Toelichting op de. ISO/IEC 27002: 2005 Grafimedia

Transcriptie

1 Toelichting op de ISO/IEC 27002: 2005 Grafimedia Implementatie van Informatietechnologie, Beveiligingstechnieken en de Code voor Informatiebeveiliging Uitgave van de Stichting Certificatie Grafimedia branche (SCGM)

2 De nummering van de inhoudsopgave van deze toelichting op de norm correspondeert met de nummering van de hoofdstukindeling van de norm. Pagina 2 van 102 Copyright SCGM Versie: november 2011

3

4 INHOUDSOPGAVE 7 ORGANISATIE VAN DE INFORMATIEBEVEILIGING Interne organisatie Betrokkenheid van de directie bij informatiebeveiliging Coördinatie van de informatiebeveiliging Toewijzing van verantwoordelijkheden voor informatiebeveiliging Goedkeuringsproces voor IT voorzieningen Geheimhoudingsovereenkomst Contact met overheidsinstanties Contact met speciale belangengroepen Onafhankelijke beoordeling van informatiebeveiliging Externe partijen Identificatie van risico's die betrekking hebben op externe partijen Beveiligingsmaatregelen in relatie tot dienstverlening aan klanten Beveiliging regelen in overeenkomsten met een derde partij BEHEER VAN BEDRIJFSMIDDELEN DIE VERBAND HOUDEN MET IT VOORZIENINGEN Verantwoordelijkheid voor bedrijfsmiddelen Inventarisatie van bedrijfsmiddelen Eigendom van bedrijfsmiddelen Aanvaardbaar gebruik van bedrijfsmiddelen Inventarisatie en classificatie van informatie Richtlijnen voor inventarisatie en classificatie Labeling en verwerking van informatie BEVEILIGING VAN PERSONEEL Voorafgaand aan het dienstverband Rollen en verantwoordelijkheden Screening Arbeidscontract Tijdens het dienstverband Directieverantwoordelijkheid Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging Disciplinaire maatregelen Beëindiging of wijziging van dienstverband Beëindiging van verantwoordelijkheden Retournering van bedrijfsmiddelen Blokkering van toegangsrechten FYSIEKE BEVEILIGING EN BEVEILIGING VAN DE OMGEVING Beveiligde ruimten Fysieke beveiliging van de omgeving Fysieke toegangsbeveiliging Beveiliging van kantoren, ruimten en faciliteiten Beveiliging van apparatuur Plaatsing en bescherming van apparatuur...29 Versie: november 2011 Copyright SCGM Pagina 3 van 102

5 Beveiliging van kabels Onderhoud van apparatuur Beveiliging van apparatuur buiten het terrein Veilig verwijderen of hergebruiken van apparatuur Verwijdering van bedrijfseigendommen BEHEER VAN COMMUNICATIE- EN BEDIENINGSPROCESSEN Bedieningsprocedures en verantwoordelijkheden Gedocumenteerde bedieningsprocedures Wijzigingsbeheer Scheiding van faciliteiten voor ontwikkeling, testen en productie Beheer van de dienstverlening door een derde partij Dienstverlening Controle en beoordeling van dienstverlening door een derde partij Beheer van wijzigingen in dienstverlening door een derde partij Systeemacceptatie Systeemacceptatie Bescherming tegen virussen, mobile code en scripts Maatregelen tegen virussen Maatregelen tegen mobile code Maken van een Back-up Maken van back-ups Beheer van netwerkbeveiliging Maatregelen voor netwerken Bescherming van media Beheer van transporteerbare media Verwijdering van media Procedures voor de behandeling van informatie Beveiliging van systeemdocumentatie Uitwisseling van informatie Beleid en procedures voor informatie-uitwisseling Uitwisselingsovereenkomsten Fysieke media die worden getransporteerd Elektronisch berichtenuitwisseling Systemen voor bedrijfsinformatie Diensten voor e-commerce Elektronische handel Online transacties Openbaar beschikbare informatie TOEGANGSBEVEILIGING Bedrijfseisen ten aanzien van toegangsbeheersing Toegangsbeleid Beheer van toegangsrechten van gebruikers Registratie van gebruikers Beheer van speciale bevoegdheden...53 Pagina 4 van 102 Copyright SCGM Versie: november 2011

6 Beheer van gebruikerswachtwoorden Beoordeling van toegangsrechten van gebruikers Verantwoordelijkheden van gebruikers Gebruik van wachtwoorden Onbeheerde gebruikersapparatuur Clear desk - en clear screen -beleid Toegangsbeheersing voor netwerken Beleid ten aanzien van het gebruik van netwerkdiensten Authenticatie van gebruikers bij externe verbindingen Identificatie van netwerkapparatuur Bescherming op afstand van poorten voor diagnose en configuratie Scheiding van netwerken en voor netwerkverbindingen en voor netwerkroutering Toegangsbeheersing voor informatiesystemen en informatie Beperken van toegang tot informatie Draagbare computers en telewerken Draagbare computers en communicatievoorzieningen Telewerken/thuiswerken VERWERVING, ONTWIKKELING EN ONDERHOUD VAN INFORMATIESYSTEMEN Beveiligingseisen voor informatiesystemen Analyse en specificatie van beveiligingseisen bij de verwerving van informatiesystemen Correcte verwerking in toepassingen Validatie van invoergegevens Beheersing van interne gegevensverwerking Validatie van uitvoergegevens Beveiliging van systeembestanden Beheersing van operationele programmatuur Toegangsbeheersing voor broncode van programmatuur Beveiliging bij ontwikkelings- en ondersteuningsprocessen Procedures voor wijzigingsbeheer van informatiesystemen Technische beoordeling van toepassingen na wijzigingen in het besturingssysteem Beperkingen op wijzigingen in programmatuurpakketten Uitlekken van informatie Uitbestede ontwikkeling van programmatuur Beheer van technische kwetsbaarheden Beheersing van technische kwetsbaarheden CONTROLE OP- EN NALEVING VAN HET SYSTEEM VAN INFORMATIEBEVEILIGING Controle Aanmaken audit-logbestanden Controle van systeemgebruik Bescherming van informatie in logbestanden Logbestanden van administrators en operators Registratie van storingen...73 Versie: november 2011 Copyright SCGM Pagina 5 van 103

