Toelichting op de. ISO/IEC 27002: 2005 Grafimedia

Save this PDF as:
 WORD  PNG  TXT  JPG

Maat: px
Weergave met pagina beginnen:

Download "Toelichting op de. ISO/IEC 27002: 2005 Grafimedia"

Transcriptie

1 Toelichting op de ISO/IEC 27002: 2005 Grafimedia Implementatie van Informatietechnologie, Beveiligingstechnieken en de Code voor Informatiebeveiliging Uitgave van de Stichting Certificatie Grafimedia branche (SCGM)

2 De nummering van de inhoudsopgave van deze toelichting op de norm correspondeert met de nummering van de hoofdstukindeling van de norm. Pagina 2 van 102 Copyright SCGM Versie: november 2011

3

4 INHOUDSOPGAVE 7 ORGANISATIE VAN DE INFORMATIEBEVEILIGING Interne organisatie Betrokkenheid van de directie bij informatiebeveiliging Coördinatie van de informatiebeveiliging Toewijzing van verantwoordelijkheden voor informatiebeveiliging Goedkeuringsproces voor IT voorzieningen Geheimhoudingsovereenkomst Contact met overheidsinstanties Contact met speciale belangengroepen Onafhankelijke beoordeling van informatiebeveiliging Externe partijen Identificatie van risico's die betrekking hebben op externe partijen Beveiligingsmaatregelen in relatie tot dienstverlening aan klanten Beveiliging regelen in overeenkomsten met een derde partij BEHEER VAN BEDRIJFSMIDDELEN DIE VERBAND HOUDEN MET IT VOORZIENINGEN Verantwoordelijkheid voor bedrijfsmiddelen Inventarisatie van bedrijfsmiddelen Eigendom van bedrijfsmiddelen Aanvaardbaar gebruik van bedrijfsmiddelen Inventarisatie en classificatie van informatie Richtlijnen voor inventarisatie en classificatie Labeling en verwerking van informatie BEVEILIGING VAN PERSONEEL Voorafgaand aan het dienstverband Rollen en verantwoordelijkheden Screening Arbeidscontract Tijdens het dienstverband Directieverantwoordelijkheid Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging Disciplinaire maatregelen Beëindiging of wijziging van dienstverband Beëindiging van verantwoordelijkheden Retournering van bedrijfsmiddelen Blokkering van toegangsrechten FYSIEKE BEVEILIGING EN BEVEILIGING VAN DE OMGEVING Beveiligde ruimten Fysieke beveiliging van de omgeving Fysieke toegangsbeveiliging Beveiliging van kantoren, ruimten en faciliteiten Beveiliging van apparatuur Plaatsing en bescherming van apparatuur...29 Versie: november 2011 Copyright SCGM Pagina 3 van 102

5 Beveiliging van kabels Onderhoud van apparatuur Beveiliging van apparatuur buiten het terrein Veilig verwijderen of hergebruiken van apparatuur Verwijdering van bedrijfseigendommen BEHEER VAN COMMUNICATIE- EN BEDIENINGSPROCESSEN Bedieningsprocedures en verantwoordelijkheden Gedocumenteerde bedieningsprocedures Wijzigingsbeheer Scheiding van faciliteiten voor ontwikkeling, testen en productie Beheer van de dienstverlening door een derde partij Dienstverlening Controle en beoordeling van dienstverlening door een derde partij Beheer van wijzigingen in dienstverlening door een derde partij Systeemacceptatie Systeemacceptatie Bescherming tegen virussen, mobile code en scripts Maatregelen tegen virussen Maatregelen tegen mobile code Maken van een Back-up Maken van back-ups Beheer van netwerkbeveiliging Maatregelen voor netwerken Bescherming van media Beheer van transporteerbare media Verwijdering van media Procedures voor de behandeling van informatie Beveiliging van systeemdocumentatie Uitwisseling van informatie Beleid en procedures voor informatie-uitwisseling Uitwisselingsovereenkomsten Fysieke media die worden getransporteerd Elektronisch berichtenuitwisseling Systemen voor bedrijfsinformatie Diensten voor e-commerce Elektronische handel Online transacties Openbaar beschikbare informatie TOEGANGSBEVEILIGING Bedrijfseisen ten aanzien van toegangsbeheersing Toegangsbeleid Beheer van toegangsrechten van gebruikers Registratie van gebruikers Beheer van speciale bevoegdheden...53 Pagina 4 van 102 Copyright SCGM Versie: november 2011

6 Beheer van gebruikerswachtwoorden Beoordeling van toegangsrechten van gebruikers Verantwoordelijkheden van gebruikers Gebruik van wachtwoorden Onbeheerde gebruikersapparatuur Clear desk - en clear screen -beleid Toegangsbeheersing voor netwerken Beleid ten aanzien van het gebruik van netwerkdiensten Authenticatie van gebruikers bij externe verbindingen Identificatie van netwerkapparatuur Bescherming op afstand van poorten voor diagnose en configuratie Scheiding van netwerken en voor netwerkverbindingen en voor netwerkroutering Toegangsbeheersing voor informatiesystemen en informatie Beperken van toegang tot informatie Draagbare computers en telewerken Draagbare computers en communicatievoorzieningen Telewerken/thuiswerken VERWERVING, ONTWIKKELING EN ONDERHOUD VAN INFORMATIESYSTEMEN Beveiligingseisen voor informatiesystemen Analyse en specificatie van beveiligingseisen bij de verwerving van informatiesystemen Correcte verwerking in toepassingen Validatie van invoergegevens Beheersing van interne gegevensverwerking Validatie van uitvoergegevens Beveiliging van systeembestanden Beheersing van operationele programmatuur Toegangsbeheersing voor broncode van programmatuur Beveiliging bij ontwikkelings- en ondersteuningsprocessen Procedures voor wijzigingsbeheer van informatiesystemen Technische beoordeling van toepassingen na wijzigingen in het besturingssysteem Beperkingen op wijzigingen in programmatuurpakketten Uitlekken van informatie Uitbestede ontwikkeling van programmatuur Beheer van technische kwetsbaarheden Beheersing van technische kwetsbaarheden CONTROLE OP- EN NALEVING VAN HET SYSTEEM VAN INFORMATIEBEVEILIGING Controle Aanmaken audit-logbestanden Controle van systeemgebruik Bescherming van informatie in logbestanden Logbestanden van administrators en operators Registratie van storingen...73 Versie: november 2011 Copyright SCGM Pagina 5 van 103

7 Synchronisatie van systeemklokken Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken Rapportage van informatiebeveiligingsgebeurtenissen Beheer van informatiebeveiligingsincidenten en verbeteringen Verantwoordelijkheden en procedures Leren van informatiebeveiligingsincidenten Verzamelen van bewijsmateriaal BEDRIJFSCONTINUïTEITSBEHEER Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer Bedrijfscontinuïteit en risicobeoordeling Continuïteitsplannen ontwikkelen en implementeren Kader voor de bedrijfscontinuïteitsplanning Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen NALEVING Naleving van wettelijke voorschriften Identificatie van toepasselijke wetgeving Intellectuele eigendomsrechten Bescherming van bedrijfsdocumenten Bescherming van fysieke of digitale assets voor productie Bescherming van gegevens en geheimhouding van persoonsgegevens Voorkomen van misbruik van IT voorzieningen Naleving van beveiligingsbeleid en -normen en technische naleving Naleving van beveiligingsbeleid en -normen Controle op technische naleving Overwegingen bij audits van informatiesystemen en voor audits van informatiesystemen Bescherming van hulpmiddelen voor audits van informatiesystemen...86 BIJLAGE A: Instrument voor Risicoanalyse, het stoplicht model 88 BIJLAGE B: Hoofdlijnen beleidsuitgangspunten 90 BIJLAGE C: Voorbeeld rapportage Basis Beveiligings Niveau 92 BIJLAGE D: Voorbeeld informatiestroom diagram 101 BIJLAGE E: Voorbeeld systeemarchitectuur 102 BIJLAGE F: Checklist voor aanschaf van informatiesystemen 103 Pagina 6 van 102 Copyright SCGM Versie: november 2011

8 7 ORGANISATIE VAN DE INFORMATIEBEVEILIGING 7.1 Interne organisatie Doelstelling: organisatorische beheersing van de informatiebeveiliging binnen de organisatie. De organisatie heeft taken, verantwoordelijkheden en bevoegdheden omschreven en toegewezen, aangevuld met een omschrijving van de coördinatie en de inrichting en uitvoering van communicatie Betrokkenheid van de directie bij informatiebeveiliging Beleidsmaatregel. De directie behoort actief informatiebeveiliging binnen de organisatie te ondersteunen door duidelijk richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor informatiebeveiliging toe te kennen en te erkennen. De directie behoort: a) te waarborgen dat de informatiebeveiligingsdoelstellingen worden vastgesteld, deze voldoen aan de eisen van de organisatie en zijn geïntegreerd in de relevante processen; b) het informatiebeveiligingsbeleid te formuleren, te beoordelen en goed te keuren; c) de doelmatigheid van de implementatie van het informatiebeveiligingsbeleid te beoordelen; d) te zorgen voor een heldere koers en zichtbare ondersteuning voor beveiligingsinitiatieven; e) te zorgen voor de middelen die nodig zijn voor informatiebeveiliging; f) het toekennen van rollen en verantwoordelijkheden voor de informatiebeveiliging en in alle lagen van de organisatie goed te keuren; g) vast te stellen de behoefte aan opleiding en zorgdragen voor opleidingen; h) plannen en programma s te initiëren om het informatiebeveiligingsbewustzijn levend te houden; i) te waarborgen dat de implementatie van de beheersmaatregelen voor informatiebeveiliging in alle lagen van de organisatie wordt gecoördineerd (zie 7.1.2). j) de directie behoort de behoefte aan interne of externe bronnen van deskundig advies voor informatiebeveiliging vast te stellen en de resultaten van het advies te beoordelen en te coördineren. Afhankelijk van de grootte van de organisatie kunnen deze verantwoordelijkheden worden uitgevoerd door een daartoe aangewezen en bevoegd beheerorgaan of bevoegd medewerker, of door de directie. Versie: november 2011 Copyright SCGM Pagina 7 van 103

9 7.1.2 Coördinatie van de informatiebeveiliging Activiteiten voor informatiebeveiliging behoren te worden gecoördineerd door vertegenwoordigers uit verschillende delen van de organisatie met relevante rollen en functies. Kenmerkend voor de coördinatie van informatiebeveiliging is de medewerking en samenwerking van managers, medewerkers, beheerders, ontwerpers van toepassingen, auditors en beveiligingspersoneel en medewerkers met specialistische kennis op het gebied van administratie, data verwerking, IT of risicobeheer. Deze activiteit behoort in te houden: a) het waarborgen dat de beveiligingsactiviteiten worden uitgevoerd in overeenstemming met het informatiebeveiligingsbeleid; b) vaststellen hoe op te treden bij niet-naleving; c) het goedkeuren van de methoden en processen voor informatiebeveiliging, bijvoorbeeld risicobeoordeling, informatieclassificatie; de identificatie van significante wijzigingen in bedreigingen en het blootstellen van informatie en IT voorzieningen aan bedreigingen; d) de beoordeling van de geschiktheid en het coördineren van de implementatie van informatiebeveiligingsmaatregelen; e) het effectief bevorderen van opleiding, training en bewustwording van informatiebeveiliging in alle lagen van de organisatie; f) het evalueren van informatie verkregen uit het controleren en beoordelen van informatiebeveiligingsincidenten, en aanbevelen van gepaste handelingen als reactie op de vastgestelde informatiebeveiligingsincidenten. Indien de organisatie geen gebruik maakt van een multidisciplinair team, bijvoorbeeld omdat zo n team niet past bij de omvang van de organisatie, behoren de eerder beschreven handelingen te worden uitgevoerd door een geschikte manager of medewerker met duidelijke bevoegdheden Toewijzing van verantwoordelijkheden voor informatiebeveiliging Alle verantwoordelijkheden voor informatiebeveiliging behoren duidelijk te zijn gedefinieerd. Het toewijzen van verantwoordelijkheden voor de informatiebeveiliging behoort te worden uitgevoerd in overeenstemming met het informatiebeveiligingsbeleid. De verantwoordelijkheid voor de bescherming van individuele bedrijfsmiddelen en voor het uitvoeren van specifieke beveiligingsmaatregelen behoort duidelijk te worden gedefinieerd. Deze verantwoordelijkheid behoort indien nodig te worden aangevuld met meer gedetailleerde richtlijnen voor bepaalde locaties, afdelingen of IT voorzieningen. Personen aan wie beveiligingsverantwoordelijkheden zijn opgedragen, mogen beveiligingstaken aan anderen delegeren. Zij blijven echter verantwoordelijk en behoren zelf vast te stellen dat een gedelegeerde taak op de juiste wijze is uitgevoerd. Pagina 8 van 102 Copyright SCGM Versie: november 2011

10 De terreinen waarvoor personen verantwoordelijk zijn behoren duidelijk te worden aangegeven; in het bijzonder behoort het onderstaande te worden uitgevoerd: a) de bedrijfsmiddelen en beveiligingsmaatregelen van elk afzonderlijk systeem behoren te worden vastgesteld en duidelijk te worden gedefinieerd; b) er behoort voor elk bedrijfsmiddel of maatregel een eigenaar te worden aangewezen en de details van deze verantwoordelijkheid behoren te worden gedocumenteerd; c) bevoegdheden behoren duidelijk te worden gedefinieerd en gedocumenteerd. Overige informatie Het verdient aanbeveling om een directielid de eindverantwoordelijkheid toe te wijzen, die de volledige verantwoordelijkheid krijgt voor de ontwikkeling en implementatie van de beveiliging en die ondersteuning verleent bij het vaststellen van de beheersmaatregelen. De verantwoordelijkheid voor het beschikbaar stellen van middelen en het implementeren van de beheersmaatregelen ligt bij individuele managers. Het is goed gebruik voor elk bedrijfsmiddel een eigenaar aan te wijzen, die vervolgens verantwoordelijk is voor de dagelijkse bescherming ervan Goedkeuringsproces voor IT voorzieningen Er behoort een goedkeuringsproces voor vernieuwde en nieuwe IT voorzieningen te worden vastgesteld en geïmplementeerd. Er behoort rekening te worden gehouden met de volgende richtlijnen voor het autorisatieproces: a) nieuwe voorzieningen behoren te worden goedgekeurd door het management van gebruikersafdelingen, waarbij de bevoegdheid wordt verleend voor het doel en het gebruik van de voorzieningen. Autorisatie behoort ook te worden verkregen van de manager die verantwoordelijk is voor de handhaving van de beveiliging van de (lokale) informatiesystemen, om te waarborgen dat alle relevante beveiligingseisen en -procedures worden nageleefd; b) waar nodig behoort hardware, programmatuur en online services te worden gecontroleerd op compatibiliteit en werking met andere systeemcomponenten; c) het gebruik van persoonlijke of eigen IT voorzieningen, bijvoorbeeld laptops, huiscomputers of handheld apparatuur, voor het verwerken van bedrijfsgegevens kan nieuwe kwetsbaarheden veroorzaken en eventuele noodzakelijke beheersmaatregelen behoren te worden vastgesteld en geïmplementeerd. Overige informatie Persoonlijke of eigen IT voorzieningen die door de organisatie aan de gebruiker worden verschaft moeten zodanig ingericht zijn dat deze beschermen tegen inbreuk op interne systemen (bijv. specifieke netwerkpoorten of VPN, die gecontroleerd worden middels een firewall, viruscontrole en toegangsbeheer). Versie: november 2011 Copyright SCGM Pagina 9 van 103

11 7.1.5 Geheimhoudingsovereenkomst Eisen voor vertrouwelijkheid of geheimhoudingsovereenkomst die een weerslag vormen van de behoefte van de organisatie aan bescherming van informatie behoren te worden vastgesteld en regelmatig te worden beoordeeld. De eis te stellen aan vertrouwelijkheids- of geheimhoudingsovereenkomst is om vertrouwelijke informatie te beschermen binnen juridische voorwaarden. Om de eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomst vast te stellen behoren de volgende elementen te worden beschouwd: a) een definitie van de informatie die moet worden beschermd (bijvoorbeeld vertrouwelijke informatie); b) verwachte looptijd van een vertrouwelijkheids- of geheimhoudingsovereenkomst, waaronder gevallen waar de vertrouwelijkheid mogelijk onbeperkt moet worden aangehouden; c) benodigde handelingen wanneer een overeenkomst is beëindigd; d) verantwoordelijkheden en handelingen van de ondertekenaars om niet-geautoriseerde bekendmaking van informatie te voorkomen (kennis op basis van behoefte need to know - principe toepassen); e) eigendom van de informatie, vakgeheimen en intellectueel eigendom, en hoe dit verband houdt met de bescherming van vertrouwelijke informatie; f) toegelaten gebruik van vertrouwelijke informatie en de rechten van de ondertekenaar om informatie te gebruiken; g) recht om activiteiten te auditen en te controleren waarbij vertrouwelijke informatie betrokken is; h) proces voor notificatie en rapportage van ongeoorloofde bekendmaking of inbreuk op vertrouwelijke informatie; i) voorwaarden waaronder de informatie moet worden teruggegeven of worden vernietigd na beëindiging van de overeenkomst en j) verwachte handelingen die moeten worden ondernomen bij inbreuk op deze overeenkomst. Er zouden nog andere elementen nodig kunnen zijn voor een vertrouwelijkheids- of geheimhoudingsovereenkomst, afhankelijk van de beveiligingseisen van de organisatie. De eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomst behoren regelmatig te worden beoordeeld en tevens wanneer zich veranderingen voordoen die van invloed zijn op deze eisen Contact met overheidsinstanties Indien er ten behoeve van informatiebeveiliging contacten met relevante overheidsinstanties nodig zijn, moeten deze contacten worden onderhouden en afspraken/werkwijzen worden gedocumenteerd. Pagina 10 van 102 Copyright SCGM Versie: november 2011

12 Organisaties behoren procedures te hebben geïmplementeerd die beschrijven wanneer en door wie er met autoriteiten contact behoort te worden opgenomen (bijvoorbeeld politie, brandweer, toezichthouders) en hoe de vastgestelde informatiebeveiligingsincidenten tijdig behoren te worden gerapporteerd, indien het vermoeden bestaat dat er wetgeving is overtreden Contact met speciale belangengroepen Indien relevant behoren er geschikte contacten met speciale belangengroepen of andere specialistische platforms voor beveiliging en professionele organisaties te worden onderhouden. Het lidmaatschap van bepaalde belangengroeperingen of forums behoort te worden beschouwd als een middel om: a) kennis te vergroten van beproefde werkwijzen ( best practices ) en op de hoogte te blijven van de laatste stand van zaken op het gebied van informatiebeveiliging; b) te waarborgen dat kennis en begrip van het vakgebied informatiebeveiliging volledig actueel en compleet zijn; c) vroegtijdig signalen te krijgen van waarschuwingen, adviezen en patches die verband houden met aanvallen en kwetsbaarheden; d) toegang te verkrijgen tot deskundig informatiebeveiligingsadvies; e) informatie over nieuwe technologieën, producten, bedreigingen of kwetsbaarheden te delen en uit te wisselen; f) geschikte aanspreekpunten te leveren wanneer men te maken heeft met informatiebeveiligingsincidenten. Overige informatie Binnen een aantal sectoren van de grafische industrie zijn speciale sectorgroepen aanwezig. Een voorbeeld is de sector security printers. Ondernemingen kunnen t.a.v. informatiebeveiliging contacten onderhouden, respectievelijk het initiatief nemen voor kennisontwikkeling of het aanpakken van bepaalde vraagstukken. Ook op het gebied van regelgeving m.b.t. Direct Marketing, zijn diverse organisaties die informatie en kennis bieden over het gebruik van consumenten en Business to Business data Onafhankelijke beoordeling van informatiebeveiliging De benadering van de organisatie voor het beheer van informatiebeveiliging en de implementatie daarvan (d.w.z. beheersdoelstellingen, beheersmaatregelen, beleid, maatregelen en procedures voor informatiebeveiliging) behoren onafhankelijk en met geplande tussenpozen te worden beoordeeld, of zodra zich significante wijzigingen voordoen in de implementatie van de beveiliging. Versie: november 2011 Copyright SCGM Pagina 11 van 103

13 De onafhankelijke beoordeling moeten worden geïnitieerd door de directie. Een dergelijke onafhankelijke beoordeling is nodig om te waarborgen dat de organisatie een geschikte, toereikende en doeltreffende aanpak van het beheer van informatiebeveiliging hanteert. In de beoordeling behoren de mogelijkheden voor verbetering en de noodzaak om wijzigingen aan te brengen in de beveiligingsaanpak, waaronder het beleid en de beheersdoelstellingen, te worden meegenomen. Een dergelijke beoordeling moeten worden uitgevoerd door personen die onafhankelijk zijn ten opzichte van de omgeving die wordt beoordeeld, bijvoorbeeld de interne auditor, een onafhankelijke manager of een derde partij die in dergelijke beoordelingen is gespecialiseerd, voor zover zij beschikken over de juiste vaardigheden en ervaring. De resultaten van de onafhankelijke beoordeling behoren te worden vastgelegd en aan de directie te worden gerapporteerd die de beoordeling heeft geïnitieerd. De verslagen behoren te worden bewaard. Indien in de onafhankelijke beoordeling wordt vastgesteld dat de aanpak en implementatie van het beheer van informatiebeveiliging van de organisatie ontoereikend zijn of niet in overeenstemming zijn met de koers voor informatiebeveiliging die is vastgelegd in het beleidsdocument over informatiebeveiliging, behoort de directie corrigerende maatregelen te nemen. Overige informatie Voor het regelmatig beoordelen van de beveiligingsmaatregelen is het in Bijlage C opgenomen schema Basis Beveiligings Niveau (BBN) nuttig om als leidraad te hanteren. Het is tevens mogelijk om externe beveiligings adviseur in te schakelen om delen van het beleid te beoordelen. 7.2 Externe partijen Doelstelling: Beveiligen van de informatie en IT voorzieningen van de organisatie handhaven waartoe externe partijen toegang hebben of die door externe partijen worden verwerkt of beheerd, of die naar externe partijen wordt gecommuniceerd Identificatie van risico's die betrekking hebben op externe partijen De risico's voor de informatie en IT voorzieningen van de organisatie vanuit bedrijfsprocessen waarbij externe partijen betrokken zijn, behoren te worden geïdentificeerd en er behoren geschikte beheersmaatregelen te worden geïmplementeerd voordat toegang wordt verleend. Waar het zakelijk gezien nodig is om een externe partij toegang te verlenen tot de IT voorzieningen of informatie van een organisatie, behoort een risicobeoordeling te worden uitgevoerd om mogelijke eisen voor specifieke beheersmaatregelen te identificeren. Dit is het geval bijvoorbeeld voor het online monitoren van bedrijfsmiddelen tbv het functioneren of het plegen van onderhoud aan bedrijfsmiddelen. Pagina 12 van 102 Copyright SCGM Versie: november 2011

14 Bij de identificatie van risico s verband houdend met toegang door externe partijen behoort het onderstaande mee in beschouwing te worden genomen: a) de IT voorzieningen waartoe de externe partij toegang toe moet hebben; b) het soort toegang dat de externe partij zal hebben tot de informatie en IT voorzieningen, bijvoorbeeld: 1. fysieke toegang, zoals tot kantoren, computerruimten, archiefkasten; 2. logische toegang, zoals tot de content management systemen, beelddatabank en/of informatiesystemen van een organisatie; 3. netwerkverbindingen tussen de netwerken van de organisatie en de externe partij, zoals een online verbinding via het internet of specifiek netwerk; 4. of de toegang op locatie of van buitenaf wordt verkregen. Er kan sprake zijn van gezamenlijk gebruik van faciliteiten in een bedrijfsverzamelgebouw; c) de waarde en gevoeligheid van de desbetreffende informatie, en hoe bedrijfskritisch de informatie is; d) de beheersmaatregelen die nodig zijn om informatie te beschermen die niet toegankelijk mag zijn voor de externe partijen; e) het personeel van de externe partij dat is betrokken bij het verwerken van de informatie van de organisatie; f) hoe de organisatie of het personeel dat geautoriseerde toegang heeft kan worden vastgesteld, hoe de autorisatie kan worden geverifieerd en hoe vaak dit moet worden herbevestigd; g) de verschillende middelen en beheersmaatregelen die door de externe partij worden gehanteerd bij het opslaan, verwerken, communiceren, delen en uitwisselen van informatie; h) de gevolgen van het ontbreken van toegang voor de externe partij wanneer dat is vereist en van het invoeren of ontvangen van onjuiste of misleidende informatie door de externe partij; i) werkvoorschriften en procedures om informatiebeveiligingsincidenten en potentiële schade af te handelen en de voorwaarden waaronder in geval van een informatiebeveiligingsincident de toegang voor de externe partij kan worden aangepast en voortgezet; j) eisen van wet- en regelgeving en andere contractuele verplichtingen met betrekking tot de externe partij waarmee rekening behoort te worden gehouden; k) de invloed van de overeenkomsten op de belangen van mogelijke andere belanghebbenden. Externe partijen behoren pas toegang te krijgen tot de systemen en/of informatie van de organisatie wanneer er geschikte beheersmaatregelen zijn geïmplementeerd en, waar mogelijk, een contract is getekend of afspraken zijn gemaakt waarin de voorwaarden voor de verbinding of de toegang en de werkafspraken zijn vastgelegd. Over het algemeen behoren alle beveiligingseisen als gevolg van werken met externe partijen of interne beheersmaatregelen tot uitdrukking te komen in de overeenkomst met de externe partij. Er behoort te worden gewaarborgd dat de externe partij kennis draagt van zijn verplichtingen en de verantwoordelijkheden en aansprakelijkheid aanvaardt die gepaard gaan met de toegang tot informatie en IT voorzieningen van de organisatie en het verwerken, communiceren of beheren ervan. Overige informatie Voor het aanleveren van grafische data tbv de verwerking in producten, aangeleverd voor derden kunnen praktische richtlijnen worden vastgelegd voor het aanleveren van data, zoals nu ook gangbaar is voor de technische aard van de aan te leveren data. In dit geval is het praktisch om de Versie: november 2011 Copyright SCGM Pagina 13 van 103

15 huidige richtlijn voor het aanleveren van grafische data, of terug te leveren data, te controleren en aan te vullen op het gebied van informatiebeveiliging. Bij het inrichten van een technische architectuur voor het aanleveren van data dient gebruik te worden gemaakt van systemen die in een DeMilitarized Zone (DMZ) staan en gecontroleerd beschikbaar wordt gesteld aan de productiemedewerkers die op het interne gescheiden netwerk de productie activiteiten uitvoeren. Een DMZ is een netwerksegment dat zich tussen het interne en externe netwerk (meestal het internet) bevindt. Gelden er bijvoorbeeld bijzondere eisen ten aanzien van de vertrouwelijkheid van de informatie, dan kunnen geheimhoudingsovereenkomsten worden gebruikt. Het is nuttig om bezoekers tot de fysieke locatie te registreren en voor toeleveranciers een identificatie te vragen en bij vertrek een bewijs van uitgevoerde activiteiten. Onder externe partijen, waarop beheersmaatregelen van toepassing zijn rekenen we o.a.: 1. dienstverlenende bedrijven, zoals ISP s, leveranciers van netwerkdiensten, van telefoondiensten, van onderhoudsdiensten; 2. beheerde beveiligingsdiensten; 3. klanten of personen/organisaties die namens klanten databestanden of grafische bestanden aanleveren; 4. uitbesteding van voorzieningen en/of bedrijfsactiviteiten, bijvoorbeeld (online) IT voorzieningen, prepress systemen, leveranciers van productieapparatuur gekoppeld aan het datanetwerk; 5. management- en businessconsultants en auditors; 6. ontwikkelaars en leveranciers, bijvoorbeeld van programmatuur en IT voorzieningen, leveranciers van onderhouds- en remote control systemen voor monitoring; 7. schoonmaakdiensten, catering en andere uitbestede facilitaire diensten; 8. tijdelijk personeel, stagiairs, en andere kortlopende gelegenheidsaanstellingen Beveiligingsmaatregelen in relatie tot dienstverlening aan klanten Alle geïdentificeerde beveiligingseisen behoren te worden afgestemd met klanten, voordat klanten toegang wordt verleend tot de informatie of bedrijfsmiddelen van de organisatie. De volgende punten behoren te worden overwogen alvorens klanten toegang te geven tot enige van de bedrijfsmiddelen (afhankelijk van type en omvang van de verleende toegang, behoeven ze niet allemaal van toepassing te zijn): a) de bescherming van bedrijfsmiddelen, waaronder: 1. procedures voor de bescherming van bedrijfsmiddelen, waaronder informatie en programmatuur; 2. procedures om vast te stellen of bedrijfsmiddelen gecompromitteerd zijn, bijvoorbeeld of zich verlies of wijziging van gegevens heeft voorgedaan; 3. integriteit; 4. beperkingen ten aanzien van het kopiëren en openbaar maken van informatie; b) een beschrijving van de dienst die beschikbaar wordt gesteld; Pagina 14 van 102 Copyright SCGM Versie: november 2011

16 c) afspraken over toegangsbeleid, waaronder: 1. goedgekeurde toegangsmethoden, evenals beheersing en gebruik van unieke identificatiemethoden zoals gebruikersidentificaties en wachtwoorden; 2. een autorisatieproces voor toegang tot applicaties of infrastructuur en speciale bevoegdheden van gebruikers; 3. een proces voor het intrekken van toegangsrechten of voor het onderbreken van de verbinding tussen de systemen; d) afspraken over de aanlevering van digitale materialen (teksten en beelden) en de opslag daarvan (hoe lang bewaren, in welke vorm terug te leveren of te vernietigen). In dit kader kunnen de KVGO leveringsvoorwaarden worden toegepast. Deze leveringsvoorwaarden hebben passende maatregelen in het kader van het auteursrecht op digitale materialen van de klant, respectievelijk van derden handelend in opdracht van de klant, respectievelijk het ontwikkelen van digitaal materiaal door de organisatie zelf in opdracht van de klant. e) afspraken over rapportage, kennisgeving en onderzoek naar onjuistheden in informatie, van informatiebeveiligingsincidenten en lekken in de beveiliging; f) een beschrijving van elke dienst die beschikbaar wordt gesteld; g) het recht om elke activiteit verband houdend met de bedrijfsmiddelen van de organisatie te controleren of in te trekken; h) de respectievelijke aansprakelijkheden van de organisatie en van de klant; i) verantwoordelijkheden met betrekking tot juridische aangelegenheden en hoe wordt gewaarborgd dat wordt voldaan aan de wettelijke eisen, bijvoorbeeld de wetgeving voor gegevensbescherming, waarbij in het bijzonder rekening wordt gehouden met de verschillende nationale rechtssystemen als de overeenkomst betrekking heeft op samenwerking met organisaties in andere landen; j) Het gebruik van digitaal materiaal van of in opdracht van de klant, waarop intellectuele eigendomsrechten berust of overdracht van intellectuele eigendomsrechten en bescherming van gezamenlijk werk. Overige informatie De beveiligingseisen worden opgenomen in specifieke klantenovereenkomsten of is algemeen geregeld in de leveringsvoorwaarden wanneer het gebruik van aangeleverd digitaal materiaal voor verdere verwerking in de productie betreft. Overeenkomsten met externe partijen mogen zich ook uitstrekken tot andere partijen. Overeenkomsten die toegang aan een externe partij verlenen, behoren ruimte te laten voor aanwijzing van andere partijen en voorwaarden voor hun toegang en betrokkenheid Beveiliging regelen in overeenkomsten met een derde partij In overeenkomsten met derden waarbij toegang tot, of het verwerken en beheer van informatie of IT voorzieningen of daaraan gekoppelde bedrijfsmiddelen van de organisatie sprake is, behoren alle relevante beveiligingseisen te zijn opgenomen. Versie: november 2011 Copyright SCGM Pagina 15 van 103

17 De volgende punten behoren te worden overwogen voor opname in de overeenkomst om te waarborgen dat er geen misverstanden bestaan tussen de organisatie en een derde partij. Organisaties behoren zich ervan te vergewissen dat de aansprakelijkheid van een derde partij voldoende is afgedekt. In een dergelijke overeenkomst behoren de volgende punten te worden opgenomen om invulling te geven aan de vastgestelde beveiligingseisen (zie 7.2.1): a) het informatiebeveiligingsbeleid; b) beheersmaatregelen voor het waarborgen van de bescherming van bedrijfsmiddelen, waaronder: 1. procedures voor de bescherming van bedrijfsmiddelen, waaronder informatie, programmatuur, hardware of gebruik van online services; 2. alle benodigde fysieke beschermingsmaatregelen en -mechanismen; 3. beheersmaatregelen ter bescherming tegen virussen, phishing of aanvallen van toegang; 4. procedures om vast te stellen of bedrijfsmiddelen gecompromitteerd zijn, bijvoorbeeld of zich verlies of wijziging van informatie, programmatuur en hardware heeft voorgedaan; 5. beheersmaatregelen om de teruggave of vernietiging van informatie en andere bedrijfsmiddelen aan het einde van of op een overeengekomen tijdstip tijdens de looptijd van de overeenkomst te waarborgen. Er behoren procedures te zijn voor het beheer en terugleveren van data van klanten waarvoor gebruik wordt gemaakt van online services van derden; 6. beperkingen ten aanzien van het beschikbaar stellen voor verwerking in productie, kopiëren en openbaar maken van informatie en het gebruik van geheimhoudingsovereenkomsten; c) opleiding voor gebruikers en (externe) beheerders op het gebied van het gebruik en de beveiliging van systemen; d) waarborgen dat gebruikers zich bewust zijn van verantwoordelijkheden en aspecten van informatiebeveiliging; e) een voorziening voor het overplaatsen van personeel, waar van toepassing; f) verantwoordelijkheden ten aanzien van installatie en onderhoud van hardware en programmatuur; g) een duidelijke rapportagestructuur en afspraken over de vorm van de rapportage; h) een duidelijk en gespecificeerd proces voor het beheer van wijzigingen; i) afspraken over toegangsbeleid, waaronder: 1. de verschillende redenen, eisen en voordelen die de toegang voor de derde partij noodzakelijk maken; 2. goedgekeurde toegangsmethoden, evenals beheersing en gebruik van unieke identificatiemethoden zoals gebruikersidentificaties en wachtwoorden; 3. een autorisatieproces voor toegang en speciale bevoegdheden van gebruikers; 4. een verplichting tot het bijhouden van een lijst van personen die bevoegd zijn de ter beschikking gestelde dienst te gebruiken, en wat hun rechten en speciale bevoegdheden zijn ten aanzien van een dergelijk gebruik; 5. een proces voor het intrekken van toegangsrechten of voor het onderbreken van de verbinding tussen de systemen; j) afspraken over rapportage, kennisgeving en onderzoek naar informatiebeveiligingsincidenten en lekken in de beveiliging; evenals schendingen van de eisen opgesomd in de overeenkomst; k) een beschrijving van het product dat of de dienst die beschikbaar wordt gesteld, en een beschrijving van de informatie die moet worden verstrekt samen met de beveiligingsclassificatie; Pagina 16 van 102 Copyright SCGM Versie: november 2011

18 l) het beoogde serviceniveau en wanneer het serviceniveaus onvoldoende is; m) de definitie van verifieerbare prestatiecriteria en het controleren daarvan en rapportage daarover; n) het recht om elke activiteit verband houdend met de bedrijfsmiddelen van de organisatie te controleren of in te trekken; o) het recht de in de overeenkomst vastgelegde verantwoordelijkheden te auditen, deze audit door een derde partij te laten uitvoeren; p) het vaststellen van een escalatieproces voor het oplossen van problemen; q) eisen voor servicecontinuïteit, waaronder maatregelen voor beschikbaarheid en betrouwbaarheid, in overeenstemming met de bedrijfsprioriteiten van de organisatie; r) de respectievelijke aansprakelijkheden van de partijen die bij de overeenkomst betrokken zijn; s) verantwoordelijkheden met betrekking tot juridische aangelegenheden en hoe wordt gewaarborgd dat wordt voldaan aan de wettelijke eisen, bijvoorbeeld de wetgeving voor gegevensbescherming, waarbij in het bijzonder rekening wordt gehouden met de verschillende nationale rechtssystemen als de overeenkomst betrekking heeft op samenwerking met organisaties in andere landen; t) het beheer van intellectuele eigendomsrechten en bescherming van gezamenlijk werk; u) betrokkenheid van een derde partij met onderaannemers, en de beveiligingsmaatregelen die deze onderaannemers moeten implementeren; v) voorwaarden voor heronderhandeling/beëindigen van overeenkomsten. Overige informatie Bijzondere aandacht is vereist wanneer met derden partijen wordt gewerkt voor de productie van informatiegevoelige producten (bijv. jaarverslagen) en wanneer digitaal materiaal wordt verwerkt waar rechten op berusten. Daarnaast zijn specifieke maatregelen nodig wanneer wordt gewerkt met waardedragende producten of deze producten worden geproduceerd. 8 BEHEER VAN BEDRIJFSMIDDELEN DIE VERBAND HOUDEN MET IT VOORZIENINGEN 8.1 Verantwoordelijkheid voor bedrijfsmiddelen Doelstelling: Bereiken en handhaven van een adequate bescherming van bedrijfsmiddelen van de organisatie, die verband houden met IT voorzieningen. Alle bedrijfsmiddelen behoren te zijn verantwoord en aan een eigenaar te zijn toegewezen. Voor alle bedrijfsmiddelen behoort een eigenaar bekend te zijn en er behoort te worden vastgelegd wie verantwoordelijk is voor het handhaven van geschikte beheersmaatregelen. De verantwoordelijkheid voor specifieke beheersmaatregelen mag door de eigenaar worden gedelegeerd, maar de eigenaar blijft verantwoordelijk voor een goede bescherming van de bedrijfsmiddelen. Versie: november 2011 Copyright SCGM Pagina 17 van 103

19 8.1.1 Inventarisatie van bedrijfsmiddelen Alle bedrijfsmiddelen die verband houden met IT voorzieningen behoren duidelijk te zijn geïdentificeerd en er behoort een inventaris van alle belangrijke bedrijfsmiddelen te worden opgesteld en bijgehouden. Er behoort een overzicht te zijn van de systeemarchitectuur waarin de IT voorzieningen zijn omschreven en de wijze waarop deze middels netwerkvoorzieningen gekoppeld zijn. In bijlage E is een voorbeeld van een systeemarchitectuur opgenomen. Een organisatie behoort alle bedrijfsmiddelen die verband houden met IT voorzieningen te identificeren. De inventarislijst van bedrijfsmiddelen behoort alle informatie te bevatten die nodig is voor herstel na een calamiteit, waaronder type bedrijfsmiddel, locatie, informatie over back-up en licenties en bedrijfswaarde. De inventarislijst behoeft geen onnodige duplicatie te zijn van andere inventarislijsten, maar er behoort op te worden gelet dat de inhoud daarmee is afgestemd. Daarnaast behoort te worden overeengekomen en vastgelegd wie de eigenaar en wat de informatieclassificatie van elk van de bedrijfsmiddelen is. Op basis van het belang van het bedrijfsmiddel, de bedrijfswaarde en de beveiligingsclassificatie behoren er beschermingsniveaus te worden vastgesteld die passen bij het belang van de bedrijfsmiddelen. Overige informatie Voor grafische bedrijven zijn vooral onderstaande bedrijfsmiddelen in dit verband van belang: a) informatie: databases en gegevensbestanden (Digital Asset Management systemen), contracten en overeenkomsten, systeemdocumentatie, bedieningsprocedures en ondersteunende procedures, continuïteitsplannen, uitwijkregelingen, audit trails en gearchiveerde informatie; b) programmatuur: toepassingsprogrammatuur, systeemprogrammatuur, scripts (bijvoorbeeld Adobe Indesign scripting). ontwikkelingsprogrammatuur en hulpprogrammatuur; c) fysieke bedrijfsmiddelen: computerapparatuur, communicatieapparatuur, back-up systemen en, uitwisselbare media; d) diensten: computer- en communicatiediensten, algemene (nuts)voorzieningen. Inventarislijsten zijn ook van toepassing voor kwaliteitszorg, milieu- en arbozorg Eigendom van bedrijfsmiddelen Alle informatie en bedrijfsmiddelen die verband houden met IT voorzieningen behoren een eigenaar, dwz een persoon die verantwoordelijk is voor het gebruik of beheer van een voorziening, te hebben in de vorm van een aangewezen deel van de organisatie. De eigenaar van het bedrijfsmiddel behoort verantwoordelijk te zijn voor: a) het waarborgen dat informatie en bedrijfsmiddelen die verband houden met IT voorzieningen op de juiste wijze worden geclassificeerd; Pagina 18 van 102 Copyright SCGM Versie: november 2011

20 b) het definiëren en periodiek beoordelen van de toegangsbeperkingen en classificaties, daarbij rekening houdend met het van toepassing zijnde beleid voor toegangscontrole; c) het zorgdragen voor het basisbeveiligingsniveau van de voorziening. Het toewijzen van de eigenaar kan zijn voor een bedrijfsproces, deel van activiteiten, een specifiek bedrijfsmiddel of IT voorziening Aanvaardbaar gebruik van bedrijfsmiddelen Er behoren regels te worden vastgesteld, gedocumenteerd en geïmplementeerd voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met IT voorzieningen. Alle werknemers, ingehuurd personeel en externe gebruikers behoren zich te houden aan de regels voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die te maken hebben met IT voorzieningen, waaronder: a) regels voor elektronische post ( ) en gebruik van internet; b) regels voor het gebruik van bedrijfsapplicaties, zoals web to print systemen en Management Informatie Systemen, onderhoudsmonitoring en procesmanagement systemen; c) richtlijnen voor het gebruik van mobiele apparatuur, zoals laptops, mobiele telefoons en tablets, in het bijzonder voor gebruik buiten het terrein van de organisatie. Er behoren specifieke regels of richtlijnen te worden verstrekt door het management. Werknemers, ingehuurd personeel en externe gebruikers die gebruikmaken van of toegang hebben tot de bedrijfsmiddelen van de organisatie behoren zich bewust te zijn van de grenzen die bestaan voor hun gebruik van de informatie en bedrijfsmiddelen die te maken hebben met IT voorzieningen en hulpmiddelen. Zij behoren verantwoordelijk te zijn voor hun gebruik van informatievoorzieningen en voor elk gebruik uitgevoerd onder hun verantwoordelijkheid. 8.2 Inventarisatie en classificatie van informatie Doelstelling: Bewerkstelligen dat informatie een geschikt niveau van bescherming krijgt. Informatie behoort te worden geclassificeerd om bij het verwerken van de informatie de noodzaak, prioriteiten en verwachte graad van bescherming te kunnen aangeven. Informatie kan meer of minder gevoelig of kritisch zijn. Voor bepaalde informatie kan een extra niveau van bescherming of een speciale verwerking nodig zijn. Er behoort een informatieclassificatieschema te worden gebruikt om adequate niveaus van bescherming te definiëren en de noodzaak voor aparte verwerkingsmaatregelen te communiceren. Versie: november 2011 Copyright SCGM Pagina 19 van 103

21 8.2.1 Richtlijnen voor inventarisatie en classificatie Informatie behoort te worden geïnventariseerd en vervolgens worden geclassificeerd met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie en/of voor de klant. De informatiestromen worden beschreven in een informatiestroom diagram. Het inventariseren van de informatie wordt gedaan door het opstellen van een informatiestroom diagram. Een informatiestroom diagram is een grafische voorstelling van de informatiestromen in een organisatie en tussen organisaties. In bijlage D is een voorbeeld opgenomen van een informatiestroomdiagram. Classificaties en de bijbehorende beschermende beheersmaatregelen voor informatie behoren rekening te houden met de zakelijke behoefte aan het delen van informatie of het beperken ervan en de invloed van deze behoeften op het bedrijf. Het classificatieschema behoort eenvoudig te zijn, door gebruik te maken van een beperkt aantal classificatiecategorieën. Overige informatie Het beschermingsniveau kan worden beoordeeld door het analyseren van de vertrouwelijkheid, integriteit en beschikbaarheid en eventuele andere eisen voor de informatie die wordt beschouwd. Na verloop van tijd is informatie vaak niet langer gevoelig of kritiek, bijvoorbeeld wanneer de informatie is openbaar gemaakt. Ook daarmee behoort rekening te worden gehouden, omdat overclassificatie kan leiden tot de implementatie van overbodige beheersmaatregelen die leiden tot onnodige extra uitgaven Labeling en verwerking van informatie Er behoren geschikte, samenhangende procedures te worden ontwikkeld en geïmplementeerd voor de labeling en verwerking van informatie overeenkomstig het classificatiesysteem dat de organisatie heeft geïmplementeerd. De procedures voor het labelen van informatiebedrijfsmiddelen moeten zowel fysieke als elektronische hulpmiddelen omvatten. Uitvoer van systemen die informatie bevatten die als gevoelig of kritiek wordt geclassificeerd, behoort van het benodigde classificatielabel (in de uitvoer) te zijn voorzien. Het label behoort de classificatie te weer te geven volgens de regels van Items die hiervoor in aanmerking komen zijn afgedrukte rapporten, weergaven op het beeldscherm, beschreven media (bijvoorbeeld tapes, schijven, cd's), Opslagsystemen/Back-up systemen (Raid systemen, NAS, etc.) elektronische berichten en bestandsoverdrachten (inclusief FTP infrastructuur). Voor elk classificatieniveau behoren verwerkingsprocedures te worden opgesteld, waaronder beveiligd verwerken, opslag, transmissie, declassificatie en vernietiging. Hierbij horen ook de Pagina 20 van 102 Copyright SCGM Versie: november 2011

22 procedures voor de beheersketen en voor het registreren van gebeurtenissen die relevant zijn voor de beveiliging. Overeenkomsten met externe partijen waarin het delen van informatie aan de orde is behoren procedures te omvatten voor de identificatie van de classificatie van die informatie en voor het interpreteren van de classificatielabels van andere organisaties. Overige informatie Het labelen van digitale informatie verloopt via een beschrijving van een procedure of via metadata. 9 BEVEILIGING VAN PERSONEEL 9.1 Voorafgaand aan het dienstverband Doelstelling: Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden begrijpen, en geschikt zijn voor de rollen waarvoor zij worden overwogen, en om het risico van diefstal, fraude of misbruik van faciliteiten te verminderen. De verantwoordelijkheden ten aanzien van beveiliging behoren vóór het dienstverband te worden vastgelegd in passende functiebeschrijvingen en in de arbeidsvoorwaarden. Indien er producten worden verwerkt of geproduceerd waar veiligheids eisen m.b.t. informatie aan zijn verbonden dienen alle kandidaten voor een aanstelling, ingehuurd personeel en externe gebruikers op geschikte wijze te worden gescreend, in het bijzonder voor vertrouwensfuncties. Werknemers, ingehuurd personeel en externe gebruikers die IT voorzieningen gebruiken behoren een overeenkomst te tekenen over hun beveiligingsrollen en -verantwoordelijkheden Rollen en verantwoordelijkheden De rollen en verantwoordelijkheden van werknemers, ingehuurd personeel en externe gebruikers ten aanzien van beveiliging behoren te worden vastgesteld en gedocumenteerd overeenkomstig het beleid voor informatiebeveiliging van de organisatie. In de beveiligingsrollen en -verantwoordelijkheden behoort de eis te worden opgenomen om: a) het informatiebeveiligingsbeleid van de organisatie te implementeren en in overeenstemming daarmee te handelen; b) bedrijfsmiddelen te beschermen tegen ongeoorloofde toegang, openbaarmaking, wijziging, vernietiging of verstoring; c) bepaalde beveiligingsprocessen of -activiteiten uit te voeren; Versie: november 2011 Copyright SCGM Pagina 21 van 103

23 d) te waarborgen dat de verantwoordelijkheid voor genomen handelingen wordt toegewezen aan de persoon; e) informatiebeveiligingsgebeurtenissen of potentiële gebeurtenissen of andere beveiligingsrisico s aan de organisatie te rapporteren. Voorafgaand aan het dienstverband behoren de beveiligingsrollen en -verantwoordelijkheden te worden gedefinieerd en duidelijk te worden gecommuniceerd naar de kandidaten voor de functie. Overige informatie De functiebeschrijvingen kunnen worden gebruikt voor het documenteren van de beveiligingsrollen en -verantwoordelijkheden. De beveiligingsrollen en -verantwoordelijkheden voor personen die niet worden aangenomen via het wervingsproces van de organisatie, bijvoorbeeld aangenomen via derden, behoren ook duidelijk te worden gedocumenteerd en gecommuniceerd Screening Verificatie van de achtergrond van alle kandidaten voor een diensverband, ingehuurd personeel en externe gebruikers behoren te worden uitgevoerd overeenkomstig relevante wetten, voorschriften en ethische overwegingen, en behoren evenredig te zijn aan de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend, en de waargenomen risico's. De screening behoort rekening te houden met alle relevante wetgeving op het gebied van privacy, bescherming van persoonsgegevens en/of arbeidswetgeving, en behoort, mits toegelaten, het volgende mee te nemen: a) controle van (de volledigheid en nauwkeurigheid van) het curriculum vitae van de sollicitant; b) bevestiging van vermelde professionele kwalificaties; c) onafhankelijke identiteitscontrole (paspoort of vergelijkbaar document). Waar bij een eerste aanstelling of promotie sprake is van een functie waarbij de betrokkene toegang heeft tot IT voorzieningen met in het bijzonder waar gevoelige informatie wordt verwerkt, bijvoorbeeld financiële informatie of zeer vertrouwelijke informatie, behoort de organisatie eveneens verdere, meer gedetailleerde controles te overwegen, bijvoorbeeld op het hebben van een strafblad. De criteria en beperkingen van de screening behoren in procedures te zijn gedefinieerd, bijvoorbeeld wie is gerechtigd om personen te screenen en hoe, wanneer en waarom screening wordt uitgevoerd. Bij het werken met gevoelige informatie of waarde dragende materialen behoort een screeningproces ook te worden uitgevoerd voor ingehuurd personeel. Indien ingehuurd personeel via een uitzendbureau worden ingehuurd, behoren in het contract met dit bureau duidelijk de verantwoordelijkheden van het bureau te worden gespecificeerd ten aanzien van de screening en de meldingsprocedures die het bureau moet volgen indien de screening nog niet is voltooid of indien de resultaten aanleiding geven tot twijfel of zorg. Op overeenkomstige wijze behoren in de overeenkomst met de derde partij duidelijk de verantwoordelijkheden en de meldingsprocedures voor de screening te worden gespecificeerd. Pagina 22 van 102 Copyright SCGM Versie: november 2011

VVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord

VVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord VVT - Broad Horizon CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, 29-08-2017 Voorwoord Voorwoord Voor u ligt de verklaring van toepasselijkheid. De verklaring van toepasselijkheid vloeit voort uit de risicobeoordeling

Nadere informatie

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm Beheersmaatregelen volgens Bijlage A van de ISO/IEC 27001 norm A.5.1.1 Beleidsdocumenten voor informatiebeveiliging A.5.1.2 Beoordeling van het Informatiebeveiligingsbeleid A.6.1.1 Informatiebeveiligings

Nadere informatie

Hoe operationaliseer ik de BIC?

Hoe operationaliseer ik de BIC? Hoe operationaliseer ik de BIC? Baseline Informatiebeveiliging Corporaties UTRECHT, 14 November 2017. Code voor Informatiebeveiliging NEN/ISO 27001; Informatietechnologie - Beveiligingstechnieken - Managementsystemen

Nadere informatie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie : Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen

Nadere informatie

Preview. Informatie- Beveiligingsbeleid NEN-ISO/IEC 27002 (CvI / BIG)

Preview. Informatie- Beveiligingsbeleid NEN-ISO/IEC 27002 (CvI / BIG) Preview Informatie- Beveiligingsbeleid NEN-ISO/IEC 27002 (CvI / BIG) Gemeentelijk Efficiency Adviesbureau bv Schoonouwenseweg 10 2821 NX Stolwijk 0182-341350 info@gea-bv.nl Versie: preview Datum: oktober

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

De maatregelen in de komende NEN Beer Franken

De maatregelen in de komende NEN Beer Franken De maatregelen in de komende NEN 7510 Beer Franken Twee delen in komende NEN 7510 Deel 1: het infosec management system (ISMS) hoofdstuk 4 in huidige NEN 7510 Deel 2: de maatregelen hoofdstukken 5 t/m

Nadere informatie

CONCEPT ISO/IEC 27002: 2005 Grafimedia Implementatie van Informatietechnologie, Beveiligingstechnieken en de Code voor Informatiebeveiliging

CONCEPT ISO/IEC 27002: 2005 Grafimedia Implementatie van Informatietechnologie, Beveiligingstechnieken en de Code voor Informatiebeveiliging CONCEPT ISO/IEC 27002: 2005 Grafimedia Implementatie van Informatietechnologie, Beveiligingstechnieken en de Code voor Informatiebeveiliging Uitgave van de Stichting Certificatie Grafimedia branche (SCGM)

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

ISO/IEC 27002: 2013 Grafimedia

ISO/IEC 27002: 2013 Grafimedia normatieve uitwerking van de hls creatieve ISO/IEC 27002: 2013 Grafimedia Praktijkrichtlijn met beheersmaatregelen voor Informatietechnologie, Beveiligingstechnieken en de Code voor Informatiebeveiliging

Nadere informatie

Beknopt overzicht van bedreigingen en maatregelen

Beknopt overzicht van bedreigingen en maatregelen Beknopt overzicht van bedreigingen en maatregelen Dit voorbeelddocument omvat een beknopt overzicht van bedreigingen en maatregelen. De opgesomde componenten, bedreigingen en maatregelen zijn bedoeld om

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht

Nadere informatie

Privacy Verklaring versie 01-10-2015

Privacy Verklaring versie 01-10-2015 Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,

Nadere informatie

Informatiebeveiligingsbeleid Heemstede

Informatiebeveiligingsbeleid Heemstede Informatiebeveiligingsbeleid Heemstede Definitieve versie April 2013 Verseonnummer 607112 Inhoudsopgave DEEL 1: BELEIDSKADERS INFORMATIEBEVEILIGING 3 1. Inleiding 3 2. Definities en belang van informatiebeveiliging

Nadere informatie

ISO27001:2013 Verklaring van toepasselijkheid

ISO27001:2013 Verklaring van toepasselijkheid ITB-Kwadraat B.V. Pagina 1 van 15 A.5 Beveiligingsbeleid A.5.1 Managementaanwijzing voor informatiebeveiliging A.5.1.1 A.5.1.2 Beleidsregels voor informatiebeveiliging Beoordeling van het Informatiebeveiligingsbeleid

Nadere informatie

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Overzicht Informatiebeveiliging Inlichtingenbureau GGK Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging Informatiebeveiliging HKZ, november 2016 Wie ik ben: adviseur/trainer/qarebase begeleiden bij kwaliteitsmanagement en certificering Lead Auditor Kiwa, o.a. HKZ, ISO 9001, ZKN, VMS, NEN 7510 en NEN-ISO

Nadere informatie

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk)

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) 2 april 2015, versie 2.1 Artikel 1 begrippen en afkortingen De hierna met een hoofdletter aangeduide begrippen hebben in deze

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Vragenlijst voor zelfevaluatie

Vragenlijst voor zelfevaluatie Hoe voorbereid bent u voor ISO / IEC 27001: 2013? Dit document is bedoeld om te beoordelen in hoeverre uw bedrijf klaar is voor het ISO / IEC 27001 Informatie Security Management System (ISMS). Door het

Nadere informatie

PRIVACY- EN COOKIEBELEID MKB Webhoster gepubliceerd op 1 januari 2015

PRIVACY- EN COOKIEBELEID MKB Webhoster gepubliceerd op 1 januari 2015 PRIVACY- EN COOKIEBELEID MKB Webhoster gepubliceerd op 1 januari 2015 MKB Webhoster erkent dat privacy belangrijk is. Dit Privacy- en Cookiebeleid (verder: Beleid) is van toepassing op alle producten diensten

Nadere informatie

PRIVACYREGLEMENT PUBLIEKE XS-KEYS behorend bij XS-Key Systeem van Secure Logistics BV

PRIVACYREGLEMENT PUBLIEKE XS-KEYS behorend bij XS-Key Systeem van Secure Logistics BV PRIVACYREGLEMENT PUBLIEKE XS-KEYS behorend bij XS-Key Systeem van Secure Logistics BV Artikel 1. Definities In dit privacy reglement worden de volgende niet-standaard definities gebruikt: 1.1 XS-Key De

Nadere informatie

Gemeente Alphen aan den Rijn

Gemeente Alphen aan den Rijn Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid

Nadere informatie

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie)

Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) Checklist van Verplichte Documentatie vereist door ISO/IEC 27001 (2013 Revisie) 1) Welke documenten registraties zijn vereist? De onderstaande lijst toont de minimale set van documenten en registraties

Nadere informatie

Welke informatie verzamelen we en wat doen we ermee? Voor ons volledige pakket van diensten kunnen wij de volgende soorten informatie verzamelen:

Welke informatie verzamelen we en wat doen we ermee? Voor ons volledige pakket van diensten kunnen wij de volgende soorten informatie verzamelen: Privacy 11 September 2017 Privacybeleid Flexx4Nu Services is sinds 10 augustus 2017 onderdeel van HelloFlex People. Dit privacybeleid is geld voor: Flexx4Nu personeelsdiensten werving en selectie en Flexx4Nu

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Inhoudsopgave 1 Goedkeuring informatiebeveiligingsbeleid en distributie (BH1) 2 2 Inleiding 2 2.1 Toelichting 2 2.2 Definitie van informatiebeveiliging 2 2.3 Samenhang tussen

Nadere informatie

Normenkader Informatiebeveiliging MBO

Normenkader Informatiebeveiliging MBO Normenkader Informatiebeveiliging MBO IBBDOC2 Verantwoording Bron: SURFaudit toetsingskader Stichting SURF Februari 2015 Met dank aan: Maturity Werkgroep SURFibo: Hans Alfons (Vrije Universiteit) Ludo

Nadere informatie

RICHTSNOEREN MET BETREKKING TOT DE INFORMATIEBEVEILIGING VAN PERSOONSGEGEVENS. Juni 2012

RICHTSNOEREN MET BETREKKING TOT DE INFORMATIEBEVEILIGING VAN PERSOONSGEGEVENS. Juni 2012 RICHTSNOEREN MET BETREKKING TOT DE INFORMATIEBEVEILIGING VAN PERSOONSGEGEVENS Juni 2012 Versie: 1.0 Opdeling van de normen in: deel A globale beleidsgerelateerde normen en maatregelen deel B specifieke/technische

Nadere informatie

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom Gemeente 's-hertogenbosch Definitief s-hertogenbosch, 30-10-2015 A. Kieboom 1 Projectidentificatie Projectnaam: Status: Beleid Informatieveiligheid Definitief Documenthistorie Status Datum Versie Auteur(s)

Nadere informatie

MBO toetsingskader Informatiebeveiliging Handboek MBOaudit

MBO toetsingskader Informatiebeveiliging Handboek MBOaudit MBO toetsingskader Informatiebeveiliging Handboek MBOaudit IBBDOC3+ Toelichting Kenmerkend voor het vakgebied auditing is dat een onderzoek plaatsvindt ten opzichte van een eerder opgesteld en afgestemd

Nadere informatie

Generieke systeemeisen

Generieke systeemeisen Bijlage Generieke Systeem in kader van LAT-RB, versie 27 maart 2012 Generieke systeem NTA 8620 BRZO (VBS elementen) Arbowet Bevb / NTA 8000 OHSAS 18001 ISO 14001 Compliance competence checklist 1. Algemene

Nadere informatie

BEWERKERSOVEREENKOMST

BEWERKERSOVEREENKOMST BEWERKERSOVEREENKOMST 1. [ORGANISATIE], statutair gevestigd te [PLAATS], kantoor houdende [ADRES], ingeschreven in het handelsregister onder nummer [KVKNR], hierbij vertegenwoordigd door [DHR/MEVR] [NAAM],

Nadere informatie

Preview. Algemeen Handboek Informatiebeveiliging NEN-ISO/IEC 27002 (CvI / BIG) Gemeentelijk Efficiency Adviesbureau bv

Preview. Algemeen Handboek Informatiebeveiliging NEN-ISO/IEC 27002 (CvI / BIG) Gemeentelijk Efficiency Adviesbureau bv Preview Algemeen Handboek Informatiebeveiliging NEN-ISO/IEC 27002 (CvI / BIG) Gemeentelijk Efficiency Adviesbureau bv Schoonouwenseweg 10 2821 NX Stolwijk 0182-341350 info@gea-bv.nl Versie: preview Datum:

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Inleiding Als zorginstelling is Profila Zorg verantwoordelijk voor goede en veilige zorg aan haar cliënten. Bij het uitvoeren van deze taak staat het leveren van kwaliteit

Nadere informatie

GEBRUIKERSVOORWAARDEN

GEBRUIKERSVOORWAARDEN GEBRUIKERSVOORWAARDEN Voor het gebruik van MIJN POSITIEVE GEZONDHEID gelden de volgende gebruiksvoorwaarden. Het gebruik van MIJN POSITIEVE GEZONDHEID is alleen mogelijk indien u met deze gebruiksvoorwaarden

Nadere informatie

ISO 27001 met Qmanage

ISO 27001 met Qmanage A : Auke Vleerstraat 6D I : www.quarantainenet.nl 7521 PG Enschede E : info@quarantainenet.nl T : 053-7503070 B : NL89 RABO 0317 2867 14 F : 053-7503071 KvK : 08135536 ISO 27001 met Qmanage Inclusief NEN

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

Privacy beleid. Algemeen

Privacy beleid. Algemeen Privacy beleid Algemeen In dit Privacy beleid wordt beschreven hoe wij omgaan met uw persoonsgegevens. Wij verzamelen, gebruiken en delen persoonsgegevens om de websites van JaMa Media, zoals Mijnkoopwaar

Nadere informatie

PRIVACYVOORWAARDEN. 3.3 De zeggenschap over de Gegevens komt nooit bij Bewerker te rusten. Versie

PRIVACYVOORWAARDEN. 3.3 De zeggenschap over de Gegevens komt nooit bij Bewerker te rusten. Versie 1. Algemeen In deze privacyvoorwaarden wordt verstaan onder: 1.1 Algemene voorwaarden: de Algemene voorwaarden van Bewerker, die onverkort van toepassing zijn op iedere afspraak tussen Bewerker en Verantwoordelijke

Nadere informatie

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk)

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) Artikel 1 begrippen en afkortingen De hierna met een hoofdletter aangeduide begrippen hebben in deze Aansluitvoorwaarden de volgende

Nadere informatie

en alle aan haar gelieerde entiteiten, waaronder maar niet uitsluitend ESJ Accounting &

en alle aan haar gelieerde entiteiten, waaronder maar niet uitsluitend ESJ Accounting & 1. Algemeen In deze privacy voorwaarden wordt verstaan onder: 1.1 Dienstenvoorwaarden: de Dienstenvoorwaarden van Bewerker, die onverkort van toepassing zijn op iedere afspraak tussen Bewerker en Verantwoordelijke

Nadere informatie

hierna gezamenlijk te noemen: "Partijen" en afzonderlijk te noemen: "Partij";

hierna gezamenlijk te noemen: Partijen en afzonderlijk te noemen: Partij; BIJLAGE 4C BEWERKERSOVEREENKOMST DE ONDERGETEKENDEN: (1) UNIVERSITEIT UTRECHT, gevestigd te 3584 CS, Utrecht en kantoorhoudende aan de Heidelberglaan 8, hierbij rechtsgeldig vertegenwoordigd door [naam],

Nadere informatie

Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers

Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Template voor bewerkersovereenkomst

Template voor bewerkersovereenkomst B Template voor bewerkersovereenkomst Dit is een modelovereenkomst die dient als voorbeeld. BEDRIJF en SAAS-leveranciers kunnen met dit model zelf nadere afspraken maken naar aanleiding van iedere specifieke

Nadere informatie

A. Stichting Aeres Groep, hierbij vertegenwoordigd door <<naam>>, te noemen: Opdrachtgever,

A. Stichting Aeres Groep, hierbij vertegenwoordigd door <<naam>>, te noemen: Opdrachtgever, Bijlage 10 Bewerkersovereenkomst Ondergetekenden: A. Stichting Aeres Groep, hierbij vertegenwoordigd door , te noemen: Opdrachtgever, en B. , hierbij rechtsgeldig vertegenwoordigd door ,

Nadere informatie

Algemene voorwaarden voor het gebruik van de NCDR database en website

Algemene voorwaarden voor het gebruik van de NCDR database en website ALGEMENE VOORWAARDEN VAN NCDR Algemene voorwaarden voor het gebruik van de NCDR database en website 1. Definities 1.1 De hierna met een hoofdletter aangeduide begrippen hebben de volgende betekenis: a.

Nadere informatie

Informatiebeveiliging: Hoe voorkomen we issues?

Informatiebeveiliging: Hoe voorkomen we issues? Informatiebeveiliging: Hoe voorkomen we issues? Workshop C Remco de Boer (Kennisnet) Ludo Cuijpers (MBO Taskforce IBB) Inhoud 1. Voorstelronde 2. Over uw rol 3. Maatregelen 4. De diepte in Voorstelronde

Nadere informatie

4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden. 4.3 Het toepassingsgebied van het milieumanagementsystee m vaststellen

4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden. 4.3 Het toepassingsgebied van het milieumanagementsystee m vaststellen 4 Context van de organisatie 4 Milieumanagementsysteemeisen 4.1 Inzicht in de organisatie en haar context 4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden 4.3 Het toepassingsgebied

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Bijlage 1 Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Blink is een educatieve uitgeverij die verschillende (digitale) producten en diensten (

Nadere informatie

Informatiebeveiligingsbeleid extern

Informatiebeveiligingsbeleid extern ISO 27001:2013 Informatiebeveiligingsbeleid extern 25 oktober 2016 Status document: versie 1.0 Auteur: Frankie Lipsius CONCLUSION LEARNING CENTERS Postbus 85030 3508 AA Utrecht Nederland T +31 (0)30 744

Nadere informatie

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari 2005. Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren.

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari 2005. Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren. Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat DMZ Policy 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren Geaccepteerd Manager SPITS

Nadere informatie

Privacy Policy v Stone Internet Services bvba

Privacy Policy v Stone Internet Services bvba Privacy Policy v09.16 Stone Internet Services bvba Stone Internet Services Privacy Policy Dit document heeft als doel te beschrijven hoe Stone Internet Services bvba omgaat met het opslaan en beheren van

Nadere informatie

Checklist voor controle (audit) NEN 4000

Checklist voor controle (audit) NEN 4000 Rigaweg 26, 9723 TH Groningen T: (050) 54 45 112 // F: (050) 54 45 110 E: info@precare.nl // www.precare.nl Checklist voor controle (audit) NEN 4000 Nalooplijst hoofdstuk 4 Elementen in de beheersing van

Nadere informatie

Privacy reglement publieke XS-Key

Privacy reglement publieke XS-Key Privacy reglement publieke XS-Key Dit is het Privacy reglement behorend bij XS-Key Systeem van Secure Logistics BV (hierna te noemen SL ). 1. Definities In dit reglement worden de navolgende begrippen

Nadere informatie

Privacy Verklaring Definities Toegang tot Innerview

Privacy Verklaring Definities Toegang tot Innerview Privacy Verklaring Dit is de Privacy Verklaring van Pearson Assessment and Information B.V. (hierna te noemen: Pearson of wij ) te Amsterdam (Postbus 78, 1000 AB). In deze verklaring wordt uiteengezet

Nadere informatie

Aanvraagformulier Cyber en Data Risks verzekering by Hiscox

Aanvraagformulier Cyber en Data Risks verzekering by Hiscox A Algemeen 1. Gegevens aanvrager Naam: Adres: Dochter- Bedrijven 50% aandel of meer: Heeft u een vestiging in de VS/ Canada Graag een opgave van uw activiteiten: Graag een opgave van uw website(s) : 2.

Nadere informatie

Aansluitvoorwaarden Diginetwerk

Aansluitvoorwaarden Diginetwerk Aansluitvoorwaarden Diginetwerk 16 december 2010, versie 1.71 Artikel 1 begrippen en afkortingen De hierna met een hoofdletter aangeduide begrippen hebben in deze Aansluitvoorwaarden de volgende betekenis:

Nadere informatie

De hierna en hiervoor in deze Bewerkingsovereenkomst vermelde, met een hoofdletter geschreven begrippen, hebben de volgende betekenis:

De hierna en hiervoor in deze Bewerkingsovereenkomst vermelde, met een hoofdletter geschreven begrippen, hebben de volgende betekenis: 1 De ondergetekenden: 1. De Staat der Nederlanden, waarvan de zetel is gevestigd te Den Haag, te dezen vertegenwoordigd door de Minister/Staatssecretaris van (naam portefeuille), namens deze, (functienaam

Nadere informatie

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Bijlage 1 Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Uitgeverij Zwijsen B.V. is een educatieve uitgeverij die verschillende digitale producten en diensten ( digitale leermiddelen

Nadere informatie

Cloud Computing. Bijzondere inkoopvoorwaarden. Hoogheemraadschap van Delfland

Cloud Computing. Bijzondere inkoopvoorwaarden. Hoogheemraadschap van Delfland Cloud Computing Bijzondere inkoopvoorwaarden Hoogheemraadschap van Delfland Inhoud 1 INKOOPVOORWAARDEN CLOUD COMPUTING... 3 1.1 ARTIKEL 1 - DEFINITIES... 3 1.2 Artikel 2 Dienstverlening algemeen... 3 1.3

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

Strategisch Informatiebeveiligingsbeleid Hefpunt

Strategisch Informatiebeveiligingsbeleid Hefpunt Strategisch Informatiebeveiligingsbeleid Hefpunt Groningen, 24-5-2016 Classificatie: intern Wijzigingshistorie Release Datum Auteur(s) Aanpassing 2016 0.1 24-05- 2016 2016 0.2 01-06- 2016 L. Winters J.

Nadere informatie

Verklaring van toepasselijkheid ISO 27001

Verklaring van toepasselijkheid ISO 27001 Van toepassing A.5 Beveiligingsbeleid A.5.1 A.5.1.1 Managementaanwijzing voor Beleidsregels voor Het verschaffen van directieaansturing van en -steun voor in overeenstemming met bedrijfseisen en relevante

Nadere informatie

PRIVACYVERKLARING PARKINSON VERENIGING

PRIVACYVERKLARING PARKINSON VERENIGING PRIVACYVERKLARING PARKINSON VERENIGING Via de website (www.parkinson-vereniging.nl) en het platform, waar u een Persoonlijk Parkinson Dossier kunt aanmaken, van De Parkinson Vereniging worden privacygevoelige

Nadere informatie

van de Tactische Baseline van de Tactische Baseline

van de Tactische Baseline van de Tactische Baseline sorteersleutel Compleet Suwi Audit BRP BAG Faciltair HRM Inkoop Categorie Sub-Categorie Vraag 3 i800.79687 Vragenlijst BIG hs 3: Implementatie Vragen hs 3.1 Benoem 3.1.a Is er een integraal implementatieplan?

Nadere informatie

Beschrijving van de generieke norm: ISO 27001:2013. Grafimedia en Creatieve Industrie. Versie: augustus 2016

Beschrijving van de generieke norm: ISO 27001:2013. Grafimedia en Creatieve Industrie. Versie: augustus 2016 Beschrijving van de generieke norm: ISO 27001:2013 Grafimedia en Creatieve Industrie Versie: augustus 2016 Uitgave van de branche (SCGM) INHOUDSOPGAVE INHOUDSOPGAVE... 1 INLEIDING... 4 1. ONDERWERP EN

Nadere informatie

Internationale veiligheidsrichtlijnen Hoofdstuk 6 voor binnentankschepen en terminals. Hoofdstuk 6 BEVEILIGING

Internationale veiligheidsrichtlijnen Hoofdstuk 6 voor binnentankschepen en terminals. Hoofdstuk 6 BEVEILIGING Hoofdstuk 6 BEVEILIGING Binnenvaarttankers laden of lossen vaak op faciliteiten waar zeevaarttankers worden behandeld en waar dus de International Ship en Port Facility Security (ISPS) Code van toepassing

Nadere informatie

Digitale Communicatie. Gedragscode voor internet- en e-mailgebruik

Digitale Communicatie. Gedragscode voor internet- en e-mailgebruik Digitale Communicatie Gedragscode voor internet- en e-mailgebruik Gedragscode internet- en e-mailgebruik Deze gedragscode omvat gedrags- en gebruiksregels voor het gebruik van internet- en e-mail op de

Nadere informatie

Definitieve bevindingen Rijnland ziekenhuis

Definitieve bevindingen Rijnland ziekenhuis POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl Definitieve bevindingen Rijnland ziekenhuis

Nadere informatie

Baseline Informatiebeveiliging Waterschappen. Strategisch en Tactisch normenkader WS versie 1.0

Baseline Informatiebeveiliging Waterschappen. Strategisch en Tactisch normenkader WS versie 1.0 Baseline Informatiebeveiliging Waterschappen Strategisch en Tactisch normenkader WS versie 1.0 Baseline Informatiebeveiliging Waterschappen Strategisch en Tactisch normenkader WS versie 1.0 1 Inhoudsopgave

Nadere informatie

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Veilige afvoer van ICT-middelen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Cloud computing Helena Verhagen & Gert-Jan Kroese

Cloud computing Helena Verhagen & Gert-Jan Kroese Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg

Nadere informatie

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo notities Versie: versie datum Onderwerp Aan CC Van Hans Wolters 29 januari 2016 c-n-hawo-0004-20160129 HaWo 1. Leveringsvoorwaarden 1.1. Algemene gegevens ISC Het ICT Servicecentrum (ISC) is voor de Radboud

Nadere informatie

Handleiding Risicomanagement

Handleiding Risicomanagement Handleiding Risicomanagement IBPDOC29 Verantwoording Opdrachtgever Kennisnet / sambo-ict Dit document is geschreven voor IT managers, IT security officers, Information officers binnen de MBO sector. Dit

Nadere informatie

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA

Nadere informatie

INFORMATIEBEVEILIGINGSBELEID DELFLAND

INFORMATIEBEVEILIGINGSBELEID DELFLAND INFORMATIEBEVEILIGINGSBELEID DELFLAND INHOUD 1. Inleiding 3 1.1 Context 3 1.2 van informatiebeveiliging 3 1.3 Componenten van informatiebeveiliging 4 1.4 Wettelijke basis 4 1.5 Standaarden 5 1.6 Scope

Nadere informatie

PRIVACY. Welke informatie vergaart de applicatie en hoe wordt het gebruikt?

PRIVACY. Welke informatie vergaart de applicatie en hoe wordt het gebruikt? PRIVACY EN GEBRUIKSVOORWAARDEN Het in dit document bepaalde is van toepassing op uw gebruik van de software applicatie ProjeQtive Scan voor mobiele apparaten die is gemaakt door ProjeQtive BV. De applicatie

Nadere informatie

Privacy statement voor de gebruiker van de RadiologieNetwerk-Services

Privacy statement voor de gebruiker van de RadiologieNetwerk-Services Privacy statement voor de gebruiker van de RadiologieNetwerk-Services Missie XS2RA B.V. tevens handelend onder de naam RadiologieNetwerk ( RadiologieNetwerk ) heeft als missie om via haar RadiologieNetwerk

Nadere informatie

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Informatiebeveiliging En terugblik op informatiebeveiliging 2016 Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

2.1 SBK beheert de NMD en verkrijgt daarmee feitelijk toegang tot de vertrouwelijke informatie van de deelnemende Data-leverancier.

2.1 SBK beheert de NMD en verkrijgt daarmee feitelijk toegang tot de vertrouwelijke informatie van de deelnemende Data-leverancier. Gebruiksvoorwaarden en geheimhoudingsovereenkomst Stichting Bouwkwaliteit - december 2012 In het Bouwbesluit 2012 wordt de SBK-Bepalingsmethode Mileuprestatie Gebouwen en GWWwerken (voortaan: Bepalingsmethode)aangewezen

Nadere informatie

Doel van de opleiding informatieveiligheid

Doel van de opleiding informatieveiligheid Doel van de opleiding informatieveiligheid Het netwerk voor elektronische uitwisseling van persoonsgegevens tussen de diverse instellingen van de sociale zekerheid, dat door de Kruispuntbank wordt beheerd,

Nadere informatie

Gedragscode. Inleiding

Gedragscode. Inleiding Gedragscode Inleiding Deze gedragscode is van toepassing op alle werknemers (inclusief de directeurs) die voor een of meer van de entiteiten werken die tot de VastNed Groep behoren (VastNed Retail N.V.,

Nadere informatie

Voorschriften betreffende het beheer van de archiefbewaarplaats en het beheer van de documenten (Besluit informatiebeheer RUD Zuid-Limburg).

Voorschriften betreffende het beheer van de archiefbewaarplaats en het beheer van de documenten (Besluit informatiebeheer RUD Zuid-Limburg). HET DAGELIJKS BESTUUR VAN DE RUD ZUID-LIMBURG Gelet op artikel 8 van de Archiefverordening RUD Zuid-Limburg BESLUIT: Vast te stellen de navolgende: Voorschriften betreffende het beheer van de archiefbewaarplaats

Nadere informatie

Privacyreglement

Privacyreglement Privacyreglement De Verwerking van Persoonsgegevens is aangemeld bij het College Bescherming Persoonsgegevens (CBP) onder nummer m1602696. Persoonsgegevens in een vorm die het mogelijk maakt de Betrokkene

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

PRIVACYVERKLARING PARKINSON VERENIGING

PRIVACYVERKLARING PARKINSON VERENIGING PRIVACYVERKLARING PARKINSON VERENIGING Via de website (www.parkinson-vereniging.nl) en het platform, waar u een Persoonlijk Parkinson Dossier kunt aanmaken, van De Parkinson Vereniging worden privacygevoelige

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/11/135 ADVIES NR 11/16 VAN 8 NOVEMBER 2011 BETREFFENDE DE AANVRAAG VAN HET NATIONAAL ZIEKENFONDS PARTENA

Nadere informatie

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen: RI&E Privacy Introductie Vanaf 25 mei 2018 wordt de nieuwe Europese privacywetgeving (GDPR) gehandhaafd. Dit heeft belangrijke gevolgen voor het bedrijfsleven. Er is onder andere een meldplicht voor datalekken

Nadere informatie

Databeveiliging en Hosting Asperion

Databeveiliging en Hosting Asperion Databeveiliging en Hosting Asperion www.asperion.nl info@asperion.nl Het Asperion Datacenter Uw gegevens veilig en professioneel bewaard Administraties bevatten vertrouwelijke informatie en daar moet vanzelfsprekend

Nadere informatie

Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging. 1. Inleiding

Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging. 1. Inleiding Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging 1. Inleiding Doel van dit document is het verzamelen van alle aspecten die relevant zijn in het kader van personeelsbeleid en NEN 7510, en

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie