Informatiebeveiligingsbeleid ICTU

Save this PDF as:
 WORD  PNG  TXT  JPG

Maat: px
Weergave met pagina beginnen:

Download "Informatiebeveiligingsbeleid ICTU"

Transcriptie

1 ICTU ICTU als betrouwbare partner Auteur Documentnr Versie Koos van der Spek Docnr B / Definitief Datum Wilhelmina van Pruisenweg AN Den Haag Postbus AA Den Haag (T) (E) (W)

2 Voorwoord Omvang 12 pagina's ICTU werkt aan een digitale overheid. Een overheid die met ICT in staat is te anticiperen op maatschappelijke vraagstukken. Waarbij het gaat om verbetering van de dienstverlening van de overheid. Daar draagt ICTU aan bij. In projecten, vanuit vakmanschap, met hart voor de publieke zaak en zonder winstdoel. Altijd met resultaat voor de opdrachtgever én eindgebruiker voor ogen. Met concrete oplossingen en herbruikbare resultaten. ICTU wil een betrouwbare partner zijn voor haar opdrachtgevers en daar hoort een goede informatiebeveiliging bij. Het gaat daarbij niet alleen om de informatie die ICTU zelf verwerkt, maar ook om de informatiesystemen die ICTU helpt te implementeren voor haar opdrachtgevers. Professionele aandacht voor informatiebeveiliging en privacy is daar onderdeel van. Dit informatiebeveiligingsbeleid richt zich op de aantoonbaar veilige omgang met informatie binnen ICTU. Daarbij gaat het om de vertrouwelijkheid, integriteit en beschikbaarheid van die informatie. Het beleid heeft betrekking op het veilig voortbrengen en beheren van informatiesystemen waarin gevoelige gegevens worden verwerkt. Dit wordt vorm gegeven in richtlijnen, standaarden (baselines) en procedures. Het geheel draagt zo bij aan onze positie als betrouwbare partner. Informatiebeveiliging komt tot uiting in systemen en procedures. Meer nog dan dat blijkt de goede zorg voor informatiebeveiliging uit ons dagelijks handelen: in het tonen van risicobewustzijn en van verantwoordelijk gedrag. In de omgang met informatie binnen ICTU zelf èn in de zorg richting opdrachtgevers. Niet alleen in raad, maar ook in daad. Door het voorbeeld dat we zelf geven, en ook door elkaar scherp te houden, aan te spreken en te bevragen. De directie van ICTU heeft daarin een voorbeeldfunctie. Het eindresultaat wordt bepaald door het gedrag van iedere ICTU medewerker. Informatiebeveiliging is immers een zaak van ons allemaal. Namens het Directieteam André Regtop Directeur 2/

3 Documentbeheer Documenthistorie Datum Versie Auteur Opmerking René van den Asssem Ter review Koos van der Spek René van den Assem Verwerking review Koos Koos van der Spek Update Koos van der Spek Update n.a.v. opmerkingen Japke Koos van der Spek Eindconcept t.b.v. DT Koos van der Spek Definitieve versie Goedkeuring Datum Versie Goedgekeurd door Opmerking André Regtop Vastgestelde versie 3/

4 1 Inleiding Missie en Visie ICTU Doel van dit document Scope Documentstructuur informatiebeveiliging Evaluatie Strategie informatiebeveiliging Bestuurlijk kader informatiebeveiliging /

5 1 Inleiding 1.1 Missie en Visie ICTU ICTU werkt in opdracht van overheden aan vraagstukken met een overheidsbreed karakter die een ICT component hebben. Het doel van ICTU is om overheden te ondersteunen hun doelstellingen optimaal te realiseren. ICTU wil zich hierin onderscheiden door het realiseren van concrete oplossingen die bijdragen aan de dienstverlening van de overheid aan burgers en bedrijven. ICTU vervult daarbij een belangrijke maatschappelijke bijdrage omdat die oplossingen veelal maatschappelijk relevant zijn. Daarnaast heeft ICTU in haar dagelijkse activiteiten steeds meer te maken met toenemende digitalisering en tijd- en plaatsonafhankelijk werken en hecht er veel waarde aan dit voor haar eigen medewerkers optimaal te faciliteren. Om deze missie van ICTU te realiseren streeft ICTU naar een positie als de geprefereerde en betrouwbare partner voor overheden, als het om uitvoering van projecten met een ICT-component gaat. Een goede informatiebeveiliging is daarbij een essentiële voorwaarde om deze positie als partner te verkrijgen en te handhaven. Een betrouwbare partner gaat immers bewust en zorgvuldig om met de toevertrouwde informatie. Bovendien moet zo n betrouwbare partner zorgen voor oplossingen, waarin de informatiebeveiliging en de privacy goed zijn geregeld. ICTU als betrouwbare partner ontzorgt haar opdrachtgevers op dat gebied. Een juiste vormgeving en invulling van Informatiebeveiliging is gezien de aard van de activiteiten van ICTU dan ook geen moeten : het is een intrinsieke ambitie omdat het ICTU ondersteunt bij het daadwerkelijk realiseren van haar organisatiedoelstellingen. Daarbij versterken de interne informatiebeveiliging en de informatiebeveiliging op opdrachten elkaar. Door kennis uit opdrachten te delen en gebruik te maken van die kennis in de interne informatiebeveiliging en vice versa zullen cybercrime en cyberrisico s ook minder snel leiden tot veiligheidsinbreuken bij ICTU en haar opdrachtgevers. 1.2 Doel van dit document Het doel van dit beleidsdocument is het vaststellen van de organisatie en het proces van beheersing van informatiebeveiliging binnen ICTU en het geven van kaders voor informatiebeveiliging. Het legt daarmee een basis voor een betrouwbare informatievoorziening. 1.3 Scope Het informatiebeveiligingsbeleid is van toepassing op alle informatie van ICTU en alle personen, processen en (geautomatiseerde) systemen die deze informatie verwerken of raadplegen. De volgende specifieke doelgroepen worden onderscheiden: alle interne en externe medewerkers van ICTU; opdrachtgevers; ketenpartners en leveranciers. Dit beleid geldt voor alle besturende, uitvoerende en ondersteunende processen met betrekking tot informatie en de daarmee gerelateerde bedrijfsmiddelen zoals data, verwerkende systemen, opslag media, medewerkers, materiële ondersteuning, fysieke omgeving en organisatie. Dit beleid definieert de verplichte beheersmaatregelen voor informatiebeveiliging voor heel ICTU. Het beleid definieert ook de beheersmaatregelen die gelden wanneer ICTU met externe partijen informatie uitwisselt. 5/

6 1.4 Documentstructuur informatiebeveiliging De documentstructuur voor informatiebeveiliging bestaat uit de volgende onderdelen: Het informatiebeveiligingsbeleid geeft kaders en principes voor informatiebeveiliging bij ICTU. Het definieert rollen en verantwoordelijkheden voor informatiebeveiliging en geeft de randvoorwaarden met betrekking tot de implementatie van informatiebeveiligingsmaatregelen. De Chief Information Security Officer (CISO) is primair verantwoordelijk voor de totstandkoming van het informatiebeveiligingsbeleidsdocument. De directie stelt het beleid vast. Normenkader Het normenkader is een algemene uitwerking van één of meerdere beleidsregels naar informatiebeveiligingseisen. Dit betreft eisen op zowel fysiek, technisch, organisatorisch als procedureel gebied. Deze eisen zijn ontleend aan de Baseline Informatiebeveiliging Rijksdienst 2012 (BIR). De CISO is in nauwe afstemming met het management van ICTU verantwoordelijk voor de totstandkoming van dit normenkader. Voorschriften, richtlijnen, procedures en werkinstructies Voorschriften, richtlijnen, procedures en werkinstructies geven een nadere detaillering voor beveiligingsmaatregelen op fysiek, technisch, organisatorisch en procedureel gebied. Deze beveiligingsmaatregelen zijn afgeleid uit de BIR-eisen van het normenkader. De CISO ondersteunt en adviseert bij het opstellen van voorschriften, richtlijnen, procedures en werkinstructies. Het lijnmanagement is verantwoordelijk voor de invoering van de maatregelen. Zie onderstaande figuur voor deze opbouw. Strategisch Beveiligingsbeleid Strategisch kader Tactisch Normenkader Baseline Informatiebeveiliging ICTU Tactisch kader Operationeel Voorschriften Procedures Werkinstructies Operationeel kader Figuur 1: Documentstructuur informatiebeveiliging 1.5 Evaluatie Dit wordt elke twee jaar geëvalueerd door de interne auditor. 6/

7 2 Strategie informatiebeveiliging ICTU wenst een belangrijke ICT dienstverlener te zijn voor en door de overheid en positioneert zich daarbij nadrukkelijk als betrouwbare partner richting haar opdrachtgevers. Partner, want ICTU heeft bij uitstek de expertise in huis om haar opdrachtgevers bij te staan bij de ontwikkeling en introductie van ICT in nieuwe domeinen en toepassingen. Deze toepassingen worden in voorkomende gevallen gebruikt om vertrouwelijke en/of privacygevoelige informatie van burgers en bedrijfsleven te verwerken. De maatschappelijke impact op het lekken van deze vertrouwelijke informatie en/of privacygevoelige informatie kan hierbij zeer groot zijn. De beheersing van de risico s, die aan de ontwikkeling en introductie van dergelijke maatschappelijk in te zetten voorzieningen kleven, behoren dan ook tot een onderwerp waarop de ICTU een zorgplicht heeft jegens haar opdrachtgevers. Gezien in het licht van toenemende cyberrisico s is dit geen sinecure. Betrouwbaar. De opdrachtgevers moeten op ICTU kunnen rekenen, niet alleen voor een professionele manier van ontwikkelen van systemen, maar ook voor het op de juiste wijze integreren van beveiliging in deze systemen en programmatuur. Professionele risicobeheersing, dat wil zeggen een risicogebaseerde aanpak om tot een optimale beveiliging te komen hoort hier bij. Dit betreft het in opdrachten voorspellen en beheersen van ongewenste effecten van de introductie van ICT in bepaalde toepassingen in het algemeen en van ongewenste effecten voor security en privacy in het bijzonder. Daarnaast is dit de basis voor security en privacy van de interne processen en het vertrouwen in de eigen omgang met informatie door ICTU. Daarbij hanteert ICTU het principe van delen van informatie tenzij. Vakkundigheid is een ander aspect van betrouwbaar partnerschap. ICTU draagt zorg voor de juiste expertise in huis om ICT systemen/applicaties veilig te ontwerpen, ontwikkelen en beheren, waarbij de risico s voor security en privacy tot aanvaarbare proporties zijn teruggebracht. ICTU brede elementen daarbij zijn: Houding en gedrag Kennis en kunde Processen en organisatie De houding van alle ICTU-medewerkers (intern en extern) in alle situaties (interne processen en opdrachten) is dat informatie een kostbaar goed is dat zorgvuldige omgang behoeft. Medewerkers stralen dit uit in hun gedrag. Voor de interne processen is de strategie gericht op het huis op orde te hebben: ICTU heeft de informatiebeveiliging georganiseerd en belegd; ICTU heeft richtlijnen en standaarden (baselines). Daarbij vormt de Baseline Informatiebeveiliging Rijksdienst 2012 (BIR) de basis voor de ICTU baseline; ICTU heeft een werkend management systeem voor informatiebeveiliging, in vaktaal ook wel Information Security Management System (ISMS) genoemd. Dit behelst een set van werkafspraken om informatiebeveiliging binnen ICTU te beheersen en onderdeel te laten zijn van periodieke management rapportages. ICTU zal dit zo optimaal mogelijk invullen, waarbij als uitgangspunt wordt gehanteerd niet meer dan nodig. Er wordt voor elke afdeling of verantwoordelijkheidsgebied een analyse gemaakt van de risico s en de informatie. Deze analy- 7/

8 se kan stoppen bij de conclusie dat voor de genoemde afdeling of verantwoordelijkheidsgebied kan worden volstaan met de ICTU Baseline. Waar dat niet het geval is worden de bij de risico s passende aanvullende maatregelen beschreven in een informatiebeveiligingsplan. Informatiebeveiliging is bij ICTU een integraal onderdeel van de management cyclus. Dat wil ondermeer zeggen dat risicoanalyses, informatiebeveiligingsplannen en besluiten om af te wijken van het beleid worden vastgesteld in de normale managementgremia van ICTU, met name het DT- en het MT-overleg; ICTU heeft in relatie met haar (belangrijkste) stakeholders ook aandacht voor beveiliging en privacy en maakt hierover afspraken met samenwerkende partijen en dienstverleners; ICTU heeft haar incident management ingericht. Hiervoor worden ook externe contacten onderhouden, ondermeer met leveranciers maar ook met opdrachtgevers waar het gaat om het beheer van informatiesystemen die in productie zijn. Dit doet ICTU om de diverse type incidenten adequaat te kunnen beheersen als die zich onverhoopt voordoen. Waar nodig wordt hiervoor geoefend. Voor de informatiebeveiliging op opdrachten is de strategie gericht op: Het sturen op een goede balans tussen opdrachtgever bepaalt en zorgplicht van ICTU ; Het uitvoeren van een risicoanalyse, als onderdeel van de intake van een opdracht; Het monitoren van de risico s voor informatiebeveiliging en privacy gedurende de uitvoering van een opdracht en het (doen) treffen van adequate beheersingsmaatregelen op het project door opdrachtgever en projectmanager; Het rapporteren over risico s voor informatiebeveiliging van opdrachten in de management cyclus van Delivery Management, met eventuele escalatie naar het DT bij hoge risico s; Kennismanagement: het van elkaar leren, ook waar het gaat over informatiebeveiliging en privacy; Bij het (tijdelijk) beheer van ICT-systemen: het aansturen van operationeel beheer op adequate beveiliging en het verkrijgen van monitoring- en verantwoordingsgegevens voor deze ICT-systemen. Afspraken hierover worden vastgelegd in het contract met betreffende partijen. Aansluiting bij de kwaliteitsbeheersing voor opdrachten is hierbij een belangrijk streven. 8/

9 3 Bestuurlijk kader informatiebeveiliging ICTU hanteert een bestuurlijk kader en principes voor de inrichting en verdere uitwerking van Informatiebeveiliging. Dit kader vormt een leidraad wanneer er zich vraagstukken voordoen op het gebied van Informatiebeveiliging die niet verder zijn uitgewerkt. Dit kader bestaat uit de onderstaande punten. 1. Verantwoordelijkheden, three lines of defense De directie van ICTU is eindverantwoordelijkheid voor een werkend informatiebeveiligingsbeleid binnen ICTU. Informatiebeveiliging heeft een portefeuillehouder in het Directieteam, dit is het hoofd SSC. Er is een CISO functie gecreëerd, die rapporteert aan het hoofd SSC. De CISO is verantwoordelijk voor de coördinatie van de informatiebeveiliging, beleidsvoorbereiding en het geven van ondersteuning en advies op het gebied van informatiebeveiliging. Daarnaast is iedere medewerker verantwoordelijk en aansprakelijk voor de veiligheid van de informatie die aan hem of haar is toevertrouwd. Informatiebeveiliging is binnen de ICTU ingericht conform het gebruikelijke three lines of defense model, waarbinnen onderscheid wordt gemaakt tussen: 1 e lijn: lijnverantwoordelijkheid - Directieteam, lijnmanagers en projectmanagers 2 e lijn: adviserende en ondersteunende verantwoordelijkheid - Chief Information Security Officer 3 e lijn: onafhankelijke controle - Onafhankelijke interne of externe controle op het beleid en de uitvoering daarvan Lijnmanagement en projectmanagement De lijnmanager/projectmanager is verantwoordelijk voor de beheersing van de informatiebeveiligingsrisico s binnen het eigen verantwoordelijkheidsgebied (afdeling, project). Hiertoe voert deze een risicoanalyse uit conform de binnen de ICTU gebruikelijke methode. Rekening houdend met de voor de ICTU geldende voorschriften en standaarden worden dan (aanvullende / specifieke) beveiligingsmaatregelen getroffen en in een informatiebeveiligingsplan vastgelegd, de ICTU Baseline vormt hiervoor de basis. De analyse en het plan worden ter accordering voorgelegd aan het DT, vergezeld van een advies van de CISO. Het lijnmanagement actualiseert risico s en plannen tenminste elke 2 jaar of eerder als significante wijzigingen dat nodig maken. CISO De CISO is een adviserende, coördinerende en ondersteunende functie. De CISO kan gevraagd en ongevraagd adviseren. De CISO zal in het kader van zijn adviesfunctie signaleren wanneer deze ongewenste risico s ziet. Onafhankelijke controle De derde line of defense is de onafhankelijke controle. Deze functie wordt voor de interne organisatie belegd bij de concerncontroller van de ICTU. Voor de onafhankelijke controle wordt jaarlijks een audit-agenda opgesteld door de concerncontroller in overleg met de CISO. 9/

10 2. Basisbeveiligingsniveau ICTU hanteert een beschreven basisniveau van Informatiebeveiliging, de ICTU Baseline. Dit basisniveau is afgeleid van de Baseline Informatiebeveiliging Rijksdienst (BIR) Classificatie ICTU heeft een classificatieschema opgesteld waarmee de mate van vertrouwelijkheid van de binnen ICTU aanwezige informatie kan worden aangegeven. Deze classificatie sluit aan bij de gangbare begrippen van de Rijksoverheid en bestaat uit de volgende niveaus: Nr Classificatie Omschrijving 1 Personeelsvertrouwelijk Indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van ICTU en/of haar medewerkers. 2 Commercieel vertrouwelijk Indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van ICTU en /of haar dienstverleners. 3 Departementaal VERTROUWELIJK (Dep-V) 4 Staatsgeheim CONFIDENTIEEL (Stg C) 5 Staatsgeheim GEHEIM (Stg G) 6 Staatsgeheim ZEER GEHEIM (Stg ZG) Indien kennisname door niet geautoriseerden schade kan toebrengen aan de belangen van ICTU en/of één of meerdere ministeries. Indien kennisname door niet geautoriseerden schade kan toebrengen aan één van de vitale belangen van de Staat of zijn bondgenoten Indien kennisname door niet geautoriseerden ernstige schade kan toebrengen aan één van de vitale belangen van de Staat of zijn bondgenoten Indien kennisname door niet geautoriseerden zeer ernstige schade kan toebrengen aan één van de vitale belangen van de Staat of zijn bondgenoten Figuur 2: Classificatieschema ICTU De classificaties 1 t/m 3 zullen bij ICTU het meest voorkomen. De overige Staatsgeheime classificaties komen bij ICTU niet of zeer incidenteel voor. 10/

11 4. Management systeem ICTU heeft een aantoonbaar werkend management systeem (set van werkafspraken) voor informatiebeveiliging. Voor elk verantwoordelijkheidsgebied (afdeling of project) is een risicoanalyse gemaakt, waarin informatie en informatieverwerkende systemen zijn geclassificeerd en waar maatregelen zijn gekozen op basis van een risicoafweging. Restrisico s worden daarbij expliciet geaccepteerd. De uitvoering van deze maatregelen is onderdeel van een PDCA cyclus en wordt jaarlijks herzien. Risico s worden gerapporteerd in een risicomonitor in de relevante managementgremia (MT, DT). Er wordt gebruik gemaakt van een gestandaardiseerde methode voor de uitvoering van risicoanalyses. 5. Balans Beveiligingsmaatregelen zijn wat inspanning en kosten betreft in balans met het te beschermen belang of waarde. ICTU wil nadrukkelijk ook flexibel en modern blijven. Inzet van moderne ICTmiddelen en voorzieningen of diensten moet mogelijk zijn, tenzij het duidelijk is dat dit niet verenigbaar is met een adequate beveiliging. 6. Eigenaarschap Alle processen, applicaties en generieke infrastructuur (fysiek en informatie) hebben één formele eigenaar. Dit geldt ook voor een combinatie van processen in een keten. 7. Efficiency en restrisico Risico s worden beperkt tot een aanvaardbaar niveau. Het aanvaardbare niveau wordt vastgesteld door de eigenaar van het proces, applicatie of generieke infrastructuur met ondersteuning door de CISO. Het restrisico wordt expliciet gemaakt en geaccepteerd. Geaccepteerde restrisico s worden gerapporteerd in de normale managementcyclus. 8. Beveiligingsbewustzijn Beveiligingsbewustzijn leidt op ieder niveau binnen de organisatie tot medewerkers die zich bewust zijn welke risico s ICTU kan lopen, weten voor welke risico's zij verantwoordelijk zijn en hoe en waarom zij de gewenste beheersmaatregelen uit moeten voeren. De directie van ICTU draagt zorg voor bewustzijnsbevorderende activiteiten. De CISO en het lijnmanagement dragen de boodschap uit en houden het bewustzijn onder de medewerkers levend. Beveiligingsbewustzijn is geen eenmalige zaak, maar een doorlopende actie, mede gegeven de vele wisselingen van medewerkers bij de ICTU. In het introductieprogramma voor alle nieuwe medewerkers is er aandacht voor informatiebeveiliging. 9. Toegang ICTU hecht er veel waarde aan om intern kennis te delen. Inhoudelijke informatie uit projecten zal daarom in de regel openbaar zijn en zelfs actief worden gedeeld, waarbij het principe geldt Informatie is vrij toegankelijk voor iedereen, tenzij. Tenzij, want er is ook informatie waarop een meer restrictieve verspreiding van toepassing is. Dat betreft alle informatie die de bedrijfsvoering van de ICTU betreft, zoals personele (privacy) en commercieel gevoelige informatie. Maar ook de managementinformatie van opdrachten (afwijkingen, financiën, voortgang) zijn alleen op need to know basis beschikbaar. Met name is dat relevant voor opdrachten die op meer dan gemiddelde politieke belangstelling mogen rekenen. De toekenning van rechten is hierop aangepast. 11/

12 10. Comply or Explain Daar waar een afdeling afwijkt van vastgesteld beleid of standaarden, legt het management van die afdeling dit vast in een formele verklaring. De verklaring bevat een risico-inschatting van de afwijking en de mogelijke consequenties en dit wordt aan de CISO voorgelegd. De CISO stelt een advies op en biedt deze samen met de verklaring van de afwijking aan het DT aan ter besluitvorming. 11. Flexibel werken, Bring Your Own Device (BYOD) ICTU vindt het belangrijk dat haar medewerkers flexibel kunnen werken. Thuis werken of op locaties buiten ICTU moet op een veilige manier kunnen worden gefaciliteerd. In het kader van flexibel werken is het ook mogelijk dat medewerkers gebruik maken van hun eigen apparatuur (Bring Your Own Device, BYOD). Hiervoor gelden passende regels voor beveiliging, beheer en gebruik. ICTU formuleert deze gebruiksregels en het bijbehorend beheer in een specifieke richtlijn. 12. Cloudvoorzieningen Een bijkomend aspect van flexibel werken is gebruik maken van cloudvoorzieningen die dit op een gebruikersvriendelijke manier faciliteren. Het is de intentie van ICTU om gebruik te maken van bepaalde cloudvoorzieningen mits dit op een verantwoorde en veilige wijze mogelijk is. Het gebruik van cloudvoorzieningen is uitsluitend toegestaan mits er door de CISO een positief advies over dit gebruik is uitgebracht en het DT heeft ingestemd met het voorziene gebruik. ICTU stelt voorschriften voor het toegestane gebruik van cloudvoorzieningen op en de eisen die aan beveiliging van cloudvoorzieningen moeten worden gesteld. 13. Naleving en sancties Iedere medewerker van ICTU handelt in lijn met dit en de daar uit afgeleide maatregelen (gedragscode). 14. Evaluatie Dit beleid zal tenminste elke 2 jaar worden geëvalueerd en bijgesteld, of zoveel eerder als significante veranderingen in de risico s voor ICTU dat nodig maken. 12/

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

BIR comply or explainprocedure

BIR comply or explainprocedure BIR comply or explainprocedure Datum: 7 januari 2014 Versie: 1.0 Inleiding In 2012 is de Baseline Informatiebeveiliging Rijksdienst (BIR) van kracht geworden. De Baseline gaat uit van een comply or explain

Nadere informatie

Gemeente Alphen aan den Rijn

Gemeente Alphen aan den Rijn Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst

Nadere informatie

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen.

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen. FUNCTIEPROFIEL Opdrachtgever: Functienaam: BKR Compliance Officer Security & Risk BKR is een onafhankelijke stichting met een maatschappelijk doel. BKR streeft sinds 1965, zonder winstoogmerk, een financieel

Nadere informatie

Strategisch Informatiebeveiligingsbeleid Hefpunt

Strategisch Informatiebeveiligingsbeleid Hefpunt Strategisch Informatiebeveiligingsbeleid Hefpunt Groningen, 24-5-2016 Classificatie: intern Wijzigingshistorie Release Datum Auteur(s) Aanpassing 2016 0.1 24-05- 2016 2016 0.2 01-06- 2016 L. Winters J.

Nadere informatie

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Implementatie BIR Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

IB-Governance bij de Rijksdienst. Complex en goed geregeld

IB-Governance bij de Rijksdienst. Complex en goed geregeld IB-Governance bij de Rijksdienst Complex en goed geregeld Even voorstellen Carl Adamse Even voorstellen Frank Heijligers Bestaat de Rijksdienst Ministeriële verantwoordelijkheid Grondwet art. 44 lid 1

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Inleiding Als zorginstelling is Profila Zorg verantwoordelijk voor goede en veilige zorg aan haar cliënten. Bij het uitvoeren van deze taak staat het leveren van kwaliteit

Nadere informatie

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie I T S X Understanding the Tools, the Players and the Rules Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie Voorwoord Ralph Moonen Arthur Donkers Mijn naam

Nadere informatie

Informatiebeveiligingsbeleid 2015-2018

Informatiebeveiligingsbeleid 2015-2018 Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen

Nadere informatie

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007 Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Inhoud Aanleiding en Historie VIR 2007 Invoeringsaspecten 2 Aanleiding en historie

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid 2016-2017 Strategisch beleid Versie 1.0 Datum Januari 2016 Auteur Specialist Informatiebeveiliging Inhoudsopgave 1. Inleiding... 4 1.1 Doel van dit document... 4 1.2 Informatiebeveiliging...

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

INFORMATIEVEILIGHEID een uitdaging van ons allemaal

INFORMATIEVEILIGHEID een uitdaging van ons allemaal INFORMATIEVEILIGHEID een uitdaging van ons allemaal FAMO Mini Congres: Harro Spanninga, Peter Keur Agenda Inleiding op informatieveiligheid De opdracht van de taskforce Interactief verankeren van informatieveiligheid

Nadere informatie

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VERSLAG PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Verslag PIA Versienummer 1.0 Versiedatum April 2014

Nadere informatie

Hoe operationaliseer ik de BIC?

Hoe operationaliseer ik de BIC? Hoe operationaliseer ik de BIC? Baseline Informatiebeveiliging Corporaties UTRECHT, 14 November 2017. Code voor Informatiebeveiliging NEN/ISO 27001; Informatietechnologie - Beveiligingstechnieken - Managementsystemen

Nadere informatie

Security Operations Center. CISO: Bob van Graft

Security Operations Center. CISO: Bob van Graft Security Operations Center CISO: Bob van Graft OPENING De digitale toekomst van Nederland is in het geding Onderwijs en bedrijfsleven geven te weinig aandacht aan cybersecurity Het is van groot belang

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie : Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen

Nadere informatie

Compliance Charter. Pensioenfonds NIBC

Compliance Charter. Pensioenfonds NIBC Compliance Charter Pensioenfonds NIBC Vastgesteld in bestuursvergadering 9 december 2016 Inleiding Pensioenfonds NIBC voert de pensioenregeling van NIBC Bank N.V. uit. Het pensioenfonds is een stichting

Nadere informatie

Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein

Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein Strategisch Informatiebeveiligingsbeleid Gemeenten IJsselstein, Montfoort en Nieuwegein Versie: 0.9 (definitief concept) Datum: 18 december 2012 Inhoudsopgave 1. MANAGEMENTSAMENVATTING... 1 2. INTRODUCTIE...

Nadere informatie

ENSIA ROL- EN TAAKBESCHRIJVING VAN GEMEENTELIJKE STAKEHOLDERS

ENSIA ROL- EN TAAKBESCHRIJVING VAN GEMEENTELIJKE STAKEHOLDERS ENSIA ROL- EN TAAKBESCHRIJVING VAN GEMEENTELIJKE STAKEHOLDERS Datum 29 juni 2017 Versie 1 Status: Definitief Inhoud 1 Inleiding 3 2 Taken en verantwoordelijkheden van gemeentelijke stakeholders 4 2.1 College

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Inhoudsopgave 1 Goedkeuring informatiebeveiligingsbeleid en distributie (BH1) 2 2 Inleiding 2 2.1 Toelichting 2 2.2 Definitie van informatiebeveiliging 2 2.3 Samenhang tussen

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk

Nadere informatie

Handreiking functieprofiel Chief Information Security Officer (CISO)

Handreiking functieprofiel Chief Information Security Officer (CISO) Handreiking functieprofiel Chief Information Security Officer (CISO) Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2014 2015 34 200 VIII Jaarverslag en slotwet Ministerie van Onderwijs, Cultuur en Wetenschap 2014 Nr. 11 BRIEF VAN DE MINISTER VAN ONDERWIJS, CULTUUR EN

Nadere informatie

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Ter info (AB) Afdeling: Team: Bedrijfsbureau Beh.door: Bos, M.G. Port.houder: DB, Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Memo Informatiebeveiliging Inleiding Met

Nadere informatie

Internet Beveiliging en Privacy (IBP) Beleid Aloysius

Internet Beveiliging en Privacy (IBP) Beleid Aloysius Internet Beveiliging en Privacy (IBP) Beleid Aloysius Van: Directeur Financiën en Bedrijfsvoering Aan: AMT Datum : 28 maart 2017 Opgesteld door: Thomas Reterink, Bron: Kennisnet Onderwerp: IBP Beleid Doel:

Nadere informatie

Informatiebeveiliging. Beleidsuitgangspunten. Versie 2 (concept)

Informatiebeveiliging. Beleidsuitgangspunten. Versie 2 (concept) Informatiebeveiliging Beleidsuitgangspunten Versie 2 (concept) 1 1. INLEIDING... 4 1.1 Inleiding... 4 1.2 Aanleiding... 4 1.3 Wat is informatiebeveiligingsbeleid... 4 1.4 Doelgroep... 5 1.5 Eindverantwoordelijkheid...

Nadere informatie

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom Gemeente 's-hertogenbosch Definitief s-hertogenbosch, 30-10-2015 A. Kieboom 1 Projectidentificatie Projectnaam: Status: Beleid Informatieveiligheid Definitief Documenthistorie Status Datum Versie Auteur(s)

Nadere informatie

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Toelichting op GAP-analyse Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Voorstel Informatiebeveiliging beleid Twente

Voorstel Informatiebeveiliging beleid Twente Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw OPERATIONEEL RISKMANAGEMENT Groningen, maart 2016 Wim Pauw Risicomanagement Risicomanagement is steeds meer een actueel thema voor financiële beleidsbepalers, maar zij worstelen vaak met de bijbehorende

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

BABVI/U201300696 Lbr. 13/057

BABVI/U201300696 Lbr. 13/057 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatiebeveiliging uw kenmerk ons kenmerk BABVI/U201300696 Lbr. 13/057 bijlage(n) datum 6 juni 2013 Samenvatting

Nadere informatie

TOELICHTING OP GAP-ANALYSE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

TOELICHTING OP GAP-ANALYSE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) TOELICHTING OP GAP-ANALYSE Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Toelichting op GAP-analyse Versienummer

Nadere informatie

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 22 mei 2014 Raymond Slot raymond.slot@hu.nl nl.linkedin.com/in/raymondslot VRAAG: Top bedreigingen Continuïteit? Continuïteitsbedreiging

Nadere informatie

Informatiebeveiliging als proces

Informatiebeveiliging als proces Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW)

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW) RAAK-project Veilig Water Programma Informatieveiligheid Marcel Spruit (HHS), Michiel Dirriwachter (UvW) Michiel Dirriwachter? Dit doet een waterschap Een Waterschap? Een Waterschap? Een Waterschap? Een

Nadere informatie

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth De taak van de raad onder het dualisme Kaders stellen (WMO, Jeugdwet, handhaving) Budgetteren (begroting) Lokale wetgeving

Nadere informatie

2015; definitief Verslag van bevindingen

2015; definitief Verslag van bevindingen Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Nederweert Postbus 2728 6030AA NEDERWEERT Programma 8 Postbus 90801 2509 LV

Nadere informatie

Risk & Compliance Charter Clavis Family Office B.V.

Risk & Compliance Charter Clavis Family Office B.V. Risk & Compliance Charter Clavis Family Office B.V. Datum: 15 april 2013 Versie 1.0 1. Inleiding Het Risk & Compliance Charter (charter) bevat de uitgeschreven principes, doelstellingen en bevoegdheden

Nadere informatie

Verslag Visitatiecommissie Informatieveiligheid

Verslag Visitatiecommissie Informatieveiligheid Verslag Visitatiecommissie Informatieveiligheid gemeente Renswoude Tijd en datum 09.30-11.00, 2 maart 2016 Aanwezig gemeente Renswoude mw. A.E.H. van der Kolk, burgemeester (waarnemend) hr. J. van Dijk,

Nadere informatie

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Contractmanagement Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Beleidsmedewerker Onderwijs

Beleidsmedewerker Onderwijs Horizon College Beleidsmedewerker Onderwijs Sector BMO Alkmaar C70) Afdeling Communicatie en Onderwijs (C&O) Contract: Vervanging wegens zwangerschapsverlof Periode: 1 mei 2015 tot 1 oktober 2015 Omvang:

Nadere informatie

Uitbestedingsbeleid Stichting Pensioenfonds NIBC

Uitbestedingsbeleid Stichting Pensioenfonds NIBC Uitbestedingsbeleid Stichting Pensioenfonds NIBC Vastgesteld 11 november 2016 Artikel 1 Doel van het uitbestedingsbeleid 1.1 Het bestuur streeft de doelstellingen van het pensioenfonds na met betrekking

Nadere informatie

Norm 1.3 Beveiligingsplan

Norm 1.3 Beveiligingsplan Beantwoording vragen zelftest Suwinet oktober 2014 Norm 1.3 Beveiligingsplan De Inspectie SZW beschrijft norm 1.3 als volgt: De gemeente heeft een formeel vastgesteld beveiligingsbeleid en -plan. Het Beveiligingsplan

Nadere informatie

De maatregelen in de komende NEN Beer Franken

De maatregelen in de komende NEN Beer Franken De maatregelen in de komende NEN 7510 Beer Franken Twee delen in komende NEN 7510 Deel 1: het infosec management system (ISMS) hoofdstuk 4 in huidige NEN 7510 Deel 2: de maatregelen hoofdstukken 5 t/m

Nadere informatie

Derden-mededeling Overstapservice Onderwijs

Derden-mededeling Overstapservice Onderwijs Mededeling over de betrouwbaarheid van de Overstapservice Onderwijs Onlangs heeft Infoseccon BV een rapport over het geautomatiseerde systeem van Overstapservice Onderwijs (OSO) uitgebracht. Infoseccon

Nadere informatie

Een Information Security Management System: iedereen moet het, niemand doet het.

Een Information Security Management System: iedereen moet het, niemand doet het. ADVIESRAPPORT Een Information Security Management System: iedereen moet het, niemand doet het. Een onderzoek naar de betekenis van het ISMS ter borging van de Baseline Informatiebeveiliging Nederlandse

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL Privacy in de zorg Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL Audit & Advisory Security Assessments Training and Awareness

Nadere informatie

De Rotterdam, één van de hoofdgebouwen van de gemeente Rotterdam.

De Rotterdam, één van de hoofdgebouwen van de gemeente Rotterdam. De Rotterdam, één van de hoofdgebouwen van de gemeente Rotterdam. 1 Hoe heeft Rotterdam IB aangepakt en welke lessen zijn daaruit te trekken: valkuilen en beren. 2 De nieuwe organisatie: 5 primaire proces

Nadere informatie

Datum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W

Datum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W OK* Inspectie SZW Ministerie van Sociale Zaken en.. ^1\.-Ŭ Werkgelegenheid ovd > Retouradres Postbus 90801 2509 LV Den Haag M d -1 mo I *y kopie De Gemeenteraad van Boxtel Postbus 10000 5280 DA BOXTEL

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Openheid versus Informatiebeveiliging. Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht

Openheid versus Informatiebeveiliging. Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht Openheid versus Informatiebeveiliging Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht k.siekman@utrecht.nl - Waarde van informatie Risico's digitaal werken Maatregelen digitaal werken Data is het

Nadere informatie

Aantoonbaar in control op informatiebeveiliging

Aantoonbaar in control op informatiebeveiliging Aantoonbaar in control op informatiebeveiliging Agenda 1. Introductie key2control 2. Integrale interne beheersing 3. Informatiebeveiliging 4. Baseline Informatiebeveiliging Gemeenten 5. Demonstratie ISMS

Nadere informatie

FORMULIER FUNCTIEPROFIEL

FORMULIER FUNCTIEPROFIEL FORMULIER FUNCTIEPROFIEL Basisgegevens Datum 9-6-2015 Naam van de functie: HR Manager Plaats in de organisatie Rapporteert aan of werkt onder leiding van: directie Geeft leiding aan: afdeling P&O Doel

Nadere informatie

Informatiebeveiligingsbeleid extern

Informatiebeveiligingsbeleid extern ISO 27001:2013 Informatiebeveiligingsbeleid extern 25 oktober 2016 Status document: versie 1.0 Auteur: Frankie Lipsius CONCLUSION LEARNING CENTERS Postbus 85030 3508 AA Utrecht Nederland T +31 (0)30 744

Nadere informatie

BNG Compliance Charter

BNG Compliance Charter BNG Compliance Charter Koninginnegracht 2 2514 AA Den Haag T 070 3750 750 www.bng.nl Contactpersoon Compliance, Integriteit en Veiligheidszaken T 070 3750 677 N.V. Bank Nederlandse Gemeenten, statutair

Nadere informatie

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 Stichting Pensioenfonds Wolters Kluwer Nederland Compliance program Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 1 Inleiding In dit Compliance Program is de inrichting van de

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V. Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V. [geldend vanaf 1 juni 2015, PB15-220] Artikel 1 Definities De definities welke in dit uitbestedingsbeleid worden gebruikt zijn nader

Nadere informatie

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Haarlem Postbus 511 2003 PB HAARLEM. L.,.l l l.l ll, l. l Datum 0 6HAARI 2015

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Document informatie onderwerp Informatiebeveiligingsbeleid versie 1.0 Kenmerk EB200710-1 Penvoerder E. Braaksma Datum goedkeuring 24 januari 2008 Inhoudsopgave Voorwoord...4 1 Inleiding... 5 1.1 Informatiebeveiliging...

Nadere informatie

ECIB/U Lbr. 17/010

ECIB/U Lbr. 17/010 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatieveiligheid en privacy uw kenmerk ons kenmerk ECIB/U201700133 Lbr. 17/010 bijlage(n) - datum 20 februari

Nadere informatie

""1. Datum 12 januari 2016 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Den Helder

1. Datum 12 januari 2016 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Den Helder ""1 Inspectie SZW Mmíïtene van Soàaìe Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Den Helder Postbus 36 1760 AA DEN HELDER Stuknummer: AI16.00180 Betreft Onderzoek

Nadere informatie

Je weet wat je wilt bereiken, maar wie & wat loop je tegen het lijf?

Je weet wat je wilt bereiken, maar wie & wat loop je tegen het lijf? Plannen gemaakt? Met hulp van de standaardaanpak ImpactAnalyse in de Zorg kom je verder! Je weet wat je wilt bereiken, maar wie & wat loop je tegen het lijf? IMPACT? de ZORG? STANDAARD AANPAK 1 Inpassen

Nadere informatie

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid 'BI t# ". Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Ede Postbus 9022 6710 HK EDE GLD. Programma B Postbus90801 2509

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Stichting Pensioenfonds Ecolab. Compliance Charter. Voorwoord

Stichting Pensioenfonds Ecolab. Compliance Charter. Voorwoord Stichting Pensioenfonds Ecolab Compliance Charter Voorwoord Het Compliance Charter beschrijft de definitie, doelstellingen, scope, en taken en verantwoordelijkheden van de betrokkenen in het kader van

Nadere informatie

Uitbestedingsbeleid 2015

Uitbestedingsbeleid 2015 Uitbestedingsbeleid 2015 versie 16 juni 2015 1 1. Inleiding Stichting Bedrijfstakpensioenfonds TrueBlue (verder: TrueBlue) heeft uit strategische overwegingen delen van haar bedrijfsprocessen en activiteiten

Nadere informatie

Compliance Charter. a.s.r

Compliance Charter. a.s.r Compliance Charter a.s.r Status: definitief Versie: 4.0 Datum opgesteld: 19 september 2013 Goedgekeurd door: Raad van Bestuur op 29 november 2013 Goedgekeurd door: Audit & Risicocommissie op 9 december

Nadere informatie

Handreiking besluitvorming implementatie BIR. voor bestuurders en beveiligingsfunctionarissen van Zelfstandig Bestuursorganen (ZBO s)

Handreiking besluitvorming implementatie BIR. voor bestuurders en beveiligingsfunctionarissen van Zelfstandig Bestuursorganen (ZBO s) Handreiking besluitvorming implementatie BIR voor bestuurders en beveiligingsfunctionarissen van Zelfstandig Bestuursorganen (ZBO s) Versie 1.1 22-01 - 2015 Samenvatting Doel van de handreiking Overheidsorganisaties

Nadere informatie

MVO-Control Panel. Instrumenten voor integraal MVO-management. Intern MVO-management. Verbetering van motivatie, performance en integriteit

MVO-Control Panel. Instrumenten voor integraal MVO-management. Intern MVO-management. Verbetering van motivatie, performance en integriteit MVO-Control Panel Instrumenten voor integraal MVO-management Intern MVO-management Verbetering van motivatie, performance en integriteit Inhoudsopgave Inleiding...3 1 Regels, codes en integrale verantwoordelijkheid...4

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

Generieke systeemeisen

Generieke systeemeisen Bijlage Generieke Systeem in kader van LAT-RB, versie 27 maart 2012 Generieke systeem NTA 8620 BRZO (VBS elementen) Arbowet Bevb / NTA 8000 OHSAS 18001 ISO 14001 Compliance competence checklist 1. Algemene

Nadere informatie

... l. " l W «.. W,, Werkgelegenheid. MinisterievanSocialeZakenen 1. Mevr. mr. C. Directeur. ma MDR. Raad, Dalfsen. Geachte

... l.  l W «.. W,, Werkgelegenheid. MinisterievanSocialeZakenen 1. Mevr. mr. C. Directeur. ma MDR. Raad, Dalfsen. Geachte x, 1 r W.~: = ë V InspectieSZW.V 3. St MinisterievanSocialeZakenen 1 Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Dalfsen Postbus Gemeer?raeäin 35 _, 7720 AA DALFSEN..... l. " l Directie

Nadere informatie

OVEREENKOMST TUSSEN CENTRAAL JUSTITIEEL INCASSOBUREAU BELASTINGDIENST

OVEREENKOMST TUSSEN CENTRAAL JUSTITIEEL INCASSOBUREAU BELASTINGDIENST OVEREENKOMST TUSSEN CENTRAAL JUSTITIEEL INCASSOBUREAU & BELASTINGDIENST DV 506 1Z*1ED DE ONDERGETEKENDEN: Centraal Justitieel Incassobureau, ten deze vertegenwoordigd door de heer mr. drs. A. Regtop, Algemeen

Nadere informatie

Beleid BASIS-CALAMITEITENPLAN...

Beleid BASIS-CALAMITEITENPLAN... Beleid BASIS-CALAMITEITENPLAN... Tel : Route: - Ter advisering besproken in de OR dd : -- - Ter advisering besproken in de CCR dd : -- - Ter advisering besproken in het MT dd : -- - Vastgesteld door RvB

Nadere informatie

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases

Nadere informatie

CONTROLSTATUUT WOONSTICHTING SSW

CONTROLSTATUUT WOONSTICHTING SSW CONTROLSTATUUT WOONSTICHTING SSW Vastgesteld: 23 november 2016 1 Algemene bepalingen 1.1 SSW hanteert three lines of defense, te weten (1) de medewerker zelf, (2) de activiteit businesscontrol in de organisatie

Nadere informatie

IMPLEMENTATIE BIG. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

IMPLEMENTATIE BIG. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) IMPLEMENTATIE BIG Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Implementatie BIG Versienummer 1.0 Versiedatum

Nadere informatie

Praktisch omgaan met Privacy & Security en het Wbp

Praktisch omgaan met Privacy & Security en het Wbp 2-daagse praktijktraining Praktisch omgaan met Privacy & Security en het Wbp Programma Praktisch omgaan met Privacy & Security en het Wbp De training Praktisch omgaan met Privacy & Security en het Wbp

Nadere informatie

WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN.

WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN. WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN. COMPLIANCE RADAR De Compliance Radar helpt gemeenten een brug te slaan tussen beleidsdoelstellingen en uitvoering. Door

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

FUNCTIEBESCHRIJVING: LOCATIEMANAGER. Algemeen. Datum voorlopige vaststelling: 29-04-2015. Organisatie: Stichting Magentazorg

FUNCTIEBESCHRIJVING: LOCATIEMANAGER. Algemeen. Datum voorlopige vaststelling: 29-04-2015. Organisatie: Stichting Magentazorg FUNCTIEBESCHRIJVING: LOCATIEMANAGER Algemeen Organisatie: Stichting Magentazorg Organisatorische eenheid: raad van bestuur Opsteller functiebeschrijving: adviseur P&O Datum voorlopige vaststelling: 29-04-2015

Nadere informatie