7 Synchronisatie van systeemklokken Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken Rapportage van informatiebeveiligingsgebeurtenissen Beheer van informatiebeveiligingsincidenten en verbeteringen Verantwoordelijkheden en procedures Leren van informatiebeveiligingsincidenten Verzamelen van bewijsmateriaal BEDRIJFSCONTINUïTEITSBEHEER Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer Bedrijfscontinuïteit en risicobeoordeling Continuïteitsplannen ontwikkelen en implementeren Kader voor de bedrijfscontinuïteitsplanning Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen NALEVING Naleving van wettelijke voorschriften Identificatie van toepasselijke wetgeving Intellectuele eigendomsrechten Bescherming van bedrijfsdocumenten Bescherming van fysieke of digitale assets voor productie Bescherming van gegevens en geheimhouding van persoonsgegevens Voorkomen van misbruik van IT voorzieningen Naleving van beveiligingsbeleid en -normen en technische naleving Naleving van beveiligingsbeleid en -normen Controle op technische naleving Overwegingen bij audits van informatiesystemen en voor audits van informatiesystemen Bescherming van hulpmiddelen voor audits van informatiesystemen...86 BIJLAGE A: Instrument voor Risicoanalyse, het stoplicht model 88 BIJLAGE B: Hoofdlijnen beleidsuitgangspunten 90 BIJLAGE C: Voorbeeld rapportage Basis Beveiligings Niveau 92 BIJLAGE D: Voorbeeld informatiestroom diagram 101 BIJLAGE E: Voorbeeld systeemarchitectuur 102 BIJLAGE F: Checklist voor aanschaf van informatiesystemen 103 Pagina 6 van 102 Copyright SCGM Versie: november 2011

8 7 ORGANISATIE VAN DE INFORMATIEBEVEILIGING 7.1 Interne organisatie Doelstelling: organisatorische beheersing van de informatiebeveiliging binnen de organisatie. De organisatie heeft taken, verantwoordelijkheden en bevoegdheden omschreven en toegewezen, aangevuld met een omschrijving van de coördinatie en de inrichting en uitvoering van communicatie Betrokkenheid van de directie bij informatiebeveiliging Beleidsmaatregel. De directie behoort actief informatiebeveiliging binnen de organisatie te ondersteunen door duidelijk richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor informatiebeveiliging toe te kennen en te erkennen. De directie behoort: a) te waarborgen dat de informatiebeveiligingsdoelstellingen worden vastgesteld, deze voldoen aan de eisen van de organisatie en zijn geïntegreerd in de relevante processen; b) het informatiebeveiligingsbeleid te formuleren, te beoordelen en goed te keuren; c) de doelmatigheid van de implementatie van het informatiebeveiligingsbeleid te beoordelen; d) te zorgen voor een heldere koers en zichtbare ondersteuning voor beveiligingsinitiatieven; e) te zorgen voor de middelen die nodig zijn voor informatiebeveiliging; f) het toekennen van rollen en verantwoordelijkheden voor de informatiebeveiliging en in alle lagen van de organisatie goed te keuren; g) vast te stellen de behoefte aan opleiding en zorgdragen voor opleidingen; h) plannen en programma s te initiëren om het informatiebeveiligingsbewustzijn levend te houden; i) te waarborgen dat de implementatie van de beheersmaatregelen voor informatiebeveiliging in alle lagen van de organisatie wordt gecoördineerd (zie 7.1.2). j) de directie behoort de behoefte aan interne of externe bronnen van deskundig advies voor informatiebeveiliging vast te stellen en de resultaten van het advies te beoordelen en te coördineren. Afhankelijk van de grootte van de organisatie kunnen deze verantwoordelijkheden worden uitgevoerd door een daartoe aangewezen en bevoegd beheerorgaan of bevoegd medewerker, of door de directie. Versie: november 2011 Copyright SCGM Pagina 7 van 103

9 7.1.2 Coördinatie van de informatiebeveiliging Activiteiten voor informatiebeveiliging behoren te worden gecoördineerd door vertegenwoordigers uit verschillende delen van de organisatie met relevante rollen en functies. Kenmerkend voor de coördinatie van informatiebeveiliging is de medewerking en samenwerking van managers, medewerkers, beheerders, ontwerpers van toepassingen, auditors en beveiligingspersoneel en medewerkers met specialistische kennis op het gebied van administratie, data verwerking, IT of risicobeheer. Deze activiteit behoort in te houden: a) het waarborgen dat de beveiligingsactiviteiten worden uitgevoerd in overeenstemming met het informatiebeveiligingsbeleid; b) vaststellen hoe op te treden bij niet-naleving; c) het goedkeuren van de methoden en processen voor informatiebeveiliging, bijvoorbeeld risicobeoordeling, informatieclassificatie; de identificatie van significante wijzigingen in bedreigingen en het blootstellen van informatie en IT voorzieningen aan bedreigingen; d) de beoordeling van de geschiktheid en het coördineren van de implementatie van informatiebeveiligingsmaatregelen; e) het effectief bevorderen van opleiding, training en bewustwording van informatiebeveiliging in alle lagen van de organisatie; f) het evalueren van informatie verkregen uit het controleren en beoordelen van informatiebeveiligingsincidenten, en aanbevelen van gepaste handelingen als reactie op de vastgestelde informatiebeveiligingsincidenten. Indien de organisatie geen gebruik maakt van een multidisciplinair team, bijvoorbeeld omdat zo n team niet past bij de omvang van de organisatie, behoren de eerder beschreven handelingen te worden uitgevoerd door een geschikte manager of medewerker met duidelijke bevoegdheden Toewijzing van verantwoordelijkheden voor informatiebeveiliging Alle verantwoordelijkheden voor informatiebeveiliging behoren duidelijk te zijn gedefinieerd. Het toewijzen van verantwoordelijkheden voor de informatiebeveiliging behoort te worden uitgevoerd in overeenstemming met het informatiebeveiligingsbeleid. De verantwoordelijkheid voor de bescherming van individuele bedrijfsmiddelen en voor het uitvoeren van specifieke beveiligingsmaatregelen behoort duidelijk te worden gedefinieerd. Deze verantwoordelijkheid behoort indien nodig te worden aangevuld met meer gedetailleerde richtlijnen voor bepaalde locaties, afdelingen of IT voorzieningen. Personen aan wie beveiligingsverantwoordelijkheden zijn opgedragen, mogen beveiligingstaken aan anderen delegeren. Zij blijven echter verantwoordelijk en behoren zelf vast te stellen dat een gedelegeerde taak op de juiste wijze is uitgevoerd. Pagina 8 van 102 Copyright SCGM Versie: november 2011

10 De terreinen waarvoor personen verantwoordelijk zijn behoren duidelijk te worden aangegeven; in het bijzonder behoort het onderstaande te worden uitgevoerd: a) de bedrijfsmiddelen en beveiligingsmaatregelen van elk afzonderlijk systeem behoren te worden vastgesteld en duidelijk te worden gedefinieerd; b) er behoort voor elk bedrijfsmiddel of maatregel een eigenaar te worden aangewezen en de details van deze verantwoordelijkheid behoren te worden gedocumenteerd; c) bevoegdheden behoren duidelijk te worden gedefinieerd en gedocumenteerd. Overige informatie Het verdient aanbeveling om een directielid de eindverantwoordelijkheid toe te wijzen, die de volledige verantwoordelijkheid krijgt voor de ontwikkeling en implementatie van de beveiliging en die ondersteuning verleent bij het vaststellen van de beheersmaatregelen. De verantwoordelijkheid voor het beschikbaar stellen van middelen en het implementeren van de beheersmaatregelen ligt bij individuele managers. Het is goed gebruik voor elk bedrijfsmiddel een eigenaar aan te wijzen, die vervolgens verantwoordelijk is voor de dagelijkse bescherming ervan Goedkeuringsproces voor IT voorzieningen Er behoort een goedkeuringsproces voor vernieuwde en nieuwe IT voorzieningen te worden vastgesteld en geïmplementeerd. Er behoort rekening te worden gehouden met de volgende richtlijnen voor het autorisatieproces: a) nieuwe voorzieningen behoren te worden goedgekeurd door het management van gebruikersafdelingen, waarbij de bevoegdheid wordt verleend voor het doel en het gebruik van de voorzieningen. Autorisatie behoort ook te worden verkregen van de manager die verantwoordelijk is voor de handhaving van de beveiliging van de (lokale) informatiesystemen, om te waarborgen dat alle relevante beveiligingseisen en -procedures worden nageleefd; b) waar nodig behoort hardware, programmatuur en online services te worden gecontroleerd op compatibiliteit en werking met andere systeemcomponenten; c) het gebruik van persoonlijke of eigen IT voorzieningen, bijvoorbeeld laptops, huiscomputers of handheld apparatuur, voor het verwerken van bedrijfsgegevens kan nieuwe kwetsbaarheden veroorzaken en eventuele noodzakelijke beheersmaatregelen behoren te worden vastgesteld en geïmplementeerd. Overige informatie Persoonlijke of eigen IT voorzieningen die door de organisatie aan de gebruiker worden verschaft moeten zodanig ingericht zijn dat deze beschermen tegen inbreuk op interne systemen (bijv. specifieke netwerkpoorten of VPN, die gecontroleerd worden middels een firewall, viruscontrole en toegangsbeheer). Versie: november 2011 Copyright SCGM Pagina 9 van 103

11 7.1.5 Geheimhoudingsovereenkomst Eisen voor vertrouwelijkheid of geheimhoudingsovereenkomst die een weerslag vormen van de behoefte van de organisatie aan bescherming van informatie behoren te worden vastgesteld en regelmatig te worden beoordeeld. De eis te stellen aan vertrouwelijkheids- of geheimhoudingsovereenkomst is om vertrouwelijke informatie te beschermen binnen juridische voorwaarden. Om de eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomst vast te stellen behoren de volgende elementen te worden beschouwd: a) een definitie van de informatie die moet worden beschermd (bijvoorbeeld vertrouwelijke informatie); b) verwachte looptijd van een vertrouwelijkheids- of geheimhoudingsovereenkomst, waaronder gevallen waar de vertrouwelijkheid mogelijk onbeperkt moet worden aangehouden; c) benodigde handelingen wanneer een overeenkomst is beëindigd; d) verantwoordelijkheden en handelingen van de ondertekenaars om niet-geautoriseerde bekendmaking van informatie te voorkomen (kennis op basis van behoefte need to know - principe toepassen); e) eigendom van de informatie, vakgeheimen en intellectueel eigendom, en hoe dit verband houdt met de bescherming van vertrouwelijke informatie; f) toegelaten gebruik van vertrouwelijke informatie en de rechten van de ondertekenaar om informatie te gebruiken; g) recht om activiteiten te auditen en te controleren waarbij vertrouwelijke informatie betrokken is; h) proces voor notificatie en rapportage van ongeoorloofde bekendmaking of inbreuk op vertrouwelijke informatie; i) voorwaarden waaronder de informatie moet worden teruggegeven of worden vernietigd na beëindiging van de overeenkomst en j) verwachte handelingen die moeten worden ondernomen bij inbreuk op deze overeenkomst. Er zouden nog andere elementen nodig kunnen zijn voor een vertrouwelijkheids- of geheimhoudingsovereenkomst, afhankelijk van de beveiligingseisen van de organisatie. De eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomst behoren regelmatig te worden beoordeeld en tevens wanneer zich veranderingen voordoen die van invloed zijn op deze eisen Contact met overheidsinstanties Indien er ten behoeve van informatiebeveiliging contacten met relevante overheidsinstanties nodig zijn, moeten deze contacten worden onderhouden en afspraken/werkwijzen worden gedocumenteerd. Pagina 10 van 102 Copyright SCGM Versie: november 2011

12 Organisaties behoren procedures te hebben geïmplementeerd die beschrijven wanneer en door wie er met autoriteiten contact behoort te worden opgenomen (bijvoorbeeld politie, brandweer, toezichthouders) en hoe de vastgestelde informatiebeveiligingsincidenten tijdig behoren te worden gerapporteerd, indien het vermoeden bestaat dat er wetgeving is overtreden Contact met speciale belangengroepen Indien relevant behoren er geschikte contacten met speciale belangengroepen of andere specialistische platforms voor beveiliging en professionele organisaties te worden onderhouden. Het lidmaatschap van bepaalde belangengroeperingen of forums behoort te worden beschouwd als een middel om: a) kennis te vergroten van beproefde werkwijzen ( best practices ) en op de hoogte te blijven van de laatste stand van zaken op het gebied van informatiebeveiliging; b) te waarborgen dat kennis en begrip van het vakgebied informatiebeveiliging volledig actueel en compleet zijn; c) vroegtijdig signalen te krijgen van waarschuwingen, adviezen en patches die verband houden met aanvallen en kwetsbaarheden; d) toegang te verkrijgen tot deskundig informatiebeveiligingsadvies; e) informatie over nieuwe technologieën, producten, bedreigingen of kwetsbaarheden te delen en uit te wisselen; f) geschikte aanspreekpunten te leveren wanneer men te maken heeft met informatiebeveiligingsincidenten. Overige informatie Binnen een aantal sectoren van de grafische industrie zijn speciale sectorgroepen aanwezig. Een voorbeeld is de sector security printers. Ondernemingen kunnen t.a.v. informatiebeveiliging contacten onderhouden, respectievelijk het initiatief nemen voor kennisontwikkeling of het aanpakken van bepaalde vraagstukken. Ook op het gebied van regelgeving m.b.t. Direct Marketing, zijn diverse organisaties die informatie en kennis bieden over het gebruik van consumenten en Business to Business data Onafhankelijke beoordeling van informatiebeveiliging De benadering van de organisatie voor het beheer van informatiebeveiliging en de implementatie daarvan (d.w.z. beheersdoelstellingen, beheersmaatregelen, beleid, maatregelen en procedures voor informatiebeveiliging) behoren onafhankelijk en met geplande tussenpozen te worden beoordeeld, of zodra zich significante wijzigingen voordoen in de implementatie van de beveiliging. Versie: november 2011 Copyright SCGM Pagina 11 van 103

13 De onafhankelijke beoordeling moeten worden geïnitieerd door de directie. Een dergelijke onafhankelijke beoordeling is nodig om te waarborgen dat de organisatie een geschikte, toereikende en doeltreffende aanpak van het beheer van informatiebeveiliging hanteert. In de beoordeling behoren de mogelijkheden voor verbetering en de noodzaak om wijzigingen aan te brengen in de beveiligingsaanpak, waaronder het beleid en de beheersdoelstellingen, te worden meegenomen. Een dergelijke beoordeling moeten worden uitgevoerd door personen die onafhankelijk zijn ten opzichte van de omgeving die wordt beoordeeld, bijvoorbeeld de interne auditor, een onafhankelijke manager of een derde partij die in dergelijke beoordelingen is gespecialiseerd, voor zover zij beschikken over de juiste vaardigheden en ervaring. De resultaten van de onafhankelijke beoordeling behoren te worden vastgelegd en aan de directie te worden gerapporteerd die de beoordeling heeft geïnitieerd. De verslagen behoren te worden bewaard. Indien in de onafhankelijke beoordeling wordt vastgesteld dat de aanpak en implementatie van het beheer van informatiebeveiliging van de organisatie ontoereikend zijn of niet in overeenstemming zijn met de koers voor informatiebeveiliging die is vastgelegd in het beleidsdocument over informatiebeveiliging, behoort de directie corrigerende maatregelen te nemen. Overige informatie Voor het regelmatig beoordelen van de beveiligingsmaatregelen is het in Bijlage C opgenomen schema Basis Beveiligings Niveau (BBN) nuttig om als leidraad te hanteren. Het is tevens mogelijk om externe beveiligings adviseur in te schakelen om delen van het beleid te beoordelen. 7.2 Externe partijen Doelstelling: Beveiligen van de informatie en IT voorzieningen van de organisatie handhaven waartoe externe partijen toegang hebben of die door externe partijen worden verwerkt of beheerd, of die naar externe partijen wordt gecommuniceerd Identificatie van risico's die betrekking hebben op externe partijen De risico's voor de informatie en IT voorzieningen van de organisatie vanuit bedrijfsprocessen waarbij externe partijen betrokken zijn, behoren te worden geïdentificeerd en er behoren geschikte beheersmaatregelen te worden geïmplementeerd voordat toegang wordt verleend. Waar het zakelijk gezien nodig is om een externe partij toegang te verlenen tot de IT voorzieningen of informatie van een organisatie, behoort een risicobeoordeling te worden uitgevoerd om mogelijke eisen voor specifieke beheersmaatregelen te identificeren. Dit is het geval bijvoorbeeld voor het online monitoren van bedrijfsmiddelen tbv het functioneren of het plegen van onderhoud aan bedrijfsmiddelen. Pagina 12 van 102 Copyright SCGM Versie: november 2011

14 Bij de identificatie van risico s verband houdend met toegang door externe partijen behoort het onderstaande mee in beschouwing te worden genomen: a) de IT voorzieningen waartoe de externe partij toegang toe moet hebben; b) het soort toegang dat de externe partij zal hebben tot de informatie en IT voorzieningen, bijvoorbeeld: 1. fysieke toegang, zoals tot kantoren, computerruimten, archiefkasten; 2. logische toegang, zoals tot de content management systemen, beelddatabank en/of informatiesystemen van een organisatie; 3. netwerkverbindingen tussen de netwerken van de organisatie en de externe partij, zoals een online verbinding via het internet of specifiek netwerk; 4. of de toegang op locatie of van buitenaf wordt verkregen. Er kan sprake zijn van gezamenlijk gebruik van faciliteiten in een bedrijfsverzamelgebouw; c) de waarde en gevoeligheid van de desbetreffende informatie, en hoe bedrijfskritisch de informatie is; d) de beheersmaatregelen die nodig zijn om informatie te beschermen die niet toegankelijk mag zijn voor de externe partijen; e) het personeel van de externe partij dat is betrokken bij het verwerken van de informatie van de organisatie; f) hoe de organisatie of het personeel dat geautoriseerde toegang heeft kan worden vastgesteld, hoe de autorisatie kan worden geverifieerd en hoe vaak dit moet worden herbevestigd; g) de verschillende middelen en beheersmaatregelen die door de externe partij worden gehanteerd bij het opslaan, verwerken, communiceren, delen en uitwisselen van informatie; h) de gevolgen van het ontbreken van toegang voor de externe partij wanneer dat is vereist en van het invoeren of ontvangen van onjuiste of misleidende informatie door de externe partij; i) werkvoorschriften en procedures om informatiebeveiligingsincidenten en potentiële schade af te handelen en de voorwaarden waaronder in geval van een informatiebeveiligingsincident de toegang voor de externe partij kan worden aangepast en voortgezet; j) eisen van wet- en regelgeving en andere contractuele verplichtingen met betrekking tot de externe partij waarmee rekening behoort te worden gehouden; k) de invloed van de overeenkomsten op de belangen van mogelijke andere belanghebbenden. Externe partijen behoren pas toegang te krijgen tot de systemen en/of informatie van de organisatie wanneer er geschikte beheersmaatregelen zijn geïmplementeerd en, waar mogelijk, een contract is getekend of afspraken zijn gemaakt waarin de voorwaarden voor de verbinding of de toegang en de werkafspraken zijn vastgelegd. Over het algemeen behoren alle beveiligingseisen als gevolg van werken met externe partijen of interne beheersmaatregelen tot uitdrukking te komen in de overeenkomst met de externe partij. Er behoort te worden gewaarborgd dat de externe partij kennis draagt van zijn verplichtingen en de verantwoordelijkheden en aansprakelijkheid aanvaardt die gepaard gaan met de toegang tot informatie en IT voorzieningen van de organisatie en het verwerken, communiceren of beheren ervan. Overige informatie Voor het aanleveren van grafische data tbv de verwerking in producten, aangeleverd voor derden kunnen praktische richtlijnen worden vastgelegd voor het aanleveren van data, zoals nu ook gangbaar is voor de technische aard van de aan te leveren data. In dit geval is het praktisch om de Versie: november 2011 Copyright SCGM Pagina 13 van 103

15 huidige richtlijn voor het aanleveren van grafische data, of terug te leveren data, te controleren en aan te vullen op het gebied van informatiebeveiliging. Bij het inrichten van een technische architectuur voor het aanleveren van data dient gebruik te worden gemaakt van systemen die in een DeMilitarized Zone (DMZ) staan en gecontroleerd beschikbaar wordt gesteld aan de productiemedewerkers die op het interne gescheiden netwerk de productie activiteiten uitvoeren. Een DMZ is een netwerksegment dat zich tussen het interne en externe netwerk (meestal het internet) bevindt. Gelden er bijvoorbeeld bijzondere eisen ten aanzien van de vertrouwelijkheid van de informatie, dan kunnen geheimhoudingsovereenkomsten worden gebruikt. Het is nuttig om bezoekers tot de fysieke locatie te registreren en voor toeleveranciers een identificatie te vragen en bij vertrek een bewijs van uitgevoerde activiteiten. Onder externe partijen, waarop beheersmaatregelen van toepassing zijn rekenen we o.a.: 1. dienstverlenende bedrijven, zoals ISP s, leveranciers van netwerkdiensten, van telefoondiensten, van onderhoudsdiensten; 2. beheerde beveiligingsdiensten; 3. klanten of personen/organisaties die namens klanten databestanden of grafische bestanden aanleveren; 4. uitbesteding van voorzieningen en/of bedrijfsactiviteiten, bijvoorbeeld (online) IT voorzieningen, prepress systemen, leveranciers van productieapparatuur gekoppeld aan het datanetwerk; 5. management- en businessconsultants en auditors; 6. ontwikkelaars en leveranciers, bijvoorbeeld van programmatuur en IT voorzieningen, leveranciers van onderhouds- en remote control systemen voor monitoring; 7. schoonmaakdiensten, catering en andere uitbestede facilitaire diensten; 8. tijdelijk personeel, stagiairs, en andere kortlopende gelegenheidsaanstellingen Beveiligingsmaatregelen in relatie tot dienstverlening aan klanten Alle geïdentificeerde beveiligingseisen behoren te worden afgestemd met klanten, voordat klanten toegang wordt verleend tot de informatie of bedrijfsmiddelen van de organisatie. De volgende punten behoren te worden overwogen alvorens klanten toegang te geven tot enige van de bedrijfsmiddelen (afhankelijk van type en omvang van de verleende toegang, behoeven ze niet allemaal van toepassing te zijn): a) de bescherming van bedrijfsmiddelen, waaronder: 1. procedures voor de bescherming van bedrijfsmiddelen, waaronder informatie en programmatuur; 2. procedures om vast te stellen of bedrijfsmiddelen gecompromitteerd zijn, bijvoorbeeld of zich verlies of wijziging van gegevens heeft voorgedaan; 3. integriteit; 4. beperkingen ten aanzien van het kopiëren en openbaar maken van informatie; b) een beschrijving van de dienst die beschikbaar wordt gesteld; Pagina 14 van 102 Copyright SCGM Versie: november 2011

16 c) afspraken over toegangsbeleid, waaronder: 1. goedgekeurde toegangsmethoden, evenals beheersing en gebruik van unieke identificatiemethoden zoals gebruikersidentificaties en wachtwoorden; 2. een autorisatieproces voor toegang tot applicaties of infrastructuur en speciale bevoegdheden van gebruikers; 3. een proces voor het intrekken van toegangsrechten of voor het onderbreken van de verbinding tussen de systemen; d) afspraken over de aanlevering van digitale materialen (teksten en beelden) en de opslag daarvan (hoe lang bewaren, in welke vorm terug te leveren of te vernietigen). In dit kader kunnen de KVGO leveringsvoorwaarden worden toegepast. Deze leveringsvoorwaarden hebben passende maatregelen in het kader van het auteursrecht op digitale materialen van de klant, respectievelijk van derden handelend in opdracht van de klant, respectievelijk het ontwikkelen van digitaal materiaal door de organisatie zelf in opdracht van de klant. e) afspraken over rapportage, kennisgeving en onderzoek naar onjuistheden in informatie, van informatiebeveiligingsincidenten en lekken in de beveiliging; f) een beschrijving van elke dienst die beschikbaar wordt gesteld; g) het recht om elke activiteit verband houdend met de bedrijfsmiddelen van de organisatie te controleren of in te trekken; h) de respectievelijke aansprakelijkheden van de organisatie en van de klant; i) verantwoordelijkheden met betrekking tot juridische aangelegenheden en hoe wordt gewaarborgd dat wordt voldaan aan de wettelijke eisen, bijvoorbeeld de wetgeving voor gegevensbescherming, waarbij in het bijzonder rekening wordt gehouden met de verschillende nationale rechtssystemen als de overeenkomst betrekking heeft op samenwerking met organisaties in andere landen; j) Het gebruik van digitaal materiaal van of in opdracht van de klant, waarop intellectuele eigendomsrechten berust of overdracht van intellectuele eigendomsrechten en bescherming van gezamenlijk werk. Overige informatie De beveiligingseisen worden opgenomen in specifieke klantenovereenkomsten of is algemeen geregeld in de leveringsvoorwaarden wanneer het gebruik van aangeleverd digitaal materiaal voor verdere verwerking in de productie betreft. Overeenkomsten met externe partijen mogen zich ook uitstrekken tot andere partijen. Overeenkomsten die toegang aan een externe partij verlenen, behoren ruimte te laten voor aanwijzing van andere partijen en voorwaarden voor hun toegang en betrokkenheid Beveiliging regelen in overeenkomsten met een derde partij In overeenkomsten met derden waarbij toegang tot, of het verwerken en beheer van informatie of IT voorzieningen of daaraan gekoppelde bedrijfsmiddelen van de organisatie sprake is, behoren alle relevante beveiligingseisen te zijn opgenomen. Versie: november 2011 Copyright SCGM Pagina 15 van 103

17 De volgende punten behoren te worden overwogen voor opname in de overeenkomst om te waarborgen dat er geen misverstanden bestaan tussen de organisatie en een derde partij. Organisaties behoren zich ervan te vergewissen dat de aansprakelijkheid van een derde partij voldoende is afgedekt. In een dergelijke overeenkomst behoren de volgende punten te worden opgenomen om invulling te geven aan de vastgestelde beveiligingseisen (zie 7.2.1): a) het informatiebeveiligingsbeleid; b) beheersmaatregelen voor het waarborgen van de bescherming van bedrijfsmiddelen, waaronder: 1. procedures voor de bescherming van bedrijfsmiddelen, waaronder informatie, programmatuur, hardware of gebruik van online services; 2. alle benodigde fysieke beschermingsmaatregelen en -mechanismen; 3. beheersmaatregelen ter bescherming tegen virussen, phishing of aanvallen van toegang; 4. procedures om vast te stellen of bedrijfsmiddelen gecompromitteerd zijn, bijvoorbeeld of zich verlies of wijziging van informatie, programmatuur en hardware heeft voorgedaan; 5. beheersmaatregelen om de teruggave of vernietiging van informatie en andere bedrijfsmiddelen aan het einde van of op een overeengekomen tijdstip tijdens de looptijd van de overeenkomst te waarborgen. Er behoren procedures te zijn voor het beheer en terugleveren van data van klanten waarvoor gebruik wordt gemaakt van online services van derden; 6. beperkingen ten aanzien van het beschikbaar stellen voor verwerking in productie, kopiëren en openbaar maken van informatie en het gebruik van geheimhoudingsovereenkomsten; c) opleiding voor gebruikers en (externe) beheerders op het gebied van het gebruik en de beveiliging van systemen; d) waarborgen dat gebruikers zich bewust zijn van verantwoordelijkheden en aspecten van informatiebeveiliging; e) een voorziening voor het overplaatsen van personeel, waar van toepassing; f) verantwoordelijkheden ten aanzien van installatie en onderhoud van hardware en programmatuur; g) een duidelijke rapportagestructuur en afspraken over de vorm van de rapportage; h) een duidelijk en gespecificeerd proces voor het beheer van wijzigingen; i) afspraken over toegangsbeleid, waaronder: 1. de verschillende redenen, eisen en voordelen die de toegang voor de derde partij noodzakelijk maken; 2. goedgekeurde toegangsmethoden, evenals beheersing en gebruik van unieke identificatiemethoden zoals gebruikersidentificaties en wachtwoorden; 3. een autorisatieproces voor toegang en speciale bevoegdheden van gebruikers; 4. een verplichting tot het bijhouden van een lijst van personen die bevoegd zijn de ter beschikking gestelde dienst te gebruiken, en wat hun rechten en speciale bevoegdheden zijn ten aanzien van een dergelijk gebruik; 5. een proces voor het intrekken van toegangsrechten of voor het onderbreken van de verbinding tussen de systemen; j) afspraken over rapportage, kennisgeving en onderzoek naar informatiebeveiligingsincidenten en lekken in de beveiliging; evenals schendingen van de eisen opgesomd in de overeenkomst; k) een beschrijving van het product dat of de dienst die beschikbaar wordt gesteld, en een beschrijving van de informatie die moet worden verstrekt samen met de beveiligingsclassificatie; Pagina 16 van 102 Copyright SCGM Versie: november 2011

18 l) het beoogde serviceniveau en wanneer het serviceniveaus onvoldoende is; m) de definitie van verifieerbare prestatiecriteria en het controleren daarvan en rapportage daarover; n) het recht om elke activiteit verband houdend met de bedrijfsmiddelen van de organisatie te controleren of in te trekken; o) het recht de in de overeenkomst vastgelegde verantwoordelijkheden te auditen, deze audit door een derde partij te laten uitvoeren; p) het vaststellen van een escalatieproces voor het oplossen van problemen; q) eisen voor servicecontinuïteit, waaronder maatregelen voor beschikbaarheid en betrouwbaarheid, in overeenstemming met de bedrijfsprioriteiten van de organisatie; r) de respectievelijke aansprakelijkheden van de partijen die bij de overeenkomst betrokken zijn; s) verantwoordelijkheden met betrekking tot juridische aangelegenheden en hoe wordt gewaarborgd dat wordt voldaan aan de wettelijke eisen, bijvoorbeeld de wetgeving voor gegevensbescherming, waarbij in het bijzonder rekening wordt gehouden met de verschillende nationale rechtssystemen als de overeenkomst betrekking heeft op samenwerking met organisaties in andere landen; t) het beheer van intellectuele eigendomsrechten en bescherming van gezamenlijk werk; u) betrokkenheid van een derde partij met onderaannemers, en de beveiligingsmaatregelen die deze onderaannemers moeten implementeren; v) voorwaarden voor heronderhandeling/beëindigen van overeenkomsten. Overige informatie Bijzondere aandacht is vereist wanneer met derden partijen wordt gewerkt voor de productie van informatiegevoelige producten (bijv. jaarverslagen) en wanneer digitaal materiaal wordt verwerkt waar rechten op berusten. Daarnaast zijn specifieke maatregelen nodig wanneer wordt gewerkt met waardedragende producten of deze producten worden geproduceerd. 8 BEHEER VAN BEDRIJFSMIDDELEN DIE VERBAND HOUDEN MET IT VOORZIENINGEN 8.1 Verantwoordelijkheid voor bedrijfsmiddelen Doelstelling: Bereiken en handhaven van een adequate bescherming van bedrijfsmiddelen van de organisatie, die verband houden met IT voorzieningen. Alle bedrijfsmiddelen behoren te zijn verantwoord en aan een eigenaar te zijn toegewezen. Voor alle bedrijfsmiddelen behoort een eigenaar bekend te zijn en er behoort te worden vastgelegd wie verantwoordelijk is voor het handhaven van geschikte beheersmaatregelen. De verantwoordelijkheid voor specifieke beheersmaatregelen mag door de eigenaar worden gedelegeerd, maar de eigenaar blijft verantwoordelijk voor een goede bescherming van de bedrijfsmiddelen. Versie: november 2011 Copyright SCGM Pagina 17 van 103

19 8.1.1 Inventarisatie van bedrijfsmiddelen Alle bedrijfsmiddelen die verband houden met IT voorzieningen behoren duidelijk te zijn geïdentificeerd en er behoort een inventaris van alle belangrijke bedrijfsmiddelen te worden opgesteld en bijgehouden. Er behoort een overzicht te zijn van de systeemarchitectuur waarin de IT voorzieningen zijn omschreven en de wijze waarop deze middels netwerkvoorzieningen gekoppeld zijn. In bijlage E is een voorbeeld van een systeemarchitectuur opgenomen. Een organisatie behoort alle bedrijfsmiddelen die verband houden met IT voorzieningen te identificeren. De inventarislijst van bedrijfsmiddelen behoort alle informatie te bevatten die nodig is voor herstel na een calamiteit, waaronder type bedrijfsmiddel, locatie, informatie over back-up en licenties en bedrijfswaarde. De inventarislijst behoeft geen onnodige duplicatie te zijn van andere inventarislijsten, maar er behoort op te worden gelet dat de inhoud daarmee is afgestemd. Daarnaast behoort te worden overeengekomen en vastgelegd wie de eigenaar en wat de informatieclassificatie van elk van de bedrijfsmiddelen is. Op basis van het belang van het bedrijfsmiddel, de bedrijfswaarde en de beveiligingsclassificatie behoren er beschermingsniveaus te worden vastgesteld die passen bij het belang van de bedrijfsmiddelen. Overige informatie Voor grafische bedrijven zijn vooral onderstaande bedrijfsmiddelen in dit verband van belang: a) informatie: databases en gegevensbestanden (Digital Asset Management systemen), contracten en overeenkomsten, systeemdocumentatie, bedieningsprocedures en ondersteunende procedures, continuïteitsplannen, uitwijkregelingen, audit trails en gearchiveerde informatie; b) programmatuur: toepassingsprogrammatuur, systeemprogrammatuur, scripts (bijvoorbeeld Adobe Indesign scripting). ontwikkelingsprogrammatuur en hulpprogrammatuur; c) fysieke bedrijfsmiddelen: computerapparatuur, communicatieapparatuur, back-up systemen en, uitwisselbare media; d) diensten: computer- en communicatiediensten, algemene (nuts)voorzieningen. Inventarislijsten zijn ook van toepassing voor kwaliteitszorg, milieu- en arbozorg Eigendom van bedrijfsmiddelen Alle informatie en bedrijfsmiddelen die verband houden met IT voorzieningen behoren een eigenaar, dwz een persoon die verantwoordelijk is voor het gebruik of beheer van een voorziening, te hebben in de vorm van een aangewezen deel van de organisatie. De eigenaar van het bedrijfsmiddel behoort verantwoordelijk te zijn voor: a) het waarborgen dat informatie en bedrijfsmiddelen die verband houden met IT voorzieningen op de juiste wijze worden geclassificeerd; Pagina 18 van 102 Copyright SCGM Versie: november 2011

20 b) het definiëren en periodiek beoordelen van de toegangsbeperkingen en classificaties, daarbij rekening houdend met het van toepassing zijnde beleid voor toegangscontrole; c) het zorgdragen voor het basisbeveiligingsniveau van de voorziening. Het toewijzen van de eigenaar kan zijn voor een bedrijfsproces, deel van activiteiten, een specifiek bedrijfsmiddel of IT voorziening Aanvaardbaar gebruik van bedrijfsmiddelen Er behoren regels te worden vastgesteld, gedocumenteerd en geïmplementeerd voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met IT voorzieningen. Alle werknemers, ingehuurd personeel en externe gebruikers behoren zich te houden aan de regels voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die te maken hebben met IT voorzieningen, waaronder: a) regels voor elektronische post ( ) en gebruik van internet; b) regels voor het gebruik van bedrijfsapplicaties, zoals web to print systemen en Management Informatie Systemen, onderhoudsmonitoring en procesmanagement systemen; c) richtlijnen voor het gebruik van mobiele apparatuur, zoals laptops, mobiele telefoons en tablets, in het bijzonder voor gebruik buiten het terrein van de organisatie. Er behoren specifieke regels of richtlijnen te worden verstrekt door het management. Werknemers, ingehuurd personeel en externe gebruikers die gebruikmaken van of toegang hebben tot de bedrijfsmiddelen van de organisatie behoren zich bewust te zijn van de grenzen die bestaan voor hun gebruik van de informatie en bedrijfsmiddelen die te maken hebben met IT voorzieningen en hulpmiddelen. Zij behoren verantwoordelijk te zijn voor hun gebruik van informatievoorzieningen en voor elk gebruik uitgevoerd onder hun verantwoordelijkheid. 8.2 Inventarisatie en classificatie van informatie Doelstelling: Bewerkstelligen dat informatie een geschikt niveau van bescherming krijgt. Informatie behoort te worden geclassificeerd om bij het verwerken van de informatie de noodzaak, prioriteiten en verwachte graad van bescherming te kunnen aangeven. Informatie kan meer of minder gevoelig of kritisch zijn. Voor bepaalde informatie kan een extra niveau van bescherming of een speciale verwerking nodig zijn. Er behoort een informatieclassificatieschema te worden gebruikt om adequate niveaus van bescherming te definiëren en de noodzaak voor aparte verwerkingsmaatregelen te communiceren. Versie: november 2011 Copyright SCGM Pagina 19 van 103

21 8.2.1 Richtlijnen voor inventarisatie en classificatie Informatie behoort te worden geïnventariseerd en vervolgens worden geclassificeerd met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie en/of voor de klant. De informatiestromen worden beschreven in een informatiestroom diagram. Het inventariseren van de informatie wordt gedaan door het opstellen van een informatiestroom diagram. Een informatiestroom diagram is een grafische voorstelling van de informatiestromen in een organisatie en tussen organisaties. In bijlage D is een voorbeeld opgenomen van een informatiestroomdiagram. Classificaties en de bijbehorende beschermende beheersmaatregelen voor informatie behoren rekening te houden met de zakelijke behoefte aan het delen van informatie of het beperken ervan en de invloed van deze behoeften op het bedrijf. Het classificatieschema behoort eenvoudig te zijn, door gebruik te maken van een beperkt aantal classificatiecategorieën. Overige informatie Het beschermingsniveau kan worden beoordeeld door het analyseren van de vertrouwelijkheid, integriteit en beschikbaarheid en eventuele andere eisen voor de informatie die wordt beschouwd. Na verloop van tijd is informatie vaak niet langer gevoelig of kritiek, bijvoorbeeld wanneer de informatie is openbaar gemaakt. Ook daarmee behoort rekening te worden gehouden, omdat overclassificatie kan leiden tot de implementatie van overbodige beheersmaatregelen die leiden tot onnodige extra uitgaven Labeling en verwerking van informatie Er behoren geschikte, samenhangende procedures te worden ontwikkeld en geïmplementeerd voor de labeling en verwerking van informatie overeenkomstig het classificatiesysteem dat de organisatie heeft geïmplementeerd. De procedures voor het labelen van informatiebedrijfsmiddelen moeten zowel fysieke als elektronische hulpmiddelen omvatten. Uitvoer van systemen die informatie bevatten die als gevoelig of kritiek wordt geclassificeerd, behoort van het benodigde classificatielabel (in de uitvoer) te zijn voorzien. Het label behoort de classificatie te weer te geven volgens de regels van Items die hiervoor in aanmerking komen zijn afgedrukte rapporten, weergaven op het beeldscherm, beschreven media (bijvoorbeeld tapes, schijven, cd's), Opslagsystemen/Back-up systemen (Raid systemen, NAS, etc.) elektronische berichten en bestandsoverdrachten (inclusief FTP infrastructuur). Voor elk classificatieniveau behoren verwerkingsprocedures te worden opgesteld, waaronder beveiligd verwerken, opslag, transmissie, declassificatie en vernietiging. Hierbij horen ook de Pagina 20 van 102 Copyright SCGM Versie: november 2011

22 procedures voor de beheersketen en voor het registreren van gebeurtenissen die relevant zijn voor de beveiliging. Overeenkomsten met externe partijen waarin het delen van informatie aan de orde is behoren procedures te omvatten voor de identificatie van de classificatie van die informatie en voor het interpreteren van de classificatielabels van andere organisaties. Overige informatie Het labelen van digitale informatie verloopt via een beschrijving van een procedure of via metadata. 9 BEVEILIGING VAN PERSONEEL 9.1 Voorafgaand aan het dienstverband Doelstelling: Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden begrijpen, en geschikt zijn voor de rollen waarvoor zij worden overwogen, en om het risico van diefstal, fraude of misbruik van faciliteiten te verminderen. De verantwoordelijkheden ten aanzien van beveiliging behoren vóór het dienstverband te worden vastgelegd in passende functiebeschrijvingen en in de arbeidsvoorwaarden. Indien er producten worden verwerkt of geproduceerd waar veiligheids eisen m.b.t. informatie aan zijn verbonden dienen alle kandidaten voor een aanstelling, ingehuurd personeel en externe gebruikers op geschikte wijze te worden gescreend, in het bijzonder voor vertrouwensfuncties. Werknemers, ingehuurd personeel en externe gebruikers die IT voorzieningen gebruiken behoren een overeenkomst te tekenen over hun beveiligingsrollen en -verantwoordelijkheden Rollen en verantwoordelijkheden De rollen en verantwoordelijkheden van werknemers, ingehuurd personeel en externe gebruikers ten aanzien van beveiliging behoren te worden vastgesteld en gedocumenteerd overeenkomstig het beleid voor informatiebeveiliging van de organisatie. In de beveiligingsrollen en -verantwoordelijkheden behoort de eis te worden opgenomen om: a) het informatiebeveiligingsbeleid van de organisatie te implementeren en in overeenstemming daarmee te handelen; b) bedrijfsmiddelen te beschermen tegen ongeoorloofde toegang, openbaarmaking, wijziging, vernietiging of verstoring; c) bepaalde beveiligingsprocessen of -activiteiten uit te voeren; Versie: november 2011 Copyright SCGM Pagina 21 van 103

23 d) te waarborgen dat de verantwoordelijkheid voor genomen handelingen wordt toegewezen aan de persoon; e) informatiebeveiligingsgebeurtenissen of potentiële gebeurtenissen of andere beveiligingsrisico s aan de organisatie te rapporteren. Voorafgaand aan het dienstverband behoren de beveiligingsrollen en -verantwoordelijkheden te worden gedefinieerd en duidelijk te worden gecommuniceerd naar de kandidaten voor de functie. Overige informatie De functiebeschrijvingen kunnen worden gebruikt voor het documenteren van de beveiligingsrollen en -verantwoordelijkheden. De beveiligingsrollen en -verantwoordelijkheden voor personen die niet worden aangenomen via het wervingsproces van de organisatie, bijvoorbeeld aangenomen via derden, behoren ook duidelijk te worden gedocumenteerd en gecommuniceerd Screening Verificatie van de achtergrond van alle kandidaten voor een diensverband, ingehuurd personeel en externe gebruikers behoren te worden uitgevoerd overeenkomstig relevante wetten, voorschriften en ethische overwegingen, en behoren evenredig te zijn aan de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend, en de waargenomen risico's. De screening behoort rekening te houden met alle relevante wetgeving op het gebied van privacy, bescherming van persoonsgegevens en/of arbeidswetgeving, en behoort, mits toegelaten, het volgende mee te nemen: a) controle van (de volledigheid en nauwkeurigheid van) het curriculum vitae van de sollicitant; b) bevestiging van vermelde professionele kwalificaties; c) onafhankelijke identiteitscontrole (paspoort of vergelijkbaar document). Waar bij een eerste aanstelling of promotie sprake is van een functie waarbij de betrokkene toegang heeft tot IT voorzieningen met in het bijzonder waar gevoelige informatie wordt verwerkt, bijvoorbeeld financiële informatie of zeer vertrouwelijke informatie, behoort de organisatie eveneens verdere, meer gedetailleerde controles te overwegen, bijvoorbeeld op het hebben van een strafblad. De criteria en beperkingen van de screening behoren in procedures te zijn gedefinieerd, bijvoorbeeld wie is gerechtigd om personen te screenen en hoe, wanneer en waarom screening wordt uitgevoerd. Bij het werken met gevoelige informatie of waarde dragende materialen behoort een screeningproces ook te worden uitgevoerd voor ingehuurd personeel. Indien ingehuurd personeel via een uitzendbureau worden ingehuurd, behoren in het contract met dit bureau duidelijk de verantwoordelijkheden van het bureau te worden gespecificeerd ten aanzien van de screening en de meldingsprocedures die het bureau moet volgen indien de screening nog niet is voltooid of indien de resultaten aanleiding geven tot twijfel of zorg. Op overeenkomstige wijze behoren in de overeenkomst met de derde partij duidelijk de verantwoordelijkheden en de meldingsprocedures voor de screening te worden gespecificeerd. Pagina 22 van 102 Copyright SCGM Versie: november 2011