MPGPD GPD
|
|
- Emma Bogaerts
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 fnaa&dn. ontco Sociale Dienst Drechtsteden MPGPD GPD Postbus AP Dordrecht Aan het college van Burgemeester en Wethouders van de Gemeente Papendrecht Postbus AA Papendrecht Bezoekadres Spuiboulevard GR Dordrecht Telefoon (078) Fax E-maii Behandeld door R.C. Hitimana-Willemze Onderwerp SDD Beveiligingsplan Bijlagen; 1 Datum 10 november 2009 Ons kenmerk Geacht College, Het informatiebeveiligingsplan SDD is in de BC SDD van 5 oktober vastgesteld. Het vastgestelde plan bieden wij u nu aan ter vaststelling door uw college en doorgeleiding naar uw gemeenteraad. De door de gemeenteraad vastgestelde versie kan dan door uw college naar de inspectie Werk en Inkomen worden verstuurd (Postbus 11563, 2502 AN Den Haag). De inspectie accepteert namelijk in opdracht van het ministerie van SZW alleen door de gemeenteraad vastgestelde beveiligingspannen; de Drechtraad is een door hen niet erkend orgaan, dus vaststelling door de Drechtraad biedt geen soelaas. Deze noodzakelijke lange procedure betekent dat we de termijn van 4 maanden na de dagtekening van de brief van het ministerie van SZW niet gaan halen. Hiervan zijn het ministerie en de inspectie Werk en Inkomen door de SDD al op de hoogte gebracht. Wij gaan er vanuit u hiermede van dienst te zijn geweest. Voor vragen kunt u contact opnemen met de accountmanager P&C van uw gemeente bij de Stafafdeling Middelen van de SDD, mw. M.P.A. Verloop. Pagina 1 van 1
2 Informatiebeveiligingsplan Sociale Dienst Drechtsteden Vastgesteld door het MT SDD op 7 juli 2009 Vastgesteld door de BC SDD op 5 oktober 2009
3 INHOUDSOPGAVE 1 INLEIDING WAAROM INFORMATIEBEVEILIGING? DOELSTELLING, PLAATSBEPALING EN REIKWIJDTE HET BELEIDSDOCUMENT INFORMATIEBEVEILIGING SOCIALE DIENST DRECHTSTEDEN DE INFORMATIEBEVEILIGING OPZET VAN DE INFORMATIEBEVEILIGING 5 2 DE AFHANKELIJKHEIDSANALYSE DOEL EN INHOUD VAN DE AFHANKELIJKHEIDSANALYSE BEDRIJFSPROCESSEN AFHANKELIJKHEID BETROUWBAARHEIDSEISEN 12 3 DE KWETSBAARHEIDANALYSE DOEL EN INHOUD VAN DE KWETSBAARHEIDANALYSE GEKOZEN AANPAK INVENTARISATIE VAN MAATREGELEN TOETSING MAATREGELEN AAN MOGELIJKJE BEDREIGINGEN PERIODIEKE TOETSING VAN DE MAATREGELEN OP BESTAAN EN WERKING 16 4 IMPLEMENTATIEPLAN INLEIDING VEILIGHEIDSBELEID STANDARD DVO RICHTLIJNEN WACHTWOORDENBEHEER PERSONEELS- EN CLEANDESK BELEID SDD INFORMATIESYSTEMEN FORMALISERING 19 5 CALAMITEITEN EN EVALUATIE CALAMITEITEN PLAN VOOR EVALUATIE EN ONDERHOUD 20 Informatiebeveiligingsplan pagina 2
4 1 Inleiding 1.1 Waarom informatiebeveiliging? In de dagelijkse praktijk van ons werk spelen informatie en informatiesystemen een belangrijke rol. Vaak zelfs zonder dat we daarvan bewust zijn. Het laatste halfjaar worden regelmatig geconfronteerd met storingen in de ict-infrastructuur, hierdoor zijn we ons meer bewust hoe afhankelijk we zijn van onze geautomatiseerde informatiesystemen. Wanneer 1 of meerdere van onze informatiesystemen niet beschikbaar zijn dan kunnen we zelfs ons werk niet meer op een normale manier uitvoeren. Deze afhankelijkheid is een belangrijk argument voor de opstelling van dit informatiebeveiligingsplan. Informatiebeveiliging betreft zoals het woord al zegt de beveiliging van informatie. Het gaat daarbij in feite om 3 aspecten aangeduid met de letters BEI: Beschikbaarheid, Exclusiviteit en Integriteit. Of met andere woorden beveiliging van informatie tegen ongewenste verstoringen in de beschikbaarheid, tegen ongewenste bekendmaking en/of kennisneming, en tegen ongeautoriseerde mutaties. De afhankelijkheid wordt mede beïnvloed door de technologische ontwikkelingen op het gebied van de informatievoorziening. Brede verspreiding van apparatuur, software en gegevens leiden ertoe dat de verantwoordelijkheid voor de informatievoorziening niet altijd even duidelijk is. De gegevens komen steeds makkelijker beschikbaar maar de gegevensstromen worden tegelijkertijd steeds moeilijker beheersbaar. De begrippen informatiebeveiliging en informatiesysteem worden soms uitsluitend in verband gebracht met automatisering, maar dat is niet juist. Ze betreffen het geheel van gegevens, bestanden, richtlijnen en procedures en hulpmiddelen, ongeacht of deze al dan niet geautomatiseerd zijn. Hieruit volgt dat medewerkers deel uitmaken van het informatiesysteem en dat bijvoorbeeld ook het archief en de papieren dossiers onder de definitie vallen. Kortom: het gaat in dit plan om alle vormen van gegevensverzameling, - bewerking, -bewaring en -verstrekking; en bovendien om alles en iedereen die daarbij betrokken zijn. In dit Informatiebeveiligingsplan wordt beschreven welke informatiesystemen in de bedrijfsprocessen een rol spelen en welke eisen vanuit de doelstelling van deze bedrijfsprocessen moeten worden gesteld aan de beveiliging daarvan. De verticale toepassingen, zoals GWS4ALL, welke in hoofdstuk 6 onder III limitatief zijn opgesomd, worden vanuit het perspectief van informatiebeveiliging geanalyseerd in afzonderlijke documenten, die met dit Informatiebeveiligingsplan samen een geheel zullen vormen. Informatiebeveiligingsplan pagina 3
5 1.2 Doelstelling, plaatsbepaling en reikwijdte De doelstelling van de Informatiebeveiliging is het waarborgen van de beschikbaarheid, exclusiviteit én integriteit van informatie. Informatiebeveiliging staat niet op zichzelf maar heeft directe relaties met het: personeels- en organisatiebeleid (functiescheiding, vertrouwelijkheid); informatiebeleid (inrichting informatiearchitectuur); automatiseringsbeleid (hard en software); algemeen beveiligingsbeleid (gebouwen, kritische ruimten). Afstemming tussen deze beleidsgebieden en de informatiebeveiliging is noodzakelijk. Het in dit plan geformuleerde informatiebeveiligingsbeleid is van toepassing op de gemeenschappelijke bedrijfsprocessen en informatiesystemen binnen de Sociale Dienst Drechtsteden. Met gemeenschappelijk worden alle bedrijfsprocessen en informatiesystemen bedoeld, die door de Sociale Dienst Drechtsteden worden gebruikt. Binnen deze systemen onderscheidden we horizontale en verticale toepassingen. Horizontale toepassing wordt door de meerdere of alle onderdelen van de SDD gebruikt. Verticale toepassingen worden door een besperkte groep of specifiek onderdeel gebruikt. De Sociale Dienst Drechtsteden heeft specifieke verantwoordelijkheden waarvoor eigen specifieke procedures en systemen gebruikt worden. Dit worden ook wel de verticale toepassingen genoemd. Dit Informatiebeveiligingsplan betreft uitsluitend de gemeenschappelijke horizontale toepassingen. De veiligheidsaspecten van de SDD specifieke horizontale/verticale toepassingen, met name GWS4ALL, wordt in project Risisco berperkende maatregelen informatiesystemen en de daaronder vallende activiteiten verder uitgewerkt. Dit Informatiebeveiligingsplan is van toepassing op de Sociale Dienst Drechtsteden. Het betreft het gehele proces van informatievoorziening en de gehele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie. Informatiebeveiliging is een lijnverantwoordelijkheid en vormt een onderdeel van de kwaliteitszorg voor de bestuurs- en bedrijfsprocessen en de ondersteunende informatiesystemen. Informatieve relaties tussen de SDD en andere instanties gaan vergezeld van schriftelijke afspraken over het vereiste betrouwbaarheidsniveau en de wijze waarop zekerheid wordt verkregen over de realisatie daarvan. Dit Informatiebeveiligingsplan is geschreven naar de actuele situatie per 1 februari Informatiebeveiligingsplan pagina 4
6 1.3 Het Beleidsdocument Informatiebeveiliging Sociale Dienst Drechtsteden Op 13 januari 2009 heeft het MT ingestemd met de Inventarisatie beveiliging persoonsgegevens Sociale Dienst Drechtsteden, dit is de basis voor de informatiebeveiliging binnen de SDD. Het document dwingt de SDD tot opstelling van een Informatiebeveiligingsplan dat is gebaseerd op een analyse van de afhankelijkheid en kwetsbaarheid van de voor de bedrijfsprocessen gebruikte informatiesystemen. Het komt er samengevat op neer dat voor elk kritisch bedrijfsinformatiesysteem: Een afhankelijkheidsanalyse wordt uitgevoerd waarin geïnventariseerd wordt welke bedrijfsprocessen er zijn, welke informatiesystemen daarvoor gebruikt worden en welke betrouwbaarheidseisen (beschikbaarheid, exclusiviteit en integriteit) aan deze informatiesystemen moeten worden gesteld. Een kwetsbaarheidanalyse wordt uitgevoerd waarin de risico's en bedreigingen worden geïdentificeerd. Een informatiebeveiligingsplan wordt geformuleerd waarin de getroffen beveiligingsmaatregelen zijn opgesomd en waarin een calamiteitenparagraaf is opgenomen waarvan de effectiviteit periodiek wordt getoetst. Dit plan is de uitwerking van die activiteiten. In de Inventarisatie beveiliging persoonsgegevens staan verder de strategische uitgangspunten en randvoorwaarden voor de informatiebeveiliging. Voorts zijn de verschillende verantwoordelijkheden benoemd, wordt de organisatie van de informatiebeveiligingsfunctie beschreven en wordt ingegaan op de gemeenschappelijke betrouwbaarheidseisen en maatregelen. 1.4 De Informatiebeveiliging In de SUWI-wetgeving is opgenomen dat een minimum beveiligingsniveau zal worden vastgesteld dat van toepassing zal zijn op alle informatiesystemen van de SDD. Deze vaststelling is geschied in het document Inventarisatie beveiliging persoonsgegevens Sociale Dienst Drechtsteden, vastgesteld door het managementteam van de SDD. In de SUWI-wetgeving zijn de beveiligingseisen geformuleerd voor de aandachtsgebieden die voor de SUWI-keten gelden, zoals de fysieke beveiliging, gemeenschappelijke én lokale hard- en software, de^ietwerkinfrastructuur, gegevensverzamelingen etcetera. Het staat de SDD vrij, wanneer daar op grond van de aan het bedrijfsproces gerelateerde aspecten beschikbaarheid, exclusiviteit en/of integriteit aanleiding voor is, aanvullende eisen en maatregelen te formuleren. 1.5 Opzet van de Informatiebeveiliging Overeenkomstig de Inventarisatie beveiliging persoonsgegevens heeft de aanpak van de Informatiebeveiliging bestaan, en bestaat voortdurend, uit een aantal elkaar in een Informatiebeveiligingsplan pagina 5
7 logische volgorde opvolgende fasen en stappen die leiden tot een goed beeld van de situatie en een weloverwogen keuze van de daarop toegesneden beveiligingsmaatregelen. Inventarisatie en analyse. bedrijfsprocessen, f Inventarisatie en analyse.informatiesystemen, T X 1 ( "\ / ' 1 Relateren bedrijfsprocessen informatiesvst emen J Stellen van betrouwbaarheidseisen aan Jnformatiesystemen Hoofdlijn A&Kanalyse J \ a fha kelilkh e, d s- analyse I / kwetsbaarheidsanalyse i r maatregelen k \\ \ \ - > j Inventarisatie en analyse incidenten i f 1. Inventarisatie bedreigingen ^ en gevolgen > f r \ Bepalen van maatregel- ^ doelstellingen > / i f vaststelling, uitvoering en evaluatie Informatiebeveiligingsplan pagma 6
8 2 De Afhankelijkheidsanalyse 2.1 Doel en inhoud van de Afhankelijkheidsanalyse De Afhankelijkheidsanalyse heeft als doel gehad het bepalen van de betrouwbaarheidseisen die vanuit bedrijfsprocessen gesteld worden aan informatiesystemen. Dit doel is bereikt in een aantal stappen: 1. Inventariseren en analyseren van de bedrijfsprocessen; 2. Inventariseren en analyseren van de informatiesystemen; 3. Relateren van informatiesystemen aan de bedrijfsprocessen; 4. Stellen van betrouwbaarheidseisen aan de informatiesystemen. Het vervolg van dit hoofdstuk beschrijft in hoofdlijnen de uitgevoerde Afhankelijkheidsanalyse en de uitkomsten daarvan. Informatiebeveiligingsplan pagina 7
9 2.2 Bedrijfsprocessen De organisatie ontleent haar bestaansrecht aan de missie waarvoor zij staat. Op basis van de missie zijn doelstellingen geformuleerd. De bedrijfsprocessen dienen op een dusdanige wijze te zijn ingericht, dat de doelstellingen worden gerealiseerd en hiermee de missie van de organisatie wordt ondersteund. Missie van de Sociale Dienst Drechtsteden: Uw partner naar zelfstandigheid. De SDD geeft deze missie handen en voeten in haar taakuitvoering op de terreinen reintegratie, inburgering, educatie, inkomensondersteuning, minimabeleid, WMO en schuldbemiddeling. Voor de uiteindelijke bepaling van betrouwbaarheidseisen is het van belang of een informatiesysteem een vitale rol speelt in de bedrijfsprocessen en hoe groot het belang van het proces is voor het realiseren van de geformuleerde doelstellingen. In het overleg ten behoeve van het opstellen van dit Informatiebeveiligingsplan is geopperd dat de afhankelijkheidsanalyse opgezet kan worden vanuit de bedrijfsprocessen, maar even goed vanuit de informatiesystemen. Uiteindelijk gaat het immers om de confrontatie van beiden. Redenerend vanuit de informatiesystemen luidt de conclusie dat vrijwel alle geïnventariseerde processen gebruik maken van dezelfde informatiesystemen. Dit leidde tot de conclusie dat de bestuursprocessen in het kader van deze afhankelijkheidsanalyse nog verder geclusterd kunnen worden tot slechts één primair bestuursproces. Daarnaast is sprake van financieel beheer als besturend proces en personeel en materieel beheer als secundaire (ondersteunende) processen. Volgende stap in de afhankelijkheidsanalyse was het waarderen van het belang van deze bedrijfsprocessen voor het realiseren van de missie van de Sociale Dienst Drechtsteden. Dit leidde tot de volgende verdeling en conclusie: Informatiebeveiligingsplan pagina 8
10 Geïnventariseerde bedrijfsprocessen: Primair proces: 1. Bestuursproces : kritisch 2. SDD prim, processen: kritisch Secundair proces 3. Financieel beheer : strategisch 4. Personeelsbeheer : bijdragend 5. ICT beheer : bijdragend 6. Materieel beheer : ondersteunend Kritisch = van levensbelang voor de organisatie Bijdragend = Voeg iets toe tijdens het proces Strategisch = proces is op de (lange) termijn gericht Ondersteunend = procesgerichte ondersteuning Informatiesystemen De tweede inventarisatie betreft die van de informatiesystemen. Een informatiesysteem is een geheel van personen, organisatie, gegevensverzamelingen, programmatuur, opslag-, verwerkings- en communicatie- apparatuur, omgeving en diensten van derden, en kan zowel geautomatiseerd als handmatig zijn. De volgende SDD informatiesystemen werden geïdentificeerd: Informatiebeveiligingsplan pagina 9
11 Geïdentificeerde horizontale informatiesystemen: A. Communicatiesystemen: A. 1 Groupwise A. 2 Explorer A. 3 Telefonie en netwerkinfrastructuur A. 4 Intranet A. 5 Internet B. Registratiesystemen B. 1 GWS4ALL B. 2 0DAS/ODIAS B. 4 ALLEGRO C. Informatiesystemen C. 1 GWS4ALL C. 2 Allegro C. 3 DDS4all/Key2datadistributie C. 4 Intranet C. 5 Portal alg. website C. 6DKD/EKB C. 7. LRD/GBA-V online D. Hard en software D. 1 Standaard PC configuraties D. 2 Laptops D. 3 (Kleuren)printers D. 4 Scanners (+ pc) Verticaal Verticaal = in gebruik bij vele onderdelen in de organisatie Verticaal = in gebruik bij een specifiek deel of kolom binnen onze organisatie 2.3 Afhankelijkheid Nu de inventarisatie van de bedrijfsprocessen (2.2) en de informatiesystemen (2.3) heeft plaatsgevonden kan de afhankelijkheidsrelatie in beeld gebracht worden. De afhankelijkheid wordt hierbij gedefinieerd als de mate waarin de bedrijfs- en besturingsprocessen in een organisatie steunen op een (betrouwbaar werkend) informatiesysteem. Van ieder informatiesysteem is de mate van afhankelijkheid beoordeeld. Deze afhankelijkheid wordt uitgedrukt in een van de volgende typeringen: Informatiebeveiligingsplan pagina 1 o
12 Typering van het Informatiesysteem Nuttig Ondersteunend Geen relatie Waardering Het uitvoeren van de bedrijfsprocessen of het tot stand brengen van producten/diensten is (nagenoeg) onmogelijk zonder de inzet van het informatiesysteem. Inzet van het Informatiesysteem is van levensbelang voor een goede uitvoering van het bedrijfsproces. Het informatiesysteem is wezenlijk voor het beheersen of besturen van de bedrijfsactiviteiten. Het informatiesysteem levert een belangrijke bijdrage aan de activiteiten binnen het proces en/of de voortbrenging van producten/diensten. Bij het in het ongerede raken van het informatiesysteem, is slechts met grote, onevenredige inspanning voortzetting van het proces mogelijk. Inzet van het informatiesysteem heeft een positief effect op de doeltreffendheid en doelmatigheid van de organisatie. Het informatiesysteem geeft support bij de activiteiten binnen het bedrijfsproces en is 'handig om te hebben'. Het informatiesysteem wordt niet gebruikt binnen het betreffende proces of de inzet is vruchteloos, onbruikbaar of zinloos. Informatiebeveiligingsplan pagina 11
13 De beoordeelde afhankelijkheden laten zich als volgt samenvatten: Afhankelijkheid informatiesystemen: A. Communicatiesystemen: A. 1 Groupwise A. 2 Explorer A. 3 Telefonie en netwerkinfrastructuur A. 4 Intranet A. 5 Internet B. Registratiesystemen B. 1GWS4ALL B. 2 0DAS/ODIAS B. 3ALLEGRO C. Informatiesystemen C. 1 GWS4ALL C. 2 Allegro C. 3 DDS4all/Key2datadistributie C. 4 Intranet C. 5 Portal alg. website C. 6DKD/EKB C. 7. LRD/GBA-V online D. Hard en software D. 1 Standaard PC configuraties D. 2 Laptops D. 3 (Kleuren)printers D. 4 Scanners (+ pc) Ondersteunend Ondersteunend Ondersteunend Ondersteunend Nuttig Ondersteunend Nuttig Nuttig 2.4 Betrouwbaarheidseisen Als laatste stap in de afhankelijkheidsanalyse zijn per informatiesysteem betrouwbaarheidseisen geformuleerd. Betrouwbaarheid wordt hierbij gedefinieerd als de mate waarin de organisatie zich kan verlaten op een informatiesysteem voor zijn informatievoorziening. Betrouwbaarheid wordt hierbij gesplitst in 3 aspecten: Beschikbaarheid De mate waarin een informatiesysteem in bedrijfis op het moment dat de organisatie het nodig heeft. Informatiebeveiligingsplan pagina 12
14 Exclusiviteit Integriteit : De mate waarin de toegang tot een informatiesysteem en de kennisname van de informatie daarin is beperkt tot een gedefinieerde groep van gerechtigden. : De mate waarin een informatiesysteem actueel en zonder fouten is. Deze betrouwbaarheidseisen zijn per informatiesysteem geformuleerd voor elk van de 3 aspecten en pp basis hiervan zijn per informatiesysteem 4 beveiligingsniveaus onderkend: Essentieel : Beveiliging is een primair criterium en verplicht voor de organisatie Belangrijk : Beveiliging is absoluut nodig gezien de belangen van de organisatie Wenselijk : Een zekere mate van beveiliging wordt op prijs gesteld Geen criterium : Beveiliging is geen criterium voor de organisatie De met behulp van deze criteria uitgevoerde afhankelijkheidsanalyse heeft als uitkomst: Beveiliging: A. Communicatiesystemen: A. 1 Groupwise A. 2 Explorer A. 3 Telefonie en netwerkinfrastructuur A. 4 Intranet A. 5 Internet Belangrijk Wenselijk Belangrijk Wenselijk Wenselijk B. Registratiesystemen B. 1 GWS4ALL B. 2 0DAS/ODIAS B. 4 ALLEGRO C. Informatiesystemen C. 1GWS4ALL C. 2 Allegro C. 3 DDS4all/Key2datadistributie C. 4 Intranet C. 5 Portal alg. website C. 6DKD/EKB C. 7. LRD/GBA-V online D. Hard en software D. 1 Standaard PC configuraties D. 2 Laptops D. 3 (Kleuren)printers D. 4 Scanners (+ pc) Essentieel Essentieel Essentieel Essentieel Essentieel Essentieel Wenselijk Belangrijk Essentieel Essentieel Belangrijk Essentieel geen criterium Belangrijk Informatiebeveiligingsplan pagina 13
15 3 De Kwetsbaarheidanalyse 3.1 Doel en inhoud van de Kwetsbaarheidanalyse In het kader van de Kwetsbaarheidanalyse worden bestaande maatregelen geëvalueerd en eventueel nieuwe maatregelen geïntroduceerd om aan de in de Afhankelijkheidsanalyse (zie hoofdstuk 2) geformuleerde betrouwbaarheidseisen te kunnen voldoen. De uitkomst van de Kwetsbaarheidanalyse is een overzicht van geïmplementeerde en nog te implementeren (aanvullende) maatregelen. 3.2 Gekozen aanpak Het VIAG handboek informatiebeveiliging beschrijft voor de Afhankelijkheids- en Kwetsbaarheidanalyse een methodiek die voor de SDD bruikbaar is gebleken. Daarbij wordt onderscheid gemaakt naar de volgende componenten, kortheidshalve naar de beginletters aangeduid met MAPGOOD: Mens Apparatuur Programmatuur Gegevensverzamelingen Organisatie Omgeving Diensten Daarnaast wordt aangegeven niet te veel in detail te treden en de focus van een A&K analyse is in eerste instantie gericht op het totaalbeeld, organisatie breed. Voor de SDD is daarom gekeken naar de (verticale) toepassingen en de componenten Mens, Gegevensverzamelingen en Organisati, want deze behoren tot het verantwoordelijkheidsgebied van de directeur van SDD. De overige componenten behoren tot het verantwoordelijkheidsgebied van andere managers of directeuren binnen de GRD. Bovendien wordt een groot deel van de informatiebeveiligingsmaatregelen uitgevoerd door het SCD. Om deze redenen is gekozen voor een aanpak van de Kwetsbaarheidanalyse, gebaseerd op een inventarisatie van het genoemde maatregelen in het document "Inventarisatie beveiliging persoonsgegevens Sociale Dienst Drechtsteden". Daarbij is steeds aangegeven of deze al geïmplementeerd en werkzaam zijn, dan wel dat hier nog sprake zal moeten zijn van een implementatietraject van maatregelen. Informatiebeveiligingsplan pagina 14
16 3.3 Inventarisatie van maatregelen In de SUWI-wetgeving is bepaald dat de uitvoerder van de Sociale zekerheidsregelingen en -wetgeving verantwoordelijk is voor de specifieke beveiliging van (verticale) toepassingen en de componenten Mens, Gegevensverzamelingen en Organisatie. De Kwetsbaarheidanalyse is gebaseerd geweest en gericht op de relevante maatregelen betreffende componenten Mens, Organisatie en Gegevensverzamelingen, waarvoor de directeur van de Sociale Dienst Drechtsteden verantwoordelijk is. Van deze maatregelen is nagegaan of deze binnen de SDD bekend zijn en al volledig geïmplementeerd zijn en zo ja waar de documentatie daarover te vinden is. De maatregelen welke nog niet bij de SDD zijn ingevoerd komen als actiepunt terug in hoofdstuk 4 Implementatie. Dit betreft met name een aantal maatregelen rondom invoering cleandesk beleid, SUWI-systemen, communicatie over het (informatie)beveiligingsbeleid en uitwisseling van gegevens met derden. De overige maatregelen worden geacht begrepen te zijn in de door SCD/A&T beheer aan de SDD te verlenen ICT dienstverlening. Over deze ICT dienstverlening wordt door onze directeur met de directeur van het SCD een Dienstverleningsovereenkomst (DVO) afgesloten. In feite is het DVO te beschouwen als dé maatregel waarmee de bij dit beveiligingsplan de SDD hun informatiebeveiliging voor wat betreft de componenten apparatuur, programmatuur, omgeving en diensten gedelegeerd hebben aan het SCD. 3.4 Toetsing maatregelen aan mogelijke bedreigingen Tijdens deze stap van de Kwetsbaarheidsanalyse zijn de bedreigingen geïnventariseerd. Aan de hand van de geïnventariseerde maatregelen is beoordeeld of deze maatregelen toereikend zijn om deze bedreigingen het hoofd te bieden. Als dat niet het geval is zijn aanvullende maatregelen benoemd. De aanwezigheid van een bedreiging is te beschouwen als de argumentatie voor geïmplementeerde en nog te implementeren maatregelen. Voor de inventarisatie van mogelijke bedreigingen is gebruik gemaakt van de door A&T beheer ontwikkelde checklist bedreigingen. In het kader van dit Informatiebeveiligingsplan is gefocust op de MAPGOOD componenten, te weten: Personen, Organisatie en Gegevens. Per mogelijke bedreiging is beoordeeld of deze voor de SDD relevant is, welke maatregelen al zijn genomen en of aanvullende maatregelen gewenst zijn. De aanvullende maatregelen komen als actiepunt terug in hoofdstuk 4 Implementatie. Informatiebeveiligingsplan pagina 15
17 3.5 Periodieke toetsing van de maatregelen op bestaan en werking. SCD/A&T beheer moet ook een Afhankelijkheids- en Kwetsbaarheidanalyses uitvoeren en een Informatiebeveiligingsplan opstellen, waarin haar back office maatregelen zijn beschreven. Aan A&T beheer is gevraagd om ieder kwartaal een incidenten rapportage te leveren die in het 2 wekelijks I&A overleg wordt besproken. Een en ander moet beschreven worden in de AO voor uitbestede automatiseringsactiviteiten (DVO) Hoofd staf middelen van de SDD beoordeelt al deze stukken en toetst jaarlijks de opzet en goede werking van de getroffen maatregelen. De uitkomsten hiervan worden middels het dienstrapport jaarlijks gemeentebreed gecommuniceerd en zijn daarmee ook voor de SDD beschikbaar. Ook de onvolkomenheden ten aanzien van de informatiebeveiliging van de SDD zullen hierin zichtbaar worden. De hierboven geschetste maatregelen geven de directeur SDD voldoende zekerheid over opzet en goede werking van de door Automatisering en binnen de SDD getroffen beveiligingsmaatregelen. Informatiebeveiligingsplan pagina 16
18 4 Implementatieplan 4.1 Inleiding Dit Informatiebeveiligingsplan is bedoeld om de afhankelijkheid van informatiesystemen in beeld te brengen en op basis van een inventarisatie van bestaande maatregelen in kaart te brengen wat additioneel nog geregeld moet worden. Dit hoofdstuk bevat wat additioneel nog geregeld moet worden en heeft daarmee de functie van implementatieplan. Voor alle hiernavolgende met een doorlopende nummering en een "*" voorziene actiepunten is een plan van aanpak zijn opgesteld. Daarin is per actiepunt een detailplanning opgenomen resulterend in implementatie uiterlijk 1 januari Van deze realisatiedata kan uitsluitend met beargumenteerde en expliciete instemming van de directeur van SDD worden afgeweken. 4.2 Veiligheidsbeleid Iedere medewerker wordt op de hoogte gesteld van de voor hem of haar geldende beveiligingsvoorschriften en maatregelen. Dat is kort samengevat de inhoud van de in de Kwetsbaarheidsanalyse opgenomen maatregelen. Dit zal gebeuren door: 1 * Een artikel op het Intranet over het Informatiebeveiligingsplan 2* De SDD zal op de eigen intranetsite een informatiebeveiligingspagina opnemen waarin de richtlijnen en naar andere beveiligingsaspecten en documenten wordt verwezen. Hierbij zal ook worden ingegaan op het omgaan met auteursrechtelijk beschermd materiaal. 3* Er zal een procedure door SDD/SM worden ontwikkeld voor melding van incidenten, zwakke plekken in de (informatie)beveiliging en bijzondere gebeurtenissen, inclusief de inrichting per dienstonderdeel van een door de informatiebeveiligingsfunctionaris te bemensen centraal meldpunt. 4* Er zal tussen de SDD en in afstemming met SCD/A&T beheernader overlegd worden over de inrichting van een vorm van toezicht op de naleving van vigerende privacywetgeving. 5* Met het SCD/ID zal een DVO moeten worden afgesloten voor de fysieke toegangsbeveiliging. 4.3 Standard DVO Door de GRD is op 1 oktober 2008 de Producten en dienstcatalogus van het SCD ondertekend. Deze PDC bevat de afspraken over de door SCD aan de SDD te verlenen (ICT) dienstverlening: Informatiebeveiligingsplan pagina 17
19 6* De SDD geeft aan aanvullende ICT-dienstverlening nodig te hebben. Het SCD/A&T beheer beaamt dit verzoek. Het is nu zaak zo spoedig mogelijk de procedures en afspraken binnen de DVO aan te passen door het MT van de SDD en de directie SCD om te komen tot een werkbare DVO. 4.4 Richtlijnen Binnen de GR Drechtsteden zijn 2 richtlijnen actief en door de NDD vastgesteld. Dit betreft de Richtlijn Telewerken en de Richtlijn en internetgebruik. Deze richtlijnen zullen naar de medewerkers moeten worden gecommuniceerd. Dat zal gebeuren door: 7* Het plaatsen van een artikel op het Intranet over de richtlijnen 8* Tevens zullen we bijeenkomsten gaan organiseren, waarbij medewerkers worden bijgepraat over de richtlijnen en wetgeving bij het gebruik van informatie(systemen). 4.5 Wachtwoordenbeheer Er is in beginsel alleen sprake van persoonsgebonden user-id's (voor een persoon in een bepaalde functie) in casu toegangsrechten tot computers/netwerk/toepassingen. Dit is kort samengevat de inhoud van de in de Kwetsbaarheidsanalyse opgenomen maatregelen 4, 6 en 67 en leidt tot de volgende actiepunten: 9* Geïnventariseerd zal worden welke afwijkingen ten opzichte van deze regel bij de SDD bestaan en als die er zijn zullen deze adequaat beargumenteerd en bij de Informatiebeveiligingsfunctionaris gedocumenteerd worden. 10* Op het Intranet zal als onderdeel van de beveiligingsbeleidspagina de verantwoordelijkheid van de eigenaar voor het geheimhouden en het periodiek wijzigen van zijn password uiteengezet worden. 11 * Met SCD/A&T beheer moeten afspraken gemaakt worden over door het systeem af te dwingen periodieke vernieuwing van wachtwoorden. 4.6 Personeels- en Cleandesk beleid In het personeelsbeleid is bepaald dat binnen de GRD sprake is van een Clean Desk Policy. Bij^le SDD is het nog wel noodzakelijk om hierop te blijven sturen. De daartoe benodigde acties zijn: 12* Met de Afdelings- en bureauhoofden zal handhaving van privacywetgeving en het cleandesk beleid worden besproken. 13* De binnen een dienstonderdeel aanwezige informatie zal in beeld worden gebracht aan de hand van classificatiecategorieën. De onder classificatie hoog risico vallende informatie zal daarbij expliciet zichtbaar worden gemaakt en zonodig van additionele maatregelen worden voorzien. 14* Er zullen voldoende papierversnipperaars of (extra) "blauwe" papierbakken beschikbaar moeten zijn om niet digitale informatiedragers gepast te kunnen vernietigen. Informatiebeveiligingsplan pagina 18
20 15* Er zal een instructie dossierbeheer worden opgesteld met als belangrijkste inhoud dat in digitaal persoonlijke dossiers geen stukken zitten die ook niet in het fysiek archief en/of beleidsdossiers zouden zijn opgenomen. 4.7 SDD informatiesystemen In het kader van dit Informatiebeveiligingsplan worden alle bedrijfsprocessen en informatiesystemen geïnventariseerd. Dit plan bevat uitsluitend de uitwerking van de SDD toepassingen en organisatieonderdelen. 16* De Afhankelijkheidsanalyse en Kwetsbaarheidsanalyse voor de in hoofdstuk 2 opgesomde systemen zullen qua aanpak en termijnen op identieke wijze worden geïmplementeerd als de andere actiepunten zoals beschreven in paragraaf * Speciale aandacht bij bovengenoemde inventarisatie zal de uitwisseling van gegevens met derden(re-integratiebedrijven, woningbouwcorporaties) krijgen zo ook onze verantwoordelijkheid tov beveiliging in de suwiketen/suwinet. 18* De autorisatie van medewerkers en functies binnen onze applicaties wordt ook een prominent onderdeel van bovengenoemde inventarisatie. 4.8 Formalisering Dit Informatiebeveiligingsplan en de hierin opgenomen actiepunten vanuit de Afhankelijkheidsanalyse en Kwetsbaarheidanalyse die in dit document zijn opgenomen moeten nog definitief worden goedgekeurd in het MT van de Sociale Dienst Drechtsteden. Informatiebeveiliging is een lijnverantwoordelijkheid en daarom moet dit Informatiebeveiligingsplan door goedkeuring van de Directeur SDD geformaliseerd worden. 19* Formalisering van dit Informatiebeveiligingsplan bij de SDD geschiedt middels vaststelling door het MT SDD. 20* Tegelijk met de formalisering van dit plan dient ook de functie van Informatiebeveiligingsfunctionaris/Security Officer geformaliseerd te worden. Informatiebeveiligingsplan pagina 19
21 5 Calamiteiten en evaluatie 5.1 Calamiteiten Met de in hoofdstuk 3 en 4 beschreven maatregelen wordt beoogd bescherming te bieden tegen schade als gevolg van incidenten die voortvloeien uit de in de Kwetsbaarheidanalyse opgesomde bedreigingen. Het is echter niet uit te sluiten dat ondanks de getroffen maatregelen zich een incident voordoet waarbij inbreuk wordt gepleegd op de beschikbaarheid, exclusiviteit en/of integriteit van informatie. Als in een dergelijk geval daadwerkelijk schade ontstaat, spreken we van een calamiteit. Alle informatiebeveiligingsincidenten en calamiteiten worden gemeld bij de Informatiebeveiligingsfunctionaris die deze inclusief de afloop registreert ten behoeve van de periodieke evaluaties van dit Informatiebeveiligingsplan. Op het moment dat zich een informatiebeveiligingsincident en/of daaruit voortvloeiende calamiteit voordoet is de lijnmanager verantwoordelijk voor de melding hiervan bij de Informatiebeveiligingsfunctionaris en voor het treffen van adequate maatregelen die erin voorzien dat het bedrijfsproces wordt gecontinueerd en dat de schade wordt hersteld. Het is ondoenlijk voor iedere mogelijk optredende bedreiging vooraf adequate maatregelen te benoemen. Daarom zullen deze maatregelen in geval van een incident en/of calamiteit door de betreffende lijnmanager in afstemming met de Informatiebeveiligingsfunctionaris en eventueel de centrale helpdesk, situationeel worden bepaald. 5.2 Plan voor evaluatie en onderhoud Niets is voor de eeuwigheid en dit Informatiebeveiligingsplan zeker ook niet. Dit maakt het noodzakelijk dat dit plan jaarlijks wordt geëvalueerd en zo nodig ook aangepast wordt. Op dit moment is een werkgroep protocol uitval systemen bezig om bij ICTverstoringen een noodplan achter de hand te hebben ook dit zullen we meenemen bij de implementatie in 2009 van het informatiebeveiligingsplan. Informatiebeveiligingsplan pagina 20
Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)
Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007 Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Inhoud Aanleiding en Historie VIR 2007 Invoeringsaspecten 2 Aanleiding en historie
Nadere informatieInformatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours
Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen
Nadere informatieInformatiebeveiligingsbeleid
2-Control B.V. +31 (0)76 50 194 70 Haagse Markt 1 www.2-control.nl 4813 BA Breda info@2-control.nl The Netherlands Informatiebeveiligingsbeleid Concept Datum Versiebeheer Versie Datum Status Naam Toelichting
Nadere informatieBeleid Informatiebeveiliging InfinitCare
Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie
Nadere informatieDefinitieve bevindingen Rijnland ziekenhuis
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl Definitieve bevindingen Rijnland ziekenhuis
Nadere informatieInformatiebeveiligingsbeleid
Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...
Nadere informatie2015; definitief Verslag van bevindingen
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Nederweert Postbus 2728 6030AA NEDERWEERT Programma 8 Postbus 90801 2509 LV
Nadere informatieBeveiligingsbeleid Stichting Kennisnet
Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek
Nadere informatieChecklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument
Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.
Nadere informatierliiiiihihhiiiivi.ilhn
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Terneuzen Postbus 35 4530 AA TERNEUZEN rliiiiihihhiiiivi.ilhn Postbus 90801
Nadere informatieInformatiebeveiligingsbeleid SBG
Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding
Nadere informatieNorm 1.3 Beveiligingsplan
Beantwoording vragen zelftest Suwinet oktober 2014 Norm 1.3 Beveiligingsplan De Inspectie SZW beschrijft norm 1.3 als volgt: De gemeente heeft een formeel vastgesteld beveiligingsbeleid en -plan. Het Beveiligingsplan
Nadere informatieInformatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging
Informatiebeveiligings- en privacy beleid Haagsche Schoolvereeniging 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...
Nadere informatieInspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid
'BI t# ". Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Ede Postbus 9022 6710 HK EDE GLD. Programma B Postbus90801 2509
Nadere informatie,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Bunnik Postbus 5 3980 CA BUNNIK,,i,i,,,i,.,i i,i ii 09 mrt 2016/0010 Postbus
Nadere informatieGemeente Alphen aan den Rijn
Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid
Nadere informatieDatum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W
OK* Inspectie SZW Ministerie van Sociale Zaken en.. ^1\.-Ŭ Werkgelegenheid ovd > Retouradres Postbus 90801 2509 LV Den Haag M d -1 mo I *y kopie De Gemeenteraad van Boxtel Postbus 10000 5280 DA BOXTEL
Nadere informatiei\ r:.. ING. 1 8 FEB 2016
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid 1111 III III III III * 6SC00-223* > Retouradres Postbus 90801 2509 LV Den Haag College van Burgemeester en Wethouders van de gemeente Langedijk
Nadere informatie... l. " l W «.. W,, Werkgelegenheid. MinisterievanSocialeZakenen 1. Mevr. mr. C. Directeur. ma MDR. Raad, Dalfsen. Geachte
x, 1 r W.~: = ë V InspectieSZW.V 3. St MinisterievanSocialeZakenen 1 Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Dalfsen Postbus Gemeer?raeäin 35 _, 7720 AA DALFSEN..... l. " l Directie
Nadere informatieManagementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C
Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht
Nadere informatie""1. Datum 12 januari 2016 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Den Helder
""1 Inspectie SZW Mmíïtene van Soàaìe Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Den Helder Postbus 36 1760 AA DEN HELDER Stuknummer: AI16.00180 Betreft Onderzoek
Nadere informatieDatum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Haarlem Postbus 511 2003 PB HAARLEM. L.,.l l l.l ll, l. l Datum 0 6HAARI 2015
Nadere informatieVOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatieInformatiebeveiligingsbeleid
Informatiebeveiligingsbeleid Inleiding Als zorginstelling is Profila Zorg verantwoordelijk voor goede en veilige zorg aan haar cliënten. Bij het uitvoeren van deze taak staat het leveren van kwaliteit
Nadere informatieVerbeterplan Suwinet
Verbeterplan Suwinet Inhoudsopgave 1. Aanleiding... 3 2. Verbeterpunten Suwinet... 4 2.1 Informatiebeveiligingsbeleid... 4 2.2 Uitdragen van het beleid... 4 2.3 Functiescheiding... 4 2.4 Security Officer...
Nadere informatieInformatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard
Stichting Samenwerkingsverband Passend Primair Onderwijs Hoeksche Waard Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard Vastgesteld door het dagelijks bestuur d.d. 18 december
Nadere informatieInformatiebeveiligingsbeleid
Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld
Nadere informatieBEWERKERSOVEREENKOMST
BEWERKERSOVEREENKOMST tussen [naam opdrachtgever] & [naam opdrachtnemer] Behoort bij overeenkomst: Versie document: Status document: Datum [ ] [ ] [concept/definitief] [dd/mm/jj] Alle tussen haken geplaatste
Nadere informatier'h'hil-lli'h'i'-i'l-ll-ll-ll
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Albrandswaard Postbus 1000 3160 GA RHOON r'h'hil-lli'h'i'-i'l-ll-ll-ll reg.
Nadere informatieInformatiebeveiliging
Informatiebeveiliging HKZ, november 2016 Wie ik ben: adviseur/trainer/qarebase begeleiden bij kwaliteitsmanagement en certificering Lead Auditor Kiwa, o.a. HKZ, ISO 9001, ZKN, VMS, NEN 7510 en NEN-ISO
Nadere informatieInformatiebeveiligings- en privacy beleid
Informatiebeveiligings- en privacy beleid 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN... FOUT! BLADWIJZER
Nadere informatieDocumentnummer: : Eindnotitie implementatie privacy
Eindnotitie implementatie privacy Afdeling Bedrijfsvoering, team Advies en Middelen 2016 1 Inhoudsopgave 1. Inleiding.3 2. Resultaten.3 3. Documenten.4 4. Implementatie.5 4.1 Training voor het sociaal
Nadere informatieDatum 17 februari 2016 Betreft Definitief verslag van bevindingen onderzoek Veilig gebruik Suwinet 2015
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag College van Burgemeester en Wethouders van de gemeente Montferland Postbus 47 6940 BA DIDAM komen:
Nadere informatieMPGR12011042014440279 GR1 20.04.2011 0279. drs. F.P. Smilde
MPGR12011042014440279 GR1 20.04.2011 0279 ^Ó^ Deloitte Accountants B.V. Wilhelminakade 1 3072 AP Rotterdam Postbus 2031 3000 CA Rotterdam Tel: (088) 2882888 Fax: (088) 2889830 www.deloitte.nl Aan de directie
Nadere informatieVerklaring van Toepasselijkheid
Verklaring van Toepasselijkheid Parantion Groep B.V. ISO27001:2013 Verklaring van toepasselijkheid_openbaar Extern vertrouwelijk Versie: 3.0 Parantion Groep B.V. Pagina 1 van 9 Datum: maart 2016 Document
Nadere informatieStrategisch Informatiebeveiligingsbeleid Hefpunt
Strategisch Informatiebeveiligingsbeleid Hefpunt Groningen, 24-5-2016 Classificatie: intern Wijzigingshistorie Release Datum Auteur(s) Aanpassing 2016 0.1 24-05- 2016 2016 0.2 01-06- 2016 L. Winters J.
Nadere informatieVerklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid
Beveiligingsbeleid 5,1 Informatiebeveiligingsbeleid 5.1.1 Beleidsdocument voor informatiebeveiliging 5.1.2 Beoordeling van het informatiebeveiligingsbeleid Organiseren van informatiebeveiliging 6,1 Interne
Nadere informatieChecklist Beveiliging Persoonsgegevens
Checklist Beveiliging Persoonsgegevens Beveiliging is een één van de belangrijkste vereisten binnen het privacyrecht. Iedere organisatie zal passende technische en organisatorische maatregelen moeten treffen
Nadere informatieBijlage 2 Beveiligingsplan. Informatiebeveiliging
Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal
Nadere informatieInformatiebeveiliging als proces
Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl
Nadere informatieInformatiebeveiliging en Privacy; beleid CHD
Informatiebeveiliging en Privacy; beleid CHD 2018-2020 Vastgesteld MT 19 december 2017 Stichting Centrale Huisartsendienst Drenthe Postbus 4091 9400 AK Assen 2 1 Inleiding De CHD is een zorginstelling
Nadere informatieOnderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799
Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere
Nadere informatiePrivacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers
Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende
Nadere informatieReglement bescherming persoonsgegevens Nieuwegein
CVDR Officiële uitgave van Nieuwegein. Nr. CVDR339387_1 22 mei 2018 Reglement bescherming persoonsgegevens Nieuwegein Het college van de gemeente Nieuwegein; Gelet op de Wet bescherming persoonsgegevens
Nadere informatie~n~+v.: Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid
t.ahl {l_.,_ 1Sk'? \ ~\,A. 130 ~n~+v.: Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid INGEKOMEN 1 0 FEB 2016 Gemeente Heusden > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad
Nadere informatieVerwerkingsstatuut AVG
Verwerkingsstatuut AVG Dit Verwerkersstatuut maakt - evenals de algemene voorwaarden - integraal onderdeel uit van iedere overeenkomst inzake diensten tussen Volkshuisvestingsraad Zuidwest en haar wederpartij.
Nadere informatiePreview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens
Preview Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens Wordt na goedkeuring van de wet BRP vervangen door Beheerregeling Basisregistratie Personen Gemeentelijk Efficiency Adviesbureau
Nadere informatie: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie
: Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen
Nadere informatieBewerkersovereenkomst
Bewerkersovereenkomst Datum: 25-04-2015 Versie: 1.1 Status: Definitief Bewerkersovereenkomst Partijen De zorginstelling, gevestigd in Nederland, die met een overeenkomst heeft gesloten in verband met het
Nadere informatieSecurity Health Check
Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security
Nadere informatieVoorstel Informatiebeveiliging beleid Twente
Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)
Nadere informatienotities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo
notities Versie: versie datum Onderwerp Aan CC Van Hans Wolters 29 januari 2016 c-n-hawo-0004-20160129 HaWo 1. Leveringsvoorwaarden 1.1. Algemene gegevens ISC Het ICT Servicecentrum (ISC) is voor de Radboud
Nadere informatieBLAD GEMEENSCHAPPELIJKE REGELING
BLAD GEMEENSCHAPPELIJKE REGELING Officiële uitgave van de gemeenschappelijke regeling Werk en Inkomen Lekstroom Nr. 539 18 september 2017 Reglement Bescherming persoonsgegevens Werk en Inkomen Lekstroom
Nadere informatieInformatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum
Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum 1 1 Inleiding Informatie en ict zijn noodzakelijk in de ondersteuning van het onderwijs. Omdat we met persoonsgegevens (van onszelf, leerlingen
Nadere informatieEen checklist voor informatiebeveiliging
Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele
Nadere informatieVerantwoordingsrichtlijn
Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling
Nadere informatieInformatiebeveiligingsbeleid
Informatiebeveiligingsbeleid 2016-2017 Strategisch beleid Versie 1.0 Datum Januari 2016 Auteur Specialist Informatiebeveiliging Inhoudsopgave 1. Inleiding... 4 1.1 Doel van dit document... 4 1.2 Informatiebeveiliging...
Nadere informatieInformatiebeveiligingsplan
Voorwoord Het, de en de vallen elk onder een verschillend bevoegd gezag. Op het niveau van bestuur en intern toezicht is er sprake van een zogeheten personele unie: de directeur-bestuurder van het is tevens
Nadere informatieBELEIDSDOCUMENT INFORMATIEBEVEILIGING VOOR HET MINISTERIE VAN ECONOMISCHE ZAKEN. Directie POI Afdeling R&B. Vastgesteld door SG: Datum: 15 mei 2001
BELEIDSDOCUMENT INFORMATIEBEVEILIGING VOOR HET MINISTERIE VAN ECONOMISCHE ZAKEN Directie POI Afdeling R&B Vastgesteld door SG: Datum: 15 mei 2001 Handtekening: 1 INHOUD 1 INLEIDING... 4 1.1 BELANG VAN
Nadere informatieBeleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom
Gemeente 's-hertogenbosch Definitief s-hertogenbosch, 30-10-2015 A. Kieboom 1 Projectidentificatie Projectnaam: Status: Beleid Informatieveiligheid Definitief Documenthistorie Status Datum Versie Auteur(s)
Nadere informatieSeminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging
Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging
Nadere informatieBeknopt overzicht van bedreigingen en maatregelen
Beknopt overzicht van bedreigingen en maatregelen Dit voorbeelddocument omvat een beknopt overzicht van bedreigingen en maatregelen. De opgesomde componenten, bedreigingen en maatregelen zijn bedoeld om
Nadere informatieBesluit van het college van burgemeester en wethouders van de gemeente Oegstgeest houdende regels voor Basisregistratie Personen Beheerregeling BRP
CVDR Officiële uitgave van Oegstgeest. Nr. CVDR600609_1 15 december 2016 Besluit van het college van burgemeester en wethouders van de gemeente Oegstgeest houdende regels voor Basisregistratie Personen
Nadere informatieVERWERKERSOVEREENKOMST. tussen INFOGROEN SOFTWARE B.V.
VERWERKERSOVEREENKOMST tussen INFOGROEN SOFTWARE B.V. &. Pagina 1 van 6 ONDERGETEKENDEN: 1. De besloten vennootschap Infogroen Software B.V. statutair gevestigd en kantoorhoudende te (2391 PT) Hazerswoude
Nadere informatieBIJLAGE 2: BEVEILIGINGSBIJLAGE
BIJLAGE 2: BEVEILIGINGSBIJLAGE De Verwerker is overeenkomstig de AVG en artikel 7 en 8 Verwerkersovereenkomst verplicht passende technische en organisatorische maatregelen te nemen ter beveiliging van
Nadere informatieDerden-mededeling Overstapservice Onderwijs
Mededeling over de betrouwbaarheid van de Overstapservice Onderwijs Onlangs heeft Infoseccon BV een rapport over het geautomatiseerde systeem van Overstapservice Onderwijs (OSO) uitgebracht. Infoseccon
Nadere informatieISO 27001:2013 INFORMATIE VOOR KLANTEN
ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en
Nadere informatie1. Beveiligingsbijlage
Bijlage 2 1. Beveiligingsbijlage 1.1 Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang
Nadere informatieInformatiebeveiligings- en privacy beleid (IBP)
Informatiebeveiligings- en privacy beleid (IBP) Versie: 25 mei 2018 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...
Nadere informatieVoortgangsrapportage
Rechtmatigheid Wat hebben we bereikt? Voortgangsrapportage Rechtmatigheid Stand van zaken per 1 juli Behoort bij brief met kenmerk - 50651 Voortgangsrapportage Rechtmatigheid, juli 1 FASE 1 WET EN REGELGEVING
Nadere informatiePlan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP)
Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Samenvatting De minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft in de Tweede Kamer toegezegd de broncode
Nadere informatieHRM in GDPR. 06 feb 2017 Gent. Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo. V-ICT-OR Vlaamse ICT Organisatie
HRM in GDPR Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo 06 feb 2017 Gent V-ICT-OR Vlaamse ICT Organisatie 16 stappen (roadmap) voor de implementatie (Algemene Verordening Gegevensbescherming)
Nadere informatieVerwerkersovereenkomst Openworx
Verwerkersovereenkomst Openworx Partijen Openworx, gevestigd te Weert en ingeschreven bij de Kamer van Koophandel onder nummer 14129365, hierna te noemen: Verwerker ; En De klant met wie de Hoofdovereenkomst
Nadere informatiePrivacyverklaring voor opdrachtgevers
Privacyverklaring voor opdrachtgevers Inhoudsopgave 1. Inleiding... 2 2. Van wie we persoonsgegevens verwerken... 2 3. Waarom wij gegevens verzamelen... 2 4. Door ons verwerkte gegevens... 2 4.1. Door
Nadere informatieIvo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG
Post Bits of Freedom Bank 55 47 06 512 M +31 613380036 Postbus 10746 KvK 34 12 12 86 E ton.siedsma@bof.nl 1001 ES Amsterdam W https://www.bof.nl Ivo Opstelten Minister van Veiligheid en Justitie Postbus
Nadere informatieEen OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland
OVER OOSTZAAN Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland WORMERLAND. GESCAND OP 13 SEP. 2013 Gemeente Oostzaan Datum : Aan: Raadsleden gemeente Oostzaan Uw BSN : - Uw brief van :
Nadere informatieBIJLAGE behorende bij ISO/IEC 27002: 2013 Grafimedia
BIJLAGE behorende bij ISO/IEC 27002: 2013 Grafimedia Onderdeel van de Certificatienorm Informatiebeveiliging Uitgave van de Stichting Certificatie Creatieve Industrie (SCCI) Noodzaak Bijlagen behorende
Nadere informatieDefinitieve versie d.d. 24 mei Privacybeleid
Definitieve versie d.d. 24 mei 2018 Privacybeleid Procedure: MT/DB besluit d.d. 24 mei 2018 INLEIDING Binnen Rentree wordt gewerkt met persoonsgegevens van huurders, medewerkers en (keten)partners. Persoonsgegevens
Nadere informatieHoe operationaliseer ik de BIC?
Hoe operationaliseer ik de BIC? Baseline Informatiebeveiliging Corporaties UTRECHT, 14 November 2017. Code voor Informatiebeveiliging NEN/ISO 27001; Informatietechnologie - Beveiligingstechnieken - Managementsystemen
Nadere informatieProtocol melding en afhandeling beveiligings- of datalek, versie oktober 2018
Protocol melding en afhandeling beveiligings- of datalek, versie 1.1 19 oktober 2018 1 Protocol Melding en afhandeling beveiligings- of datalek 1. Inleiding De achtergrond van deze procedure is de Meldplicht
Nadere informatieBIJLAGE 2: BEVEILIGINGSBIJLAGE LEARNBEAT
BIJLAGE 2: BEVEILIGINGSBIJLAGE LEARNBEAT Omschrijving van de maatregelen zoals bedoeld in artikel 7 Verwerkersovereenkomst I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel
Nadere informatieChecklist voor controle (audit) NEN 4000
Rigaweg 26, 9723 TH Groningen T: (050) 54 45 112 // F: (050) 54 45 110 E: info@precare.nl // www.precare.nl Checklist voor controle (audit) NEN 4000 Nalooplijst hoofdstuk 4 Elementen in de beheersing van
Nadere informatieInformatieveiligheid in de steiger
29e sambo-ict conferentie Graafschap College Donderdag 16 januari 2014 Informatieveiligheid in de steiger André Wessels en Paul Tempelaar Informatieveiligheid en Risicomanagement Agenda Introductie Borging
Nadere informatieOlde Bijvank Advies Organisatieontwikkeling & Managementcontrol
SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden
Nadere informatieCharco & Dique. Trustkantoren. Risk Management & Compliance. DNB Nieuwsbrief Trustkantoren
Trustkantoren DNB Nieuwsbrief Trustkantoren Sinds 2012 publiceert De Nederlandsche Bank (DNB) drie keer per jaar de Nieuwsbrief Trustkantoren. Zij publiceert de Nieuwsbrief Trustkantoren om de wederzijdse
Nadere informatieBeleid inzake belangenconflicten Brand New Day Bank N.V. BND.VW.PRB
Beleid inzake belangenconflicten Bank N.V. BND.VW.PRB.19122017 Versie 5 december 2017 Inhoud 1 Inleiding... 3 2 Taken en verantwoordelijkheden... 3 3 Identificatie van (potentiële) belangenconflicten...
Nadere informatieInformatiebeveiligingsbeleid
Informatiebeveiligingsbeleid Inhoudsopgave 1 Goedkeuring informatiebeveiligingsbeleid en distributie (BH1) 2 2 Inleiding 2 2.1 Toelichting 2 2.2 Definitie van informatiebeveiliging 2 2.3 Samenhang tussen
Nadere informatieInformatiebeveiliging- en privacy beleid (IBP)
2017 Informatiebeveiliging- en privacy beleid (IBP) Bron: sambo-ict Kennisnet Willem de Zwijger College INHOUD 1 Inleiding... 2 1.1 Informatiebeveiliging en privacy... 2 2 Doel en reikwijdte... 3 3 Uitgangspunten...
Nadere informatieMeldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma
Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma Samenvatting Er zijn een aantal belangrijke wijzigingen doorgevoerd in de wetgeving met betrekking tot de privacy van
Nadere informatieDe hierna en hiervoor in deze Bewerkingsovereenkomst vermelde, met een hoofdletter geschreven begrippen, hebben de volgende betekenis:
1 De ondergetekenden: 1. De Staat der Nederlanden, waarvan de zetel is gevestigd te Den Haag, te dezen vertegenwoordigd door de Minister/Staatssecretaris van (naam portefeuille), namens deze, (functienaam
Nadere informatieToelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC
Toelichting NEN7510 Informatiebeveiliging in de zorg Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC Inhoud Toelichting informatiebeveiliging Aanpak van informatiebeveiliging
Nadere informatie4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden. 4.3 Het toepassingsgebied van het milieumanagementsystee m vaststellen
4 Context van de organisatie 4 Milieumanagementsysteemeisen 4.1 Inzicht in de organisatie en haar context 4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden 4.3 Het toepassingsgebied
Nadere informatieCompliance charter Stichting Pensioenfonds van de ABN AMRO Bank N.V.
Compliance charter Stichting Pensioenfonds van de ABN AMRO Bank N.V. [geldend vanaf 26 september 2018, PF18-177] Artikel 1 Definities De definities welke in dit compliance charter worden gebruikt, worden
Nadere informatieInformatiebeveiligingsplan Dentpoint Centrum voor Mondzorg
Informatiebeveiligingsplan Praktijkadres Silvoldseweg 29a 7061 DL Terborg Praktijkadres De Maten 2 7091 VG Dinxperlo Praktijkadres F.B. Deurvorststraat 40 7071 BJ Ulft Bijlage 1 Inhoud Informatiebeveiligingsplan
Nadere informatieVerwerkersovereenkomst
Pagina 1 van 6 Verwerkersovereenkomst Bedrijfsnaam:., gevestigd aan Straat + Nummer:., Postcode + Plaats:, ingeschreven bij de KvK onder nummer:...., in deze rechtsgeldig vertegenwoordigd door de heer/mevrouw:...,
Nadere informatieAgendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.
Ter info (AB) Afdeling: Team: Bedrijfsbureau Beh.door: Bos, M.G. Port.houder: DB, Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Memo Informatiebeveiliging Inleiding Met
Nadere informatieNEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR
NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR Theo de Breed Standards and Regulations 1 Agenda AVG voorbereiding in 10 stappen (Bron: AP) Praktische invulling door gebruik van
Nadere informatieOfficiële uitgave van het Koninkrijk der Nederlanden sinds Autoriteit Consument en Markt en Stichting Autoriteit Financiële Markten,
STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 14473 26 mei 2014 Samenwerkingsprotocol tussen Autoriteit Consument en Markt en Stichting Autoriteit Financiële Markten
Nadere informatieProgramma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017
Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet Webinar, 28 juni 2017 Agenda Algemeen: verschillen oude en nieuwe normenkader Relatie met ENSIA Highlights Norm voor norm
Nadere informatieICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden
Drechtsteden Technische Architectuur (DTA) ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden Status : Definitief 1.0 Redactie : DTA Datum : 29-08-2007 1 Versiebeheer
Nadere informatie