Risicomanagement en informatiebeveiliging

Maat: px
Weergave met pagina beginnen:

Download "Risicomanagement en informatiebeveiliging"

Transcriptie

1 PART 13-B Risicomanagement en informatiebeveiliging Dit rapport heeft 65 pagina s CC/sk/rn

2 Inhoudsopgave 1 Inleiding 2 2 Begrippen in risicomanagement en informatiebeveiliging 4 3 In beeld brengen van risico s Dreigingenanalyse Gevolgenanalyse 20 4 Maatregelen 28 5 Analyse van risico s en A&K Inleiding Voorbeeld van een kwantitatieve risicoanalyse Voorbeeld van een A&Kanalyse 43 6 Besluitvorming Inleiding De strategieën Het kiezen door het management 58 7 Een toepassing 63 1

3 1 Inleiding Risicomanagement en informatiebeveiliging zijn twee begrippen die nauw met elkaar zijn verbonden. Bovendien zijn de begrippen samengesteld uit woorden die apart ook een betekenis hebben. Risico, management, informatie en beveiliging. In de praktijk worden deze woorden veelvuldig gebruikt in verschillende verbanden en betekenissen. Hierdoor is een begripsbepaling noodzakelijk. De doelstelling van deze module in de postdoctorale EDP Audit Opleiding is naast het bijbrengen van kennis en vaardigheden, een introductie in de wijze waarop met risico s kan worden omgegaan. Risico s worden sterk bepaald door de actuele omstandigheden waarin een organisatie zich bevindt. Bovendien spelen subjectieve oordelen een belangrijke rol waardoor het toepassen van opgedane kennis vooral aan zal komen op het herkennen van mogelijkheden bepaalde methodes toe te passen. Wat is er bijzonder aan informatiebeveiliging? Wat zijn de verschillen met het beveiligen van andere bedrijfsmiddelen, bedrijfsprocessen of de mensen die daarbij actief zijn? In 1994 werd een symposium gehouden over de evolutie van informatiebeveiliging. 1 Deze evolutie werd vooral gezien vanuit het vak EDP-auditing. Dit vak is nauw verbonden met de apparatuur en programmatuur waarmee in organisaties wordt gewerkt. De controlerende taak van de accountant heeft zich door het toenemende gebruik van informatietechnologie (Electronic Data Processing) uitgebreid naar de werking van de hulpmiddelen. Informatietechnologie zit tegenwoordig overal in, zowel in dingen als in activiteiten. Information Risk Management is een nieuwe term die in de Angelsaksische landen voor de inmiddels uitgebreide taken van de EDP-auditor wordt gebruikt. De risico's die horen bij de toepassing van informatietechnologie vereisen meer aandacht en een breder beheer van de mensen, middelen en procedures waarvan gebruik wordt gemaakt. In deze module wordt achtereenvolgens ingegaan op de volgende onderwerpen: Hoofdstuk 2: Begrippen rond risicomanagement en informatiebeveiliging, waar gaat het om? Hoofdstuk 3: Risico s, wat is dat en hoe kunnen ze in beeld worden gebracht? Hoofdstuk 4: Maatregelen, waar zijn die op gericht, hoe kunnen die worden ingevoerd en actueel gehouden? Hoofdstuk 5: Analyse van risico s en A&K; Hoofdstuk 6: Besluitvorming, als er inzicht is in de risico s en de maatregelen wat doen we daar dan mee? Hoofdstuk 7: Een toepassing. 1 Prof.dr.ir. R. Paans RE redacteur: Beveiliging in beweging, evolutie in informatiebeveiliging: het toenemend belang van EDP-auditing. Samson 1995 ISBN

4 In deze module zal worden toegelicht hoe op een methodische wijze een risicoanalyse kan worden uitgevoerd. De elementen die daarvoor noodzakelijk zijn worden besproken waarbij tevens wordt ingegaan op de wijze waarop de benodigde gegevens kunnen worden verzameld. De ervaringen die zijn opgedaan bij de analyse van risico's in de praktijk zullen aan de orde worden gesteld. Tevens zullen de deelnemers tijdens de opleiding worden uitgedaagd zelf oplossingen aan te dragen voor verschillende vragen en situaties. Tijdens de opleiding zullen de voorbeelden vooral uit de sfeer van de informatietechnologie komen. Dat de methode ook voor andere situaties en onderwerpen kan gelden zal daarbij vanzelf blijken. De essentie van de methode is het tonen van de onderlinge relaties van de grootheden die risico's vormen. 3

5 2 Begrippen in risicomanagement en informatiebeveiliging Beveiligen Beveiligen is traditioneel gericht op het beschermen van waarden. Door het treffen van maatregelen worden mensen en middelen beschermd waardoor de organisatie ongestoord kan functioneren. Om dat goed te kunnen doen moet bekend zijn welke waarden bescherming verdienen en hoever je daarmee wilt gaan. Aan beveiliging hangt een prijskaartje en het vinden van argumenten om de prijs te bepalen is dan ook een onderdeel van risicomanagement. Het gaat dus om inzicht en vervolgens het doen van keuzen. Deze keuzen zijn niet altijd eenvoudig te maken omdat de relaties tussen kosten en opbrengst niet steeds eenduidig is. Brandblussers tegen brand en sloten tegen inbrekers, zijn maatregelen die makkelijk kunnen worden overzien. Maar hoe beveilig je de organisatie tegen de gevolgen van computeruitval, fraude, hackers en ander ongemak dat is verbonden aan het gebruik van informatietechnologie? En dan zijn er nog vele andere risico's waarmee modern management wordt geconfronteerd. Risicomanagement Risicomanagement is het vak dat zich bezig houdt met de methoden die nodig zijn om het vereiste inzicht te verkrijgen en de juiste beslissingen te nemen rond vragen van beveiliging. Een aardige definitie is die van Bernstein: The essence of risk management lies in maximizing the area s where we have some control over the outcome while minimizing the areas where we have absolutely no control over the outcome and the linkage between effect and cause is hidden for us. 2 Centraal staat bij risicomanagement de strategische vraag naar de doelen en prioriteiten in de beveiliging. Als de strategie duidelijk is kan aan de operationele uitwerking, het treffen en in stand houden van maatregelen, worden gedacht. De ervaring leert dat er niet één algemeen geldende oplossing is voor de vraag hoe de beveiliging van de organisatie moet worden opgezet. Steeds zal voor het individuele geval moeten worden bepaald wat de optimale mix van maatregelen is voor de beveiliging van mensen en middelen. Daarvoor is inzicht nodig in de risico s en de mogelijke maatregelen om die risico s te beperken. Risicomanagement omvat alle activiteiten die betrekking hebben op de risico's die een organisatie loopt. Tot die activiteiten behoren: verkrijgen van inzicht in de risico's, vaststellen doelen, beleid, strategie met betrekking tot het beperken van deze risico s; realiseren maatregelen; 2 Peter L. Bernstein, Against the Gods, The remarkable story of risk, John Wiley&Sons, Inc

6 toezicht houden op status van de maatregelen door controle; actueel houden en bijsturen van inzicht, beleid en maatregelen. Informatiebeveiliging De essentie van informatiebeveiliging is het treffen van maatregelen waardoor de: beschikbaarheid van, betrouwbaarheid van, vertrouwelijke omgang met hardware, software en gegevens, voldoet aan de gestelde eisen. De beschikbaarheid van informatie, die wij vanzelfsprekend vinden, is afhankelijk van de beschikbaarheid van de elementen van de informatietechnologie. Deze elementen zijn apparatuur (hardware), programmatuur (software) en de gegevens waarmee de informatie tot stand komt. Informatiebeveiliging richt zich op deze elementen maar beperkt zich niet tot maatregelen om de beschikbaarheid te garanderen alleen. De informatie zal betrouwbaar moeten zijn, dat wil zeggen we moeten kunnen vertrouwen op de feitelijke juistheid ervan. Verkeerde informatie zet ons op het verkeerde been en leidt tot verkeerde beslissingen en misverstanden. Dat moet worden voorkomen. Een derde aspect van informatiebeveiliging is de vertrouwelijkheid. Door de technologie is het mogelijk veel gegevens op te slaan, te transporteren en bereikbaar te maken. Daarbij moet worden tegengegaan dat informatie in verkeerde (niet bedoelde) handen terechtkomt. Informatietechnologie wordt gebruikt om de bedrijfsactiviteiten te ondersteunen. