Handreiking classificatie. Universiteit Leiden

Save this PDF as:
 WORD  PNG  TXT  JPG

Maat: px
Weergave met pagina beginnen:

Download "Handreiking classificatie. Universiteit Leiden"

Transcriptie

1 Handreiking classificatie Universiteit Leiden 1

2 Versie beheer Versie april 2015 Eerste concept door Marco Gosselink Versie april 2015 Tweede concept na opmerkingen J-W Brock. Versie mei 2015 Derde concept na opmerkingen Erik Adriaens en informatiemanagers. Versie juni 2015 Definitieve versie 2

3 Inhoudsopgave 1. Inleiding 4 2. Beveiligingskaders en uitgangspunten Beschikbaarheid Integriteit Vertrouwelijkheid 5 3. Beveiligingsklassen Beveiligingsklasse basis risico Beveiligingsklasse verhoogd risico Beveiligingsklasse hoog risico 7 4. Rollen en verantwoordelijkheden in relatie tot een ICT-voorziening 8 5. Classificatie Wat is classificatie Het risico van over- of onderclassificatie De opdrachtgever van de classificatie Het classificeren 10 Bijlage: 1. Achtergrondvragen bij de risicoanalyse De risicoanalyse zelf 14 3

4 1.Inleiding Dit document beschrijft de classificatierichtlijn, waarmee de systeemeigenaren (c.q. de opdrachtgevers van ICT-projecten) voor zichzelf kunnen bepalen wat het belang van de gegevens in hun systeem is voor het onderwijs, onderzoek en bedrijfsvoering van de Universiteit Leiden. Deze richtlijn richt zich dus op de eigenaren van ICT-voorzieningen of eigenaren van informatie of data dat in een systeem aanwezig is. Zij zijn immers als (gemandateerd) eindeverantwoordelijke ook verantwoordelijk voor het implementeren en handhaven van de beveiligingsmaatregelen. Het zijn ook deze eigenaren die beslissen over de classificatie van hun ICT-voorziening of data. Zij kunnen hierbij geadviseerd worden door informatiemanagers, security officers en de security manager. Afhankelijk van deze classificatie worden vervolgens de maatregelen uit de maatregelendatabase voor het betreffende systeem voorgeschreven. Deze richtlijn is een hulpmiddel om tot een classificatie te komen en deze nader te onderbouwen. Hiertoe wordt een classificatiemethode en vragenlijst aangeboden. In diverse gevallen zal niet direct eenduidig een classificatie uit de bus rollen, maar zal de toegekende classificatie het resultaat zijn van een zorgvuldige afweging van de verkregen informatie. Hierbij speelt ook een kosten/baten analyse een rol: hoe hoger de beveiligingsklasse, hoe meer beveiligingsmaatregelen getroffen moeten worden en hoe hoger de kosten. Daarnaast is het risico dat men wenste te accepteren een belangrijke factor. Separaat aan de classificatierichtlijn is een baseline van maatregelen ontwikkeld. Als de klasse is bepaald dan kunnen maatregelen worden genomen. Alle systemen moeten voldoen aan de baseline van maatregelen voor interne systemen (die door het ISSC worden gehost) of de baseline van maatregelen voor externe systemen (in geval van hosting in de cloud). Daarnaast is het mogelijk dat nog meer maatregelen moeten worden genomen. De scope van de classificatie heeft betrekking op gegevens die zich in systemen bevinden. Dit kunnen systemen zijn voor bedrijfsvoering, onderwijs en onderzoek. Onder de informatiesystemen vallen de basisinfrastructuur (met onder andere netwerken, werkplekken en opslag), concernsystemen en specifieke (onderzoeks)systemen van eenheden. De systemen kunnen lokaal draaien maar ook in de cloud aanwezig zijn. Op beide locaties is deze Handreiking Classificatie van toepassing. Zowel de security manager, informatiemanagers/security officers en onderzoekers kunnen een classificatie uitvoeren. De informatie- of systeemeigenaar is aanspreekbaar op de toepassing van de maatregelen die uit de classificatie voortkomen. De securitymanager is verantwoordelijk voor het onderhoud van dit document. 4

5 2.Beveiligingskaders en uitgangspunten Informatiebeveiliging kent drie aspecten - beschikbaarheid, integriteit en vertrouwelijkheid - die gezamenlijk het gehele veld van beveiliging beschrijven. Met betrekking tot deze begrippen, is voor de ICT-voorzieningen ook een centrale lijn vastgesteld. Het beveiligingskader voor de classificatie wordt uitgewerkt naar twee dimensies, zoals in onderstaand voorbeeld: Basis risico Verhoogd risico Hoog risico Beschikbaarheid Integriteit Vertrouwelijkheid x x x In dit hoofdstuk worden de drie beveiligingsbegrippen en de drie beveiligingsklassen nader uitgewerkt. Verder wordt in deze paragraaf ingegaan op de diverse rollen en verantwoordelijkheden ten aanzien van de ICT-voorzieningen en in het bijzonder op de rol van de systeemeigenaar, als eindverantwoordelijke voor de classificatie. 2.1 Beschikbaarheid Onder beschikbaarheid wordt verstaan: waarborgen dat gebruikers op de juiste momenten toegang hebben tot informatie. Elementen die beschikbaarheid bepalen zijn bijvoorbeeld een betrouwbare stroomvoorziening, adequate brandbeveiliging, de aanwezigheid van een actueel continuiteitsplan, betrouwbare reservekopieën en het ontbreken van zogeheten single points of failure. Andere aspecten zijn het bestaan van voldoende toegangsmogelijkheden voor het beoogde aantal gelijktijdige gebruikers en bescherming tegen zogeheten denial-of-service aanvallen. 2.2 Integriteit Onder integriteit wordt verstaan: het waarborgen van de juistheid en de volledigheid van informatie en verwerking. Elementen van integriteit zijn bijvoorbeeld het aanbrengen van wijzigingen door geautoriseerde personen, geldigheidscontroles (bijvoorbeeld of een ingevoerde datum wel aan het format voldoet) en het registreren van wijzigingen. Verder training van kerngebruikers, het tegengaan van schaduwbestanden en het gebruik van licentieservers. 2.3 Vertrouwelijkheid Onder vertrouwelijkheid wordt verstaan: waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe geautoriseerd zijn. Elementen van vertrouwelijkheid zijn bijvoorbeeld versleuteling van informatie en (harde) authenticatie van de gebruiker zodra deze zich toegang tot de gegevens wil verschaffen. Verder autorisatie naar rol, clear desk en gecontroleerde afvoer. 5

6 Samenvattend: aspecten en kenmerken van informatiebeveiliging en daaraan gerelateerde bedreigingen: Aspect Kenmerk Bedreiging Voorbeelden van bedreiging Beschikbaarheid Tijdigheid Vertraging Overbelasting van infrastructuur Continuïteit Uitval Defect in infrastructuur Integriteit Correctheid Wijziging Ongeautoriseerd wijzigen van gegevens; virusinfectie; typefout Volledigheid Verwijdering Ongeautoriseerd wissen van gegevens Toevoeging Ongeautoriseerd toevoegen van gegevens Geldigheid Veroudering Gegevens niet up-todate houden Authenticiteit Vervalsing Frauduleuze transactie Onweerlegbaarheid Verloochening Ontkennen een bepaald bericht te hebben verstuurd Vertrouwelijkheid Exclusiviteit Onthulling Afluisteren van netwerk; hacking Onbedoeld gebruik Misbruik Privégebruik 6

7 3. Beveiligingsklassen 3.1 Beveiligingsklasse basis risico De classificatie basis risico (standaard risico) betekent dat het betreffende systeem moet voldoen aan alle minimale eisen die aan alle ICT-voorzieningen gesteld worden. Het pakket aan standaard beveiligingsmaatregelen wordt ook wel de baseline beveiliging genoemd. De baseline beveiliging is dus het geheel van maatregelen dat getroffen moet worden ook al geeft de classificatie geen aanleiding tot extra maatregelen. Als een systeem de classificatie basis risico krijgt, betekent dit dus dat alle standaard beveiligingsmaatregelen die voor dit systeem relevant zijn, moeten worden geïmplementeerd. Voor een server betekent dit bijvoorbeeld dat er o.a. een standaard backup procedure van toepassing moet zijn, dat er een procedure voor monitoring en het implementeren van security patches moet zijn. 3.2 Beveiligingsklasse verhoogd risico De classificatie verhoogd risico betekent dat een inbreuk op de beschikbaarheid integriteit of vertrouwelijkheid van een ICT-voorziening een verstoring veroorzaakt in één van de primaire processen, maar niet van zeer ernstige of onomkeerbare aard. Voor systemen met de classificatie verhoogd risico zal ten opzichte van de baseline beveiliging een aanvullend pakket beveiligingsmaatregelen voorgeschreven worden. Hierbij kan men bijvoorbeeld denken aan sterke authenticatie van gebruikers bij toegangscontrole, back-up voorzieningen, enz. De classificatie verhoogd risico brengt dus extra maatregelen en extra kosten met zich mee. De maatregelen zullen doorgaans nog een algemeen, gestandaardiseerd karakter hebben, waarbij de kosten tot uiting kunnen komen als extra kosten in de dienstverleningsovereenkomst Bij incidenten zullen voorzieningen met een classificatie verhoogd risico een hogere prioriteit krijgen bij herstelwerkzaamheden. 3.3 Beveiligingsklasse hoog risico De classificatie hoog risico wordt gereserveerd voor die systemen waarbij aantasting van beschikbaarheid, integriteit dan wel vertrouwelijkheid een zeer ernstige of onomkeerbare verstoring van een van de primaire processen veroorzaakt, ernstige schade toebrengt aan het imago of een wetsovertreding inhoudt. Enkele voorbeelden zijn: openbaarmaking door een hacker van persoonlijke gegevens of aantasting van de juistheid van de studievoortganggegevens (schending van integriteit), Voor systemen met de classificatie hoog risico geldt dat bovenop de maatregelen voor systemen met de classificatie verhoogd risico extra maatregelen getroffen dienen te worden. Dit kunnen weer gestandaardiseerde maatregelen zijn, maar er kan ook een vorm van maatwerk plaatsvinden. De classificatie hoog risico dient zeer terughoudend te worden gebruikt. Deze classificatie brengt namelijk de hoogste beveiligingskosten per te beveiligen systeem met zich mee. Het is de systeemeigenaar die bepaalt of deze classificatie juist is en welk restrisico acceptabel is. 7

8 4. Rollen en verantwoordelijkheden in relatie tot een ICT-voorziening Zoals in het informatiebeveiligingsbeleid al wordt genoemd kunnen in relatie tot een ICT-voorziening verschillende rollen of functies worden onderscheiden. Denk hierbij aan de systeemeigenaar, de functioneel beheerder, applicatiebeheerder, technisch beheerder en de gebruiker. Tabel met rollen en verantwoordelijkheden bij een ICT-voorzieninbg Rol Systeemeigenaar Informatie-eigenaar Data-eigenaar Functioneel beheerder Applicatiebeheerder Technisch beheerder Gebruiker Verantwoordelijkheid Heeft beslissingsrecht over de ICTvoorziening/informatie/data. Stelt de afspraken en procedures rondom autorisatie vast Zorgt voor training en opleiding De systeemeigenaar draagt zorg voor (c.q. delegeert) het functioneel beheer, applicatiebeheer en technisch beheer. Is verantwoordelijk voor (de ondersteuning van) het feitelijk gebruik van de ICT-voorziening Kent autorisaties toe Is verantwoordelijk voor een juiste implementatie en opvolging van de beveiligingsmaatregelen Is verantwoordelijk voor het beheer van een gebruikersapplicatie (configuratie, parametrisering, patchbeleid, etc.) Voert overleg met (de systeemeigenaar), de functioneel beheerders en technisch beheerders Ziet toe op een juiste functionele werking van een applicatie Is verantwoordelijk voor het technisch beheer van de ICT-voorziening en eventuele ondersteunende ICTvoorzieningen Voert overleg met (de systeemeigenaar), de functioneel beheerder en de applicatiebeheerder Ziet toe op een juiste technische werking van de ICTvoorziening en de beveiligingshulpmiddelen Gebruikt de ICT-voorziening op de juiste wijze Meldt onregelmatigheden in de beveiliging van de ICTvoorziening. De eigenaar van bepaalde informatie in een ICT-voorziening is verantwoordelijk voor de classificatie. Het is immers ook de eigenaar die het beslissingsrecht heeft over de ICT-voorziening en die de kosten draagt die verband houden met de beveiliging. NB. De term systeemeigenaar wordt hier niet in juridische zin bedoeld, immers het formele eigendom ligt bij het College van Bestuur. 8

9 5. Classificatie 5.1 Wat is classificatie Bij het classificatieproces wordt van een ICT-voorziening vastgesteld wat de beveiligingsklasse (basis risico, verhoogd risico, hoog risico) is voor elk van de beveiligingsaspecten beschikbaarheid, integriteit en vertrouwelijkheid. Zodra de vaststelling van de beveiligingsklasse voor bovenstaande aspecten heeft plaatsgevonden kan aan de hand van de baseline van maatregelen bepaald worden welk pakket maatregelen van toepassing is. Classificatie van ICT-voorzieningen en het treffen van de bijbehorende beveiligingsmaatregelen is geen eenmalige activiteit, maar een cyclus die op basis van nieuwe inzichten en beveiligingsincidenten elke drie jaar herhaald moet worden, en die dan telkens kan leiden tot bijstelling van classificatie en beveiligingsmaatregelen. Een bijkomende reden van classificatie is kostenbesparing door beheersbaarheid van standaardisatie. 5.2 Het risico van over- of onderclassificatie Er dient gewaakt te worden voor over- en onderclassificatie. Bij overclassificatie worden systemen in een te hoge beveiligingsklasse geplaatst, bijvoorbeeld vanwege een onterecht hoge eis aan de beschikbaarheid. Dit kan leiden tot onnodige kosten en functionele beperkingen. Bij onderclassificatie worden systemen in een te lage beveiligingsklasse geplaatst, bijvoorbeeld om redenen van kostenbesparing. Het is daarom noodzakelijk na te gaan wat de gevolgen zijn van een bedreiging. Bij de classificatie moet niet de beleving van de bedreiging maar een reële inschatting van de gevolgen daarvan bepalend zijn. 5.3 De opdrachtgever van de classificatie ICT-voorziening ligt deze verantwoordelijkheid bij de opdrachtgever van het ontwikkeltraject. Dit zal meestal de systeemeigenaar zijn. Het is wenselijk dat de systeemeigenaar zich bij het classificeren laat bijstaan door de functioneel beheerder of door anderen. Voor een nog niet geclassificeerde ICT-voorziening geldt dat de systeemeigenaar verantwoordelijk is voor eventuele schade en dat voor dergelijke voorzieningen altijd de baseline van maatregelen geldt. 9

10 5.4 Het classificeren Classificatie van systemen voor bedrijfsvoering, onderwijs en onderzoek. Bij het classificeren wordt gebruik gemaakt van een tweetal vragenlijsten: 1. Een lijst met algemene vragen over het systeem en de gegevens 2. Een scenariolijst waarin scenario s worden bekeken aan de hand van de kenmerken beschikbaarheid, integriteit en vertrouwelijkheid. Deze scenario s bepalen de classificatieklasse. Ad.1 de lijst met algemene vragen betreffende het (toekomstige) systeem: wat voor systeem is het, wat is het doel van het systeem, welke gegevens worden verwerkt, etc. Ad.2 bij de scenariolijst gaat het om de volgende scenario s: - schade aan het (hoofd)bedrijfsproces - directe financiële schade - (inbreuk op) overeenkomsten - reputatieschade - persoonsschade - (inbreuk op) wet- en regelgeving Bij elk van deze scenario s wordt gekeken naar de informatiebeveiligingsaspecten beschikbaarheid, vertrouwelijkheid en integriteit en wordt gekeken of de impact laag/midden/hoog is. Op basis van de score op deze kenmerken worde classificatie gemaakt. Nadat de classificatie heeft plaatsgevonden maakt de security manager, informatiemanager/security officer of onderzoeker een rapportage van de bevindingen. Deze wordt aan de systeemeigenaar gestuurd en daarna vindt er een gesprek plaats over de bevindingen en over de maatregelen die worden genomen. De classificatie van gegevens in een systeem dat voor onderzoek en onderwijs wordt gebruikt wordt in principe op dezelfde wijze verricht als de classificatie van gegevens in concernsystemen. De scenario s worden doorgenomen en op basis daarvan de risicoklasse bepaald. De procedure kan verschillen omdat bij concernsystemen de security manager, informatiemanager/ security officer van het ISSC de risicoanalyse verricht en bij systemen ten behoeve van onderzoek zal dit door de informatiemanager/informatiemanager van de desbetreffende faculteit worden verricht. 10

11 Bijlage Het template voor de classificatie bestaat uit de volgende onderdelen: 1. Achtergrondvragen bij de risicoanalyse 2. De risicoanalyse zelf Nadat de risicoanalyse is verricht wordt er een rapportage gemaakt. 11

12 Ad.1 Achtergrondvragen risicoanalyse A1 Wat is de naamsaanduiding van het systeem? A2 Specificeer naam en bereikbaarheidsgegevens van de eigenaar en de functionele beheerder vermeld ook het bedrijfsonderdeel waaronder het systeem valt A3 Scope: wat behoort tot het systeem en wat niet? A4 Voor welke functionele doelen wordt het systeem gebruikt? denk hier aan hoofdfuncties als administratie, onderwijs, publieksinformatie etc., en aan doelgroepen van gebruikers A5 Welke typen gegevens worden vastgelegd? denk aan structuur (teksten, tabellen, plaatjes) en inhoud (meetresultaten, personalia, locaties, financiën) e.d. A6 Worden historische gegevens vastgelegd, dan wel weggeschreven naar andere media? bedoeld is hier een interne en/of externe archiveringsfunctie en de regelmaat waar en waarmee dit gebeurt A7 Hoe lang worden gegevens online bewaard nadat ze bedrijfsmatig zijn afgehandeld? specificeer de termijnen, bijvoorbeeld na een jaarafsluiting of na diploma-uitreiking of pensionering A8 Hoe vindt het transport van authenticatiegegevens plaats van en naar het systeem? zijn er client/server-verbindingen of webinterfaces? met welke communicatieprotocols? A9 Hoeveel personen hebben mutatiebevoegdheden? maak hierbij onderscheid: autorisatie van gebruikers, mutatie van systeemtabellen, invoer van transacties e.d. vermeld ook de rechten van (externe) consultants bij uitbreiding of onderhoud A10 Hoeveel personen hebben raadpleegbevoegdheden? maak hierbij onderscheid: autorisatie van gebruikers, raadplegen van systeemtabellen, raadplegen van transacties, e.d. Vermeld ook de rechten van (externe) consultants bij uitbreiding of onderhoud A11 Wat zijn de bronsystemen van dit systeem? bijvoorbeeld van bronsystemen voor organisatorische of persoonsgebonden gegevens 12

13 A12 Wat zijn de doelsystemen (de afnemende systemen) van dit systeem? specificeer per afnemend systeem de naamsaanduiding en de naam van de eigenaar; A13 Is er sprake van fatale onderbrekingsmomenten? denk hierbij aan formele peildatumrapportages, incidentele massa-verwerking, gegevensconversie, jaarafsluiting e.d. A14 Aan welke wetgeving of regelgeving moet het systeem voldoen? A15 Welke wettelijke bewaartermijnen zijn er voorgeschreven? denk hierbij aan de archiefwet, de wet bescherming persoonsgegevens, en fiscale of civiel-rechterlijke bewaartermijnen A16 Wat is de juistheidsverwachting van de bedrijfsinformatie binnen het systeem? specificeer: laag, redelijk, hoog, zeer hoog A17 Bevat het systeem informatie onder embargo of met een andere publicatiebeperking? A18 Bevat het systeem persoonsgegevens? A19 Welk type werkplekken zijn er voor raadpleging en/of mutatie van gegevens beschikbaar Kantoor/thuis/mobiel A20 Hoe ziet het plaatje met de verbindingen tussen de systemen eruit? 13

14 Ad.2 De risicoanalyse zelf Schadescenario s Beschikbaarheid < 3 uur Beschikbaarheid > week Exclusiviteit Integriteit nvt L M H Directe fin. schade Schade aan (hoofd) bedrijfsprocessen Overeenkomsten Imago-schade Beschikbaarheid < 3 uur Beschikbaarheid > week Exclusiviteit Integriteit Beschikbaarheid < 3 uur Beschikbaarheid > week Exclusiviteit Integriteit Beschikbaarheid < 3 uur Beschikbaarheid > week Exclusiviteit Integriteit 14

15 Persoonsschade Wet- en regelgeving en beleid Beschikbaarheid < 3 uur Beschikbaarheid > week Exclusiviteit Integriteit Beschikbaarheid < 3 uur Beschikbaarheid > week Exclusiviteit Integriteit NB. In het Excel spreadsheet van de risicoanalyse zijn de categorieën L(aag), M(idden) en H(oog) ingevuld zodat er een handvat is om de keuze te maken. 15

Baseline informatiebeveiliging (minimale maatregelen)

Baseline informatiebeveiliging (minimale maatregelen) Baseline informatiebeveiliging (minimale maatregelen) 1 Versie beheer Versie 0.1 9 september 2013 1 e concept Versie 0.2 23 september 2013 2 e concept na review door Erik Adriaens Versie 0.3 8 oktober

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom Gemeente 's-hertogenbosch Definitief s-hertogenbosch, 30-10-2015 A. Kieboom 1 Projectidentificatie Projectnaam: Status: Beleid Informatieveiligheid Definitief Documenthistorie Status Datum Versie Auteur(s)

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

AVG Routeplanner voor woningcorporaties

AVG Routeplanner voor woningcorporaties AVG Routeplanner voor woningcorporaties 24 oktober 2017 Versie 1.0 24 oktober 2017 0 Inleiding Aedes wil haar leden ondersteunen bij de implementatie van de privacywetgeving. Daarvoor biedt zij onder andere

Nadere informatie

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht

Nadere informatie

Privacy Policy v Stone Internet Services bvba

Privacy Policy v Stone Internet Services bvba Privacy Policy v09.16 Stone Internet Services bvba Stone Internet Services Privacy Policy Dit document heeft als doel te beschrijven hoe Stone Internet Services bvba omgaat met het opslaan en beheren van

Nadere informatie

Hoe operationaliseer ik de BIC?

Hoe operationaliseer ik de BIC? Hoe operationaliseer ik de BIC? Baseline Informatiebeveiliging Corporaties UTRECHT, 14 November 2017. Code voor Informatiebeveiliging NEN/ISO 27001; Informatietechnologie - Beveiligingstechnieken - Managementsystemen

Nadere informatie

Classificatierichtlijn Informatie en Informatiesystemen Universiteit Twente

Classificatierichtlijn Informatie en Informatiesystemen Universiteit Twente Universitair Informatiemanagement Kenmerk: SECR/IM/11/0412/khv Datum: 21 september 2011 Classificatierichtlijn Informatie en Informatiesystemen Universiteit Twente 1 Inleiding... 2 1.1 Algemeen... 2 1.2

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging Informatiebeveiliging HKZ, november 2016 Wie ik ben: adviseur/trainer/qarebase begeleiden bij kwaliteitsmanagement en certificering Lead Auditor Kiwa, o.a. HKZ, ISO 9001, ZKN, VMS, NEN 7510 en NEN-ISO

Nadere informatie

Informatieveiligheid. Onderzoeksopzet

Informatieveiligheid. Onderzoeksopzet Informatieveiligheid Onderzoeksopzet Amsterdam, september 2015 Inhoudsopgave 1. Aanleiding... 3 2. Achtergrond... 5 3. Probleemstelling en onderzoeksvragen... 7 4. Afbakening... 8 5. Beoordelingskader...

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

Dataclassificatie. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Dataclassificatie. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Dataclassificatie Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Overzicht Informatiebeveiliging Inlichtingenbureau GGK Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

Informatiebeveiligingsbeleid extern

Informatiebeveiligingsbeleid extern ISO 27001:2013 Informatiebeveiligingsbeleid extern 25 oktober 2016 Status document: versie 1.0 Auteur: Frankie Lipsius CONCLUSION LEARNING CENTERS Postbus 85030 3508 AA Utrecht Nederland T +31 (0)30 744

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Inhoudsopgave 1 Goedkeuring informatiebeveiligingsbeleid en distributie (BH1) 2 2 Inleiding 2 2.1 Toelichting 2 2.2 Definitie van informatiebeveiliging 2 2.3 Samenhang tussen

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten.

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten. Model Bewerkersovereenkomst Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten. Testmedia verwerkt Persoonsgegevens voor en in opdracht van de Klant. Testmedia

Nadere informatie

PROGRAMMA VAN EISEN PROGRAMMA VAN EISEN LAS/LVS (V)SO

PROGRAMMA VAN EISEN PROGRAMMA VAN EISEN LAS/LVS (V)SO PROGRAMMA VAN EISEN LAS/LVS (V)SO HANDREIKING UITVRAAG INKOOP LAS/LVS (V)SO PROGRAMMA VAN EISEN LAS/LVS (V)SO PROGRAMMA VAN EISEN LAS/LVS (V)SO > HANDREIKING UITVRAAG INKOOP LAS/LVS (V)SO (bijlage 1) INVULFORMULIER

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Q3 Concept BV Tel: +31 (0)413 331 331

Q3 Concept BV Tel: +31 (0)413 331 331 Algemeen Deze Service Level Agreement (SLA) beschrijft de dienstverlening van Q3 Concept BV op het gebied van het beheer van de Q3 applicatie zoals Q3 Concept BV deze aanbiedt aan opdrachtgever en de service

Nadere informatie

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 22 mei 2014 Raymond Slot raymond.slot@hu.nl nl.linkedin.com/in/raymondslot VRAAG: Top bedreigingen Continuïteit? Continuïteitsbedreiging

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

(Door)ontwikkeling van de applicatie en functionaliteiten

(Door)ontwikkeling van de applicatie en functionaliteiten Hieronder is een aantal belangrijke zaken uitgewerkt rondom het Saas/Cloudmodel op basis waarvan InCtrl haar internetsoftware-omgevingen aanbiedt. Dit document is bedoeld om een algemeen beeld te krijgen

Nadere informatie

Handreiking Informatiebeveiliging

Handreiking Informatiebeveiliging Handreiking Informatiebeveiliging 1 Versie beheer Versie 0.1 4 juni 2014 Eerste concept Marco Gosselink Versie 0.2 18 juni 2014 Na review door Jan-Willem Brock rubricering met onderwerpen aangepast. Focus

Nadere informatie

Ondersteunende processen Organisatie Informatiebeveiliging Melding Datalek

Ondersteunende processen Organisatie Informatiebeveiliging Melding Datalek 1 Toepassingsgebied De procedure is van toepassing wanneer er een incident plaatsvindt waardoor de exclusiviteit van de informatievoorziening wordt aangetast. 2 Doel Wanneer met betrekking tot informatiebeveiliging

Nadere informatie

Gedragsregels gebruik ICT-voorzieningen Bonhoeffer College. 1.1 Algemeen

Gedragsregels gebruik ICT-voorzieningen Bonhoeffer College. 1.1 Algemeen Gedragsregels gebruik ICT-voorzieningen Bonhoeffer College 1.1 Algemeen Ieder die gebruik maakt van het Bonhoeffer College (haar gebouwen, terreinen en andere voorzieningen) daaronder begrepen materiële-,

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

Whitepaper. Het nut van Dataclassificatie Michel Gulpen, Security Consultant

Whitepaper. Het nut van Dataclassificatie Michel Gulpen, Security Consultant Whitepaper Het nut van Dataclassificatie Michel Gulpen, Security Consultant Inhoudsopgave Managementsamenvatting... 2 Inleiding... 4 1. Informatiebeveiliging... 5 2. Dataclassificatie in drie pijlers...

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD De Baseline Informatiebeveiliging & grote gemeenten 6 oktober 2014 John van Huijgevoort, IBD Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): Samenhang Instrumenten Hoe om te gaan

Nadere informatie

Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein

Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein Strategisch Informatiebeveiligingsbeleid Gemeenten IJsselstein, Montfoort en Nieuwegein Versie: 0.9 (definitief concept) Datum: 18 december 2012 Inhoudsopgave 1. MANAGEMENTSAMENVATTING... 1 2. INTRODUCTIE...

Nadere informatie

Privacyverklaring. Ben je op zoek naar andere juridische informatie? Kijk dan even bij onze juridische informatie.

Privacyverklaring. Ben je op zoek naar andere juridische informatie? Kijk dan even bij onze juridische informatie. Privacyverklaring Wij van Stimuliz wijden ons toe aan het respecteren en beschermen van de correctheid, vertrouwelijkheid en beveiliging van jouw persoonlijke informatie. Wij zorgen ervoor dat jij je veilig

Nadere informatie

Vragenlijst ten behoeve van opstellen continuïteitsplan

Vragenlijst ten behoeve van opstellen continuïteitsplan Vragenlijst ten behoeve van opstellen continuïteitsplan Soorten risico s Data (digitaal of op papier) zijn voor langere tijd niet beschikbaar Applicaties (software) zijn voor langere tijd niet beschikbaar

Nadere informatie

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Handleiding Dataclassificatie

Handleiding Dataclassificatie Handleiding Dataclassificatie Publicatie van CAT Data Classification & CEG Information Security CIO Platform Nederland, december 2016 Handleiding Dataclassificatie - CIO Platform Nederland december 2016

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

voorbeeldexamen I-Tracks Information Security Foundation based on ISO/IEC editie augustus 2008

voorbeeldexamen I-Tracks Information Security Foundation based on ISO/IEC editie augustus 2008 voorbeeldexamen ISFS I-Tracks Information Security Foundation based on ISO/IEC 27002 editie augustus 2008 inhoud 2 inleiding 3 voorbeeldexamen 14 antwoordindicatie 33 evaluatie EXIN Hét exameninstituut

Nadere informatie

Beleidsnotitie Informatiebeveiliging

Beleidsnotitie Informatiebeveiliging Beleidsnotitie Informatiebeveiliging Radboud Universiteit Nijmegen 2013-2016 Versie: 1.2 Inhoudsopgave 1. Inleiding... 3 2. Doel en uitgangspunten... 3 3. Reikwijdte en doelgroep... 4 4. Beveiligingsorganisatie...

Nadere informatie

Versie Privacyreglement. van Gilde Educatie activiteiten BV

Versie Privacyreglement. van Gilde Educatie activiteiten BV Versie 02-01-2017 Privacyreglement van Gilde Educatie activiteiten BV 2 ARTIKEL 1 ALGEMENE EN BEGRIPSBEPALINGEN 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald, worden termen in dit reglement gebruikt

Nadere informatie

Service Garantie. Inhoudsopgave. Versie 1.2. November 2016

Service Garantie. Inhoudsopgave. Versie 1.2. November 2016 Service Guarantee, version 1.2 Versie 1.2 Service Garantie November 2016 Inhoudsopgave 1. Inleiding 1.1 Service Garantie 1.2 Begrippen en definities 1.3 Service 1.3.1 Service Support Service Desk Incidenten

Nadere informatie

1 Dienstbeschrijving all-in beheer

1 Dienstbeschrijving all-in beheer 1 Dienstbeschrijving all-in beheer De all-in beheer overeenkomst van Lancom is modulair opgebouwd. U kunt bij Lancom terecht voor deelgebieden zoals helpdesk ondersteuning of backup, maar ook voor totale

Nadere informatie

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

Derden-mededeling Overstapservice Onderwijs

Derden-mededeling Overstapservice Onderwijs Mededeling over de betrouwbaarheid van de Overstapservice Onderwijs Onlangs heeft Infoseccon BV een rapport over het geautomatiseerde systeem van Overstapservice Onderwijs (OSO) uitgebracht. Infoseccon

Nadere informatie

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen: RI&E Privacy Introductie Vanaf 25 mei 2018 wordt de nieuwe Europese privacywetgeving (GDPR) gehandhaafd. Dit heeft belangrijke gevolgen voor het bedrijfsleven. Er is onder andere een meldplicht voor datalekken

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

Internet Beveiliging en Privacy (IBP) Beleid Aloysius

Internet Beveiliging en Privacy (IBP) Beleid Aloysius Internet Beveiliging en Privacy (IBP) Beleid Aloysius Van: Directeur Financiën en Bedrijfsvoering Aan: AMT Datum : 28 maart 2017 Opgesteld door: Thomas Reterink, Bron: Kennisnet Onderwerp: IBP Beleid Doel:

Nadere informatie

Raadsbesluit. Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/ Inleiding

Raadsbesluit. Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/ Inleiding Raadsbesluit Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/574466 1. Inleiding Aanleiding Privacy is een onderwerp dat de laatste jaren veel in de belangstelling staat. Data zijn hot en worden het

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo notities Versie: versie datum Onderwerp Aan CC Van Hans Wolters 29 januari 2016 c-n-hawo-0004-20160129 HaWo 1. Leveringsvoorwaarden 1.1. Algemene gegevens ISC Het ICT Servicecentrum (ISC) is voor de Radboud

Nadere informatie

Onderzoeksresultaten infosecurity.nl

Onderzoeksresultaten infosecurity.nl Onderzoeksresultaten infosecurity.nl Pagina 1 Introductie Tijdens de beurs infosecurity.nl, die gehouden werd op 11 en 12 oktober 2006, heeft Northwave een onderzoek uitgevoerd onder bezoekers en exposanten.

Nadere informatie

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. Beleid over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie : Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen

Nadere informatie

Reglement - en internetgebruik Stichting VO Haaglanden

Reglement  - en internetgebruik Stichting VO Haaglanden Reglement e-mail- en internetgebruik Stichting VO Haaglanden Hoofdstuk 1 definities, reikwijdte en doeleinden Artikel 1 definities In dit reglement wordt verstaan onder: 1.Stichting VO Haaglanden: bevoegd

Nadere informatie

Preview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens

Preview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens Preview Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens Wordt na goedkeuring van de wet BRP vervangen door Beheerregeling Basisregistratie Personen Gemeentelijk Efficiency Adviesbureau

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Inleiding Als zorginstelling is Profila Zorg verantwoordelijk voor goede en veilige zorg aan haar cliënten. Bij het uitvoeren van deze taak staat het leveren van kwaliteit

Nadere informatie

Informatiebeveiliging als proces

Informatiebeveiliging als proces Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017 Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet Webinar, 28 juni 2017 Agenda Algemeen: verschillen oude en nieuwe normenkader Relatie met ENSIA Highlights Norm voor norm

Nadere informatie

De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u?

De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u? De Wet bescherming persoonsgegevens (Wbp) En wat betekent dit voor u? Meldplicht datalekken Whitepaper Datalekken Augustus 2016 1 Begin 2016 is de Meldplicht Datalekken ingegaan. Het doel van de meldplicht

Nadere informatie

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth De taak van de raad onder het dualisme Kaders stellen (WMO, Jeugdwet, handhaving) Budgetteren (begroting) Lokale wetgeving

Nadere informatie

Opstellen, beheren, wijzigen, verspreiden en actueel houden van BIP kwaliteitsdocumenten. BPR 15 versie 12 ingangsdatum 01-03-2013 pag.

Opstellen, beheren, wijzigen, verspreiden en actueel houden van BIP kwaliteitsdocumenten. BPR 15 versie 12 ingangsdatum 01-03-2013 pag. BPR 15 versie 12 ingangsdatum 01-03-2013 pag. 1 van 8 versie datum toelichting 10 21-03-2011 In deze versie is de lay-out aangepast aan de XML opmaak met een verandering van indeling van hoofdstukken,

Nadere informatie

Privacyreglement Werkvloertaal 26 juli 2015

Privacyreglement Werkvloertaal 26 juli 2015 Privacyreglement Werkvloertaal 26 juli 2015 Algemeen Privacyreglement Werkvloertaal Pagina 1 van 6 Algemeen Privacyreglement Werkvloertaal De directie van Werkvloertaal, overwegende, dat het in verband

Nadere informatie

Privacy en cloud computing. OCLC Contactdag 4 oktober 2011

Privacy en cloud computing. OCLC Contactdag 4 oktober 2011 Privacy en cloud computing OCLC Contactdag 4 oktober 2011 Agenda - Wat is cloud computing? - Gevolgen voor verwerking data - Juridische implicaties 1 Wat is cloud computing? - Kenmerken: - On-demand self-service

Nadere informatie

Doxis Informatiemanagers

Doxis Informatiemanagers Substitutie Doxis Informatiemanagers Grootste adviesburo op het gebied van informatiemanagement in Nederland Zelfstandig bedrijfsonderdeel van Ernst & Young Jarenlange ervaring bij NL Overheid Gedegen

Nadere informatie

Draaiboek Invoering Basisregistratie Personen l Afnemers

Draaiboek Invoering Basisregistratie Personen l Afnemers Draaiboek Invoering Basisregistratie Personen l Afnemers Hoofdstap 3 Voorbereiden Publicatiedatum: oktober 2014 Inleiding U heeft een vastgesteld plan van aanpak, u weet welke voorbereidende werkzaamheden

Nadere informatie

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie

Nadere informatie

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VERSLAG PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Verslag PIA Versienummer 1.0 Versiedatum April 2014

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder: Privacyreglement Spoor 3 BV Artikel 1. Begripsbepalingen Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder: de wet: de Wet bescherming persoonsgegevens (Wbp) het reglement:

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW)

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW) RAAK-project Veilig Water Programma Informatieveiligheid Marcel Spruit (HHS), Michiel Dirriwachter (UvW) Michiel Dirriwachter? Dit doet een waterschap Een Waterschap? Een Waterschap? Een Waterschap? Een

Nadere informatie

Project Portfolio Management Altijd en overal inzicht PMO

Project Portfolio Management Altijd en overal inzicht PMO Project Portfolio Management Altijd en overal inzicht PMO Een eenvoudige en toegankelijke oplossing Thinking Portfolio is een snel te implementeren software applicatie. Een krachtig web-based hulpmiddel

Nadere informatie

AVG GAP Analyse. En verwerkingsregistratie. security management audits advies - ethisch hacken netwerkscans

AVG GAP Analyse. En verwerkingsregistratie. security management audits advies - ethisch hacken netwerkscans AVG GAP Analyse En verwerkingsregistratie Classificatie Gegenereerd door Vertrouwelijk De onderwerpen in deze GAP Analyse zijn afgeleid van de Algemene Verordening Gegevensbescherming (AVG), welke op 25

Nadere informatie

Informatieveiligheidsbeleid. Gemeenteraad van 31 maart 2016

Informatieveiligheidsbeleid. Gemeenteraad van 31 maart 2016 Gemeenteraad van 31 maart 2016 Inhoud 1. Inleiding... 3 2. Informatieveiligheidsbeleid... 3 3. Interne organisatie... 3 4. Medewerkers... 3 5. Bedrijfsmiddelen... 3 6. Logische toegangsbeveiliging... 4

Nadere informatie

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen Auteur Datum Ludo Cuijpers 5 februari 2016 1. Informatiebeveiliging en privacy in het mbo 2. IBP framework 3. Mens

Nadere informatie

Privacyreglement. Inhoudsopgave. Melius Zorg Privacyreglement

Privacyreglement. Inhoudsopgave. Melius Zorg Privacyreglement Privacyreglement Inhoudsopgave Artikel 1 Algemene- en begripsbepalingen... 3 Artikel 2 Reikwijdte... 3 Artikel 3 Doel van de verwerking van persoonsgegevens... 4 Artikel 4 Verwerken van persoonsgegevens...

Nadere informatie

Sr. Security Specialist bij SecureLabs

Sr. Security Specialist bij SecureLabs Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten

Nadere informatie

hierna gezamenlijk te noemen: "Partijen" en afzonderlijk te noemen: "Partij";

hierna gezamenlijk te noemen: Partijen en afzonderlijk te noemen: Partij; BIJLAGE 4C BEWERKERSOVEREENKOMST DE ONDERGETEKENDEN: (1) UNIVERSITEIT UTRECHT, gevestigd te 3584 CS, Utrecht en kantoorhoudende aan de Heidelberglaan 8, hierbij rechtsgeldig vertegenwoordigd door [naam],

Nadere informatie

Prijzen RIVOS. RIVOS Prijzen Pagina 1

Prijzen RIVOS. RIVOS Prijzen Pagina 1 Prijzen RIVOS De totale investering voor RIVOS bestaat uit de basis aanschafprijs, optionele modules, bijkomende kosten en jaarlijks terugkerende kosten. De basis aanschafprijs wordt bepaald door het aantal

Nadere informatie

Definitieve bevindingen Rijnland ziekenhuis

Definitieve bevindingen Rijnland ziekenhuis POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl Definitieve bevindingen Rijnland ziekenhuis

Nadere informatie

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012 Functioneel (informatie) beheerder Doel Zorgdragen voor het inrichten, aanpassen, vernieuwen en onderhouden van de informatievoorziening (processen, procedures en/of systemen), passend binnen het informatiebeleid

Nadere informatie

Privacyreglement Potenco

Privacyreglement Potenco Privacyreglement Potenco Artikel 1 Algemene en begripsbepalingen 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens

Nadere informatie

Releases en change-management bij maatwerkapplicaties

Releases en change-management bij maatwerkapplicaties Releases en change-management bij maatwerkapplicaties door Wim - 01-26-2011 http://www.itpedia.nl/2011/01/26/releases-en-change-management-bij-maatwerk-applicaties/ Op grote maatwerk informatiesystemen

Nadere informatie

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007 Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Inhoud Aanleiding en Historie VIR 2007 Invoeringsaspecten 2 Aanleiding en historie

Nadere informatie

Openheid versus Informatiebeveiliging. Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht

Openheid versus Informatiebeveiliging. Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht Openheid versus Informatiebeveiliging Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht k.siekman@utrecht.nl - Waarde van informatie Risico's digitaal werken Maatregelen digitaal werken Data is het

Nadere informatie

Stichting Hogeschool van Arnhem en Nijmegen. Rapport definitieve bevindingen

Stichting Hogeschool van Arnhem en Nijmegen. Rapport definitieve bevindingen POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl Stichting Hogeschool van Arnhem en Nijmegen

Nadere informatie

Rapport definitieve bevindingen

Rapport definitieve bevindingen POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl Stichting Hogeschool Utrecht Onderzoek

Nadere informatie

Document Versie: 1.0

Document Versie: 1.0 Bepaling van benodigde Beschikbaarheid, Integriteit en Vertrouwelijkheid van een systeem ter ondersteuning van een provinciaal proces. Document Versie: 1.0 1 Inhoudsopgave INTRODUCTIE... 3 HANDLEIDING

Nadere informatie