving Coördinatie van Goedkeurings-proces voor middelen voor de informatie-voorziening Identificatie van risico's die betrekking hebben op externe partijen Beveiliging in de omgang met klanten De directie moet regelmatig de naleving van de informatieverwerking en -procedures binnen haar verantwoordelijkheidsgebied beoordelen aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging. Informatiesystemen moeten regelmatig worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor. NEN 7510 Vertegenwoordigers uit verschillende delen van de organisatie met relevante rollen en functies behoren activiteiten voor te coördineren. Er behoort een goedkeuringsproces voor nieuwe middelen voor de informatievoorziening te worden vastgesteld en geïmplementeerd. De risico's voor de informatie en informatievoorziening van de organisatie vanuit bedrijfsprocessen waarin externe partijen betrokken zijn, behoren te worden geïdentificeerd en er behoren geschikte beheersmaatregelen te worden geïmplementeerd voordat toegang wordt verleend. Alle geïdentificeerde beveiligingseisen behoren te worden geadresseerd voordat klanten toegang wordt verleend tot de informatie of van de organisatie. Ja Ja X X X Verlaging van risico's met betrekking tot Ja Ja X X X Verlaging van risico's met betrekking tot Beveiliging van apparatuur buiten het terrein Apparatuur buiten de terreinen behoort te worden beveiligd waarbij rekening wordt gehouden met de diverse risico's van werken buiten het terrein van de organisatie. Een organisatie die patiëntgegevens verwerkt behoort te zorgen voor toestemming voor elk gebruik buiten de instelling van medische apparaten die gegevens registreren en/of doorgeven, met inbegrip van apparatuur die, al of niet permanent, in gebruik is bij ambulante medewerkers en mogelijk tot hun vaste uitrusting behoort Maatregelen tegen mobile code Reservekopieën (backups) Procedures voor de behandeling van informatie Beveiliging van systeemdocumentatie Systemen voor bedrijfsinformatie Openbaar beschikbare informatie Als gebruik van mobile code is toegelaten, behoort de configuratie te bewerkstelligen dat de geautoriseerde mobile code functioneert volgens een duidelijk vastgesteld beveiligingsbeleid, en behoort te worden voorkomen dat onbevoegde mobile code wordt uitgevoerd. Er behoren stelselmatig back-upkopieën van informatie en programmatuur te worden gemaakt en de herstelprocedure behoort regelmatig te worden getest, overeenkomstig het vastgestelde back-upbeleid. Een organisatie, die patiëntgegevens verwerkt, behoort van alle patiëntgegevens back-upkopieën te maken en in een veilige omgeving op te slaan om de beschikbaarheid te waarborgen. Er behoren procedures worden vastgesteld voor de behandeling en opslag van informatie om deze te beschermen tegen onbevoegde openbaarmaking of misbruik. Systeemdocumentatie behoort te worden beschermd tegen onbevoegde toegang. Beleid en procedures behoren te worden ontwikkeld en geïmplementeerd om informatie te beschermen die een rol speelt bij de onderlinge koppeling van systemen voor bedrijfsinformatie. De betrouwbaarheid van de informatie die beschikbaar wordt gesteld op een openbaar toegankelijk systeem behoort te worden beschermd om onbevoegde modificatie te voorkomen. Openbaar beschikbare zorginformatie (te onderscheiden van patiëntgegevens) behoort systematisch te worden gearchiveerd. Van openbaar beschikbare zorginformatie behoort de bron of auteur te zijn vermeld. Nee Nee X Systemen voor bedrijfsinformatie worden niet gekoppeld. Nee Nee X Er wordt geen zorginformatie openbaar beschikbaar gesteld. Pagina 7 van 9 Classificatie: 4 - Openbaar SOA.xlsx, SOA

