Handleiding Risicomanagement

Transcriptie

1 Handleiding Risicomanagemt IBPDOC29

2 Verantwoording Opdrachtgever Knisnet / sambo-ict Dit documt is geschrev voor IT managers, IT security officers, Information officers binn de mbo sector. Dit documt geeft e handleiding voor de inrichting uitvoering van risicomanagemt binn de mbo Sector handreiking voor de beoordeling van IT risico s. Het documt is gemaakt in navolging op de 5 daagse mbo masterclasses. In dit documt wordt allereerst ingegaan op de inrichting van de Governance omtrt risicomanagemt in het algeme. Vervolgs wordt de uitvoering van de risico- controlecyclus verder toegelicht. In het laatste hoofdstuk wordt e aanzet gegev tot het beoordel van de IT risico s binn de mbo sector. Auteurs Maurits Toet (Cerrix BV) Ludo Cuijpers (Leeuwborgh) Esther van der Hei (Nimeto Utrecht) Mei 2015 Sommige recht voorbehoud Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaard de auteur(s), redacteur(s) uitgever van Knisnet ge aansprakelijkheid voor evtuele fout of onvolkomhed. Creative commons Naamsvermelding 3.0 Nederland (CC BY 3.0) De gebruiker mag: Het werk kopiër, verspreid doorgev Remix afgeleide werk mak Onder de volgde voorwaarde: Naamsvermelding De gebruiker dit bij het werk de naam van Knisnet te vermeld (maar niet zodanig dat de indruk gewekt wordt dat zij daarmee instemt met uw werk of uw gebruik van het werk). IBPDOC29, versie 1.2 Pagina 2 van 25

3 Inhoudsopgave Verantwoording Risico s in de mbo sector Toelichting Aanpak taskforce Bevinding Praktische invulling Beperking in de aanpak Niet gebruikte norm uit ISO Bijlage 1 Overzicht risico s maatregel ISO27002/ Bijlage 2 Vertaaltabel ISO naar mbo normkader Bijlage 3 Framework informatiebeveiliging privacy in het mbo IBPDOC29, versie 1.2 Pagina 3 van 25

4 1. Risico s in de mbo sector 1.1 Toelichting De Taskforce heeft er voor gekoz om ge uitputtde risicoanalyses uit te voer maar te werk vanuit het normkader met als basis ISO de checklist ISO 27002, de zogaamde Code voor Informatiebeveiliging. ISO is wereldwijd tot stand gekom door bij, vooral, multinationals te invtariser welke risico s boemd kond word op het gebied van informatiebeveiliging vervolgs zijn daar beheersmaatregel bij boemd zodat de risico s gemitigeerd kunn word. In feite zijn dan de risico s die samhang met informatiebeveiliging e groot deel van de privacy risico s afgedekt in. Dit betekt voor e mbo instelling dat de meest voorkomde risico s op het gebied van informatiebeveiliging voor e groot deel op het gebied van privacy zijn afgedekt indi de beheersmaatregel die voortvloei uit ISO27002 in voldode mate zijn toegepast. 1.2 Aanpak taskforce De risico onderbouwing is door de Taskforce in 4 stapp opgepakt: Stap 1: Er zijn 79 norm uit het ISO normkader overgom die de informatiebeveiliging e deel van de privacy risico s afdekk die binn de mbo sector relevant zijn (IBPDOC2A: Normkader Informatiebeveiliging mbo). Stap 2: Deze norm zijn vertaald in 85 statemts (e zestal norm zijn gesplitst in 2 statemts) waar vervolgs bewijslast (evidce) aan is toegevoegd (IBPDOC3: Toetsingskader Informatiebeveiliging). Stap 3: Tijds de masterclasses IBP hebb alle cursist 10 risico s boemd binn de groep: 1. ; 1.1. Informatiebeveiliging; 1.2. Privacy; 2. ; 3. ; 4. Examinering. Dit leverde dus 400 risico s op met veel overlap. In totaal leidde dit tot 78 unieke risico s. Als volgt onderverdeeld: 1. : 29 risico s 2. : 28 risico s 3. : 27 risico s 4. Examinering: 4 risico s (Zie bijlage 1: Overzicht risico s maatregel ISO27002/2013) Stap 4: De risico s zijn vervolgs geplot (gekoppeld) aan de ISO norm. (Zie bijlage 1: Overzicht risico s maatregel ISO27002/2013) Deze norm kunn, indi gewst, weer vertaald word naar het mbo norm toetsingskader. Als service is bij 1.3 e vertaaltabel toegevoegd. In bijlage 2 is e handleiding risicomanagemt toegevoegd. Weliswaar moet e ibp-manager in staat zijn om e risico analyse op ibp gebied uit te voer, maar het is niet zijn taak om alle mbo risico s in kaart te brg. 1.3 Bevinding Er zijn in totaal door de deelnemers aan de masterclasses informatiebeveiliging ruim 400 risico s boemd. Daaruit kom als belangrijkste risico s naar vor: 1. Toegangsbeveiliging; IBPDOC29, versie 1.2 Pagina 4 van 25

5 2. Examinering (toets constructie,toets afname toets registratie); 3. Onrechtmatig gebruik van studtgegevs (m.n. zorgdossiers); 4. Onrechtmatig gebruik van medewerkersgegevs (m.n. gesprekscyclus dossier) 5. Datalekk. Deze risico s word afdode verkleind d.m.v. de toetsingskaders Informatiebeveiliging, examiner privacy. IBPDOC29, versie 1.2 Pagina 5 van 25

6 2. Praktische invulling 2.1 Beperking in de aanpak Er is gekoz om het risicomanagemt, binn informatiebeveiliging privacy, op e evoudige manier aan te pakk. In de bijlage zijn ruim 70 risico s beschrev die voor e groot deel van toepassing zijn voor iedere mbo instelling. Indi vanuit het CvB, het managemt /of de accountant, de vraag wordt gesteld naar e mbo specifieke risicoanalyse dan kan er e keuze word gemaakt uit de risico s zoals vermeld in de bijlage evtueel aangevuld met instelling specifieke risico s. 2.2 Niet gebruikte norm uit ISO27002 De mbo sector maakt, in navolging van de ho sector, gebruik van 79 van de 114 norm uit het ISO27002 normkader. Clusterindeling Hoger Onderwijs Hoofdstukk ISO ISO : Beleid 2: personeel 3: Ruimt 4: Continuïteit 5: Toegang 6: Controle Niet gebruikt 5. Informatiebeveiligingsbeleid Organiser van informatiebeveiliging Veilig personeel Beheer van bedrijfsmiddel Toegangsbeveiliging Cryptografie Fysieke beveiliging beveiliging van de omgeving Beveiliging bedrijfsvoering Communicatiebeveiliging Acquisitie, ontwikkeling onderhoud van informatiesystem Leveranciersrelaties Beheer van informatiebeveiligingsincidt Informatiebeveiligingsaspect van bedrijfscontinuïteitsbeheer Naleving Clustertotaal inclusief splitsing (85) Met ander woord 35 norm word niet gebruikt. In de bijlage zijn ze wel boemd maar met ge verwijzing naar het mbo normkader (gehanteerde tekst: Ge mbo statemt). In 2017 is sambo-ict Knisnet voornems om ook deze norm te gaan hanter. IBPDOC29, versie 1.2 Pagina 6 van 25

7 Bijlage 1 Overzicht risico s maatregel ISO27002/2013 Nr Risicobeschrijving Categorie Mbo normkader (ISO ) verwijzing Maatregel 1 Het risico dat medewerkers studt onvoldode bewust zijn van risico's met betrekking tot informatiebeveiliging door het niet beschikbaar zijn /of onvoldode communicatie van informatiebeveiligingsbeleid / procedures met als gevolg reputatieschade, operationele verstoring, financiële schade. 2 Het risico dat IT medewerkers onvoldode bekwaam zij door falde personeelsselectie /of onvoldode opleidingsmogelijkhed met als gevolg het niet kunn schakel bij verandering in IT omgeving van de instelling. 3 Het risico dat IT process niet juist/volledig/tijdig word uitgevoerd door onvoldode afstemming van verantwoordelijkhed voor IT werkzaamhed tuss afdeling/uitbestedingspartij met als gevolg operationele verstoring. 4 Het risico dat de instelling niet voldoet aan privacy wetgeving door onvoldode controle hierop met als gevolg rechtzak, claims, reputatieschade (ISO 5.1.1) Beleidsregels voor informatiebeveiliging. 1.3 (ISO 5.1.2) Beoordeling van het informatiebeveiligingsbeleid (ISO 6.2.1) Beleid voor mobiele apparatuur 2.1 (ISO 7.1.2) Arbeidsvoorwaard Ge mbo statemt (ISO 7.2.1) Directieverantwoordelijkhed 2.2 (ISO 7.2.2) Bewustzijn, opleiding training 1.4 (ISO 6.1.1) Roll verantwoordelijkhed bij informatiebeveiliging 2.7 (ISO 7.1.1) Screing 2.2 (ISO 7.2.2) Bewustzijn, opleiding training. 1.4 (ISO 6.1.1) Roll verantwoordelijkhed bij informatiebeveiliging 1.21 (ISO 6.1.2) Scheiding van tak Ge mbo statemt (ISO 6.1.3) Contact met overheidsinstanties Ge mbo statemt (ISO 6.1.4) Contact met speciale belanggroep 1.5 (ISO 6.1.5) Verantwoordelijkhed Informatiebeveiliging in projectbeheer (ISO 5.1.1) Beleidsregels voor informatiebeveiliging. 1.3 (ISO 5.1.2) Beoordeling van het informatiebeveiligingsbeleid Ge mbo statemt (ISO ) Vaststell van toepasselijke wetgeving contractuele eis 1.19 (ISO ) Bescherm van registraties 1.20 (ISO ) Privacy bescherming van persoonsgegevs (ISO 5.1.1) T behoeve van informatiebeveiliging behoort e reeks beleidsregels te word gedefinieerd, goedgekeurd door de directie, gepubliceerd gecommuniceerd aan medewerkers relevante externe partij. 1.3 (ISO 5.1.2) Het beleid voor informatiebeveiliging behoort met geplande tusspoz of als zich significante verandering voordo, te word beoordeeld om te waarborg dat het voortdurd passd, adequaat doeltreffd is (ISO 6.2.1) Beleid ondersteunde beveiligingsmaatregel behor te word vastgesteld om de risico s die het gebruik van mobiele apparatuur met zich meebrgt te beher. 2.1 (ISO 7.1.2) De contractuele overekomst met medewerkers contractant behoort hun verantwoordelijkhed voor informatiebeveiliging die van de organisatie te vermeld. Ge mbo statemt (ISO 7.2.1) De directie behoort van alle medewerkers contractant te eis dat ze informatiebeveiliging toepass in overestemming met de vastgestelde beleidsregels procedures van de organisatie. 2.2 (ISO 7.2.2) Alle studt/medewerkers van de organisatie, voor zover relevant, contractant behor e passde bewustzijnsopleiding -training te krijg regelmatige bijscholing van beleidsregels procedures van de organisatie, voor zover relevant voor hun functie. 1.4 (ISO 6.1.1) Alle verantwoordelijkhed bij informatiebeveiliging behor te word gedefinieerd toegewez. 2.7 (ISO 7.1.1) Verificatie van de achtergrond van alle kandidat voor e distverband behoort te word uitgevoerd in overestemming met relevante wet- regelgeving ethische overweging behoort in verhouding te staan tot de bedrijfseis, de classificatie van de informatie waartoe toegang wordt verled de vastgestelde risico s te zijn. 2.2 (ISO 7.2.2) Alle studt/medewerkers van de organisatie, voor zover relevant, contractant behor e passde bewustzijnsopleiding -training te krijg regelmatige bijscholing van beleidsregels procedures van de organisatie, voor zover relevant voor hun functie. 1.4 (ISO 6.1.1) Alle verantwoordelijkhed bij informatiebeveiliging behor te word gedefinieerd toegewez (ISO 6.1.2). Conflicterde tak verantwoordelijkhed behor te word gescheid om de kans op onbevoegd of onbedoeld wijzig of misbruik van de bedrijfsmiddel van de organisatie te verminder. Ge mbo statemt (ISO 6.1.3) Organisaties behor procedures te hebb die aangev wanneer door wie contact behoort te word opgom met overheidsinstanties (bijv. politie, regelgevde organ, toezichthouders) hoe geïdtificeerde informatiebeveiligingsincidt tijdig behor te word gerapporteerd (bijv. indi het vermoed bestaat dat mogelijk wetgeving is overtred). Ge mbo statemt (ISO 6.1.4) Er behor passde contact met speciale belanggroep of andere gespecialiseerde beveiligingsfora /of professionele organisaties te word onderhoud. 1.5 (ISO 6.1.5) Informatiebeveiliging behoort te word geïntegreerd in de projectbeheermethode(n) van de organisatie om ervoor te zorg dat informatiebeveiligingsrisico s word geïdtificeerd aangepakt als deel van e project (ISO 5.1.1) T behoeve van informatiebeveiliging behoort e reeks beleidsregels te word gedefinieerd, goedgekeurd door de directie, gepubliceerd gecommuniceerd aan medewerkers relevante externe partij. 1.3 (ISO 5.1.2) Het beleid voor informatiebeveiliging behoort met geplande tusspoz of als zich significante verandering voordo, te word beoordeeld om te waarborg dat het voortdurd passd, adequaat doeltreffd is. Ge mbo statemt (ISO ) Alle relevante wettelijke statutaire, regelgevde, contractuele eis de aanpak van de organisatie om aan deze eis te voldo behor voor elk informatiesysteem de organisatie expliciet te word vastgesteld, gedocumteerd actueel gehoud (ISO ) Registraties behor in overestemming met wettelijke, regelgevde, contractuele bedrijfseis te word beschermd teg verlies, vernietiging, vervalsing, onbevoegde toegang onbevoegde vrijgave (ISO ) Privacy bescherming van persoonsgegevs behor, voor zover van toepassing, te word gewaarborgd in overestemming met relevante wet- regelgeving. IBPDOC29, versie 1.2 Pagina 7 van 25

8 Nr Risicobeschrijving Categorie Mbo normkader (ISO ) verwijzing Maatregel 5 Het risico dat wijziging niet juist, volledig, tijdig word ontwikkeld door ontbrekde process met als gevolg foutieve wijziging operationele verstoring 6 Het risico dat changes / releases onvoldode getest word door onvoldode inrichting van OTAP omgeving met als gevolg operationele verstoring financiële schade. 7 Het risico dat inzicht op de samhang van system/applicaties op ontwerpbeslissing ontbreekt door ontbrekde/onvoldode IT beheerdocumtatie met als gevolg operationele verstoring bij het doorvoer van systeemwijziging. 8 Het risico op onvolledige distverling door leveranciers door e onvolledige/onjuiste SLA /of onvoldode monitoring met als gevolg operationele verstoring. 9 Het risico dat adhoc oplossing word toegepast doordat IT-beleid niet helder is met als gevolg financiële schade ontevredheid doordat aangeschafte middel niet pass binn de coöperatieve afsprak. 4,1 (ISO ) Wijzigingsbeheer 4.2 (ISO ) Scheiding van ontwikkel-, test- productieomgeving Ge mbo statemt (ISO ) Beleid voor beveiligd ontwikkel Ge mbo statemt (ISO ) Procedures voor wijzigingsbeheer met betrekking tot system Ge mbo statemt (ISO ) Technische beoordeling van toepassing na wijziging besturingsplatform Ge mbo statemt (ISO ) Beperking op wijziging aan softwarepakkett 4.10 (ISO ) Beveiligde ontwikkelomgeving 6.4 (ISO ) Uitbestede softwareontwikkeling 6.5 (ISO ) Test van systeembeveiliging 6.6 (ISO ) Systeemacceptatietests 4,1 (ISO ) Wijzigingsbeheer 4.2 (ISO ) Scheiding van ontwikkel-, test- productieomgeving Ge mbo statemt (ISO ) Gedocumteerde bediingsprocedures 4,1 (ISO ) Wijzigingsbeheer Ge mbo statemt (ISO ) Informatiebeveiligingsbeleid voor leveranciersrelaties 1.15 (ISO ) Opnem van beveiligingsaspect in leveranciersoverekomst 1.16 (ISO ) Toeleveringsket van informatie- communicatietechnologie. 6.7 (ISO ) Monitoring beoordeling van distverling van leveranciers 4.11 (ISO ) Beheer van verandering in distverling van leveranciers (ISO 5.1.1) Beleidsregels voor informatiebeveiliging. 1.3 (ISO 5.1.2) Beoordeling van het informatiebeveiligingsbeleid (ISO 6.2.1) Beleid voor mobiele apparatuur 4,1 (ISO ) Verandering in de organisatie, bedrijfsprocess, informatie verwerkde faciliteit system die van invloed zijn op de informatiebeveiliging behor te word beheerst. 4.2 (ISO ) Ontwikkel-, test- productieomgeving behor te word gescheid om het risico van onbevoegde toegang tot of verandering aan de productieomgeving te verlag. Ge mbo statemt (ISO ). Voor het ontwikkel van software system behor regels te word vastgesteld op ontwikkelactiviteit binn de organisatie te word toegepast. Ge mbo statemt (ISO ) Wijziging aan system binn de levscyclus van de ontwikkeling behor te word beheerst door het gebruik van formele procedures voor wijzigingsbeheer. Ge mbo statemt (ISO ) Als besturingsplatforms zijn veranderd, behor bedrijf kritische toepassing te word beoordeeld getest om te waarborg dat er ge nadelige impact is op de activiteit of de beveiliging van de organisatie. Ge mbo statemt (ISO ) Wijziging aan softwarepakkett behor te word ontrad, beperkt tot noodzakelijke verandering alle verandering behor strikt te word gecontroleerd (ISO ) Organisaties behor beveiligde ontwikkelomgeving vast te stell passd te beveilig voor verrichting op het gebied van systeemontwikkeling integratie, die betrekking hebb op de gehele levscyclus van de systeemontwikkeling. 6.4 (ISO ) Uitbestede systeemontwikkeling behoort onder supervisie te staan van te word gemonitord door de organisatie. 6.5 (ISO ) Tijds ontwikkelactiviteit behoort de beveiligingsfunctionaliteit te word getest. 6.6 (ISO ) Voor nieuwe informatiesystem, upgrades nieuwe versies behor programma s voor het uitvoer van acceptatietests gerelateerde criteria te word vastgesteld. 4,1 (ISO ) Verandering in de organisatie, bedrijfsprocess, informatie verwerkde faciliteit system die van invloed zijn op de informatiebeveiliging behor te word beheerst. 4.2 (ISO ) Ontwikkel-, test- productieomgeving behor te word gescheid om het risico van onbevoegde toegang tot of verandering aan de productieomgeving te verlag. Ge mbo statemt (ISO ) Bediingsprocedures behor te word gedocumteerd beschikbaar te word gesteld aan alle gebruikers die ze nodig hebb. 4,1 (ISO ) Verandering in de organisatie, bedrijfsprocess, informatie verwerkde faciliteit system die van invloed zijn op de informatiebeveiliging behor te word beheerst. Ge mbo statemt (ISO ) Met de leverancier behor de informatiebeveiligingseis om risico s te verlag die verband houd met de toegang van de leverancier tot de bedrijfsmiddel van de organisatie, te word overegekom gedocumteerd (ISO ) Alle relevante informatiebeveiligingseis behor te word vastgesteld overegekom met elke leverancier die toegang heeft tot IT-infrastructuurelemt t behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt (ISO ) Overekomst met leveranciers behor eis te bevatt die betrekking hebb op de informatiebeveiligingsrisico s in verband met de toeleveringsket van de dist product op het gebied van informatie- communicatietechnologie. 6.7 (ISO ) Organisaties behor regelmatig de distverling van leveranciers te monitor, te beoordel te audit (ISO ). Verandering in de distverling van leveranciers, met inbegrip van handhaving verbetering van bestaande beleidslijn, procedures beheersmaatregel voor informatiebeveiliging, behor te word, beheerd, reking houdd met de kritikaliteit van bedrijfsinformatie, betrokk system process herbeoordeling van risico s (ISO 5.1.1) T behoeve van informatiebeveiliging behoort e reeks beleidsregels te word gedefinieerd, goedgekeurd door de directie, gepubliceerd gecommuniceerd aan medewerkers relevante externe partij. 1.3 (ISO 5.1.2) Het beleid voor informatiebeveiliging behoort met geplande tusspoz of als zich significante verandering voordo, te word beoordeeld om te waarborg dat het voortdurd passd, adequaat doeltreffd is (ISO 6.2.1) Beleid ondersteunde beveiligingsmaatregel behor te word vastgesteld om de risico s die het gebruik van mobiele apparatuur met zich meebrgt te beher. IBPDOC29, versie 1.2 Pagina 8 van 25

9 Nr Risicobeschrijving Categorie Mbo normkader (ISO ) verwijzing Maatregel 10 Het risico dat IT incidt niet juist, volledig tijdig word geregistreerd afgehandeld door ontbrek van procedures /of ge monitoring van opvolging met als gevolg operationele verstoring. 11 Het risico dat de geleverde IT dist niet aansluit bij de (beveiligings)behoefte beleid van de Business door gebrek aan regie alignemt met als gevolg hoge kost, inefficiëntie onvoldode uitvoering van het beleid 12 Het risico dat technische beveiligingsmaatregel door de IT beheerorganisatie op het verkeerde niveau met verkeerde prioriteit word behandeld door ontbrek van e adequate overlegstructuur op strategisch, tactisch operationeel niveau, met als gevolg onvoorspelbare blootstelling aan technische beveiligingsrisico's. 13 Het risico dat verstoring beveiligingsincidt word veroorzaakt door de IT beheerorganisatie zelf doordat onvoldode kwaliteitsnorm word gehanteerd, tak bevoegdhed verantwoordelijkhed procedures onvoldode zijn beschrev /of geïmplemteerd met als gevolg e instabiel dist beveiligingsniveau. 14 Het risico van organisatie-overhead door niet- of gebrekkig audit van procedures met als gevolg (gevolg) Verlies van kwaliteit efficiëntie 15 Het risico dat distniveaus niet voldo aan de verwachting van de business door het ontbrek van e Service level manager met als gevolg e ontevred organisatie. 16 Het risico van onvolledige impact analyses t.b.v. wijziging in de infrastructuur door het ontbrek van e Configuration manager met als gevolg onvoorzie gevolg van verandering in de infrastructuur (ISO ) Verantwoordelijkhed procedures 1.18 (ISO ) Rapportage van (informatiebeveiligings-) gebeurtiss 2.6 (ISO ) Rapportage van zwakke plekk in de informatiebeveiliging 4.12 (ISO ) Beoordeling van besluitvorming over (informatiebeveiligings-)gebeurtiss 4.13 (ISO ) Respons op informatiebeveiligingsincidt Ge mbo statemt (ISO ) Lering uit informatiebeveiligingsincidt 6.9 (ISO ) Naleving van beveiligingsbeleid -norm 6.10 (ISO ) Beoordeling van technische naleving 1.4 (ISO 6.1.1) Roll verantwoordelijkhed bij informatiebeveiliging (ISO 5.1.1) Beleidsregels voor informatiebeveiliging. 1.3 (ISO 5.1.2) Beoordeling van het informatiebeveiligingsbeleid 1.4 (ISO 6.1.1) Roll verantwoordelijkhed bij informatiebeveiliging (ISO 6.2.1) Beleid voor mobiele apparatuur 6.9 (ISO ) Naleving van beveiligingsbeleid -norm 6.10 (ISO ) Beoordeling van technische naleving Nvt Ge mbo statemt (ISO 8.1.1). Invtariser van bedrijfsmiddel 1.17 (ISO ) Directieverantwoordelijkhed -procedures behor te word vastgesteld om e snelle, doeltreffde ordelijke respons op (informatiebeveiligings-)incidt te bewerkstellig (ISO ) Informatiebeveiligingsgebeurtiss behor zo snel mogelijk via de juiste leidinggevde niveaus te word gerapporteerd. 2.6 (ISO ) Van medewerkers contractant die gebruikmak van de informatiesystem -dist van de organisatie behoort te word geëist dat zij de in system of dist waargom of vermede zwakke plekk in de informatiebeveiliging registrer rapporter (ISO ) Informatiebeveiligingsgebeurtiss behor te word beoordeeld er behoort te word geoordeeld of zij moet word geclassificeerd als informatiebeveiligingsincidt (ISO ) Op informatiebeveiligingsincidt behoort te word gereageerd in overestemming met de gedocumteerde procedures. Ge mbo statemt (ISO ) Knis die is verkreg door informatiebeveiligingsincidt te analyser op te loss behoort te word gebruikt om de waarschijnlijkheid of impact van toekomstige incidt te verklein. 6.9 (ISO ) De directie behoort regelmatig de naleving van de informatieverwerking -procedures binn haar verantwoordelijkheidsgebied te beoordel aan de hand van de desbetreffde beleidsregels, norm andere eis betreffde beveiliging (ISO ) Informatiesystem behor regelmatig te word beoordeeld op naleving van de beleidsregels norm van de organisatie voor informatiebeveiliging. 1.4 (ISO 6.1.1) Alle verantwoordelijkhed bij informatiebeveiliging behor te word gedefinieerd toegewez (ISO 5.1.1) T behoeve van informatiebeveiliging behoort e reeks beleidsregels te word gedefinieerd, goedgekeurd door de directie, gepubliceerd gecommuniceerd aan medewerkers relevante externe partij. 1.3 (ISO 5.1.2) Het beleid voor informatiebeveiliging behoort met geplande tusspoz of als zich significante verandering voordo, te word beoordeeld om te waarborg dat het voortdurd passd, adequaat doeltreffd is. 1.4 (ISO 6.1.1) Alle verantwoordelijkhed bij informatiebeveiliging behor te word gedefinieerd toegewez (ISO 6.2.1) Beleid ondersteunde beveiligingsmaatregel behor te word vastgesteld om de risico s die het gebruik van mobiele apparatuur met zich meebrgt te beher. 6.9 (ISO ) De directie behoort regelmatig de naleving van de informatieverwerking -procedures binn haar verantwoordelijkheidsgebied te beoordel aan de hand van de desbetreffde beleidsregels, norm andere eis betreffde beveiliging (ISO ) Informatiesystem behor regelmatig te word beoordeeld op naleving van de beleidsregels norm van de organisatie voor informatiebeveiliging. 1. Vastlegg tak verantwoordelijkhed Service Manager 2. Vastlegg, communicer implemter procedures omtrt invtariser, vastlegg vertal van business behoeft naar IT oplossing. Ge mbo statemt (ISO 8.1.1). Bedrijfsmiddel die samhang met informatie informatie verwerkde faciliteit behor te word geïdtificeerd, van deze bedrijfsmiddel behoort e invtaris te word opgesteld onderhoud (dus ook de relaties met andere bedrijfsmiddel). Aanvulld niet valld onder ISO27002: 1. Impactanalyses word uitgevoerd voorafgaand aan de infrastructuurwijziging. 2. Impact analyse rapport wordt besprok met goedgekeurd door verantwoordelijke. 3. Plan van Aanpak wordt opgesteld afgestemd met de verantwoordelijke. 4. Wijziging wordt gepland op tijdstip met minimale impact. IBPDOC29, versie 1.2 Pagina 9 van 25

