Beleidsnotitie Informatiebeveiliging

Maat: px
Weergave met pagina beginnen:

Download "Beleidsnotitie Informatiebeveiliging"

Transcriptie

1 Beleidsnotitie Informatiebeveiliging Radboud Universiteit Nijmegen Versie: 1.2

2 Inhoudsopgave 1. Inleiding Doel en uitgangspunten Reikwijdte en doelgroep Beveiligingsorganisatie Uitgangspunten Uitwerking: functies en organen Beveiliging van informatie Toewijzing van informatie en bedrijfsmiddelen Classificatie van informatie en bedrijfsmiddelen Eisen en randvoorwaarden bij het gebruik van universitaire ICT-voorzieningen Opleiding van gebruikers van informatiesystemen Gebruiksreglement Beveiligingseisen in werkinstructies Reactie op beveiligingsincidenten Beveiliging van thuiswerkplekken Bewustwording op het gebied van informatiebeveiliging Fysieke beveiliging ICT-beveiliging in publieke ruimten ICT-beveiliging in niet-publieke ruimten ICT-beveiliging in beveiligde ruimten Beveiliging van draagbare systemen en voorzieningen Beveiliging van netwerkvoorzieningen Communicatie- en bedieningsprocessen Procedures en verantwoordelijkheden Bescherming tegen kwaadaardige software Behandeling en beveiliging van media Uitwisseling van informatie en software Toegangsbeveiliging Wie heeft toegang? Beheer van toegangsrechten Toegangsbeveiliging voor netwerken Authenticatie Ontwikkeling en onderhoud van systemen Beveiligingseisen voor systemen en/of diensten Beveiliging bij ontwikkel- en ondersteuningsprocessen Continuïteitsmanagement Naleving Wettelijke voorschriften Beveiligingsbeleid Audits Sancties BIJLAGE 1: Definities BIJLAGE 2: Wachtwoordbeleid BIJLAGE 3: CERT-RU: doelstelling en meldingsprocedure Voor deze beleidsnotitie is gebruik gemaakt van het Model Informatiebeveiligingsbeleid van het Hoger Onderwijs van SURF-IBO en van de Code voor Informatiebeveiliging (ISO27001/ISO27002). 2

3 1. Inleiding Onder informatiebeveiliging wordt verstaan: het treffen en onderhouden van een samenhangend pakket aan maatregelen om de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening te garanderen. Omschrijving van de kwaliteitsaspecten: Beschikbaarheid: de mate waarin gegevens of functionaliteit op de juiste momenten beschikbaar zijn voor gebruikers; Integriteit: de mate waarin gegevens of functionaliteit juist ingevuld zijn; Vertrouwelijkheid: de mate waarin de toegang tot gegevens of functionaliteit beperkt is tot degenen die daartoe bevoegd zijn. 1 Belangrijk is hierbij de controleerbaarheid van de maatregelen die genomen zijn om deze kwaliteitsaspecten te borgen. Informatiebeveiliging is een beleidsverantwoordelijkheid van het college van bestuur. In het onderzoek- en onderwijsveld en in de bedrijfsvoering is sprake van toenemende afhankelijkheid van informatie- en computersystemen, waardoor nieuwe kwetsbaarheden en risico s kunnen optreden. Het is daarom van belang hiertegen adequate maatregelen te nemen. Immers, onvoldoende informatiebeveiliging kan leiden tot onacceptabele risico s bij de uitvoering van onderwijs en onderzoek en bij de bedrijfsvoering van de instelling. Incidenten en inbreuken in deze processen kunnen leiden tot financiële schades en imagoschade. Bij onderzoek naar informatiebeveiligingsincidenten blijkt keer op keer de menselijke factor de zwakste schakel. Er dient daarom constante aandacht te zijn voor het verhogen van het beveiligingsbewustzijn van zowel medewerkers als studenten. Informatiebeveiliging is niet af te dwingen met technische of organisatorische maatregelen alleen. 2. Doel en uitgangspunten Het doel van het beveiligingsbeleid is de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens en informatie op een zodanig niveau te brengen (en te houden) dat de productie en bedrijfsvoering van de Radboud Universiteit Nijmegen gewaarborgd is. Noodzakelijk daarvoor zijn het vergroten van de bewustwording van het belang van beveiligingsmaatregelen bij RU-medewerkers en - studenten en het inrichten en het in stand houden van een organisatorische en technische infrastructuur, die stabiel en betrouwbaar is v.w.b. de informatiebeveiliging. Als daarvoor de nodige maatregelen zijn getroffen, speelt de universiteit ook beter in op de steeds strengere wettelijke voorschriften voor de bescherming van privacygevoelige gegevens. Het informatiebeveiligingsbeleid moet verder aansluiten op het informatiebeveiligingsbeleid van onze internetprovider, SURFnet en op dat van onze partner op de campus, het UMC St Radboud. Het college van bestuur heeft de volgende uitgangspunten vastgesteld voor de informatiebeveiliging van de RU Nijmegen: a) Het beveiligingsbeleid op hoofdlijnen wordt vastgesteld door het college van bestuur. b) Het beveiligingsbeleid geldt voor alle gebruikers van de ICT-infrastructuur van de Radboud Universiteit. c) Het beveiligingsbeleid heeft betrekking op alle informatie en alle netwerk- en systeemvoorzieningen die onder verantwoordelijkheid van de RU Nijmegen vallen. Voor het omgaan met die informatie en voor de toegang vanuit en naar externe netwerken en systeemvoorzieningen worden door de Radboud Universiteit specifieke beveiligingseisen vastgesteld. De netwerken van de RU Nijmegen en het UMC St Radboud vormen gezamenlijk de datacommunicatie-infrastructuur van de campus Heijendaal. Ook gelet op de organisatorische verwevenheid van beide organisaties zal het beveiligingsbeleid van de RU Nijmegen nauw worden afgestemd met dat van het UMC St Radboud. 1 Overbeek, Roos LindMigreen, Spruit: Informatiebeveiliging onder controle, ISBN

4 d) De lijnorganisatie is verantwoordelijk voor de naleving en de handhaving van het beveiligingsbeleid. De directeur informatievoorziening is verantwoordelijk voor de ontwikkeling van het beveiligingsbeleid, voor adequate communicatie naar de lijnorganisatie daarover en voor het toezicht op de naleving daarvan. e) Het beveiligingsniveau zal regelmatig worden getoetst. Uitgangspunt bij de ontwikkeling van het beleid is de Code voor Informatiebeveiliging (ISO27001/ISO27002). 3. Reikwijdte en doelgroep Het college van bestuur heeft met de uitgangspunten vastgelegd dat het informatiebeveiligingsbeleid geldt voor alle gebruikers van de ICT-infrastructuur van de RU Nijmegen en betrekking heeft op alle netwerk- en systeemvoorzieningen die onder verantwoordelijkheid van de RU Nijmegen vallen. Dit betekent dat het beveiligingsbeleid van toepassing is op alle studenten, medewerkers en derden zodra en zolang zij gebruik maken van ICT-infrastructuur of gegevens van de RU Nijmegen. Speciale aandacht moet er komen voor medewerkers en studenten van de universiteit die hun werkplek in het netwerk van het UMC St Radboud hebben. Zij mogen geen nadelige gevolgen ondervinden van eventuele verschillen in het informatiebeveiligingsbeleid van de Radboud Universiteit Nijmegen en het UMC St Radboud, of de uitwerking daarvan. 4. Beveiligingsorganisatie 4.1 Uitgangspunten Iedere Faculteit en ieder Cluster is zelf verantwoordelijk voor de uitvoering van het informatie- en ICT-beveiligingsbeleid binnen de daarvoor vastgestelde kaders (doorlooptijd, functionaliteit etc), voor zover dit de eigen ICT-bedrijfsmiddelen en gegevens betreft.. De directeur informatievoorziening is verantwoordelijk voor de coördinatie van het beveiligingsbeleid binnen de RU Nijmegen, voor adequate communicatie naar de lijnorganisatie daarover en voor het toezicht op de naleving ervan. Voor informatiebeveiligingszaken fungeren de bedrijfsvoerders van de Faculteiten en Clusters als aanspreekpunt namens hun eenheid. Daaruit voortvloeiende werkzaamheden kunnen zo nodig gedelegeerd worden. De informatiebeveiligingscoördinator stemt het beveiligingsbeleid en de uitvoering daarvan binnen de RU Nijmegen af met de beveiligingscoördinator van het UMC St Radboud. 4.2 Uitwerking: functies en organen De beveiligingsorganisatie bestaat uit de volgende functies/organen: 1. Informatiebeveiligingscoördinator RU Nijmegen Het UCI levert op dit moment de informatiebeveiligingscoördinator voor de RU Nijmegen. Deze werkt onder aansturing van de directeur informatievoorziening. In de blauwdruk voor de nieuwe ICT-organisatie, die in het najaar van 2012 beschikbaar komt, zal aangegeven worden waar de informatiebeveiligingscoördinator in de toekomst organisatorisch ondergebracht zal worden. De informatiebeveiligingscoördinator werkt op de volgende resultaatgebieden: o Het leveren van bijdragen aan de ontwikkeling van informatiebeveiligingsbeleid en coördinatie van de uitvoering, om zo het informatie- en ICT-beveiligingsbeleid van de RU Nijmegen gestalte te geven. o Het implementeren van het beveiligingsbeleid, o.a. door het verstrekken van RUbrede richtlijnen. Dit in overeenstemming met het door het CvB aan de directeur informatievoorziening verstrekte mandaat. o Het toezien op de naleving van het beveiligingsbeleid. In dit kader o.a. het doen uitvoeren van security audits. Deze security audits zullen worden uitgevoerd door of via de IAD 4

5 De informatiebeveiligingscoördinator rapporteert elk kwartaal (en tussentijds indien de situatie dat vereist) aan het college van bestuur over relevante beveiligingsincidenten of ontwikkelingen binnen of buiten de universiteit 2. CERT-RU Het CERT-RU, het Computer Emergency Response Team van onze universiteit, bewaakt de afhandeling van ICT-beveiligingsincidenten binnen de RU Nijmegen. Indien de impact van een incident zodanig is dat de bedrijfsvoering van de universiteit in het geding zou kunnen komen, wordt het CMT/CvB ingelicht. Het CERT is operationeel sinds december 2001 en heeft verschillende voorlichtende en adviserende taken. De taakstelling van het CERT-RU en de meldingsprocedure is in bijlage 3 opgenomen. Leden van het CERT-RU zijn beveiligingsexperts uit GDI, UCI en andere universitaire eenheden en de informatiebeveiligingscoördinator van de RU Nijmegen. 3. Decentrale beveiligingscontactpersonen (Domain Security Contacts). Domain Security Contacts zijn aanspreekpunt van de Faculteiten, Clusters en informatiedomeinen voor alle beveiligingszaken. Het zijn bij voorkeur de directeuren bedrijfsvoering en de domeineigenaren. Taken en verantwoordelijkheden van een Domain Security Contact zijn: fungeren als aanspreekpunt inzake beveiligingskwesties voor o.a. de informatiebeveiligingscoördinator en het CERT coördineren van de beveiligingsclassificaties binnen het eigen aandachtsgebied adviseren van de decanen over informatiebeveiliging toezien op de naleving van beveiligingsrichtlijnen binnen het eigen aandachtsgebied Reguliere afstemming tussen de decentrale beveiligingscontactpersonen en de informatiebeveiligingscoördinator vindt bij voorkeur plaats in reeds bestaande overlegorganen zoals het SGI en het RU-directeurenoverleg. 4. Architectuur- en beveiligingsraad Deze raad bestaat uit de ICT- en netwerkarchitecten en de Informatiebeveiligingscoördinatoren van de RU Nijmegen en het UMC St Radboud. De taken van de architectuur- en beveiligingsraad zijn: - het opstellen van beleidskaders voor de ICT-infrastructuur - het definiëren van referentiearchitecturen en beveiligingsstandaarden - het toetsen van wijzigingen op de infrastructuur - (on)gevraagd adviseren over architectuur- en beveiligingszaken 5. Interne Accountantsdienst De interne accountantsdienst heeft een controletaak op het gebied van de beveiliging. In het kader van deze taak zullen periodiek beveiligingsaudits worden uitgevoerd. De interne accountantsdienst zal zelf geen technische tests uitvoeren, maar kan daar wel opdracht toe geven. Het auditprogramma zal worden opgesteld in overleg met de informatiebeveiligingscoördinator. Het leidende principe hierbij is dat systemen die zijn geclassificeerd en waarbij de vereiste maatregelen zijn genomen, binnen een jaar na het aanbrengen van de maatregelen geaudit worden. 5

6 5. Beveiliging van informatie 5.1 Toewijzing van informatie en bedrijfsmiddelen Alle belangrijke informatie en bijbehorende ICT-bedrijfsmiddelen 2 zijn aan een eigenaar toegewezen. De eigenaar is verantwoordelijk voor het implementeren en handhaven van de beveiligingsmaatregelen. De implementatie kan gemandateerd worden aan een houder (voor definitie, zie bijlage1) of beheerder; de eigenaar blijft echter verantwoordelijk. De beschrijving van de toewijzing en de mandatering dient ten behoeve van audits te allen tijde up-to-date te zijn. 5.2 Classificatie van informatie en bedrijfsmiddelen Informatie en bedrijfsmiddelen dienen te worden geclassificeerd om de beveiligingsbehoefte, de prioriteit en de mate van beveiliging aan te geven. Classificatie vindt momenteel plaats op het niveau van ICT-bedrijfsmiddel (= informatiesysteem) volgens een vastgestelde classificatiemethode, beschreven in de Classificatiehandleiding. Deze classificatiemethode wordt aangeduid als BIV-classificatie, waarbij de afkorting staat voor Beschikbaarheid, Integriteit en Vertrouwelijkheid. De classificatie wordt uitgevoerd onder verantwoordelijkheid van de eigenaar van het bedrijfsmiddel/de bedrijfsinformatie. Omdat ook buiten de formele informatiesystemen met informatie gewerkt wordt, moet de informatie zelf geclassificeerd worden in plaats van de informatiesystemen. Daarom moet er vóór 1 januari 2014 een methodiek ingevoerd zijn om informatie te classificeren. Om voldoende onderscheid te kunnen maken worden de beveiligingsaspecten Beschikbaarheid, Integriteit en Vertrouwelijkheid (voor een definitie van de begrippen zie de bijlage) in drie klassen gebruikt: standaard: de informatie en het bijbehorende systeem behoeven eenvoudige beschermende maatregelen; het risico van schade 3 door misbruik is relatief beperkt en heeft geen verstrekkende gevolgen. gevoelig: de informatie en het bijbehorende systeem behoeven extra beveiligingsmaatregelen boven op de standaardmaatregelen omdat het niet kunnen voldoen aan de eisen in één of meer van de BIV-aspecten gedurende maximaal 24 uur tot substantiële schade (tussen en ) kan leiden. Dit bedrag is inclusief imago- en volgschade. kritisch: de informatie en het bijbehorende systeem moeten worden voorzien van een set van uitgebalanceerde, strenge beveiligingsmaatregelen aangezien het niet kunnen voldoen aan de eisen in één of meer van de BIV-aspecten gedurende maximaal 24 uur tot substantiële schade ( > ) kan leiden. Dit bedrag is inclusief imago- en volgschade. Van elke classificatie wordt ten behoeve van (externe) audits nauwkeurig vastgelegd: wie de classificatie heeft uitgevoerd de overwegingen om tot een classificatie te komen de uiteindelijke classificatie, zoals vastgesteld door de informatiebeveiligingscoördinator Op grond van de uiteindelijke classificatie dient de bijbehorende set van maatregelen te worden geïmplementeerd. Als hiervan afgeweken wordt, dient een beschrijving van deze afwijking en een motivatie daarvan toegevoegd te worden aan de classificatie. 2 Enkele voorbeelden van bedrijfsmiddelen verband houdend met informatie- en communicatiesystemen zijn: informatie, zoals databases, gegevensbestanden en continuïteitsplannen; software; fysieke bedrijfsmiddelen en diensten (communicatiediensten). 3 Onder schade wordt ook verstaan: - overtreding van wettelijke bepalingen en voorschriften - overtreding van door de RU uitgevaardigde bepalingen en voorschriften - imagoschade voor de RU - directe financiële schade ten gevolge van verloren gaan van middelen en/of geld - indirecte financiële schade ten gevolge van verloren gaan van resultaten van personele inzet 6

7 Als laatste stap in de classificatie kan een audit door de IAD worden uitgevoerd. Deze audit heeft vooral tot doel na te gaan of alle stappen in het proces goed doorlopen zijn. Tevens wordt de motivatie om af te wijken van de voorgeschreven maatregelen getoetst. De classificatie dient opnieuw uitgevoerd te worden wanneer belangrijke wijzigingen zijn aangebracht aan het ICT-bedrijfsmiddel (zoals een nieuwe versie van de software of vervanging van de hardware) en/of de daarin opgenomen informatie, maar in ieder geval maximaal vier jaar na de vorige classificatie. 6. Eisen en randvoorwaarden bij het gebruik van universitaire ICTvoorzieningen Aan universitaire ICT-voorzieningen worden beveiligingseisen gesteld om het risico op diefstal, fraude of misbruik van deze voorzieningen en informatie te verminderen. Zowel medewerkers en studenten als derden krijgen met deze eisen te maken. 6.1 Opleiding van gebruikers van informatiesystemen Om het gebruik van ICT-voorzieningen correct en met inachtneming van vigerende beveiligingsmaatregelen te laten plaatsvinden, moeten degenen die gebruik maken van informatiesystemen en netwerkdiensten adequaat worden opgeleid en geïnstrueerd.de eigenaren van deze ICT-bedrijfsmiddelen dienen daarvoor zorg te dragen. 6.2 Gebruiksreglement In het kader van het informatiebeveiligingsbeleid heeft het college van bestuur een gebruiksreglement universitaire ICT-voorzieningen vastgesteld. Dit reglement geldt voor iedereen die gebruik maakt van ICT-voorzieningen van de RU Nijmegen. Het Gebruiksreglement wordt bij indiensttreding aan iedere medewerker verstrekt en is beschikbaar via Radboudnet. 6.3 Beveiligingseisen in werkinstructies Voor medewerkers met een specifieke taakstelling op het gebied van informatiebeveiliging dienen in de werkinstructies de verantwoordelijkheden op het terrein van informatiebeveiliging expliciet te zijn vastgelegd. 6.4 Reactie op beveiligingsincidenten Er is een RU-brede procedure voor het melden van beveiligingsincidenten. Gebruikers van ICT-voorzieningen op de campus dienen daarmee bekend te zijn. Informatie over lopende beveiligingsincidenten wordt strikt vertrouwelijk behandeld en alleen aan direct betrokkenen beschikbaar gesteld. 6.5 Beveiliging van thuiswerkplekken Thuiswerkplekken die een verbinding met het niet publiek toegankelijke deel van het RUnetwerk willen opzetten, dienen adequaat beveiligd te zijn tegen schadelijke software (virussen, wormen, malware) en ongewenste invloeden van buitenaf. Welke aanvullende maatregelen hiertegen genomen moeten worden (actuele virusscanner, firewall e.d.) is afhankelijk van de bescherming die het besturingssysteem van de (thuis)werkplek zelf al biedt. Verbinding met het RU-netwerk kan alleen via een beveiligde en versleutelde VPN-verbinding 4 plaatsvinden. De directeur ICT draagt er zorg voor dat de gebruikers van thuiswerkplekken die een verbinding met het niet publiek toegankelijke deel van het RU-netwerk willen opzetten, adequaat worden geïnformeerd over de te treffen beveiligingsmaatregelen. 4 VPN (Virtual Private Network): een manier om een versleutelde, niet afluisterbare, verbinding te maken, b.v. van een thuis-pc naar het RU-netwerk 7

8 6.6 Bewustwording op het gebied van informatiebeveiliging De mens is meestal de zwakste schakel bij het ontstaan van beveiligingsincidenten. Technische of organisatorische maatregelen kunnen daarom dit soort incidenten nooit helemaal voorkomen. Er moet dan ook constant aandacht zijn voor het verhogen van het beveiligingsbewustzijn van onze studenten, medewerkers en derden die gebruik maken van onze voorzieningen. Voor wat betreft de studenten zijn de onderwijsdirecteuren er uiteindelijk verantwoordelijk voor dat het beveiligingsbewustzijn op peil gebracht wordt en blijft, voor de medewerkers en derden is dat de lijnorganisatie. Zowel de onderwijsdirecteuren als de lijnorganisatie mogen daarbij ondersteuning verwachten van de informatiebeveiligingsorganisatie van de universiteit 7. Fysieke beveiliging Doel van de fysieke beveiliging is het voorkomen van ongeautoriseerde toegang, teneinde schade aan ICT-voorzieningen in gebouwen en schade aan of verstoring van informatie te voorkomen. Onder fysieke toegang tot informatie wordt ook gerekend het meelezen van beeldschermen en het kunnen kennisnemen van niet voor de lezer bedoelde informatie op papier. Medewerkers moeten gestimuleerd worden om er een clean desk en clean screen op na te houden als elementaire maatregelen ter bescherming van informatie. Te treffen maatregelen zijn in overeenstemming met de classificatie van de informatie- en bedrijfsmiddelen op de betreffende locatie. 7.1 ICT-beveiliging in publieke ruimten Via ICT-voorzieningen die in publieke ruimten zijn opgesteld, dient men in principe alleen toegang te krijgen tot publiek toegankelijke informatiesystemen en netwerkdiensten van de RU Nijmegen. Toegang tot netwerkdiensten vanuit publieke ruimtes mag alleen verkregen worden na positieve identificatie via minimaal gebruikersnaam en wachtwoord. Inloggegevens moeten gedurende minimaal drie maanden bewaard blijven. 7.2 ICT-beveiliging in niet-publieke ruimten Het management dat verantwoordelijk is voor deze ruimten draagt zorg voor een adequate, fysieke toegangscontrole tot niet-publieke ruimten. De pc s, terminals, printers e.d. in niet-publieke ruimten, zoals kantoorruimten, dienen alleen gebruikt te kunnen worden door geautoriseerde personen werkzaam bij dan wel ingehuurd door de RU Nijmegen. 7.3 ICT-beveiliging in beveiligde ruimten ICT-voorzieningen met de classificatie kritisch of gevoelig dienen in beveiligde ruimten te worden geplaatst. De toegang tot beveiligde computerruimten dient afgeschermd te zijn door adequate, fysieke barrières. De toegang tot beveiligde computerruimten is voorbehouden aan een beperkte groep geautoriseerde personen. Er dient een toegangsregistratie te worden bijgehouden. Reserveapparatuur en media met reservekopieën dienen op veilige afstand te worden bewaard, om te voorkomen dat ze beschadigd raken wanneer zich een calamiteit voordoet. 7.4 Beveiliging van draagbare systemen en voorzieningen Draagbare systemen en voorzieningen dienen zodanig beveiligd te zijn dat het niet mogelijk is dat ongeautoriseerden hiervan gebruik kunnen maken. Ook moet het niet mogelijk zijn dat ongeautoriseerden wederrechtelijk vertrouwelijke (bedrijfs)informatie kunnen verkrijgen door misbruik, diefstal, interceptie van dataverkeer enzovoorts. Gegevens uit informatiesystemen met de vertrouwelijkheidsclassificatie kritisch mogen niet op draagbare voorzieningen (b.v. laptops, tablets, usb-sticks, e.d.) worden opgeslagen. 8

9 7.5 Beveiliging en beheer van fysieke netwerkvoorzieningen Tot de netwerkinfrastructuur, de netwerkdiensten en de informatie die over het netwerk van de RU Nijmegen wordt getransporteerd, kan alleen geautoriseerde toegang worden verkregen. Netwerkbeveiliging is een verantwoordelijkheid van de directeur ICT. 8. Communicatie- en bedieningsprocessen Het doel van communicatie- en bedieningsprocessen is het garanderen van een correcte en veilige bediening van de ICT-voorzieningen, het beheer ervan en van de daarin opgenomen informatie. 8.1 Procedures en verantwoordelijkheden Functiescheiding moet gericht en bewust ingezet worden om het risico van vergissingen, nalatigheid en opzettelijk misbruik van systemen te verminderen. Procedures voor computer- en netwerkbeheer dienen gedocumenteerd en onderhouden te worden en formeel door het management te worden vastgesteld. Alle kritische en gevoelige ICT-voorzieningen (hard- en software) zijn onderhevig aan een formele wijzigingsprocedure. Deze heeft als doelstelling te waarborgen dat enkel en alleen goedgekeurde wijzigingen worden doorgevoerd. 8.2 Bescherming tegen kwaadaardige software De RU Nijmegen dient over voorzieningen te beschikken voor adequate en actuele bescherming tegen ongewenste invloeden van buitenaf en kwaadaardige software, zoals virussen, wormen, Trojaanse paarden e.d. Dit geldt voor alle servers en werkstations die toegang hebben tot het campusnetwerk. Ook thuiswerkplekken die een verbinding met het RU-netwerk opzetten en laptops die aangesloten worden op het campusnetwerk dienen adequaat beveiligd te zijn. Er wordt alleen gebruik gemaakt van actuele versies van software die nog door de leverancier ondersteund worden. 8.3 Behandeling en beveiliging van media Er dienen procedures te zijn voor het beheer van media die worden afgevoerd wanneer die niet langer nodig zijn. Dit moet opeen veilige en beveiligde manier gebeuren. Ook dient de daarop oorspronkelijk aanwezige informatie afdoende verwijderd te zijn. Er dienen duidelijke voorschriften te zijn met betrekking tot de behandeling en opslag van informatie (bewaartermijnen, beveiligde opslag etc.) op die media. In het bijzonder dienen wettelijke bewaartermijnen in acht genomen te worden. Verder dient opgeslagen informatie voor de duur van de voorgeschreven bewaring gegarandeerd toegankelijk te blijven. 8.4 Uitwisseling van informatie en software Uitwisseling van vertrouwelijke informatie en/of intern ontwikkelde programmatuur met externe organisaties geschiedt enkel op basis van een schriftelijke overeenkomst, waarin o.a. de overeengekomen beveiligingsmaatregelen zijn opgenomen. Vertrouwelijke informatie dient ook bij transport beveiligd te zijn tegen misbruik, manipulatie en inzage door onbevoegden. Gegevens uit informatiesystemen met de vertrouwelijkheidsclassificatie kritisch mogen niet in de (public) cloud worden ondergebracht. De eigenaar van gegevens blijft verantwoordelijk voor die gegevens, ook als die aan anderen worden verstrekt. 9

10 9. Toegangsbeveiliging Het doel van toegangsbeveiliging is het beschermen van ICT-diensten en (digitale) informatiebronnen tegen ongeoorloofde toegang, wijziging, vernietiging en openbaring. 9.1 Wie heeft toegang? Alle medewerkers en studenten kunnen op basis van functionele behoeften/vereisten toegang krijgen tot ICT-diensten en (digitale) informatiebronnen van de RU Nijmegen. Voor derden is expliciete toestemming van het management vereist voor toegang tot de niet publiek toegankelijke informatiesystemen en netwerkdiensten. De eigenaar van een dienst is verantwoordelijk voor de toegangsbeveiliging, en daarmee voor het toegangsbeleid en de autorisatie van de te verlenen toegangsrechten. Hierbij dient uiteraard rekening te worden gehouden met universiteitsbrede afspraken en contractuele en wettelijke vereisten. Het beleid voor de toegangsbeveiliging dient in overeenstemming te zijn met de classificatie van informatie/bedrijfsmiddelen, zoals beschreven in de Classificatiehandleiding. Informatie over het gebruik van de ICT-voorzieningen en diensten dient te worden vastgelegd om vast te kunnen stellen of wordt voldaan aan het toegangsbeleid en de beveiligingsnormen. 9.2 Beheer van toegangsrechten Voor de toegang tot alle ICT-diensten en informatiesystemen moeten toegangsrechten verleend worden op basis van het principe dat die rechten nodig zijn voor de uitoefening van de functie of toegewezen taken. In de notitie Identity- en Access Management zijn hier de volgende principes voor geformuleerd: 1. Veilige en controleerbare toegang tot ICT-faciliteiten valt onder verantwoordelijkheid van het Centrale Identity en Access Management. 2. Iedere universitaire eenheid maakt gebruik van het Centrale Identity en Access Management. 3. Enkel universitaire eenheden en SURFnet mogen gebruik maken van het Centrale Identity en Access Management. 4. De Radboud Universiteit Nijmegen legt gegevens over medewerkers, studenten en derden vast in eigen bronsystemen. De enige bron voor elektronische identiteiten van deze groepen gebruikers is het Centrale Identity en Access Management. 5. De lifecycle van elektronische identiteiten is gebaseerd op de bedrijfsregels die opgesteld zijn door de verantwoordelijke domeinen voor medewerkers, studenten en derden. Voor medewerkers/studenten van andere HO-instellingen wordt aangesloten bij de lifecycle van die HO-instelling. De toewijzing en het gebruik van speciale bevoegdheden (o.a. toegang tot systeem- en netwerksoftware) dient plaats te vinden onder verantwoordelijkheid van het ICT-management. Een belangrijk aspect bij het realiseren van Identity en Access Management volgens de genoemde principes, is de borging in de organisatie. Daarvoor zijn de volgende verantwoordelijkheden benoemd: a) Het bewaken van de realisatie van een goed Identity en Access Management (governance) valt onder de verantwoordelijkheid van het college van bestuur en is gedelegeerd naar de directeur informatievoorziening. b) Periodieke revisie en onderhoud van de implementatie van IAM vallen onder de verantwoordelijkheid van de afdeling CIM en de directeur Informatievoorziening. c) De naleving van de afspraken in het kader van IAM en de controle daarop vallen uiteen in verschillende verantwoordelijken te weten: i. RU-breed toezicht en naleving door functioneel beheer IAM; ii. Beveiligingsbeleid waarbinnen IAM opereert door de Informatiebeveiligingscoördinator; iii. Een jaarlijkse audit als onderdeel van de audit cyclus van het informatie beveiligingsbeleid door de Interne Accountancy Dienst (IAD). 10

11 d) Op het niet naleven van de afspraken in het kader van IAM kunnen sancties volgen. Individuele sancties vallen onder de verantwoordelijkheid van de lijnmanager waar het medewerkers of externen betreft en van onderwijsdirecteuren waar het studenten en cursisten betreft. e) De informatiebeveiligingscoördinator is verantwoordelijk voor het beheer van afwijkingen en uitzonderingen die op basis van advies van functioneel beheer IAM, na een risico analyse, worden vastgelegd en uitgevoerd. f) Voor iedere applicatie, service of dataopslag (bestand, map) dient een verantwoordelijke persoon te zijn. g) Leidinggevenden moeten akkoord geven voor rechten binnen applicaties of voor toegang tot data en/of services anders dan die waarvoor dit centraal geregeld is via het centraal Access Management. Dat betekent dat deze leidinggevende dan ook verantwoordelijk is voor het gebruik van deze applicaties, data en/of services in overeenstemming met de autorisatierichtlijnen. 9.3 Toegangsbeveiliging voor netwerken Gebruikers mogen via de universitaire netwerken van de RU Nijmegen alleen toegang krijgen tot die ICT-diensten, waarvoor zij specifiek geautoriseerd zijn. In de universitaire netwerken dienen maatregelen te worden getroffen om groepen ICTdiensten, gebruikers en informatiesystemen te scheiden, ter bescherming van ongeautoriseerde toegang door andere netwerkgebruikers. 9.4 Authenticatie Voor de toegang tot met wachtwoorden beveiligde RU-brede applicaties is een RU-brede password policy vastgesteld. Gebruikers dienen de hierin vastgelegde beveiligingsregels in acht te nemen bij het kiezen en gebruik van wachtwoorden. Deze policy is opgenomen in een bijlage. Authenticatie op basis van wachtwoorden wordt niet langer in alle gevallen voldoende veilig geacht. Voor toegang tot gegevens die op vertrouwelijkheid kritisch scoren zal deze geleidelijk worden vervangen door sterke authenticatie, waarbij sterke authenticatie een combinatie is van minimaal twee van de drie volgende elementen: Kennis (bijvoorbeeld een password) Bezit (bijvoorbeeld een smartcard) Eigenschap (bijvoorbeeld een vingerafdruk) 10. Ontwikkeling en onderhoud van systemen Bij de ontwikkeling en het onderhoud van systemen is het doel van de beveiliging te waarborgen dat ICT-beveiliging wordt ingebouwd en gehandhaafd Beveiligingseisen voor systemen en/of diensten In de eisen ten aanzien van nieuwe systemen en diensten of uitbreidingen van bestaande systemen en diensten dienen de beveiligingseisen te worden onderkend en goedgekeurd voordat de systemen worden ontwikkeld, aangepast of aangeschaft. De beveiligingseisen dienen in overeenstemming te zijn met contractuele en wettelijke vereisten, alsmede met de uit de classificatie voortvloeiende eisen Beveiliging bij ontwikkel- en ondersteuningsprocessen Voor de implementatie van wijzigingen geldt een formeel proces voor het managen van wijzigingen. De beveiliging van applicatiesoftware en informatie van RU-brede informatiesystemen en ICT-diensten dient gewaarborgd te worden. Daartoe dienen ontwikkel- en (acceptatie)testomgevingen gescheiden te zijn van productieomgevingen. 11

12 11. Continuïteitsmanagement ICT-diensten en informatiesystemen, waarvan de beschikbaarheid als kritisch is geclassificeerd, dienen te beschikken over een continuïteitsplan. Continuïteitsplannen dienen regelmatig te worden getest en te worden geactualiseerd, om zeker te stellen dat ze up-to-date en effectief zijn. De continuïteitsplannen dienen in overeenstemming te zijn met het RU-calamiteitenplan. 12. Naleving 12.1 Wettelijke voorschriften Het ontwerp, de bediening, het gebruik en het beheer van ICT-diensten en informatiesystemen dienen te voldoen aan wettelijke en contractuele vereisten Beveiligingsbeleid Het management dient, als onderdeel van zijn dagelijkse werk, ervoor te zorgen dat alle beveiligingsprocedures binnen zijn verantwoordelijkheidsgebied worden uitgevoerd en nageleefd om te waarborgen dat wordt voldaan aan het beveiligingsbeleid en de beveiligingsnormen Audits Systemen die op één van de BIV-aspecten hoger scoren dan standaard moeten minimaal één maal per drie jaar een ICT-audit ondergaan. Audits die uitgevoerd worden op operationele systemen dienen zorgvuldig te worden ingepland en goedgekeurd, om het risico van verstoring van de bedrijfsprocessen te minimaliseren. Informatiesystemen die zijn geclassificeerd en waarbij de benodigde beveiligingsmaatregelen zijn aangebracht, dienen binnen één jaar na het aanbrengen van de maatregelen te worden geauditeerd Sancties Misbruik van ICT-voorzieningen zal leiden tot disciplinaire maatregelen en/of aangifte bij bevoegde autoriteiten. De maatregelen die genomen worden hangen af van de relatie tussen de overtreder en de universiteit (medewerker, student, externe) en van de aard van het misbruik. 12

13 BIJLAGE 1: Definities In deze bijlage wordt een aantal belangrijke begrippen in het kader van de informatiebeveiliging nader gedefinieerd. Informatiebeveiliging Onder informatiebeveiliging wordt verstaan het treffen en onderhouden van een samenhangend pakket aan maatregelen om de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening te garanderen. Informatiebeveiligingsbeleid Het geldende beleid voor de beveiliging van de gegevensverwerking voor de informatievoorziening met al zijn elementen (personen, apparatuur, programmatuur, gegevens en noodzakelijke infrastructuur). Eigendom van informatie en informatiesystemen Aan informatie en -systemen zijn de volgende rollen en taken verbonden: Eigenaar Bij de eigenaar berust de volledige beslissingsbevoegdheid over de informatie of het informatiesysteem. Hij waakt over de mogelijkheid tot autorisatie, zorgt voor opleiding en training van degenen die met de informatie of het informatiesysteem werken en draagt zorg voor het beheer. De eigenaar delegeert waar nodig en mogelijk taken en verantwoordelijkheden aan de houder. Houder De houder heeft de informatie of het informatiesysteem feitelijk in bewaring. Hij kent de autorisaties toe en is verantwoordelijk voor een juiste toepassing van de beveiligingsmaatregelen Beheerder De beheerder neemt de noodzakelijke maatregelen om het door de eigenaar en/of houder vastgestelde niveau van beveiliging te garanderen. Hij ondersteunt de gebruiker bij de functionele toepassing van het informatiesysteem en ziet toe op een juiste werking van het informatiesysteem en de beveiligingshulpmiddelen. Gebruiker De gebruiker maakt van de informatie of het informatiesysteem op de voorgeschreven en juiste wijze gebruik. Hij meldt mogelijke onregelmatigheden aan de beheerder als het om het informatiesysteem gaat en aan de houder als het om de informatie gaat. Beveiligingsaspecten Beschikbaarheid Onder beschikbaarheid wordt verstaan: het waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot informatie en aanverwante bedrijfsmiddelen. Integriteit Onder integriteit wordt verstaan: het waarborgen van de correctheid en de volledigheid van informatie en verwerking. Vertrouwelijkheid Onder vertrouwelijkheid wordt verstaan: waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe geautoriseerd zijn. 13

14 Beveiligingsklassen Standaard De kwalificatie standaard betekent dat de betreffende informatie of het betreffende systeem voor die beveiligingsaspecten moet voldoen aan de minimale eisen die aan alle gegevens en infrastructuur gesteld worden. Gevoelig De kwalificatie gevoelig houdt in dat verstoring, maar niet zeer ernstig of onomkeerbaar, optreedt in een van de primaire processen omdat de beschikbaarheid, integriteit of vertrouwelijkheid van de betreffende informatie in het geding is. Kritisch De kwalificatie kritisch wordt gereserveerd voor die informatie waarbij aantasting van beschikbaarheid, integriteit dan wel vertrouwelijkheid een zeer ernstige of onomkeerbare verstoring van een van de primaire processen veroorzaakt of een wetsovertreding inhoudt. Baseline beveiliging De baseline beveiliging is het geheel van maatregelen dat RU-breed getroffen dient te worden, ook al geeft de classificatie op dat moment geen aanleiding tot extra maatregelen. BIJLAGE 2: Wachtwoordbeleid Het RU-wachtwoordbeleid wordt als volgt ingevuld: De minimale lengte van een wachtwoord is acht posities Het wachtwoord moet bestaan uit een combinatie van cijfers, letters en leestekens Gebruik geen bestaande woorden en namen (bijvoorbeeld januari1) Wachtwoord en inlognaam/accountnaam mogen niet hetzelfde zijn Wachtwoorden dienen één keer per jaar gewijzigd te worden Gebruik niet hetzelfde wachtwoord voor systemen/applicaties die in verschillende beveiligingsniveaus vallen De laatste drie gebruikte wachtwoorden mogen niet hergebruikt worden Beheerders dienen periodiek de password files m.b.v. een crack-tool te controleren op makkelijk kraakbare wachtwoorden 5 Wachtwoorden dienen versleuteld met een onomkeerbaar algoritme opgeslagen te worden 5 Na drie opeenvolgende mislukte inlogpogingen binnen vijf minuten moet het account minimaal 30 minuten geblokkeerd worden 5 Wachtwoorden mogen niet onversleuteld over het netwerk gezonden worden 5 5 Geen eis aan gebruikers maar aan (systeem)beheerders 14

15 BIJLAGE 3: CERT-RU: doelstelling en meldingsprocedure Het doel van CERT-RU is bij te dragen aan een goede beveiliging van ICT-voorzieningen van de RU Nijmegen. CERT-RU coördineert de preventie en oplossing van beveiligingsincidenten op het gebied van computer- en netwerkbeveiliging waarmee de Radboud Universiteit zich geconfronteerd ziet. CERT-RU doet dat door de volgende diensten te bieden: Coördinatie van beveiligingsincidenten: het inrichten en operationeel houden van een meldpunt voor beveiligingsincidenten, het coördineren en bewaken van een adequate afhandeling daarvan, inclusief escalatie naar de lijnorganisatie of het CMT/CvB Het geven van voorlichting over preventie van incidenten en actuele bedreigingen. Hieronder valt ook het doorgeven van waarschuwingen van andere CERT s en het informeren van het management van de universiteit bij landelijke of grootschalige malware-uitbraken over de stand van zaken bij de RU Nijmegen Advisering ten aanzien van RU ICT-beveiligingsaspecten en het beveiligingsbeleid. CERT-RU kan gevraagd en ongevraagd advies uitbrengen om RU-specifieke beveiligingsproblemen te helpen oplossen dan wel verminderen Voor medewerkers en studenten van de RU geldt als algemene stelregel dat zij beveiligingsincidenten het beste per kunnen melden bij de betreffende lokale ondersteuningsgroep. Deze meldt het indien nodig bij CERT-RU. In dringende gevallen kunnen incidenten het beste telefonisch bij de betreffende lokale ondersteuningsgroep gemeld worden. Is de lokale ondersteuningsgroep niet te bereiken, dan kan rechtsreeks contact opgenomen worden met CERT-RU De meldingen die hier binnen komen worden direct bekeken, 7 dagen per week, hoewel de meeste incidenten tijdens kantooruren worden afgehandeld. In dringende gevallen is de CERT-RU helpdesk bereikbaar op tel De CERT-RU helpdesk is 7 dagen per week, 24 uur per dag bereikbaar Bij aanmelding van een incident is het van groot belang om zoveel mogelijk relevante informatie door te geven, zoals: datum/tijd/plaats van het incident heeft het incident zich meermalen voorgedaan en zo ja hoe vaak betrokken IP-nummers/systemen (slachtoffer zowel als vermoedelijke veroorzaker) betrokken URL's eventuele (fout)meldingen (een uitdraai van) logfiles CERT-RU behandelt meldingen vertrouwelijk en verstrekt alleen informatie over beveiligingsincidenten als dat noodzakelijk en relevant is voor de oplossing van een incident.. 15

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo notities Versie: versie datum Onderwerp Aan CC Van Hans Wolters 29 januari 2016 c-n-hawo-0004-20160129 HaWo 1. Leveringsvoorwaarden 1.1. Algemene gegevens ISC Het ICT Servicecentrum (ISC) is voor de Radboud

Nadere informatie

Beknopt overzicht van bedreigingen en maatregelen

Beknopt overzicht van bedreigingen en maatregelen Beknopt overzicht van bedreigingen en maatregelen Dit voorbeelddocument omvat een beknopt overzicht van bedreigingen en maatregelen. De opgesomde componenten, bedreigingen en maatregelen zijn bedoeld om

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Overzicht Informatiebeveiliging Inlichtingenbureau GGK Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende

Nadere informatie

Noorderpoort. Informatiebeveiligingsbeleid 2014-2016

Noorderpoort. Informatiebeveiligingsbeleid 2014-2016 Noorderpoort Informatiebeveiligingsbeleid 2014-2016 Colofon Datum 28-8-2014 Titel Informatiebeveiligingsbeleid Noorderpoort 2014-2016 Dienst / school / auteur Dhr. M.A. Broekhuizen, Dhr. G. Fokkema Versie

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Informatiebeveiliging. Beleid en Basisregels. Universiteit Utrecht

Informatiebeveiliging. Beleid en Basisregels. Universiteit Utrecht Informatiebeveiliging Beleid en Basisregels Universiteit Utrecht Versie beheer Versie Datum Korte beschrijving aanpassing 1.0 01-11-2005 Eerste versie vast te stellen door CvB op 15-11-2005 Copyright 2005,

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

Gedragsregels. ICT-voorzieningen

Gedragsregels. ICT-voorzieningen Gedragsregels ICT-voorzieningen Gedragsregels gebruik ICT-voorzieningen Jac. P. Thijsse College 1. Algemeen De onderstaande regels zijn geldig voor iedereen die gebruik maakt van de ICT-voorzieningen van

Nadere informatie

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Bijlage 1 Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Blink is een educatieve uitgeverij die verschillende (digitale) producten en diensten (

Nadere informatie

Gedragsregels gebruik ICT-voorzieningen Bonhoeffer College. 1.1 Algemeen

Gedragsregels gebruik ICT-voorzieningen Bonhoeffer College. 1.1 Algemeen Gedragsregels gebruik ICT-voorzieningen Bonhoeffer College 1.1 Algemeen Ieder die gebruik maakt van het Bonhoeffer College (haar gebouwen, terreinen en andere voorzieningen) daaronder begrepen materiële-,

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007 Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Inhoud Aanleiding en Historie VIR 2007 Invoeringsaspecten 2 Aanleiding en historie

Nadere informatie

Handreiking classificatie. Universiteit Leiden

Handreiking classificatie. Universiteit Leiden Handreiking classificatie Universiteit Leiden 1 Versie beheer Versie 0.1 14 april 2015 Eerste concept door Marco Gosselink Versie 0.2 21 april 2015 Tweede concept na opmerkingen J-W Brock. Versie 0.3 12

Nadere informatie

Remote Toegang Policy VICnet/SPITS

Remote Toegang Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Remote Toegang Policy VICnet/SPITS 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Bijlage 1 Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Uitgeverij Zwijsen B.V. is een educatieve uitgeverij die verschillende digitale producten en diensten ( digitale leermiddelen

Nadere informatie

Informatiebeveiligingsbeleid Heemstede

Informatiebeveiligingsbeleid Heemstede Informatiebeveiligingsbeleid Heemstede Definitieve versie April 2013 Verseonnummer 607112 Inhoudsopgave DEEL 1: BELEIDSKADERS INFORMATIEBEVEILIGING 3 1. Inleiding 3 2. Definities en belang van informatiebeveiliging

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

Baseline informatiebeveiliging (minimale maatregelen)

Baseline informatiebeveiliging (minimale maatregelen) Baseline informatiebeveiliging (minimale maatregelen) 1 Versie beheer Versie 0.1 9 september 2013 1 e concept Versie 0.2 23 september 2013 2 e concept na review door Erik Adriaens Versie 0.3 8 oktober

Nadere informatie

VEILIGHEID & BEVEILIGING Facilitaire Dienst - Universiteit Maastricht

VEILIGHEID & BEVEILIGING Facilitaire Dienst - Universiteit Maastricht VEILIGHEID & BEVEILIGING REGLEMENT CAMERATOEZICHT UNIVERSITEIT MAASTRICHT Dit reglement ziet toe op het cameratoezicht op de terreinen en in de panden van de Universiteit Maastricht. Met behulp van camera

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers

Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

GEDRAGS- CODE. Gebruik van elektronische communicatiemiddelen

GEDRAGS- CODE. Gebruik van elektronische communicatiemiddelen GEDRAGS- CODE Gebruik van elektronische communicatiemiddelen 2 3 Gedragscode voor het gebruik van elektronische communicatiemiddelen Inhoud 1. Doel van de regeling 2. Werkingssfeer 3. Algemene gedragsregels

Nadere informatie

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk)

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) 2 april 2015, versie 2.1 Artikel 1 begrippen en afkortingen De hierna met een hoofdletter aangeduide begrippen hebben in deze

Nadere informatie

Bijlage 11 Taakomschrijving rollen NEN informatiebeveiliging. 1. Doel

Bijlage 11 Taakomschrijving rollen NEN informatiebeveiliging. 1. Doel Bijlage 11 Taakomschrijving rollen NEN informatiebeveiliging 1. Doel In dit document leggen we vast hoe de taken en bevoegdheden ten aanzien van informatiebeveiliging verdeeld zijn over de diverse medewerkers.

Nadere informatie

ROC Leeuwenborgh. Gedragscode computergebruik en gebruik van Sociale Media

ROC Leeuwenborgh. Gedragscode computergebruik en gebruik van Sociale Media ROC Leeuwenborgh Gedragscode computergebruik en gebruik van Sociale Media Documentstatus Datum: Aard wijziging: Door: Toelichting: 26 februari 2013 Bert Wetzels Instemming OR Deze gedragscode geeft de

Nadere informatie

Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein

Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein Strategisch Informatiebeveiligingsbeleid Gemeenten IJsselstein, Montfoort en Nieuwegein Versie: 0.9 (definitief concept) Datum: 18 december 2012 Inhoudsopgave 1. MANAGEMENTSAMENVATTING... 1 2. INTRODUCTIE...

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Privacy reglement publieke XS-Key

Privacy reglement publieke XS-Key Privacy reglement publieke XS-Key Dit is het Privacy reglement behorend bij XS-Key Systeem van Secure Logistics BV (hierna te noemen SL ). 1. Definities In dit reglement worden de navolgende begrippen

Nadere informatie

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen:

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen: Partijen: 1 Het bevoegd gezag van de school, geregistreerd onder een BRIN-nummer bij de Dienst Uitvoering Onderwijs van het Ministerie van Onderwijs, hierna te noemen: Onderwijsinstelling. en 2 de naamloze

Nadere informatie

Algemene voorwaarden voor het gebruik van de NCDR database en website

Algemene voorwaarden voor het gebruik van de NCDR database en website ALGEMENE VOORWAARDEN VAN NCDR Algemene voorwaarden voor het gebruik van de NCDR database en website 1. Definities 1.1 De hierna met een hoofdletter aangeduide begrippen hebben de volgende betekenis: a.

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Gedragscode ICT- en Internetgebruik. Studenten. Universiteit Twente

Gedragscode ICT- en Internetgebruik. Studenten. Universiteit Twente Gedragscode ICT- en Internetgebruik Studenten Universiteit Twente 2011 1 INHOUDSOPGAVE Pagina 3 Woord vooraf Pagina 4 1. Definities Pagina 6 2. Reikwijdte 3. ICT- en Internetgebruik algemeen Pagina 7 4.

Nadere informatie

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. Beleid over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige

Nadere informatie

Stichting Hogeschool van Arnhem en Nijmegen. Rapport definitieve bevindingen

Stichting Hogeschool van Arnhem en Nijmegen. Rapport definitieve bevindingen POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl Stichting Hogeschool van Arnhem en Nijmegen

Nadere informatie

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 Rijkspas: veiligheid en flexibiliteit ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011 24-11-2011 Profile Consultancy Services State of the art software solutions Project implementation Life-cycle

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst Bewerkersovereenkomst Datum: 25-04-2015 Versie: 1.1 Status: Definitief Bewerkersovereenkomst Partijen De zorginstelling, gevestigd in Nederland, die met een overeenkomst heeft gesloten in verband met het

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Minimale Maatregelen Universiteit Leiden Versie 5 8 juli 2004 Inhoudsopgave 1 Inleiding 3 1.1 Uitgangspunten 3 1.2 Minimumniveau van beveiliging 3 2 Minimale set maatregelen

Nadere informatie

BEWERKERSOVEREENKOMST EMATTERS

BEWERKERSOVEREENKOMST EMATTERS BEWERKERSOVEREENKOMST EMATTERS Ondergetekenden: [NAAM KLANT], gevestigd [ADRES] te [PLAATS] en ingeschreven bij de Kamer van Koophandel onder nummer [KVKNUMMER], hierbij rechtsgeldig vertegenwoordigd door

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 Stichting Pensioenfonds Wolters Kluwer Nederland Compliance program Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 1 Inleiding In dit Compliance Program is de inrichting van de

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

Snel naar NEN7510 met de ISM-methode

Snel naar NEN7510 met de ISM-methode Snel naar NEN7510 met de ISM-methode Cross-reference en handleiding Datum: 2 april 2011 Versie: 1.0 Auteur: J. van Bon Integrated Service Management Snel naar NEN7510 met de ISM-methode! Informatiebeveiliging

Nadere informatie

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012 Functioneel (informatie) beheerder Doel Zorgdragen voor het inrichten, aanpassen, vernieuwen en onderhouden van de informatievoorziening (processen, procedures en/of systemen), passend binnen het informatiebeleid

Nadere informatie

Het ICT beveiligingsassessment. Bas Colen CISSP CISA Eindhoven 17 september 2013

Het ICT beveiligingsassessment. Bas Colen CISSP CISA Eindhoven 17 september 2013 Het ICT beveiligingsassessment DigiD Bas Colen CISSP CISA Eindhoven 17 september 2013 Deze dertig minuten Onze situatie Hoe? En welke aanpak is gevolgd De normen / beveiligingsrichtlijnen Ervaringen, lessen

Nadere informatie

KLOKKENLUIDERSREGELING EUREKO GROEP

KLOKKENLUIDERSREGELING EUREKO GROEP KLOKKENLUIDERSREGELING EUREKO GROEP Artikel 1. Definities In deze regeling wordt verstaan onder: Eureko: Raad van Bestuur: De medewerker: Externe Vertrouwenspersoon: Interne Vertrouwenspersoon: Vertrouwenscommissie:

Nadere informatie

Naast de Nederland ICT Voorwaarden, die van toepassing zijn op de overeenkomst, zijn de onderstaande bepalingen eveneens van toepassing.

Naast de Nederland ICT Voorwaarden, die van toepassing zijn op de overeenkomst, zijn de onderstaande bepalingen eveneens van toepassing. notities Versie: versie datum Onderwerp Aan CC Van Hans Wolters 29 januari 2016 c-n-hawo-0005-20160129 HaWo 1. Leveringsvoorwaarden 1.1. Algemene gegevens ISC Het ICT Servicecentrum (ISC) is voor de Radboud

Nadere informatie

Protocol Thuis- en telewerken

Protocol Thuis- en telewerken Protocol Thuis- en telewerken Versie 1.1 Datum 18 juni 2009 Pagina 2 / 8 Inhoudsopgave 1 Algemeen 4 2 Toestemming 4 3 Transport van vertrouwelijke informatie 4 4 Thuissituatie 5 4.1 Spelregels voor het

Nadere informatie

BEWERKERSOVEREENKOMST BIJLAGE BIJ DE ALGEMENE VOORWAARDEN VAN VEILINGDEURWAARDER.NL INZAKE HET ONDER VERANTWOORDELIJKHEID VAN CONTRACTANT VERWERKEN VAN PERSOONSGEGEVENS VIA DE WEBSITE In het kader van

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam PRIVACYBELEID Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam Inhoudsopgave Inhoudsopgave... 1 1. Documentinformatie... 2 1.1. Documentgeschiedenis... 2 2. Privacybeleid Pseudonimiseer

Nadere informatie

Preview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens

Preview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens Preview Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens Wordt na goedkeuring van de wet BRP vervangen door Beheerregeling Basisregistratie Personen Gemeentelijk Efficiency Adviesbureau

Nadere informatie

AANVULLENDE VOORWAARDEN SPINWARE ASP-DIENSTEN

AANVULLENDE VOORWAARDEN SPINWARE ASP-DIENSTEN 1 AANVULLENDE VOORWAARDEN SPINWARE ASP-DIENSTEN Spinware Solutions B.V. te 's-gravenhage biedt onder meer ASP-diensten aan. Dit houdt in dat Spinware aan de partij waarmee zij een daartoe strekkende overeenkomst

Nadere informatie

Informatieprotocol Inspectieview Milieu (IvM)

Informatieprotocol Inspectieview Milieu (IvM) Informatieprotocol Inspectieview Milieu (IvM) Met het Juridisch Kader zijn de wettelijke (en door de jurisprudentie gepreciseerde) grenzen beschreven binnen welke IvM kan en mag worden gebruikt. Daarbinnen

Nadere informatie

HUISREGELS COMPUTERGEBRUIK

HUISREGELS COMPUTERGEBRUIK Informatiebeveiliging NEN 7510 HUISREGELS COMPUTERGEBRUIK 2010 03-08-2010 Hoorn Inleiding In dit document wordt aangegeven welke huisregels binnen het gelden voor het gebruik van informatiesystemen, computers

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging. 1. Inleiding

Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging. 1. Inleiding Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging 1. Inleiding Doel van dit document is het verzamelen van alle aspecten die relevant zijn in het kader van personeelsbeleid en NEN 7510, en

Nadere informatie

NETQ Healthcare: Voor inzicht in het effect van therapie

NETQ Healthcare: Voor inzicht in het effect van therapie NETQ Healthcare: Voor inzicht in het effect van therapie INHOUD Inleiding 3 Eisen vanuit NEN 7510 en de Wet Bescherming Persoonsgegevens 4 Beheerst wijzigingsproces 4 Toegankelijkheid geautoriseerde gebruikers

Nadere informatie

Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0

Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0 Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0 Informatiebeveiling Zie ook het Privacyregelement 1. Beroepsgeheim De huisartsen, psycholoog en POH s hebben als BIG

Nadere informatie

Antwoorden op vragen over verlies van gevoelige informatie nr. 2070801320

Antwoorden op vragen over verlies van gevoelige informatie nr. 2070801320 Postbus 20701 2500 ES Den Haag Telefoon (070) 318 81 88 Fax (070) 318 78 88 Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Plein 2 2511 CR s Den Haag Datum 5 november 2007 D2007029059 Ons kenmerk

Nadere informatie

Hoofdstuk 1 Algemene Bepalingen

Hoofdstuk 1 Algemene Bepalingen Burgemeester en wethouders van de gemeente Grootegast; Gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Besluiten: Vast te stellen de navolgende beheersregeling gemeentelijke

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Inhoudsopgave 1 Goedkeuring informatiebeveiligingsbeleid en distributie (BH1) 2 2 Inleiding 2 2.1 Toelichting 2 2.2 Definitie van informatiebeveiliging 2 2.3 Samenhang tussen

Nadere informatie

Privacyreglement van De Zaak van Ermelo

Privacyreglement van De Zaak van Ermelo Privacyreglement van De Zaak van Ermelo ARTIKEL 1. ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet

Nadere informatie

Mobiel Internet Dienstbeschrijving

Mobiel Internet Dienstbeschrijving Mobiel Internet Dienstbeschrijving o ktober 2013 INHOUD MOBIEL INTERNET 3 ABONNEMENTEN 3 BASISAANBOD 3 OPTIONELE MODULES VOOR MOBIEL INTERNET 5 TARIEVEN 5 INFORMATIEBEVEILIGING 5 MOBIEL INTERNET De tijd

Nadere informatie

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg Programma 1. De IBD 2. stappenplan Aansluiten bij de IBD 3. VCIB-gesprek (plenair) 2 1.1 De IBD Gezamenlijk initiatief

Nadere informatie

24/7. Support. smart fms

24/7. Support. smart fms 24/7 Support Smart FMS vindt het van het grootste belang dat haar klanten helder inzicht hebben in de voorwaarden, zekerheid over gemaakte afspraken en het vertrouwen in haar als softwareaanbieder. Het

Nadere informatie

Functieprofiel: Beheerder ICT Functiecode: 0403

Functieprofiel: Beheerder ICT Functiecode: 0403 Functieprofiel: Beheerder ICT Functiecode: 0403 Doel Zorgdragen voor het doen functioneren van ICT-producten en de ICTinfrastructuur en het instandhouden van de kwaliteit daarvan, passend binnen het beleid

Nadere informatie

P.09.02 Versie : 004 Proceduresops Pagina : 1/9 Geldig Printdatum : 18-Aug-15

P.09.02 Versie : 004 Proceduresops Pagina : 1/9 Geldig Printdatum : 18-Aug-15 Proceduresops Pagina : 1/9 Procedure Waarborgen van privacy Proceduresops Pagina : 2/9 Ingangsdatum: januari 2011 1. Doel... 3 2. Procedure... 3 2.1 Algemeen... 3 2.2 Regelgeving om de privacy te waarborgen...

Nadere informatie

Beveiligingsplan bij het Convenant voor het Veiligheidshuis Twente

Beveiligingsplan bij het Convenant voor het Veiligheidshuis Twente Beveiligingsplan Beveiligingsplan bij het Convenant voor het Veiligheidshuis Twente Beveiligingsplan 1. Inleiding 1.1 Aanleiding De samenwerking conform het convenant Veiligheidshuis Twente wordt ondersteund

Nadere informatie

Aan welke eisen moet het beveiligingsplan voldoen?

Aan welke eisen moet het beveiligingsplan voldoen? Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet

Nadere informatie

Internationale veiligheidsrichtlijnen Hoofdstuk 6 voor binnentankschepen en terminals. Hoofdstuk 6 BEVEILIGING

Internationale veiligheidsrichtlijnen Hoofdstuk 6 voor binnentankschepen en terminals. Hoofdstuk 6 BEVEILIGING Hoofdstuk 6 BEVEILIGING Binnenvaarttankers laden of lossen vaak op faciliteiten waar zeevaarttankers worden behandeld en waar dus de International Ship en Port Facility Security (ISPS) Code van toepassing

Nadere informatie

Privacy Verklaring versie 01-10-2015

Privacy Verklaring versie 01-10-2015 Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,

Nadere informatie

ISO 27001 met Qmanage

ISO 27001 met Qmanage A : Auke Vleerstraat 6D I : www.quarantainenet.nl 7521 PG Enschede E : info@quarantainenet.nl T : 053-7503070 B : NL89 RABO 0317 2867 14 F : 053-7503071 KvK : 08135536 ISO 27001 met Qmanage Inclusief NEN

Nadere informatie

Rapport definitieve bevindingen

Rapport definitieve bevindingen POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl Stichting Hogeschool Utrecht Onderzoek

Nadere informatie

Klokkenluidersregeling Woonpartners Midden-Holland

Klokkenluidersregeling Woonpartners Midden-Holland Klokkenluidersregeling Woonpartners Midden-Holland Waddinxveen, 15 december 2014 Doc.nr.: 1412025 / # Inhoudsopgave Inhoudsopgave 2 1 Inleiding 3 1.1 Waarom een klokkenluidersregeling... 3 1.2 Definities...

Nadere informatie

Het BiSL-model. Een whitepaper van The Lifecycle Company

Het BiSL-model. Een whitepaper van The Lifecycle Company Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte

Nadere informatie

Set van minimale IB maatregelen van AVANS Hogeschool. 1 Inleiding... 1. 1.1 Doel... 1. 1.2 Voor wie?... 2. 2 Risico en maatregelen...

Set van minimale IB maatregelen van AVANS Hogeschool. 1 Inleiding... 1. 1.1 Doel... 1. 1.2 Voor wie?... 2. 2 Risico en maatregelen... Inhoudsopgave 1 Inleiding... 1 1.1 Doel... 1 1.2 Voor wie?... 2 2 Risico en maatregelen... 2 2.1 Risicoanalyse... 2 2.2 Aanvullende maatregelen... 2 3 De set van minimale maatregelen... 3 3.1 Risicobeoordeling

Nadere informatie

Aansluitvoorwaarden Diginetwerk

Aansluitvoorwaarden Diginetwerk Aansluitvoorwaarden Diginetwerk 16 december 2010, versie 1.71 Artikel 1 begrippen en afkortingen De hierna met een hoofdletter aangeduide begrippen hebben in deze Aansluitvoorwaarden de volgende betekenis:

Nadere informatie

Digitale Communicatie. Gedragscode voor internet- en e-mailgebruik

Digitale Communicatie. Gedragscode voor internet- en e-mailgebruik Digitale Communicatie Gedragscode voor internet- en e-mailgebruik Gedragscode internet- en e-mailgebruik Deze gedragscode omvat gedrags- en gebruiksregels voor het gebruik van internet- en e-mail op de

Nadere informatie

GEBRUIKERSREGLEMENT ICT VOOR SCHOLIEREN EN MEDEWERKERS. Esprit

GEBRUIKERSREGLEMENT ICT VOOR SCHOLIEREN EN MEDEWERKERS. Esprit GEBRUIKERSREGLEMENT ICT VOOR SCHOLIEREN EN MEDEWERKERS Esprit Vastgesteld d.d. 11 juni 2002 GEBRUIKERSREGLEMENT ICT SCHOLIEREN De Esprit scholengroep stelt aan haar scholieren ICT-voorzieningen (ICT: Informatie-

Nadere informatie

Systeemconfiguratie Policy VICnet/SPITS

Systeemconfiguratie Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Systeemconfiguratie Policy VICnet/SPITS 15 Februari 2005 Eindverantwoordelijkheid Opgesteld Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

Gedragscode ICT-functionarissen Universiteit Twente

Gedragscode ICT-functionarissen Universiteit Twente Universitair Informatiemanagement Kenmerk: SB/UIM/12/1107/khv Datum: 13 december 2012 Gedragscode ICT-functionarissen Universiteit Twente Vanuit hun functie hebben ICT-functionarissen vaak verregaande

Nadere informatie

Privacy reglement Payroll Select Nederland B.V.

Privacy reglement Payroll Select Nederland B.V. Privacy reglement Payroll Select Nederland B.V. Inleiding Per 1 september 2001 is er een nieuwe privacywet in werking getreden: de Wet Bescherming Persoonsgegevens (WBP). Deze wet is ingesteld om de privacy

Nadere informatie

Bureau organisatie van de CIHN alsmede locatiemanagers, CODA s en teamleider Nijmegen.

Bureau organisatie van de CIHN alsmede locatiemanagers, CODA s en teamleider Nijmegen. Bijlage 6 Classificatie van beveiligingsrisico s Dit document zorgt voor grotere bewustwording in de gehele organisatie door te benoemen en te registreren welke informatie als vertrouwelijk, intern of

Nadere informatie

BNG Regeling melding (vermeende) misstand

BNG Regeling melding (vermeende) misstand Koninginnegracht 2 2514 AA Den Haag T 0703750750 www.bngbank.nl BNG Regeling melding (vermeende) misstand BNG Bank is een handelsnaam van N.V. Bank Nederlandse Gemeenten, statutair gevestigd te Den Haag,

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

WBP Zelfevaluatie. Privacygedragscode (VPB)

WBP Zelfevaluatie. Privacygedragscode (VPB) WBP Zelfevaluatie Privacygedragscode (VPB) April 2004 1. Inleiding In haar beschikking van 13 januari 2004 heeft het College Bescherming Persoonsgegevens (CBP) verklaard dat de in de privacygedragscode

Nadere informatie