8 Van toepassing Registratie van storingen Storingen behoren in logbestanden te worden vastgelegd en te worden geanalyseerd en er behoren geschikte Beleid ten aanzien van het gebruik van netwerkdiensten Identificatie van netwerkapparatuur Bescherming op afstand van poorten voor diagnose en configuratie Beheersmaatregelen voor netwerkverbindingen Beheersmaatregelen voor netwerkroutering Gebruikersidentificatie en -authenticatie maatregelen te worden genomen. Gebruikers behoort alleen toegang te worden verleend tot diensten waarvoor ze specifiek bevoegd zijn. Automatische identificatie van apparatuur behoort te worden overwogen als methode om verbindingen vanaf specifieke locaties en apparatuur te authenticeren. De fysieke en logische toegang tot poorten voor diagnose en configuratie behoort te worden beheerst. Voor gemeenschappelijke netwerken, vooral waar deze de grenzen van de organisatie overschrijden, behoren de toegangsmogelijkheden voor gebruikers te worden beperkt overeenkomstig het toegangsbeleid en de eisen van bedrijfstoepassingen (zie 11.1). Netwerken behoren te zijn voorzien van beheersmaatregelen voor netwerkroutering om te bewerkstelligen dat computerverbindingen en informatiestromen niet in strijd zijn met het toegangsbeleid voor de bedrijfstoepassingen. Elke gebruiker behoort over een unieke identificatiecode beschikken (gebruikers-id) voor persoonlijk gebruik, en er behoort een geschikte authenticatietechniek te worden gekozen om de geclaimde identiteit van de gebruiker te bewijzen Time-out van sessies Interactieve sessies behoren na een vastgestelde periode van inactiviteit automatisch ontoegankelijk te worden gemaakt Beperking van verbindingstijd Isoleren van gevoelige systemen Validatie van invoergegevens Beheersing van interne gegevensverwerking De verbindingstijd behoort te worden beperkt als aanvullende beveiliging voor toepassingen met een verhoogd risico Systemen met een bijzonder hoge gevoeligheid waar het gaat om vertrouwelijkheid en/of om beschikbaarheid en/of om integriteit behoren een eigen, vast toegewezen (geïsoleerde) computeromgeving te hebben. Gegevens die worden ingevoerd in toepassingen behoren te worden gevalideerd om te bewerkstelligen dat deze gegevens juist en geschikt zijn. Informatiesystemen die patiëntgegevens verwerken moeten alle patiëntgegevens gecontroleerd van de juiste patiëntidentificatie voorzien. Er behoren validatiecontroles te worden opgenomen in toepassingen om eventueel corrumperen van informatie door verwerkingsfouten of opzettelijke handelingen te ontdekken Integriteit van berichten Er behoren eisen te worden vastgesteld, en geschikte beheersmaatregelen te worden vastgesteld en geïmplementeerd, voor het bewerkstelligen van authenticiteit en het beschermen van integriteit van berichten in toepassingen Validatie van uitvoergegevens Gegevensuitvoer uit een toepassing behoort te worden gevalideerd, om te bewerkstelligen dat de verwerking van opgeslagen gegevens op de juiste manier plaatsvindt en geschikt is gezien de omstandigheden. Informatiesystemen behoren bij het presenteren van patiëntgegevens altijd voldoende identificerende gegevens te tonen om het de zorgverlener mogelijk te maken vast te stellen dat de patiëntgegevens de patiënt in kwestie betreffen Informatielekken Er behoort te worden voorkomen dat informatielekken ontstaan. Nee Nee X WinBase neemt geen deel aan netwerken die de grenzen van de organisatie overschrijden. Nee Nee X WinBase neemt geen deel aan netwerken die de grenzen van de organisatie overschrijden. Pagina 8 van 9 Classificatie: 4 - Openbaar SOA.xlsx, SOA

9 Van toepassing Bedrijfscontinuïteit en risicobeoordeling Gebeurtenissen die tot onderbreking van bedrijfsprocessen kunnen leiden, behoren te worden geïdentificeerd, tezamen met de waarschijnlijkheid en de gevolgen van dergelijke onderbrekingen en hun gevolgen voor. Organisaties die patiëntgegevens verwerken behoren een continuïteitsstrategie vast te stellen, te documenteren, in te voeren en te onderhouden. Hierin behoort voor ieder bedrijfsproces een maximaal toegelaten uitvalduur (MUD) en een maximaal toelaatbaar verlies aan gegevens (MGV) te worden vastgesteld Kader voor de bedrijfscontinuïteits-planning Bescherming van bedrijfsdocumenten Er behoort een enkelvoudig kader voor bedrijfscontinuïteitsplannen te worden gehandhaafd om te bewerkstelligen dat alle plannen consistent zijn, om eisen voor op consistente wijze te behandelen en om prioriteiten vast te stellen voor testen en onderhoud. Belangrijke registraties behoren te worden beschermd tegen verlies, vernietiging en vervalsing, overeenkomstig wettelijke en regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen Voorkomen van misbruik van IT-voorzieningen Organisaties die patiëntgegevens verwerken behoren ervoor te zorgen dat tot een persoon herleidbare gegevens niet langer worden bewaard dan noodzakelijk en dat het risico van onbedoelde openbaarmaking van persoonsgegevens waar mogelijk wordt beperkt door vernietigen van de gegevens, danwel door anonimiseren of pseudonimiseren. Zie NPR-ISO/TS 25237:2008 [30]. Gebruikers behoren ervan te worden weerhouden ITvoorzieningen te gebruiken voor onbevoegde doeleinden Bescherming van audithulpmiddelen voor audits van informatie-systemen Toegang tot hulpmiddelen voor audits van informatiesystemen behoort te worden beschermd om mogelijk misbuik of compromittering te voorkomen. Pagina 9 van 9 Classificatie: 4 - Openbaar SOA.xlsx, SOA

Verklaring van toepasselijkheid ISO 27001:2017 Absoluta Food and Facilities B.V Versie 2

Verklaring van toepasselijkheid ISO 27001:2017 Absoluta Food and Facilities B.V Versie 2 A.5 Beveiligingsbeleid A.5.1 Managementaanwijzing voor A.5.1.1 A.5.1.2 Beleidsregels voor Beoordeling van het Informatiebeveiligingsbeleid A.6 Organisatie van Het verschaffen van directieaansturing van

Nadere informatie

Verklaring van Toepasselijkheid

Verklaring van Toepasselijkheid Verklaring van Toepasselijkheid Parantion Groep B.V. ISO27001:2013 Verklaring van toepasselijkheid_openbaar Extern vertrouwelijk Versie: 3.0 Parantion Groep B.V. Pagina 1 van 9 Datum: maart 2016 Document

Nadere informatie

ISO27001:2013 Verklaring van toepasselijkheid

ISO27001:2013 Verklaring van toepasselijkheid ITB-Kwadraat B.V. Pagina 1 van 15 A.5 Beveiligingsbeleid A.5.1 Managementaanwijzing voor informatiebeveiliging A.5.1.1 A.5.1.2 Beleidsregels voor informatiebeveiliging Beoordeling van het Informatiebeveiligingsbeleid

Nadere informatie

20A. Verklaring van Toepasselijkheid ISO bosworx

20A. Verklaring van Toepasselijkheid ISO bosworx 20A. Verklaring van Toepasselijkheid ISO 27001 bosworx Nummer Omschrijving Beheersmaatregel Van toepassing Geïmple-menteerd Wet Contract Risico Onderbouwing uitsluiting A.5 IB-beleid A.5.1 Aansturing door

Nadere informatie

Hoe operationaliseer ik de BIC?

Hoe operationaliseer ik de BIC? Hoe operationaliseer ik de BIC? Baseline Informatiebeveiliging Corporaties UTRECHT, 14 November 2017. Code voor Informatiebeveiliging NEN/ISO 27001; Informatietechnologie - Beveiligingstechnieken - Managementsystemen

Nadere informatie

ISO 27001:2013 INFORMATIE VOOR KLANTEN

ISO 27001:2013 INFORMATIE VOOR KLANTEN ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en

Nadere informatie

Impl. Wet Contract Risico Onderbouwing uitsluiting

Impl. Wet Contract Risico Onderbouwing uitsluiting A.5 IB-beleid A.5.1 Aansturing door de directie van de IB Doelstelling: Het verschaffen van directieaansturing van en -steun voor IB in overeenstemming met bedrijfseisen en relevante wet- en regelgeving.

Nadere informatie

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid Beveiligingsbeleid 5,1 Informatiebeveiligingsbeleid 5.1.1 Beleidsdocument voor informatiebeveiliging 5.1.2 Beoordeling van het informatiebeveiligingsbeleid Organiseren van informatiebeveiliging 6,1 Interne

Nadere informatie

VVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord

VVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord VVT - Broad Horizon CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, 29-08-2017 Voorwoord Voorwoord Voor u ligt de verklaring van toepasselijkheid. De verklaring van toepasselijkheid vloeit voort uit de risicobeoordeling

Nadere informatie

Johan Verklaring van Toepasselijkheid ISO27001:2013. Versie 1.1, dd

Johan Verklaring van Toepasselijkheid ISO27001:2013. Versie 1.1, dd A.5 IB-beleid A.5.1 Aansturing door de directie van de IB Doelstelling: Het verschaffen van directieaansturing van en -steun voor IB in overeenstemming met bedrijfseisen en relevante wet- en regelgeving.

Nadere informatie

Certificaat Het managementsysteem van:

Certificaat Het managementsysteem van: QMSI Quality Management Systems International Certificaat Het managementsysteem van: Concorde Group B.V. Handelend onder de naam: Livewords Van Heuven Goedhartlaan 121 1181 KK Amstelveen Nederland een

Nadere informatie

De maatregelen in de komende NEN Beer Franken

De maatregelen in de komende NEN Beer Franken De maatregelen in de komende NEN 7510 Beer Franken Twee delen in komende NEN 7510 Deel 1: het infosec management system (ISMS) hoofdstuk 4 in huidige NEN 7510 Deel 2: de maatregelen hoofdstukken 5 t/m

Nadere informatie

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm Beheersmaatregelen volgens Bijlage A van de ISO/IEC 27001 norm A.5.1.1 Beleidsdocumenten voor informatiebeveiliging A.5.1.2 Beoordeling van het Informatiebeveiligingsbeleid A.6.1.1 Informatiebeveiligings

Nadere informatie

Zorgspecifieke beheersmaatregel

Zorgspecifieke beheersmaatregel A.5 Beveiligingsbeleid A.5.1 Managementaanwijzing voor Het verschaffen van directieaansturing van en -steun voor in overeenstemming met bedrijfseisen en relevante wet- en regelgeving. A.5.1.1 Beleidsregels

Nadere informatie

Verklaring van toepasselijkheid NEN7510:2017 bosworx 5 Januari 2018

Verklaring van toepasselijkheid NEN7510:2017 bosworx 5 Januari 2018 Verklaring van toepasselijkheid NEN7510:2017 bosworx 5 Januari 2018 A.5 Beveiligingsbeleid A.5.1 Managementaanwijzing voor informatiebeveiliging Het verschaffen van directieaansturing van en -steun voor

Nadere informatie

MBO toetsingskader Informatiebeveiliging Handboek MBOaudit

MBO toetsingskader Informatiebeveiliging Handboek MBOaudit MBO toetsingskader Informatiebeveiliging Handboek MBOaudit IBBDOC3+ Toelichting Kenmerkend voor het vakgebied auditing is dat een onderzoek plaatsvindt ten opzichte van een eerder opgesteld en afgestemd

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Normenkader Informatiebeveiliging MBO

Normenkader Informatiebeveiliging MBO Normenkader Informatiebeveiliging MBO IBBDOC2 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Met dank aan: Maturity Werkgroep SURFibo: Hans Alfons (Vrije Universiteit) Ludo

Nadere informatie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie : Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen

Nadere informatie

Handleiding Risicomanagement

Handleiding Risicomanagement Handleiding Risicomanagement IBPDOC29 Verantwoording Opdrachtgever Kennisnet / sambo-ict Dit document is geschreven voor IT managers, IT security officers, Information officers binnen de MBO sector. Dit

Nadere informatie

Normenkader Informatiebeveiliging HO 2015

Normenkader Informatiebeveiliging HO 2015 Gebaseerd op ISO 27002:2013 Auteur(s): Alf Moens Versie: 1.4 Datum: Status: 5 mei 2015 Vastgesteld door stuurgroep Informatiebeveiliging en Privacy op 30 maart 2015 Moreelsepark 48 3511 EP Utrecht Postbus

Nadere informatie

Security Awareness Sessie FITZME, tbv de coaches

Security Awareness Sessie FITZME, tbv de coaches Security Awareness Sessie FITZME, tbv de coaches 21 mei 2019 Bart van der Kallen, CISM, CIPP/E AGENDA Wie ik ben Aanleiding voor deze sessie De norm: NEN 7510 / ISO 27001 De (invulling van de) komende

Nadere informatie

Normenkader Informatiebeveiliging MBO

Normenkader Informatiebeveiliging MBO Normenkader Informatiebeveiliging MBO IBPDOC2A Verantwoording Bron: Normenkader Informatiebeveiliging HO 2015 Gebaseerd op ISO 27002:2013 Stichting SURF April 2015 Met dank aan: Maturity Werkgroep SURFibo:

Nadere informatie

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR Theo de Breed Standards and Regulations 1 Agenda AVG voorbereiding in 10 stappen (Bron: AP) Praktische invulling door gebruik van

Nadere informatie

Preview. Informatie- Beveiligingsbeleid NEN-ISO/IEC 27002 (CvI / BIG)

Preview. Informatie- Beveiligingsbeleid NEN-ISO/IEC 27002 (CvI / BIG) Preview Informatie- Beveiligingsbeleid NEN-ISO/IEC 27002 (CvI / BIG) Gemeentelijk Efficiency Adviesbureau bv Schoonouwenseweg 10 2821 NX Stolwijk 0182-341350 info@gea-bv.nl Versie: preview Datum: oktober

Nadere informatie

Resultaten SURFaudit benchmark 2015

Resultaten SURFaudit benchmark 2015 Auteur(s): Bart Bosma Versie: 1.0 Datum: juni 2016 Moreelsepark 48 3511 EP Utrecht Postbus 19035 3501 DA Utrecht 088 787 30 00 admin@surfnet.nl www.surfnet.nl ING Bank NL54INGB0005936709 KvK Utrecht 30090777

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging Informatiebeveiliging HKZ, november 2016 Wie ik ben: adviseur/trainer/qarebase begeleiden bij kwaliteitsmanagement en certificering Lead Auditor Kiwa, o.a. HKZ, ISO 9001, ZKN, VMS, NEN 7510 en NEN-ISO

Nadere informatie

Handboek mbo-audits: normenkader ib compliance kader privacy normenkader examineren normenkader digitaal ondertekenen

Handboek mbo-audits: normenkader ib compliance kader privacy normenkader examineren normenkader digitaal ondertekenen : normenkader ib compliance kader privacy normenkader examineren normenkader digitaal ondertekenen IBBPDOC21 Inhoudsopgave 1. Normenkader informatiebeveiliging (cluster 1 t/m 6)... 3 1.1 1.2 Cluster beleid

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

VRAGENLIJST VOOR EEN DERDE PARTIJ DIE INFORMATIE VAN DE OPENBARE INSTELLING SOCIALE ZEKERHEID

VRAGENLIJST VOOR EEN DERDE PARTIJ DIE INFORMATIE VAN DE OPENBARE INSTELLING SOCIALE ZEKERHEID VRAGENLIJST VOOR EEN DERDE PARTIJ DIE INFORMATIE VAN DE OPENBARE INSTELLING SOCIALE ZEKERHEID LEEST, VERWERKT, BEWAART, COMMUNICEERT OF ICT INFRASTRUCTUURCOMPONENTEN & DIENSTEN AANLEVERT Benaming:... Naam

Nadere informatie

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen

Nadere informatie

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Overzicht Informatiebeveiliging Inlichtingenbureau GGK Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende

Nadere informatie

CONCEPT ISO/IEC 27002: 2005 Grafimedia Implementatie van Informatietechnologie, Beveiligingstechnieken en de Code voor Informatiebeveiliging

CONCEPT ISO/IEC 27002: 2005 Grafimedia Implementatie van Informatietechnologie, Beveiligingstechnieken en de Code voor Informatiebeveiliging CONCEPT ISO/IEC 27002: 2005 Grafimedia Implementatie van Informatietechnologie, Beveiligingstechnieken en de Code voor Informatiebeveiliging Uitgave van de Stichting Certificatie Grafimedia branche (SCGM)

Nadere informatie

HRM in GDPR. 06 feb 2017 Gent. Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo. V-ICT-OR Vlaamse ICT Organisatie

HRM in GDPR. 06 feb 2017 Gent. Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo. V-ICT-OR Vlaamse ICT Organisatie HRM in GDPR Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo 06 feb 2017 Gent V-ICT-OR Vlaamse ICT Organisatie 16 stappen (roadmap) voor de implementatie (Algemene Verordening Gegevensbescherming)

Nadere informatie

BIJLAGE 2: VRAGENLIJST PASSENDE TECHNISCHE EN ORGANISATORISCHE MAATREGELEN

BIJLAGE 2: VRAGENLIJST PASSENDE TECHNISCHE EN ORGANISATORISCHE MAATREGELEN BIJLAGE 2: VRAGENLIJST PASSENDE TECHNISCHE EN ORGANISATORISCHE MAATREGELEN Naam van de organisatie Benaming: Corilus NV Adres: 5032 Gembloux, Rue Camille Hubert 23 Ondernemingsnummer (KBO): 0428.555.896

Nadere informatie

ISO 27001 met Qmanage

ISO 27001 met Qmanage A : Auke Vleerstraat 6D I : www.quarantainenet.nl 7521 PG Enschede E : info@quarantainenet.nl T : 053-7503070 B : NL89 RABO 0317 2867 14 F : 053-7503071 KvK : 08135536 ISO 27001 met Qmanage Inclusief NEN

Nadere informatie

Handboek Beveiliging Belastingdienst. Deel C Implementatierichtlijnen

Handboek Beveiliging Belastingdienst. Deel C Implementatierichtlijnen Handboek Beveiliging Belastingdienst 2015 Deel C en 2 Inhoudsopgave Boekdata...7 Toelichting op Deel C...9 C.1. C.2. Strategisch beveiligingsbeleid en -organisatie... 10 C.1.1. Strategisch beveiligingsbeleid...

Nadere informatie

De nieuwe NEN7510: 2017 een introductie Jan Willem Schoemaker, CISO/Business Continuity Manager Erasmus MC. Standards and Regulations 1

De nieuwe NEN7510: 2017 een introductie Jan Willem Schoemaker, CISO/Business Continuity Manager Erasmus MC. Standards and Regulations 1 De nieuwe NEN7510: 2017 een introductie Jan Willem Schoemaker, CISO/Business Continuity Manager Erasmus MC Standards and Regulations 1 Agenda 1. Schoten voor de boeg 2. Nut van de NEN7510 3. Uitgangspunten

Nadere informatie

Verklaring van toepasselijkheid NEN7510

Verklaring van toepasselijkheid NEN7510 Verklaring van toepasselijkheid NEN7510 Norm Omschrijving Beheersmaatreg el Van toepassing Geïmplementeerd Wet Contract Risico/Best practice Onderbouwing A.5 IB-beleid A.5.1 Aansturing door de directie

Nadere informatie

Beleid Informatiebeveiliging InfinitCare

Beleid Informatiebeveiliging InfinitCare Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie

Nadere informatie

NEN (nl) Medische informatica Informatiebeveiliging in de zorg Deel 2: Beheersmaatregelen

NEN (nl) Medische informatica Informatiebeveiliging in de zorg Deel 2: Beheersmaatregelen NORM NORM eld Dit document mag slechts op een stand-alone PC worden geinstalleerd. Gebruik op een netwerk is alleen. toestaan als een aanvullende licentieovereenkomst voor netwerkgebruik met NEN is afgesloten.

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen Auteur Datum Ludo Cuijpers 5 februari 2016 1. Informatiebeveiliging en privacy in het mbo 2. IBP framework 3. Mens

Nadere informatie

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8 Information Security Management System Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8 Versiebeheer De verantwoordelijke van dit document is Paul den Otter (directielid). Hieronder is het versiebeheer

Nadere informatie

Informatiebeveiligingsbeleid Coöperatie Dichtbij (511-1)

Informatiebeveiligingsbeleid Coöperatie Dichtbij (511-1) Informatiebeveiligingsbeleid Coöperatie Dichtbij (511-1) 2 juli, 2018 Voorwoord Als zorgcoöperatie zijn wij verantwoordelijk voor patiëntenzorg. Het leveren van kwaliteit staat bij het uitvoeren van deze

Nadere informatie

0.1 Opzet Marijn van Schoote 4 januari 2016

0.1 Opzet Marijn van Schoote 4 januari 2016 Vragenlijst Cyber ISPS Versie Revisiebeschrijving Auteur Datum 0.1 Opzet Marijn van Schoote 4 januari 2016 0.99 Finale concept versie Marijn van Schoote 11 februari 2016 Doelstelling: De doelstelling van

Nadere informatie

Benchmark informatiebeveiliging

Benchmark informatiebeveiliging Benchmark informatiebeveiliging in de mbo sector 05 IBPDOCb Verantwoording Productie Kennisnet / sambo-ict Benchmark is uitgevoerd met behulp van de tool Coable van het bedrijf Coblue Sybersecurity. Het

Nadere informatie

Resultaten SURFaudit-benchmark 2017

Resultaten SURFaudit-benchmark 2017 Resultaten SURFauditbenchmark 2017 Utrecht, 16 juli 2018 Versienummer: 1.0 Colofon Resultaten SURFauditbenchmark 2017 SURF Postbus 19035 NL3501 DA Utrecht T + 31 88 78 73 000 info@surf.nl www.surf.nl Auteur

Nadere informatie

Handleiding Risico management

Handleiding Risico management Handleiding Risico management IBPDOC29 Verantwoording Opdrachtgever Kennisnet / sambo-ict Dit document is geschreven voor IT managers, IT security officers, Information officers binnen de MBO sector. Dit

Nadere informatie

Technische QuickScan (APK voor het mbo)

Technische QuickScan (APK voor het mbo) Technische QuickScan (APK voor het mbo) IBPDOC30 Verantwoording Opdrachtgever: Kennisnet / sambo-ict Auteurs Leo Bakker Ludo Cuijpers Robbin van den Dobbelsteen Albert Hankel Bart van den Heuvel Frank

Nadere informatie

Informatiebeveiliging: Hoe voorkomen we issues?