10 Nr Risicobeschrijving Categorie Mbo normkader (ISO ) verwijzing Maatregel 17 Het risico dat er ge inzicht is in het aantal incidt of het soort incidt door onvoldode registratie op de helpdesk met als gevolg dat de organisatie blijft hang in ad hoc reager op elk incidt uiteindelijk de ondersteuning van de klant niet optimaal is. 18 Het risico dat de e medewerker niet op de hoogte is van het werk dat de andere medewerker heeft gedaan door het ontbrek van onderlinge werkafsprak met als gevolg slechte distverling aan de klant. 19 Het risico van langdurige uitval van kernsystem door het ontbrek van continuiteitsbeheer met als gevolg financiële imago schade. 20 Het risico van het schd van de privacy van studt door het gebruik van e ander programma dan het voorgeschrev studtregistratiesysteem met als gevolg e klacht teg de school voor het schd van de privacy van studt. 21 Het risico van inconsistte/onvolledige door onvoldode geschoold personeel met als gevolg onvolledige informatievoorziing c.q. managemt informatie. 22 Het risico van lage procesvolwassheid onvoldode kwaliteitsbewustzijn door ontbrek procesmanagemt onvoldode kwaliteitscontrole met als gevolg dat belangrijke business doelstelling niet word behaald de informatiebeveiliging te ws overlaat. 23 Het risico dat ICT niet bijdraagt aan kwaliteit van het onderwijs doordat er ge geïmplemteerd beleid is, met als gevolg schade aan de kwaliteit van de opleiding. 24 Het risico van hoge IT kost door ontbrekde visie op de ontwikkeling toepassing van IT binn de organisatie /of ontbrekd IT beleidssplan /of e begroting voor IT ontbreekt met als gevolg discontinuïteit van de instelling (ISO ) Verantwoordelijkhed procedures 1.18 (ISO ) Rapportage van (informatiebeveiligings-) gebeurtiss 2.6 (ISO ) Rapportage van zwakke plekk in de informatiebeveiliging 4.12 (ISO ) Beoordeling van besluitvorming over (informatiebeveiligings-)gebeurtiss 4.13 (ISO ) Respons op informatiebeveiligingsincidt Ge mbo statemt (ISO ) Lering uit informatiebeveiligingsincidt Nvt Ge mbo statemt (ISO ) Informatiebeveiligingscontinuïteit plann 4.14 (ISO ) Informatiebeveiligingscontinuïteit implemter Ge mbo statemt (ISO ) Informatiebeveiligingscontinuïteit verifiër, beoordel evaluer 4.15 (ISO ) Beschikbaarheid van informatie verwerkde faciliteit (ISO 5.1.1) Beleidsregels voor informatiebeveiliging. Ge mbo statemt (ISO 8.1.3) Aanvaardbaar gebruik van bedrijfsmiddel. nvt (ISO 5.1.1) Beleidsregels voor informatiebeveiliging. 1.3 (ISO 5.1.2) Beoordeling van het informatiebeveiligingsbeleid 6.9 (ISO ) Naleving van beveiligingsbeleid -norm 6.10 (ISO ) Beoordeling van technische naleving nvt nvt 1.17 (ISO ) Directieverantwoordelijkhed -procedures behor te word vastgesteld om e snelle, doeltreffde ordelijke respons op (informatiebeveiligings-)incidt te bewerkstellig (ISO ) Informatiebeveiligingsgebeurtiss behor zo snel mogelijk via de juiste leidinggevde niveaus te word gerapporteerd. 2.6 (ISO ) Van medewerkers contractant die gebruikmak van de informatiesystem -dist van de organisatie behoort te word geëist dat zij de in system of dist waargom of vermede zwakke plekk in de informatiebeveiliging registrer rapporter (ISO ) Informatiebeveiligingsgebeurtiss behor te word beoordeeld er behoort te word geoordeeld of zij moet word geclassificeerd als informatiebeveiligingsincidt (ISO ) Op informatiebeveiligingsincidt behoort te word gereageerd in overestemming met de gedocumteerde procedures. Ge mbo statemt (ISO ) Knis die is verkreg door informatiebeveiligingsincidt te analyser op te loss behoort te word gebruikt om de waarschijnlijkheid of impact van toekomstige incidt te verklein. 1. Werkoverlegg (ook met gerelateerde afdeling) waarbij speciale aandacht is voor elkaar werkzaamhed. Ge mbo statemt (ISO ) De organisatie behoort haar eis voor informatiebeveiliging voor de continuïteit van het informatiebeveiligingsbeheer in ongunstige situaties, bijv. e crisis of e ramp, vast te stell (ISO ) De organisatie behoort process, procedures beheersmaatregel vast te stell, te documter, te implemter te handhav om het vereiste niveau van continuïteit voor informatiebeveiliging tijds e ongunstige situatie te waarborg. Ge mbo statemt (ISO ). De organisatie behoort de t behoeve van informatiebeveiligingscontinuïteit vastgestelde geïmplemteerde beheersmaatregel regelmatig te verifiër om te waarborg dat ze deugdelijk doeltreffd zijn tijds ongunstige situaties (ISO ) Informatie verwerkde faciliteit behor met voldode redundantie te word geïmplemteerd om aan beschikbaarheidseis te voldo (ISO 5.1.1) T behoeve van informatiebeveiliging behoort e reeks beleidsregels te word gedefinieerd, goedgekeurd door de directie, gepubliceerd gecommuniceerd aan medewerkers relevante externe partij. Ge mbo statemt (ISO 8.1.3). Voor het aanvaardbaar gebruik van informatie van bedrijfsmiddel die samhang met informatie informatie verwerkde faciliteit behor regels te word geïdtificeerd, gedocumteerd geïmplemteerd. 1. Opzett trainingsprogramma's gekoppeld aan het functieprofiel van de medewerker. 2. Invoer rapportagestandaard. 3. Kwaliteitscontrole (juistheid, volledigheid, tijdigheid) uitvoer voorafgaand aan verzding van managemtinformatie (ISO 5.1.1) T behoeve van informatiebeveiliging behoort e reeks beleidsregels te word gedefinieerd, goedgekeurd door de directie, gepubliceerd gecommuniceerd aan medewerkers relevante externe partij. 1.3 (ISO 5.1.2) Het beleid voor informatiebeveiliging behoort met geplande tusspoz of als zich significante verandering voordo, te word beoordeeld om te waarborg dat het voortdurd passd, adequaat doeltreffd is. 6.9 (ISO ) De directie behoort regelmatig de naleving van de informatieverwerking -procedures binn haar verantwoordelijkheidsgebied te beoordel aan de hand van de desbetreffde beleidsregels, norm andere eis betreffde beveiliging (ISO ) Informatiesystem behor regelmatig te word beoordeeld op naleving van de beleidsregels norm van de organisatie voor informatiebeveiliging. 1. Opstell periodiek beoordel van IT-beleid, IT jaarplan, BIA (Business Impact Analyses) door directie IT managers. 2. Jaarlijks opstell beoordel van IT budget o.b.v. jaarplan. 1. Opstell periodiek beoordel van IT-beleid, IT jaarplan, BIA (Business Impact Analyses) door directie IT managers. 2. Jaarlijks opstell beoordel van IT budget o.b.v. jaarplan. IBPDOC29, versie 1.2 Pagina 10 van 25

11 Nr Risicobeschrijving Categorie Mbo normkader (ISO ) verwijzing Maatregel 25 Het risico van desinformatie doorzelf opgestelde overzicht in plaats van standaardrapportages uit kernsystem te gebruik met als gevolg foutieve informatievoorziing. nvt 1. Invtariser informatiebehoeft 2. Opzett warehouse reporting services. 26 Het risico dat system ge duidelijke eigaar hebb door onvoldode inrichting van IT governance met als gevolg hoge kost, beheer issues. 27 Het risico van onvoldode communicatie door HR over medewerkers die in e functie start / van functie verander / hun functie beëindig met als gevolg issues met autorisatiebeheer 28 Het risico dat persoonsgegevs onbeheerd op bureaus van medewerkers ligg door onvoldode bewustzijn van medewerkers inzake informatiebeveiliging met als gevolg mogelijke diefstal van gegevs /of reputatieschade. 29 Het risico dat informatiebeveiliging van de instelling niet voldoet aan de gestelde standaard als gevolg van onvoldode beoordeling door onafhankelijke auditors, directie met als gevolg mogelijke claims van toezichthouders 30 Het risico op fraude bij invoer/mutaties van cijfers in het cijferregistratiesysteem door onvoldode ingebouwde functiescheiding /of controles met als gevolg reputatieschade onjuiste beoordeling van studt. 31 Het risico dat digitale toets mislukk door onvoldode stabiele beschikbare apparatuur op de schoollocatie met als gevolg operationele verstoring reputatieschade. Examinering Examinering Ge mbo statemt (ISO 8.1.1) Invtariser van bedrijfsmiddel Ge mbo statemt (ISO 8.1.2) Eigdom van bedrijfsmiddel Ge mbo statemt (ISO 7.3.1) Beëindiging of wijziging van verantwoordelijkhed van het distverband 5.3 (ISO 9.2.1) Registratie afmeld van gebruikers 5.4 (ISO 9.2.2) Gebruikers toegang verl (ISO 5.1.1) Beleidsregels voor informatiebeveiliging. 1.3 (ISO 5.1.2) Beoordeling van het informatiebeveiligingsbeleid (ISO 6.2.1) Beleid voor mobiele apparatuur 2.1 (ISO 7.1.2) Arbeidsvoorwaard Ge mbo statemt (ISO 7.2.1) Directieverantwoordelijkhed 2.2 (ISO 7.2.2) Bewustzijn, opleiding training 2.4 (ISO ) Clear desk - clear scre -beleid Ge mbo statemt (ISO ) Beheersmaatregel betreffde audits van informatiesystem Ge mbo statemt (ISO ) Onafhankelijke beoordeling van informatiebeveiliging 6.9 (ISO ) Naleving van beveiligingsbeleid -norm 6.10 (ISO ) Beoordeling van technische naleving 1.14 (ISO ) Analyse specificatie van informatiebeveiligingseis (ISO ) Beschikbaarheid van informatie verwerkde faciliteit. Ge mbo statemt (ISO 8.1.1) Bedrijfsmiddel die samhang met informatie informatie verwerkde faciliteit behor te word geïdtificeerd, van deze bedrijfsmiddel behoort e invtaris te word opgesteld onderhoud. Ge mbo statemt (ISO 8.1.2) Bedrijfsmiddel die in het invtarisoverzicht word bijgehoud, behor e eigaar te hebb. Ge mbo statemt (ISO 7.3.1) Verantwoordelijkhed tak met betrekking tot informatiebeveiliging die van kracht blijv na beëindiging of wijziging van het distverband behor te word gedefinieerd, gecommuniceerd aan de medewerker of contractant, t uitvoer gebracht. 5.3 (ISO 9.2.1) E formele registratie- afmeldingsprocedure behoort te word geïmplemteerd om toewijzing van toegangsrecht mogelijk te mak. 5.4 (ISO 9.2.2) E formele gebruikerstoegangsverlingsprocedure behoort te word geïmplemteerd om toegangsrecht voor alle typ gebruikers voor alle system dist toe te wijz of in te trekk (ISO 5.1.1) T behoeve van informatiebeveiliging behoort e reeks beleidsregels te word gedefinieerd, goedgekeurd door de directie, gepubliceerd gecommuniceerd aan medewerkers relevante externe partij. 1.3 (ISO 5.1.2) Het beleid voor informatiebeveiliging behoort met geplande tusspoz of als zich significante verandering voordo, te word beoordeeld om te waarborg dat het voortdurd passd, adequaat doeltreffd is (ISO 6.2.1) Beleid ondersteunde beveiligingsmaatregel behor te word vastgesteld om de risico s die het gebruik van mobiele apparatuur met zich meebrgt te beher. 2.1 (ISO 7.1.2) De contractuele overekomst met medewerkers contractant behoort hun verantwoordelijkhed voor informatiebeveiliging die van de organisatie te vermeld. Ge mbo statemt (ISO 7.2.1) De directie behoort van alle medewerkers contractant te eis dat ze informatiebeveiliging toepass in overestemming met de vastgestelde beleidsregels procedures van de organisatie. 2.2 (ISO 7.2.2) Alle studt/medewerkers van de organisatie, voor zover relevant, contractant behor e passde bewustzijnsopleiding -training te krijg regelmatige bijscholing van beleidsregels procedures van de organisatie, voor zover relevant voor hun functie. 2.4 (ISO ) Er behoort e clear desk -beleid voor papier documt verwijderbare opslagmedia e clear scre -beleid voor informatie verwerkde faciliteit te word ingesteld. Ge mbo statemt (ISO ) Auditeis -activiteit die verificatie van uitvoeringssystem met zich meebrg, behor zorgvuldig, te word gepland afgestemd om bedrijfsprocess zo min mogelijk te verstor. Ge mbo statemt (ISO ) De aanpak van de organisatie t aanzi van het beheer van informatiebeveiliging de implemtatie ervan (bijv. beheersdoelstelling, beheersmaatregel, beleidsregels, process procedures voor informatiebeveiliging), behor onafhankelijk met geplande tusspoz of zodra zich belangrijke verandering voordo te word beoordeeld. 6.9 (ISO ) De directie behoort regelmatig de naleving van de informatieverwerking -procedures binn haar verantwoordelijkheidsgebied te beoordel aan de hand van de desbetreffde beleidsregels, norm andere eis betreffde beveiliging (ISO ) Informatiesystem behor regelmatig te word beoordeeld op naleving van de beleidsregels norm van de organisatie voor informatiebeveiliging (ISO ) De eis die verband houd met informatiebeveiliging behor te word opgom in de eis voor nieuwe informatiesystem of voor uitbreiding van bestaande informatiesystem (ISO ) Informatie verwerkde faciliteit behor met voldode redundantie te word geïmplemteerd om aan beschikbaarheidseis te voldo. IBPDOC29, versie 1.2 Pagina 11 van 25

12 Nr Risicobeschrijving Categorie Mbo normkader (ISO ) verwijzing Maatregel 32 Risico van ongeautoriseerde toegang tot KRD\cijferregistratie door onrechtmatig verkreg autorisaties met als gevolg examfraude Examinering 33 Risico dat mtor toegang hebb tot gegevs van niet eig studt door onvoldode scheiding van netwerkrecht met als gevolg slechte traceerbaarheid bij cijfer manipulatie. 34 Het risico van Ddos aanvall door studt / ex medewerkers / derd van de instelling met als gevolg operationele verstoring. 5.1 (ISO 9.1.1) Beleid voor toegangsbeveiliging 5.2 (ISO 9.1.2) Toegang tot netwerk netwerkdist. 5.3 (ISO 9.2.1) Registratie afmeld van gebruikers 5.4 (ISO 9.2.2). Gebruikers toegang verl 5.5 (ISO 9.2.3) Beheer van speciale toegangsrecht 5.6 (ISO 9.2.4) Beheer van geheime authticatie informatie van gebruikers 6.1 (ISO 9.2.5) Beoordeling van toegangsrecht van gebruikers 2.3 (ISO 9.2.6) Toegangsrecht intrekk of aanpass Examinering zie vorige zie vorige 5.13 (ISO ) Beheersmaatregel voor netwerk 5.14 (ISO ) Beveiliging van netwerkdist 5.15 (ISO ) Scheiding in netwerk 5.1 (ISO 9.1.1) E beleid voor toegangsbeveiliging behoort te word vastgesteld, gedocumteerd beoordeeld op basis van bedrijfs- informatiebeveiligingseis. 5.2 (ISO 9.1.2) Gebruikers behor alle toegang te krijg tot het netwerk de netwerkdist waarvoor zij specifiek bevoegd zijn. 5.3 (ISO 9.2.1) E formele registratie- afmeldingsprocedure behoort te word geïmplemteerd om toewijzing van toegangsrecht mogelijk te mak. 5.4 (ISO 9.2.2). E formele gebruikerstoegangsverlingsprocedure behoort te word geïmplemteerd om toegangsrecht voor alle typ gebruikers voor alle system dist toe te wijz of in te trekk. 5.5 (ISO 9.2.3) Het toewijz gebruik van speciale toegangsrecht behor te word beperkt beheerst. 5.6 (ISO 9.2.4) Het toewijz van geheime authticatie-informatie behoort te word beheerst via e formeel beheersproces. 6.1 (ISO 9.2.5) Eigar van bedrijfsmiddel behor toegangsrecht van gebruikers regelmatig te beoordel. 2.3 (ISO 9.2.6) De toegangsrecht van alle medewerkers gebruikers voor informatie informatie verwerkde faciliteit behor bij beëindiging van hun distverband, contract of overekomst te word verwijderd, bij wijziging behor ze te word aangepast (ISO ) Netwerk behor te word beheerd beheerst om informatie in system toepassing te bescherm (ISO ) Beveiligingsmechanism, distverlingsniveaus beheerseis voor alle netwerkdist behor te word geïdtificeerd opgom in overekomst betreffde netwerkdist. Dit geldt zowel voor dist die intern word geleverd als voor uitbestede dist (ISO ) Groep van informatiedist, -gebruikers -system behor in netwerk te word gescheid. 35 Het risico dat IT system niet voldo aan het gewste beveiligingsniveau door legacy /of toemde stroom van BYOD (smart phone, tablet, usb) met als gevolg reputatieschade, operationele verstoring, financiële schade. 36 Het risico van stel/vernieling van apparatuur door onvoldode fysieke toegangsbeveiliging met als gevolg financiele schade (ISO 6.2.1) Beleid voor mobiele apparatuur 5.13 (ISO ) Beheersmaatregel voor netwerk 5.14 (ISO ) Beveiliging van netwerkdist 5.15 (ISO ) Scheiding in netwerk Ge mbo statemt (ISO 7.2.3) Disciplinaire procedure 3.3 (ISO ) Fysieke beveiligingszone 3.4 (ISO ) Fysieke toegangsbeveiliging 3.5 (ISO ) Kantor, ruimte faciliteit beveilig 3.7 (ISO ) Werk in beveiligde gebied 3.8 (ISO ) Laad- loslocatie 3.9 (ISO ) Plaatsing bescherming van apparatuur 3.13 (ISO ) Beveiliging van apparatuur bedrijfsmiddel buit het terrein Overige maatregel buit ISO 27002: 1. Redundantie van webserver provider. Bij aanval op provider/webserver 1 kan webserver 1 provider 1 word afgeslot het verkeer via webserver 2 provider 2 met ander ip adres word gereroute. (Uitzondering geldt voor DDOS aanval op DNS, er is dan ge ) 2. Periodiek uitvoer van vulnerability scans uitvoer op de om in vroeg stadium zwakhed te ontdekk (ISO 6.2.1) Beleid ondersteunde beveiligingsmaatregel behor te word vastgesteld om de risico s die het gebruik van mobiele apparatuur met zich meebrgt te beher (ISO ) Netwerk behor te word beheerd beheerst om informatie in system toepassing te bescherm (ISO ) Beveiligingsmechanism, distverlingsniveaus beheerseis voor alle netwerkdist behor te word geïdtificeerd opgom in overekomst betreffde netwerkdist. Dit geldt zowel voor dist die intern word geleverd als voor uitbestede dist (ISO ) Groep van informatiedist, -gebruikers -system behor in netwerk te word gescheid. Ge mbo statemt (ISO 7.2.3) Er behoort e formele gecommuniceerde disciplinaire procedure te zijn om actie te ondernem teg medewerkers die e inbreuk hebb gepleegd op de informatiebeveiliging. 3.3 (ISO ) Beveiligingszones behor te word gedefinieerd gebruikt om gebied te bescherm die gevoelige of esstiële informatie informatie verwerkde faciliteit bevatt. 3.4 (ISO ) Beveiligde gebied behor te word beschermd door passde toegangsbeveiliging om ervoor te zorg dat alle bevoegd personeel toegang krijgt. 3.5 (ISO ) Voor kantor, ruimt faciliteit behoort fysieke beveiliging te word ontworp toegepast. 3.7 (ISO ) Voor het werk in beveiligde gebied behor procedures te word ontwikkeld toegepast. 3.8 (ISO ) Toegangspunt zoals laad- loslocaties andere punt waar onbevoegde person het terrein kunn betred, behor te word beheerst, zo mogelijk te word afgeschermd van informatie verwerkde faciliteit om onbevoegde toegang te vermijd. 3.9 (ISO ) Apparatuur behoort zo te word geplaatst beschermd dat risico s van bedreiging gevar van buitaf, alsook de kans op onbevoegde toegang word verkleind. IBPDOC29, versie 1.2 Pagina 12 van 25

13 3.13 (ISO ) Bedrijfsmiddel die zich buit het terrein bevind, behor te word beveiligd, waarbij reking behoort te word gehoud met de verschillde risico s van werk buit het terrein van de organisatie. IBPDOC29, versie 1.2 Pagina 13 van 25

14 Nr Risicobeschrijving Categorie Mbo normkader (ISO ) verwijzing Maatregel 37 Het risico van e onbeheersbare IT omgeving door toemd gebruik van SaaS dist met als gevolg operationele verstoring 38 Het risico van telefonische onbereikbaarheid (IP-telefonie) door falde technische infrastructuur met als gevolg operationele verstoring. 39 Het risico van uitval van de IT-Infrastructuur door e gebrek aan redundante uitvoer met als gevolg operationele verstoring 40 Het risico van verlies door ontbrekde/onjuiste backups met als gevolg operationele verstoring 41 Het risico van verlies van personeelsgegevs door alle papier dossiers in simpele kast ge digitale backup met als gevolg operationele verstoring. 42 Het risico dat de communicatie tuss verschillde pakkett verstoord wordt door het aanpass van e bronsysteem zonder overleg met als gevolg dat de integriteit van de gegevs in gevaar komt. 43 Het risico dat de restore van e backup niet slaagt doordat er ge periodieke restore wordt uitgevoerd als test met als gevolg gegevsverlies. 44 Het risico dat de instelling illegale software gebruikt door e niet-optimaal lictiebeleid met als gevolg boetes. Ge mbo statemt (ISO ) Informatiebeveiligingsbeleid voor leveranciersrelaties 1.15 (ISO ) Opnem van beveiligingsaspect in leveranciersoverekomst 1.16 (ISO ) Toeleveringsket van informatie- communicatietechnologie. 6.7 (ISO ) Monitoring beoordeling van distverling van leveranciers 4.11 (ISO ) Beheer van verandering in distverling van leveranciers 4.15 (ISO ) Beschikbaarheid van informatie verwerkde faciliteit (ISO ) Beschikbaarheid van informatie verwerkde faciliteit. Ge mbo statemt (ISO ) Met de leverancier behor de informatiebeveiligingseis om risico s te verlag die verband houd met de toegang van de leverancier tot de bedrijfsmiddel van de organisatie, te word overegekom gedocumteerd (ISO ) Alle relevante informatiebeveiligingseis behor te word vastgesteld overegekom met elke leverancier die toegang heeft tot IT-infrastructuurelemt t behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt (ISO ) Overekomst met leveranciers behor eis te bevatt die betrekking hebb op de informatiebeveiligingsrisico s in verband met de toeleveringsket van de dist product op het gebied van informatie- communicatietechnologie. 6.7 (ISO ) Organisaties behor regelmatig de distverling van leveranciers te monitor, te beoordel te audit (ISO ). Verandering in de distverling van leveranciers, met inbegrip van handhaving verbetering van bestaande beleidslijn, procedures beheersmaatregel voor informatiebeveiliging, behor te word, beheerd, reking houdd met de kritikaliteit van bedrijfsinformatie, betrokk system process herbeoordeling van risico s (ISO ) Informatie verwerkde faciliteit behor met voldode redundantie te word geïmplemteerd om aan beschikbaarheidseis te voldo (ISO ) Informatie verwerkde faciliteit behor met voldode redundantie te word geïmplemteerd om aan beschikbaarheidseis te voldo (ISO ) Back-up van informatie (ISO ) Regelmatig behor back-upkopieën van informatie, software systeemafbeelding te word gemaakt getest in overestemming met e overegekom back-upbeleid (ISO ) Back-up van informatie (ISO ) Regelmatig behor back-upkopieën van informatie, software systeemafbeelding te word gemaakt getest in overestemming met e overegekom back-upbeleid. 4,1 (ISO ) Wijzigingsbeheer 4.2 (ISO ) Scheiding van ontwikkel-, test- productieomgeving Ge mbo statemt (ISO ) Beleid voor beveiligd ontwikkel Ge mbo statemt (ISO ) Procedures voor wijzigingsbeheer met betrekking tot system Ge mbo statemt (ISO ) Technische beoordeling van toepassing na wijziging besturingsplatform Ge mbo statemt (ISO ) Beperking op wijziging aan softwarepakkett 4.10 (ISO ) Beveiligde ontwikkelomgeving 6.4 (ISO ) Uitbestede softwareontwikkeling 6.5 (ISO ) Test van systeembeveiliging 6.6 (ISO ) Systeemacceptatietests 4,1 (ISO ) Verandering in de organisatie, bedrijfsprocess, informatie verwerkde faciliteit system die van invloed zijn op de informatiebeveiliging behor te word beheerst. 4.2 (ISO ) Ontwikkel-, test- productieomgeving behor te word gescheid om het risico van onbevoegde toegang tot of verandering aan de productieomgeving te verlag. Ge mbo statemt (ISO ). Voor het ontwikkel van software system behor regels te word vastgesteld op ontwikkelactiviteit binn de organisatie te word toegepast. Ge mbo statemt (ISO ) Wijziging aan system binn de levscyclus van de ontwikkeling behor te word beheerst door het gebruik van formele procedures voor wijzigingsbeheer. Ge mbo statemt (ISO ) Als besturingsplatforms zijn veranderd, behor bedrijf kritische toepassing te word beoordeeld getest om te waarborg dat er ge nadelige impact is op de activiteit of de beveiliging van de organisatie. Ge mbo statemt (ISO ) Wijziging aan softwarepakkett behor te word ontrad, beperkt tot noodzakelijke verandering alle verandering behor strikt te word gecontroleerd (ISO ) Organisaties behor beveiligde ontwikkelomgeving vast te stell passd te beveilig voor verrichting op het gebied van systeemontwikkeling integratie, die betrekking hebb op de gehele levscyclus van de systeemontwikkeling. 6.4 (ISO ) Uitbestede systeemontwikkeling behoort onder supervisie te staan van te word gemonitord door de organisatie. 6.5 (ISO ) Tijds ontwikkelactiviteit behoort de beveiligingsfunctionaliteit te word getest. 6.6 (ISO ) Voor nieuwe informatiesystem, upgrades nieuwe versies behor programma s voor het uitvoer van acceptatietests gerelateerde criteria te word vastgesteld (ISO ) Back-up van informatie (ISO ) Regelmatig behor back-upkopieën van informatie, software systeemafbeelding te word gemaakt getest in overestemming met e overegekom back-upbeleid. 4.9 (ISO ). Beperking voor het installer van software 4.9 (ISO ) Voor het door gebruikers installer van software behor regels te word vastgesteld te word geïmplemteerd. IBPDOC29, versie 1.2 Pagina 14 van 25

15 Nr Risicobeschrijving Categorie Mbo normkader (ISO ) verwijzing Maatregel 45 Het risico van te grote responstijd bij incidt door nalatig incidtmanagemt met als gevolg ontevredheid bij eindgebruikers wantrouw. 46 Het risico van niet-relevante ICT-inkoop door niet afstemm van vraag aanbod met als gevolg financieel verlies. 47 Het risico van onderbezetting servicedesk door toame omvang aantal applicaties met als gevolg teruglopd niveau van distverling ontevred gebruikers. 48 Het risico van versnippering van IT-beheer door applicatie georiënteerd beheer of lokaal georiënteerd beheer met als gevolg e overall IT-beheer met weinig samhang inefficiënt IT-beheer. 49 Het risico van bedrijfsschade door onvoldode knisborging bij de IT-beheerprocess met als gevolg dat idtieke (IT)verstoring van bedrijfsprocess zich steeds blijv herhal teg oplopde kost. 50 Het risico van backup-uitval door gebrek aan monitoring met als gevolg moeizame tot onmogelijke recovery. 51 Het risico van oververhitting van het cter door falde koeling gebrekkig monitor met als gevolg uitval van het cter. 52 Het risico dat uitgelede apparatuur niet ingeleverd wordt door onvoldode monitoring met als gevolg dat de apparatuur zoek raakt, dus kapitaal vernietigd wordt. 53 Het risico dat e leverancier/product failliet gaat door het ontbrek van escrow afsprak met als gevolg onderbrek continuïteit van de organisatie. 54 Risico van uitval van de SAN door leeftijd SAN opgezegd onderhoudscontract Dell met als gevolg continuïteit verlies verlies. 55 Het risico op instabiliteit van de ICT-infrastructuur door het niet op tijd vervang van verouderde ser-vers met als gevolg dat system niet beschikbaar zijn. 56 Het risico dat er te veel applicaties aan de kernsystem gekoppeld zijn door onvoldode ontwikkelmogelijkhed binn de kernsystem met als gevolg beheer issues 1.17 (ISO ) Verantwoordelijkhed procedures 1.18 (ISO ) Rapportage van (informatiebeveiligings-) gebeurtiss 2.6 (ISO ) Rapportage van zwakke plekk in de informatiebeveiliging 4.12 (ISO ) Beoordeling van besluitvorming over (informatiebeveiligings-)gebeurtiss 4.13 (ISO ) Respons op informatiebeveiligingsincidt Ge mbo statemt (ISO ) Lering uit informatiebeveiligingsincidt nvt nvt nvt nvt 1.17 (ISO ) Directieverantwoordelijkhed -procedures behor te word vastgesteld om e snelle, doeltreffde ordelijke respons op (informatiebeveiligings-)incidt te bewerkstellig (ISO ) Informatiebeveiligingsgebeurtiss behor zo snel mogelijk via de juiste leidinggevde niveaus te word gerapporteerd. 2.6 (ISO ) Van medewerkers contractant die gebruikmak van de informatiesystem -dist van de organisatie behoort te word geëist dat zij de in system of dist waargom of vermede zwakke plekk in de informatiebeveiliging registrer rapporter (ISO ) Informatiebeveiligingsgebeurtiss behor te word beoordeeld er behoort te word geoordeeld of zij moet word geclassificeerd als informatiebeveiligingsincidt (ISO ) Op informatiebeveiligingsincidt behoort te word gereageerd in overestemming met de gedocumteerde procedures. Ge mbo statemt (ISO ) Knis die is verkreg door informatiebeveiligingsincidt te analyser op te loss behoort te word gebruikt om de waarschijnlijkheid of impact van toekomstige incidt te verklein. 1. Vaststell functionele technische requiremts. 2. Opstell business case inclusief leveranciersanalyse. 3. Goedkeuring door manager ICT verantwoordelijk directielid voor aankoop op basis van businesscase. 1. Personeelsplanning. 2. Perdiodieke herbeoordeling applicatielandschap. 1. Beschrijv specifieke tak verantwoordelijkhed. 2. Periodieke herbeoordeling IT beheer aanpassing doorvoer waar nodig. 1. Opzett trainingsprogramma's gekoppeld aan het functieprofiel van de medewerkers. 2. Documter best-practice werkinstructies. 3. Kwaliteitscontrole (juistheid, volledigheid, tijdigheid) uitvoer voorafgaand aan communicatie van best-practice (ISO ) Back-up van informatie (ISO ) Regelmatig behor back-upkopieën van informatie, software systeemafbeelding te word gemaakt getest in overestemming met e overegekom back-upbeleid (ISO ) Nutsvoorziing 3.12 (ISO ) Onderhoud van apparatuur Ge mbo statemt (ISO 8.1.1) Invtariser van bedrijfsmiddel Ge mbo statemt (ISO 8.1.2) Eigdom van bedrijfsmiddel Ge mbo statemt (ISO 8.1.4) Teruggev van bedrijfsmiddel 6.7 (ISO ) Monitoring beoordeling distverling van leveranciers 3.10 (ISO ) Apparatuur behoort te word beschermd teg stroomuitval andere verstoring die word veroorzaakt door ontregeling in nutsvoorziing (ISO ) Apparatuur behoort correct te word onderhoud om de continue beschikbaarheid integriteit ervan te waarborg. Ge mbo statemt (ISO 8.1.1). Bedrijfsmiddel die samhang met informatie informatie verwerkde faciliteit behor te word geïdtificeerd, van deze bedrijfsmiddel behoort e invtaris te word opgesteld onderhoud. Ge mbo statemt (ISO 8.1.2) Bedrijfsmiddel die in het invtarisoverzicht word bijgehoud, behor e eigaar te hebb. Ge mbo statemt (ISO 8.1.4) Alle medewerkers gebruikers behor alle bedrijfsmiddel van de organisatie die ze in hun bezit hebb bij beëindiging van hun distverband, contract of overekomst terug te gev. 6.7 (ISO ) Organisaties behor regelmatig de distverling van leveranciers te monitor, te beoordel te audit (ISO ) Onderhoud van apparatuur 3.12 (ISO ) Apparatuur behoort correct te word onderhoud om de continue beschikbaarheid integriteit ervan te waarborg (ISO ) Onderhoud van apparatuur 3.12 (ISO ) Apparatuur behoort correct te word onderhoud om de continue beschikbaarheid integriteit ervan te waarborg. nvt 1.Functionele eis specificer in selectietraject. 2.Eis met betrekking tot interfacing opnem in selectie traject. 3. Servicecontract afsluit voor maatwerk ontwikkeling IBPDOC29, versie 1.2 Pagina 15 van 25

16 Nr Risicobeschrijving Categorie Mbo normkader (ISO ) verwijzing Maatregel 57 Het risico dat de serverruimte niet brandveilig is door ontbrekde brandbeveiligingsmaatregel met als gevolg operationele verstoring 3.6 (ISO ) Bedreiging van buitaf. 3.9 (ISO ) Plaatsing bescherming van apparatuur 3.6 (ISO ) Teg natuurramp, kwaadwillige aanvall of ongelukk behoort fysieke bescherming te word ontworp toegepast. 3.9 (ISO ) Apparatuur behoort zo te word geplaatst beschermd dat risico s van bedreiging gevar van buitaf, alsook de kans op onbevoegde toegang word verkleind. 58 Het risico dat de internetverbinding aan zijn maximale capaciteit zit door onvoldode inzicht in verbruik /of onvoldode infrastructuur met als gevolg operationele verstoring. 59 Het risico van Cybercrime (Phising, SPAM, hacking) door onvoldode ingerichte beveiligingsmaatregel met als gevolg operationele verstoring, financiele schade reputatieschade. 60 Het risico dat onbevoegd toegang hebb tot ruimtes door versnipperde onvoldode procedurele afsprak met betrekking tot fysieke toegangsbeleid beveiliging met als gevolg dat informatie /of andere eigdomm gestol word. 61 Het risico dat bedrijfsgegevs gelekt word door grotere vraag naar business intelligce reporting met als gevolg reputatieschade. 62 Het risico dat wachtwoord van medewerkers studt bekd zijn bij onbevoegd door onvoldode risicobewustzijn van medewerkers / studt met als gevolg van fraude. Ge mbo statemt (ISO ) Capaciteitsbeheer (ISO ) Beheersmaatregel teg malware 5.13 (ISO ) Beheersmaatregel voor netwerk 5.14 (ISO ) Beveiliging van netwerkdist 5.15 (ISO ) Scheiding in netwerk 1.12 (ISO ) Beleid procedures voor informatietransport 5.16 (ISO ) Elektronische bericht Ge mbo statemt (ISO 7.2.3) Disciplinaire procedure 5.1 (ISO 9.1.1) Beleid voor toegangsbeveiliging 3.3 (ISO ) Fysieke beveiligingszone 3.4 (ISO ) Fysieke toegangsbeveiliging 3.5 (ISO ) Kantor, ruimte faciliteit beveilig 3.7 (ISO ) Werk in beveiligde gebied 3.8 (ISO ) Laad- loslocatie 3.9 (ISO ) Plaatsing bescherming van apparatuur 3.13 (ISO ) Beveiliging van apparatuur bedrijfsmiddel buit het terrein (ISO 5.1.1) Beleidsregels voor informatiebeveiliging. 1.7 (ISO 8.2.1) Classificatie van informatie 1.8 (ISO 8.2.2) Informatie label Ge mbo statemt (ISO 8.2.3) Behandel van bedrijfsmiddel (ISO 5.1.1) Beleidsregels voor informatiebeveiliging. 1.3 (ISO 5.1.2) Beoordeling van het informatiebeveiligingsbeleid (ISO 6.2.1) Beleid voor mobiele apparatuur 2.1 (ISO 7.1.2) Arbeidsvoorwaard Ge mbo statemt (ISO 7.2.1) Directieverantwoordelijkhed 2.2 (ISO 7.2.2) Bewustzijn, opleiding training Ge mbo statemt (ISO ) Het gebruik van middel behoort te word gemonitord afgestemd, er behor verwachting te word opgesteld voor toekomstige capaciteitseis om de vereiste systeemprestaties te waarborg (ISO ) Ter bescherming teg malware behor beheersmaatregel voor detectie, prevtie herstel te word geïmplemteerd, in combinatie met e passd bewustzijn van gebruikers (ISO ) Netwerk behor te word beheerd beheerst om informatie in system toepassing te bescherm (ISO ) Beveiligingsmechanism, distverlingsniveaus beheerseis voor alle netwerkdist behor te word geïdtificeerd opgom in overekomst betreffde netwerkdist. Dit geldt zowel voor dist die intern word geleverd als voor uitbestede dist (ISO ) Groep van informatiedist, -gebruikers -system behor in netwerk te word gescheid (ISO ) Ter bescherming van het informatietransport, dat via alle soort communicatiefaciliteit verloopt, behor formele beleidsregels, procedures beheersmaatregel voor transport van kracht te zijn (ISO ) Informatie die is opgom in elektronische bericht behoort passd te zijn beschermd. Ge mbo statemt (ISO 7.2.3) Er behoort e formele gecommuniceerde disciplinaire procedure te zijn om actie te ondernem teg medewerkers die e inbreuk hebb gepleegd op de informatiebeveiliging. 5.1 (ISO 9.1.1) E beleid voor toegangsbeveiliging behoort te word vastgesteld, gedocumteerd beoordeeld op basis van bedrijfs- informatiebeveiligingseis. 3.3 (ISO ) Beveiligingszones behor te word gedefinieerd gebruikt om gebied te bescherm die gevoelige of esstiële informatie informatie verwerkde faciliteit bevatt. 3.4 (ISO ) Beveiligde gebied behor te word beschermd door passde toegangsbeveiliging om ervoor te zorg dat alle bevoegd personeel toegang krijgt. 3.5 (ISO ) Voor kantor, ruimt faciliteit behoort fysieke beveiliging te word ontworp toegepast. 3.7 (ISO ) Voor het werk in beveiligde gebied behor procedures te word ontwikkeld toegepast. 3.8 (ISO ) Toegangspunt zoals laad- loslocaties andere punt waar onbevoegde person het terrein kunn betred, behor te word beheerst, zo mogelijk te word afgeschermd van informatie verwerkde faciliteit om onbevoegde toegang te vermijd. 3.9 (ISO ) Apparatuur behoort zo te word geplaatst beschermd dat risico s van bedreiging gevar van buitaf, alsook de kans op onbevoegde toegang word verkleind (ISO ) Bedrijfsmiddel die zich buit het terrein bevind, behor te word beveiligd, waarbij reking behoort te word gehoud met de verschillde risico s van werk buit het terrein van de organisatie (ISO 5.1.1) T behoeve van informatiebeveiliging behoort e reeks beleidsregels te word gedefinieerd, goedgekeurd door de directie, gepubliceerd gecommuniceerd aan medewerkers relevante externe partij. 1.7 (ISO 8.2.1) Informatie behoort te word geclassificeerd met betrekking tot wettelijke eis, waarde, belang gevoeligheid voor onbevoegde bekdmaking of wijziging. 1.8 (ISO 8.2.2) Om informatie te label behoort e passde reeks procedures te word ontwikkeld geïmplemteerd in overestemming met het informatieclassificatieschema dat is vastgesteld door de organisatie. Ge mbo statemt (ISO 8.2.3) Procedures voor het behandel van bedrijfsmiddel behor te word ontwikkeld geïmplemteerd in overestemming met het informatieclassificatieschema dat is vastgesteld door de organisatie (ISO 5.1.1) T behoeve van informatiebeveiliging behoort e reeks beleidsregels te word gedefinieerd, goedgekeurd door de directie, gepubliceerd gecommuniceerd aan medewerkers relevante externe partij. 1.3 (ISO 5.1.2) Het beleid voor informatiebeveiliging behoort met geplande tusspoz of als zich significante verandering voordo, te word beoordeeld om te waarborg dat het voortdurd passd, adequaat doeltreffd is (ISO 6.2.1) Beleid ondersteunde beveiligingsmaatregel behor te word vastgesteld om de risico s die het gebruik van mobiele apparatuur met zich meebrgt te beher. 2.1 (ISO 7.1.2) De contractuele overekomst met medewerkers contractant behoort hun verantwoordelijkhed voor informatiebeveiliging die van de organisatie te vermeld. Ge mbo statemt (ISO 7.2.1) De directie behoort van alle medewerkers contractant te eis dat ze informatiebeveiliging toepass in overestemming met de vastgestelde beleidsregels procedures van de organisatie. 2.2 (ISO 7.2.2) Alle studt/medewerkers van de organisatie, voor zover relevant, contractant behor e passde bewustzijnsopleiding -training te krijg regelmatige bijscholing van beleidsregels procedures van de organisatie, voor zover relevant voor hun functie. IBPDOC29, versie 1.2 Pagina 16 van 25

17 Nr Risicobeschrijving Categorie Mbo normkader (ISO ) verwijzing Maatregel 63 Het risico dat bij SaaS leveranciers beschikbaar is voor onbevoegd door onvoldode beveiliging bij de SaaS leveranciers met als gevolg reputatieschade voor de instelling 64 Het risico op fraude of onrechtmatige invoer in het kernregistratiesysteem door onvoldode scheiding van recht over groep van person met als gevolg reputatieschade. 65 Het risico dat de AD niet op orde is doordat gegevs uit Topdesk niet match met AD met als gevolg dat verkeerde applicaties aan verkeerde person / werkstations gekoppeld word. 66 Het risico dat ongeautoriseerde person toegang krijg tot het Data Cter door het ontbrek van e periodieke controle op de autorisaties met als gevolg dat servers door ongeautoriseerde person baderd kunn word. 67 Het risico dat hackers makkelijk toegang krijg tot het netwerk doordat minimale wachtwoordvereist niet word afgedwong met als gevolg dat gevoelige informatie ontvreemd wordt. 68 Het risico dat er spookmedewerkers word aangemaakt door het ontbrek van functiescheiding binn Profit met als gevolg onterechte salarisuitbetaling. 69 Het risico dat er ongeoorloofde mutaties plaats vind doordat logging niet structureel gecontroleerd wordt met als gevolg e kans op fraude. Ge mbo statemt (ISO ) Informatiebeveiligingsbeleid voor leveranciersrelaties 1.15 (ISO ) Opnem van beveiligingsaspect in leveranciersoverekomst 1.16 (ISO ) Toeleveringsket van informatie- communicatietechnologie. 6.7 (ISO ) Monitoring beoordeling van distverling van leveranciers 4.11 (ISO ) Beheer van verandering in distverling van leveranciers 5.1 (ISO 9.1.1) Beleid voor toegangsbeveiliging. 5.3 (ISO 9.2.1) Registratie afmeld van gebruikers. 5.4 (ISO 9.2.2) Gebruikers toegang verl 5.1 (ISO 9.1.1) Beleid voor toegangsbeveiliging. 5.3 (ISO 9.2.1) Registratie afmeld van gebruikers. 6.1 (ISO 9.2.5) Beoordeling van toegangsrecht van gebruikers. 5.4 (ISO 9.2.2) Gebruikers toegang verl 6.1 (ISO 9.2.5) Beoordeling van toegangsrecht van gebruikers. 5.1 (ISO 9.1.1) Beleid voor toegangsbeveiliging. 5.7 (ISO 9.3.1) Geheime authticatie-informatie gebruik (ISO ) Beveiliging van netwerk. 5.1 (ISO 9.1.1) Beleid voor toegangsbeveiliging 6.1 (ISO 9.2.5) Beoordeling van toegangsrecht van gebruikers 6.2 (ISO ) Gebeurtiss registrer 5.12 (ISO ) Bescherm van informatie in logbestand 6.3 (ISO ) Logbestand van beheerders operators 3.15 (ISO ) Kloksynchrronisatie Ge mbo statemt (ISO ) Met de leverancier behor de informatiebeveiligingseis om risico s te verlag die verband houd met de toegang van de leverancier tot de bedrijfsmiddel van de organisatie, te word overegekom gedocumteerd (ISO ) Alle relevante informatiebeveiligingseis behor te word vastgesteld overegekom met elke leverancier die toegang heeft tot IT-infrastructuurelemt t behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt (ISO ) Overekomst met leveranciers behor eis te bevatt die betrekking hebb op de informatiebeveiligingsrisico s in verband met de toeleveringsket van de dist product op het gebied van informatie- communicatietechnologie. 6.7 (ISO ) Organisaties behor regelmatig de distverling van leveranciers te monitor, te beoordel te audit (ISO ). Verandering in de distverling van leveranciers, met inbegrip van handhaving verbetering van bestaande beleidslijn, procedures beheersmaatregel voor informatiebeveiliging, behor te word, beheerd, reking houdd met de kritikaliteit van bedrijfsinformatie, betrokk system process herbeoordeling van risico s. 5.1 (ISO 9.1.1) E beleid voor toegangsbeveiliging behoort te word vastgesteld, gedocumteerd beoordeeld op basis van bedrijfs- informatiebeveiligingseis. 5.3 (ISO 9.2.1) E formele registratie- afmeldingsprocedure behoort te word geïmplemteerd om toewijzing van toegangsrecht mogelijk te mak. 5.4 (ISO 9.2.2) E formele gebruikerstoegangsverlingsprocedure behoort te word geïmplemteerd om toegangsrecht voor alle typ gebruikers voor alle system dist toe te wijz of in te trekk. 5.1 (ISO 9.1.1) E beleid voor toegangsbeveiliging behoort te word vastgesteld, gedocumteerd beoordeeld op basis van bedrijfs- informatiebeveiligingseis. 5.3 (ISO 9.2.1) E formele registratie- afmeldingsprocedure behoort te word geïmplemteerd om toewijzing van toegangsrecht mogelijk te mak. 6.1 (ISO 9.2.5) Eigar van bedrijfsmiddel behor toegangsrecht van gebruikers regelmatig te beoordel. 5.4 (ISO 9.2.2) E formele gebruikerstoegangsverlingsprocedure behoort te word geïmplemteerd om toegangsrecht voor alle typ gebruikers voor alle system dist toe te wijz of in te trekk. 6.1 (ISO 9.2.5) Eigar van bedrijfsmiddel behor toegangsrecht van gebruikers regelmatig te beoordel. 5.1 (ISO 9.1.1) E beleid voor toegangsbeveiliging behoort te word vastgesteld, gedocumteerd beoordeeld op basis van bedrijfs- informatiebeveiligingseis. 5.7 (ISO 9.3.1) Van gebruikers behoort te word verlangd dat zij zich bij het gebruik van geheime authticatie informatie houd aan de praktijk van de organisatie (ISO ) Beveiligingsmechanism, distverlingsniveaus beheerseis voor alle netwerkdist behor te word geïdtificeerd opgom in overekomst betreffde netwerkdist. Dit geldt zowel voor dist die intern word geleverd als voor uitbestede dist. 5.1 (ISO 9.1.1) E beleid voor toegangsbeveiliging behoort te word vastgesteld, gedocumteerd beoordeeld op basis van bedrijfs- informatiebeveiligingseis. 6.1 (ISO 9.2.5) Eigar van bedrijfsmiddel behor toegangsrecht van gebruikers regelmatig te beoordel. Los van ISO27002: 1. Maandelijkse controle op salarisoverzicht (prevtief) 2. Functiescheiding in betalingsapplicaties (prevtief) 3. Maandelijkse controle op uitbetaalde salariss (reactief) 6.2 (ISO ) Logbestand van gebeurtiss die gebruikersactiviteit, uitzondering informatiebeveiligingsgebeurtiss registrer, behor te word gemaakt, bewaard regelmatig te word beoordeeld (ISO ) Logfaciliteit informatie in logbestand behor te word beschermd teg vervalsing onbevoegde toegang. 6.3 (ISO ) Activiteit van systeembeheerders -operators behor te word vastgelegd de logbestand behor te word beschermd regelmatig te word beoordeeld (ISO ) De klokk van alle relevante informatie verwerkde system binn e organisatie of beveiligingsdomein behor te word gesynchroniseerd met één refertietijdbron. IBPDOC29, versie 1.2 Pagina 17 van 25

18 Nr Risicobeschrijving Categorie Mbo normkader (ISO ) verwijzing Maatregel 70 Het risico dat speciale recht van systeembeheerders ongepast word gebruikt, doordat e formele autorisatieprocedure, toegespitst op functies, roll tak in overestemming met het toegangsbeveiligingsbeleid ontbreekt, met als gevolg dat onbevoegd toegang wordt verkreg tot vertrouwelijke informatie. 5.1 (ISO 9.1.1) Beleid voor toegangsbeveiliging 5.5 (ISO 9.2.3) Beheer van speciale toegangsrecht 5.1 (ISO 9.1.1) E beleid voor toegangsbeveiliging behoort te word vastgesteld, gedocumteerd beoordeeld op basis van bedrijfs- informatiebeveiligingseis. 5.5 (ISO 9.2.3) Het toewijz gebruik van speciale toegangsrecht behor te word beperkt beheerst. 71 Het risico van virusaanvall door achterstallige updates van virusdefinities met als gevolg uitval van het cter verlies. 72 Uitval van applicaties door het ontbrek van lifecyclemanagemt met als gevolg schade voor het primair proces. 73 Het risico van onterecht bestaande gebruikersaccounts door niet afmelding medewerkers als ze uit dist gaan met als gevolg dat de active directory vervuild is er ge overzicht is van actieve gebruikers. 74 Het risico van geinfecteerde door viruss met als gevolg inconsisttie of totaal verlies 75 Het risico van onvoldode redundantie van gegevs door ontbrek van versiebeheer met als gevolg onduidelijkheid in statuss van documt, verschillde versies, inefficiënt beslag (ISO ) Beheersmaatregel teg malware 4.7 (ISO ) Software installer op operationele system 4.8 (ISO ) Beheer van technische kwetsbaarhed Ge mbo statemt (ISO ) Procedures voor wijzigingsbeheer met betrekking tot system Ge mbo statemt (ISO ) Procedures voor wijzigingsbeheer met betrekking tot system Ge mbo statemt (ISO 7.3.1) Beëindiging of wijziging van verantwoordelijkhed van het distverband. 5.1 (ISO 9.1.1) Beleid voor toegangsbeveiliging 5.3 (ISO 9.2.1) Registratie afmeld van gebruikers Ge mbo statemt (ISO ) Beheersmaatregel teg malware 1.7 (ISO 8.2.1) Classificatie van informatie 1.8 (ISO 8.2.2) Informatie label (ISO ) Ter bescherming teg malware behor beheersmaatregel voor detectie, prevtie herstel te word geïmplemteerd, in combinatie met e passd bewustzijn van gebruikers. 4.7 (ISO ) Om het op operationele system installer van software te beheers behor procedures te word geïmplemteerd. 4.8 (ISO ) Informatie over technische kwetsbaarhed van informatiesystem die word gebruikt behoort tijdig te word verkreg, de blootstelling van de organisatie aan dergelijke kwetsbaarhed te word geëvalueerd passde maatregel te word gom om het risico dat ermee samhangt aan te pakk. Ge mbo statemt (ISO ) Wijziging aan system binn de levscyclus van de ontwikkeling behor te word beheerst door het gebruik van formele procedures voor wijzigingsbeheer. Ge mbo statemt (ISO ) Wijziging aan system binn de levscyclus van de ontwikkeling behor te word beheerst door het gebruik van formele procedures voor wijzigingsbeheer. Ge mbo statemt (ISO 7.3.1) Verantwoordelijkhed tak met betrekking tot informatiebeveiliging die van kracht blijv na beëindiging of wijziging van het distverband behor te word gedefinieerd, gecommuniceerd aan de medewerker of contractant, t uitvoer gebracht. 5.1 (ISO 9.1.1) E beleid voor toegangsbeveiliging behoort te word vastgesteld, gedocumteerd beoordeeld op basis van bedrijfs- informatiebeveiligingseis. 5.3 (ISO 9.2.1) E formele registratie- afmeldingsprocedure behoort te word geïmplemteerd om toewijzing van toegangsrecht mogelijk te mak (ISO ) Ter bescherming teg malware behor beheersmaatregel voor detectie, prevtie herstel te word geïmplemteerd, in combinatie met e passd bewustzijn van gebruikers. 1.7 (ISO 8.2.1) Informatie behoort te word geclassificeerd met betrekking tot wettelijke eis, waarde, belang gevoeligheid voor onbevoegde bekdmaking of wijziging. 1.8 (ISO 8.2.2) Om informatie te label behoort e passde reeks procedures te word ontwikkeld geïmplemteerd in overestemming met het informatieclassificatieschema dat is vastgesteld door de organisatie. IBPDOC29, versie 1.2 Pagina 18 van 25

19 Nr Risicobeschrijving Categorie Mbo normkader (ISO ) verwijzing Maatregel 76 Het risico van ongewste authticatie door ontbrek van authticatieroll met als gevolg ongewste toegang tot vertrouwelijke gegevs het kunn muter/verwijder van deze gegevs. 77 Het risico van verlies van vertrouwelijke door onduidelijkheid over wie de eigaar van de applicatie met als gevolg imagoschade voor de school. 78 Het risico van fraude / ongeautoriseerde toegang tot system door ontbrekd wachtwoordbeleid procedures met als gevolg reputatie financiële schade. 5.1 (ISO 9.1.1) Beleid voor toegangsbeveiliging 5.2 (ISO 9.1.2) Toegang tot netwerk netwerkdist. 5.3 (ISO 9.2.1) Registratie afmeld van gebruikers 5.4 (ISO 9.2.2). Gebruikers toegang verl 5.5 (ISO 9.2.3) Beheer van speciale toegangsrecht 5.6 (ISO 9.2.4) Beheer van geheime authticatie informatie van gebruikers 6.1 (ISO 9.2.5) Beoordeling van toegangsrecht van gebruikers 2.3 (ISO 9.2.6) Toegangsrecht intrekk of aanpass. 5.7 (ISO 9.3.1) Geheime authticatie informatie gebruik 5.8 (ISO 9.4.1) Beperking toegang tot informatie 5.9 (ISO 9.4.2) Beveiligde inlogprocedures Ge mbo statemt (ISO 9.4.3) Systeem voor wachtwoordbeheer Ge mbo statemt (ISO 9.4.4) Speciale systeemhulpmiddel gebruik Ge mbo statemt (ISO 9.4.5) Toegangsbeveiliging op programmabroncode Ge mbo statemt (ISO 8.1.2) Eigdom van bedrijfsmiddel 5.1 (ISO 9.1.1) Beleid voor toegangsbeveiliging 5.2 (ISO 9.1.2) Toegang tot netwerk netwerkdist. 5.3 (ISO 9.2.1) Registratie afmeld van gebruikers 5.4 (ISO 9.2.2). Gebruikers toegang verl 5.5 (ISO 9.2.3) Beheer van speciale toegangsrecht 5.6 (ISO 9.2.4) Beheer van geheime authticatie informatie van gebruikers 6.1 (ISO 9.2.5) Beoordeling van toegangsrecht van gebruikers 2.3 (ISO 9.2.6) Toegangsrecht intrekk of aanpass. 5.7 (ISO 9.3.1) Geheime authticatie informatie gebruik 5.8 (ISO 9.4.1) Beperking toegang tot informatie 5.9 (ISO 9.4.2) Beveiligde inlogprocedures Ge mbo statemt (ISO 9.4.3) Systeem voor wachtwoordbeheer Ge mbo statemt (ISO 9.4.4) Speciale systeemhulpmiddel gebruik Ge mbo statemt (ISO 9.4.5) Toegangsbeveiliging op programmabroncode 5.1 (ISO 9.1.1) E beleid voor toegangsbeveiliging behoort te word vastgesteld, gedocumteerd beoordeeld op basis van bedrijfs- informatiebeveiligingseis. 5.2 (ISO 9.1.2) Gebruikers behor alle toegang te krijg tot het netwerk de netwerkdist waarvoor zij specifiek bevoegd zijn. 5.3 (ISO 9.2.1) E formele registratie- afmeldingsprocedure behoort te word geïmplemteerd om toewijzing van toegangsrecht mogelijk te mak. 5.4 (ISO 9.2.2). E formele gebruikerstoegangsverlingsprocedure behoort te word geïmplemteerd om toegangsrecht voor alle typ gebruikers voor alle system dist toe te wijz of in te trekk. 5.5 (ISO 9.2.3) Het toewijz gebruik van speciale toegangsrecht behor te word beperkt beheerst. 5.6 (ISO 9.2.4) Het toewijz van geheime authticatie-informatie behoort te word beheerst via e formeel beheersproces. 6.1 (ISO 9.2.5) Eigar van bedrijfsmiddel behor toegangsrecht van gebruikers regelmatig te beoordel. 2.3 (ISO 9.2.6) De toegangsrecht van alle medewerkers gebruikers voor informatie informatie verwerkde faciliteit behor bij beëindiging van hun distverband, contract of overekomst te word verwijderd, bij wijziging behor ze te word aangepast. 5.7 (ISO 9.3.1) Van gebruikers behoort te word verlangd dat zij zich bij het gebruik van geheime authticatie informatie houd aan de praktijk van de organisatie. 5.8 (ISO 9.4.1) Toegang tot informatie systeemfuncties van toepassing behoort te word beperkt in overestemming met het beleid voor toegangsbeveiliging. 5.9 (ISO 9.4.2) Indi het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot system toepassing te word beheerst door e beveiligde inlogprocedure. Ge mbo statemt (ISO 9.4.3) System voor wachtwoordbeheer behor interactief te zijn sterke wachtwoord te waarborg. Ge mbo statemt (ISO 9.4.4) Het gebruik van systeemhulpmiddel die in staat zijn om beheersmaatregel voor system toepassing te omzeil behoort te word beperkt nauwkeurig te word gecontroleerd. Ge mbo statemt (ISO 9.4.5) Toegang tot de programmabroncode behoort te word beperkt. Ge mbo statemt (ISO 8.1.2) Bedrijfsmiddel die in het invtarisoverzicht word bijgehoud, behor e eigaar te hebb. 5.1 (ISO 9.1.1) E beleid voor toegangsbeveiliging behoort te word vastgesteld, gedocumteerd beoordeeld op basis van bedrijfs- informatiebeveiligingseis. 5.2 (ISO 9.1.2) Gebruikers behor alle toegang te krijg tot het netwerk de netwerkdist waarvoor zij specifiek bevoegd zijn. 5.3 (ISO 9.2.1) E formele registratie- afmeldingsprocedure behoort te word geïmplemteerd om toewijzing van toegangsrecht mogelijk te mak. 5.4 (ISO 9.2.2). E formele gebruikerstoegangsverlingsprocedure behoort te word geïmplemteerd om toegangsrecht voor alle typ gebruikers voor alle system dist toe te wijz of in te trekk. 5.5 (ISO 9.2.3) Het toewijz gebruik van speciale toegangsrecht behor te word beperkt beheerst. 5.6 (ISO 9.2.4) Het toewijz van geheime authticatie-informatie behoort te word beheerst via e formeel beheersproces. 6.1 (ISO 9.2.5) Eigar van bedrijfsmiddel behor toegangsrecht van gebruikers regelmatig te beoordel. 2.3 (ISO 9.2.6) De toegangsrecht van alle medewerkers gebruikers voor informatie informatie verwerkde faciliteit behor bij beëindiging van hun distverband, contract of overekomst te word verwijderd, bij wijziging behor ze te word aangepast. 5.7 (ISO 9.3.1) Van gebruikers behoort te word verlangd dat zij zich bij het gebruik van geheime authticatie informatie houd aan de praktijk van de organisatie. 5.8 (ISO 9.4.1) Toegang tot informatie systeemfuncties van toepassing behoort te word beperkt in overestemming met het beleid voor toegangsbeveiliging. 5.9 (ISO 9.4.2) Indi het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot system toepassing te word beheerst door e beveiligde inlogprocedure. Ge mbo statemt (ISO 9.4.3) System voor wachtwoordbeheer behor interactief te zijn sterke wachtwoord te waarborg. Ge mbo statemt (ISO 9.4.4) Het gebruik van systeemhulpmiddel die in staat zijn om beheersmaatregel voor system toepassing te omzeil behoort te word beperkt nauwkeurig te word gecontroleerd. Ge mbo statemt (ISO 9.4.5) Toegang tot de programmabroncode behoort te word beperkt. IBPDOC29, versie 1.2 Pagina 19 van 25

20 Bijlage 2 Vertaaltabel ISO naar mbo normkader 5 Informatiebeveiligingsbeleid 5.1 Aansturing door de directie van de informatiebeveiliging Beleidsregels voor informatiebeveiliging (1 van 2) 1.1 Beleidsregels voor informatiebeveiliging (2 van 2) Beoordeling van het informatiebeveiligingsbeleid Organiser van informatiebeveiliging 6.1 Interne organisatie Roll verantwoordelijkhed bij informatiebeveiliging Scheiding van tak Contact met overheidsinstanties niet Contact met speciale belanggroep niet Informatiebeveiliging in projectbeheer Mobiele apparatuur telewerk Beleid voor mobiele apparatuur (1 van 2) 1.6 Beleid voor mobiele apparatuur (2 van 2) Telewerk niet 7 Veilig personeel 7.1 Voorafgaand aan het distverband Screing Arbeidsvoorwaard Tijds het distverband Directieverantwoordelijkhed niet Bewustzijn, opleiding training t aanzi van informatiebeveiliging Disciplinaire procedure niet 7.3 Beëindiging wijziging van distverband Beëindiging of wijziging van verantwoordelijkhed van het distverband niet 1 Deze norm uit ISO27002 wordt niet gebruikt in het mbo normkader het daarvan afgeleide mbo toetsingskader. IBPDOC29, versie 1.2 Pagina 20 van 25

21 8 Beheer van bedrijfsmiddel 8.1 Verantwoordelijkheid voor bedrijfsmiddel Handleiding Risicomanagemt Invtariser van bedrijfsmiddel niet Eigdom van bedrijfsmiddel niet Aanvaardbaar gebruik van bedrijfsmiddel niet Teruggev van bedrijfsmiddel niet 8.2 Informatieclassificatie Classificatie van informatie Informatie label Behandel van bedrijfsmiddel niet 8.3 Behandel van media Beheer van verwijderbare media niet Verwijder van media Media fysiek overdrag niet 9 Toegangsbeveiliging 9.1 Bedrijfseis voor toegangsbeveiliging Beleid voor toegangsbeveiliging Toegang tot netwerk netwerkdist Beheer van toegangsrecht van gebruikers Registratie afmeld van gebruikers Gebruikers toegang verl Beher van speciale toegangsrecht Beheer van geheime authticatie-informatie van gebruikers Beoordeling van toegangsrecht van gebruikers Toegangsrecht intrekk of aanpass Verantwoordelijkhed van gebruikers Geheime authticatie-informatie gebruik Toegangsbeveiliging van systeem toepassing Beperking toegang tot informatie Beveiligde inlogprocedures Systeem voor wachtwoordbeheer niet Speciale systeemhulpmiddel gebruik niet Toegangsbeveiliging op programmabroncode niet 10 Cryptografie 10.1 Cryptografische beheersmaatregel Beleid inzake het gebruik van cryptografische beheersmaatregel (1 van 2) 1.9 Beleid inzake het gebruik van cryptografische beheersmaatregel (2 van 2) Sleutelbeheer (1 van 2) 5.10 Sleutelbeheer (2 van 2) 5.11 IBPDOC29, versie 1.2 Pagina 21 van 25

22 11 Fysieke beveiliging beveiliging van de omgeving 11.1 Beveiligde gebied Handleiding Risicomanagemt Fysieke beveiligingszone Fysieke toegangsbeveiliging Kantor, ruimt faciliteit beveilig Bescherm teg bedreiging van buitaf Werk in beveiligde gebied Laad- loslocatie Apparatuur Plaatsing bescherming van apparatuur Nutsvoorziing Beveiliging van bekabeling Onderhoud van apparatuur Verwijdering van bedrijfsmiddel Beveiliging van apparatuur bedrijfsmiddel buit het terrein Veilig verwijder of hergebruik van apparatuur Onbeheerde gebruikersapparatuur niet Clear desk - clear scre -beleid Beveiliging bedrijfsvoering 12.1 Bediingsprocedures verantwoordelijkhed Gedocumteerde bediingsprocedures niet Wijzigingsbeheer Capaciteitsbeheer niet Scheiding van ontwikkel-, test- productieomgeving Bescherming teg malware Beheersmaatregel teg malware (1 van 2) 4.3 Beheersmaatregel teg malware (2 van 2) Back-up Back-up van informatie (1 van 2) 4.5 Back-up van informatie (2 van 2) Verslaglegging monitor Gebeurtiss registrer Bescherm van informatie in logbestand Logbestand van beheerders operators Kloksynchronisatie Beheersing van operationele software Software installer op operationele system Beheer van technische kwetsbaarhed Beheer van technische kwetsbaarhed Beperking voor het installer van software Overweging betreffde audits van informatiesystem Beheersmaatregel betreffde audits van informatiesystem niet IBPDOC29, versie 1.2 Pagina 22 van 25

23 13 Communicatiebeveiliging 13.1 Beheer van netwerkbeveiliging Handleiding Risicomanagemt Beheersmaatregel voor netwerk Beveiliging van netwerkdist Scheiding in netwerk Informatietransport Beleid procedures voor informatietransport Overekomst over informatietransport Elektronische bericht Vertrouwelijkheids- of geheimhoudingsoverekomst Acquisitie, ontwikkeling onderhoud van informatiesystem 14.1 Beveiligingseis voor informatiesystem Analyse specificatie van informatiebeveiligingseis Toepassing op opbare netwerk beveilig niet Transacties van toepassing bescherm Beveiliging in ontwikkelings- ondersteunde process Beleid voor beveiligd ontwikkel niet Procedures voor wijzigingsbeheer met betrekking tot system niet Technische beoordeling van toepassing na wijziging besturingsplatform niet Beperking op wijziging aan softwarepakkett niet Principes voor gineering van beveiligde system niet Beveiligde ontwikkelomgeving Uitbestede softwareontwikkeling Test van systeembeveiliging Systeemacceptatietest Testgegevs Bescherming van testgegevs niet 15 Leveranciersrelaties 15.1 Informatiebeveiliging in leveranciersrelaties Informatiebeveiligingsbeleid voor leveranciersrelaties niet Opnem van beveiligingsaspect in leveranciersoverekomst Toeleveringsket van informatie- communicatietechnologie Beheer van distverling van leveranciers Monitoring beoordeling van distverling van leveranciers Beheer van verandering in distverling van leveranciers 4.11 IBPDOC29, versie 1.2 Pagina 23 van 25

24 16 Beheer van informatiebeveiligingsincidt 16.1 Beheer van informatiebeveiligingsincidt -verbetering Handleiding Risicomanagemt Verantwoordelijkhed procedures Rapportage van informatiebeveiligingsgebeurtiss Rapportage van zwakke plekk in de informatiebeveiliging Beoordeling van besluitvorming over informatiebeveiligingsgebeurtiss Respons op informatiebeveiligingsincidt Lering uit informatiebeveiligingsincidt niet Verzamel van bewijsmateriaal Informatiebeveiligingsaspect van bedrijfscontinuïteitsbeheer 17.1 Informatiebeveiligingscontinuïteit Informatiebeveiligingscontinuïteit plann niet Informatiebeveiligingscontinuïteit implemter Informatiebeveiligingscontinuïteit verifiër, beoordel evaluer niet 17.2 Redundante compont Beschikbaarheid van informatie verwerkde faciliteit Naleving 18.1 Naleving van wettelijke contractuele eis Vaststell van toepasselijke wetgeving contractuele eis niet Intellectuele-eigdomsrecht niet Bescherm van registraties Privacy bescherming van persoonsgegevs Voorschrift voor het gebruik van cryptografische beheersmaatregel niet 18.2 Informatiebeveiligingsbeoordeling Onafhankelijke beoordeling van informatiebeveiliging niet Naleving van beveiligingsbeleid -norm Beoordeling van technische naleving 6.10 IBPDOC29, versie 1.2 Pagina 24 van 25

25 Bijlage 3: Framework informatiebeveiliging privacy in het mbo IBPDOC29, versie 1.2 Pagina 25 van 25