Informatiebeveiliging: Hoe voorkomen we issues? Informatiebeveiliging: Hoe voorkomen we issues? Workshop C Remco de Boer (Kennisnet) Ludo Cuijpers (MBO Taskforce IBB) Inhoud 1. Voorstelronde 2. Over uw rol 3. Maatregelen 4. De diepte in Voorstelronde

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Nederlandse norm. NEN-ISO/IEC (nl)

Nederlandse norm. NEN-ISO/IEC (nl) Dit document mag slechts op een stand-alone PC worden geinstalleerd. Gebruik op een netwerk is alleen. toestaan als een aanvullende licentieovereenkomst voor netwerkgebruik met NEN is afgesloten. This

Nadere informatie

Nederlandse norm. NEN-ISO/IEC C1+C2 (nl)

Nederlandse norm. NEN-ISO/IEC C1+C2 (nl) Nederlandse norm Dit document mag slechts op een stand-alone PC worden geinstalleerd. Gebruik op een netwerk is alleen. toestaan als een aanvullende licentieovereenkomst voor netwerkgebruik met NEN is

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Informatiebeveiligingsbeleid Heemstede

Informatiebeveiligingsbeleid Heemstede Informatiebeveiligingsbeleid Heemstede Definitieve versie April 2013 Verseonnummer 607112 Inhoudsopgave DEEL 1: BELEIDSKADERS INFORMATIEBEVEILIGING 3 1. Inleiding 3 2. Definities en belang van informatiebeveiliging

Nadere informatie

Toelichting op de. ISO/IEC 27002: 2005 Grafimedia

Toelichting op de. ISO/IEC 27002: 2005 Grafimedia Toelichting op de ISO/IEC 27002: 2005 Grafimedia Implementatie van Informatietechnologie, Beveiligingstechnieken en de Code voor Informatiebeveiliging Uitgave van de Stichting Certificatie Grafimedia branche

Nadere informatie

Informatiebeveiligingsbeleid Drukkerij van der Eems

Informatiebeveiligingsbeleid Drukkerij van der Eems Informatiebeveiligingsbeleid Drukkerij van der Eems Door : Sjoukje van der Eems Datum : 26-4-2018 Versie : 1 Status : Definitief Algemeen Belang van Informatiebeveiliging De beschikbaarheid, exclusiviteit

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld

Nadere informatie

Statement Of Applicability Datum van vastelling: 04/03/2018

Statement Of Applicability Datum van vastelling: 04/03/2018 Trustteam NV D-MSP-004 - Statement of Applicabilty Externen - SoA externen Pagina 1 van 7 Statement Of Applicability Datum van vastelling: 04/03/2018 nr. Clausule ISO/IEC 27001:2013 Annex A controls A.5

Nadere informatie

Beknopt overzicht van bedreigingen en maatregelen

Beknopt overzicht van bedreigingen en maatregelen Beknopt overzicht van bedreigingen en maatregelen Dit voorbeelddocument omvat een beknopt overzicht van bedreigingen en maatregelen. De opgesomde componenten, bedreigingen en maatregelen zijn bedoeld om

Nadere informatie

Verklaring van toepasselijkheid ISO27001

Verklaring van toepasselijkheid ISO27001 Verklaring toepasselijkheid ISO27001 Norm Omschrijving Beheersmaatr egel Van toepassing Geïmplementeerd Wet Contract Risico/best practice Onderbouwin g uitsluiting *) geselecteerd en geïmplementeerd **)

Nadere informatie

Technische QuickScan (APK voor het MBO)

Technische QuickScan (APK voor het MBO) Technische QuickScan (APK voor het MBO) IBPDOC30 Verantwoording Opdrachtgever: Kennisnet / sambo-ict Auteurs Leo Bakker Ludo Cuijpers Robbin van den Dobbelsteen Albert Hankel Bart van den Heuvel Frank

Nadere informatie

Toetsingskader Informatiebeveiliging cluster 1 t/m 6

Toetsingskader Informatiebeveiliging cluster 1 t/m 6 Toetsingskader Informatiebeveiliging cluster 1 t/m 6 IBPDOC3 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Met dank aan: Maturity Werkgroep SURFibo: Hans Alfons (Vrije Universiteit)

Nadere informatie

Verwerkersovereenkomst Openworx

Verwerkersovereenkomst Openworx Verwerkersovereenkomst Openworx Partijen Openworx, gevestigd te Weert en ingeschreven bij de Kamer van Koophandel onder nummer 14129365, hierna te noemen: Verwerker ; En De klant met wie de Hoofdovereenkomst

Nadere informatie

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

Informatiebeveiliging integreren in projecten

Informatiebeveiliging integreren in projecten Informatiebeveiliging integreren in projecten (ISO 27002 6.1.5) John Heinrich Roos Informatiebeveiliging integreren in projecten 1 Inhoud Inhoudsopgave Voorwoord vanuit het perspectief informatiebeveiliging

Nadere informatie

Clausules betreffende de verwerking van persoonsgegevens

Clausules betreffende de verwerking van persoonsgegevens Clausules betreffende de verwerking van persoonsgegevens 1. Definities 1. "Vertrouwelijkheid": de controle van de toegangsrechten. 2. "Veiligheid": de mogelijkheid tot het afweren van aanvallen als virussen,

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

RICHTSNOEREN MET BETREKKING TOT DE INFORMATIEBEVEILIGING VAN PERSOONSGEGEVENS. Juni 2012

RICHTSNOEREN MET BETREKKING TOT DE INFORMATIEBEVEILIGING VAN PERSOONSGEGEVENS. Juni 2012 RICHTSNOEREN MET BETREKKING TOT DE INFORMATIEBEVEILIGING VAN PERSOONSGEGEVENS Juni 2012 Versie: 1.0 Opdeling van de normen in: deel A globale beleidsgerelateerde normen en maatregelen deel B specifieke/technische

Nadere informatie

Introductie. Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ).

Introductie. Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ). Introductie Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ). zijn alle gegevens over een geïdentificeerd of identificeerbaar

Nadere informatie

PRIVACY- EN COOKIEBELEID MKB Webhoster gepubliceerd op 1 januari 2015

PRIVACY- EN COOKIEBELEID MKB Webhoster gepubliceerd op 1 januari 2015 PRIVACY- EN COOKIEBELEID MKB Webhoster gepubliceerd op 1 januari 2015 MKB Webhoster erkent dat privacy belangrijk is. Dit Privacy- en Cookiebeleid (verder: Beleid) is van toepassing op alle producten diensten

Nadere informatie

BIJLAGE 2: BEVEILIGINGSBIJLAGE

BIJLAGE 2: BEVEILIGINGSBIJLAGE BIJLAGE 2: BEVEILIGINGSBIJLAGE De Verwerker is overeenkomstig de AVG en artikel 7 en 8 Verwerkersovereenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van

Nadere informatie

Informatieveiligheidsbeleid. Gemeenteraad van 31 maart 2016

Informatieveiligheidsbeleid. Gemeenteraad van 31 maart 2016 Gemeenteraad van 31 maart 2016 Inhoud 1. Inleiding... 3 2. Informatieveiligheidsbeleid... 3 3. Interne organisatie... 3 4. Medewerkers... 3 5. Bedrijfsmiddelen... 3 6. Logische toegangsbeveiliging... 4

Nadere informatie

UITVOERINGSVERORDENING (EU) /... VAN DE COMMISSIE. van

UITVOERINGSVERORDENING (EU) /... VAN DE COMMISSIE. van EUROPESE COMMISSIE Brussel, 30.1.2018 C(2018) 471 final UITVOERINGSVERORDENING (EU) /... VAN DE COMMISSIE van 30.1.2018 tot vaststelling van toepassingsbepalingen voor Richtlijn (EU) 2016/1148 van het

Nadere informatie

Privacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep)

Privacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep) Onderdeel van Privacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep) Introductie Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door

Nadere informatie

Technische en organisatorische beveiligingsmaatregelen

Technische en organisatorische beveiligingsmaatregelen Beveiligingsbijsluiter - Bijlage 2 bij de Verwerkersovereenkomst Noordhoff Uitgevers Technische en organisatorische beveiligingsmaatregelen Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst

Nadere informatie

1. Beveiligingsbijlage

1. Beveiligingsbijlage Bijlage 2 1. Beveiligingsbijlage 1.1 Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang

Nadere informatie

Thema-audit Informatiebeveiliging bij lokale besturen

Thema-audit Informatiebeveiliging bij lokale besturen Thema-audit Informatiebeveiliging bij lokale besturen I. Audit Vlaanderen Missie Partner van de organisatie... Onafhankelijk Objectief Bekwaam... bij het beheersen van financiële, wettelijke en organisatorische

Nadere informatie

Privacy Policy v Stone Internet Services bvba

Privacy Policy v Stone Internet Services bvba Privacy Policy v09.16 Stone Internet Services bvba Stone Internet Services Privacy Policy Dit document heeft als doel te beschrijven hoe Stone Internet Services bvba omgaat met het opslaan en beheren van

Nadere informatie

PRIVACY POLICY. Savvy Congress APRIL 26, SAVVY CONGRESS Postbus 226, 3340 AE, Hendrik-Ido-Ambacht, Nederland

PRIVACY POLICY. Savvy Congress APRIL 26, SAVVY CONGRESS Postbus 226, 3340 AE, Hendrik-Ido-Ambacht, Nederland PRIVACY POLICY Savvy Congress APRIL 26, 2018 SAVVY CONGRESS Postbus 226, 3340 AE, Hendrik-Ido-Ambacht, Nederland Inhoudsopgave Wat voor gegevens verzamelen wij?... 3 Waarom verzamelen wij deze gegevens?...

Nadere informatie

NEN (nl) Medische informatica Informatiebeveiliging in de zorg Deel 2: Beheersmaatregelen

NEN (nl) Medische informatica Informatiebeveiliging in de zorg Deel 2: Beheersmaatregelen NORM NORM NEN 7510-2 (nl) Medische informatica Informatiebeveiliging in de zorg Deel 2: en Nederlandse norm Samen met NEN 7510-1:2017 vervangt deze norm NEN 7510:2011 Vervangt NEN 7510-2:2017 Ontw. ICS

Nadere informatie

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie)

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) 1) Welke documenten registraties zijn vereist? De onderstaande lijst toont de minimale set van documenten en registraties

Nadere informatie

Comsave Privacy voorwaarden. Laatste update: 16 mei 2018

Comsave Privacy voorwaarden. Laatste update: 16 mei 2018 Comsave Privacy voorwaarden Laatste update: 16 mei 2018 Introductie Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Comsave B.V. Persoonsgegevens Persoonsgegevens

Nadere informatie

Privacyreglement. BIJLAGE I Register van verwerkingsactiviteiten BIJLAGE VIII Passende technische en organisatorische maatregelen

Privacyreglement. BIJLAGE I Register van verwerkingsactiviteiten BIJLAGE VIII Passende technische en organisatorische maatregelen Privacyreglement BIJLAGE I Register van verwerkingsactiviteiten BIJLAGE VIII Passende technische en organisatorische maatregelen De schoolleiding van Het Amsterdams Lyceum heeft op grond van haar bevoegdheid

Nadere informatie

Wet bescherming persoonsgegevens (Wbp) bewerkersovereenkomst van de gemeente <GEMEENTE> met de (nader in te vullen) bewerker

Wet bescherming persoonsgegevens (Wbp) bewerkersovereenkomst van de gemeente <GEMEENTE> met de (nader in te vullen) bewerker De bewerkersovereenkomst Wet bescherming persoonsgegevens (Wbp) bewerkersovereenkomst van de gemeente met de (nader in te vullen) bewerker , gevestigd te , te

Nadere informatie

Procedure datalekken NoorderBasis

Procedure datalekken NoorderBasis Procedure datalekken NoorderBasis Inleiding Deze procedure maakt integraal onderdeel uit van het privacy beleid van NoorderBasis en is vastgesteld door het bestuur. De procedure bestaat uit verschillende

Nadere informatie

PRIVACYVERKLARING COUNTUS GROEP B.V.

PRIVACYVERKLARING COUNTUS GROEP B.V. 1. Algemeen In deze privacyverklaring wordt verstaan onder: 1.1 AVG: de Algemene Verordening Gegevensbescherming van 27 april 2016 (EU 2016/679) 1.2 Algemene voorwaarden: de Algemene voorwaarden van de

Nadere informatie

Welke informatie verzamelen we en wat doen we ermee? Voor ons volledige pakket van diensten kunnen wij de volgende soorten informatie verzamelen:

Welke informatie verzamelen we en wat doen we ermee? Voor ons volledige pakket van diensten kunnen wij de volgende soorten informatie verzamelen: Privacy 11 September 2017 Privacybeleid Flexx4Nu Services is sinds 10 augustus 2017 onderdeel van HelloFlex People. Dit privacybeleid is geld voor: Flexx4Nu personeelsdiensten werving en selectie en Flexx4Nu

Nadere informatie

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...

Nadere informatie

ISO 27001:2013 Informatiebeveiligingsbeleid extern

ISO 27001:2013 Informatiebeveiligingsbeleid extern ISO 27001:2013 Informatiebeveiligingsbeleid extern Utrecht: 24 januari 2018 Versie: 2.0 Inhoud Pagina BEGRIPPENLIJST 3 1. INLEIDING 4 2. WAT IS INFORMATIEBEVEILIGING? 5 3. GEDRAGSCODE 6 4. BELEIDSPRINCIPES

Nadere informatie

ISO/IEC 27002: 2013 Grafimedia

ISO/IEC 27002: 2013 Grafimedia normatieve uitwerking van de hls creatieve ISO/IEC 27002: 2013 Grafimedia Praktijkrichtlijn met beheersmaatregelen voor Informatietechnologie, Beveiligingstechnieken en de Code voor Informatiebeveiliging

Nadere informatie

PRIVACYREGLEMENT PUBLIEKE XS-KEYS behorend bij XS-Key Systeem van Secure Logistics BV

PRIVACYREGLEMENT PUBLIEKE XS-KEYS behorend bij XS-Key Systeem van Secure Logistics BV PRIVACYREGLEMENT PUBLIEKE XS-KEYS behorend bij XS-Key Systeem van Secure Logistics BV Artikel 1. Definities In dit privacy reglement worden de volgende niet-standaard definities gebruikt: 1.1 XS-Key De

Nadere informatie

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom Gemeente 's-hertogenbosch Definitief s-hertogenbosch, 30-10-2015 A. Kieboom 1 Projectidentificatie Projectnaam: Status: Beleid Informatieveiligheid Definitief Documenthistorie Status Datum Versie Auteur(s)

Nadere informatie

ISO/IEC 27002: 2013 Grafimedia

ISO/IEC 27002: 2013 Grafimedia normatieve uitwerking van de hls creatieve ISO/IEC 27002: 2013 Grafimedia Praktijkrichtlijn met beheersmaatregelen voor Informatietechnologie, Beveiligingstechnieken en de Code voor Informatiebeveiliging

Nadere informatie

Privacyverklaring Fiscaliade. 24 mei 2018

Privacyverklaring Fiscaliade. 24 mei 2018 Privacyverklaring 24 mei 2018 Uw privacy is belangrijk voor. Wij gebruiken uw persoonsgegevens daarom uitsluitend om onze producten en diensten aan u te (kunnen) leveren en om u (desgewenst) te informeren

Nadere informatie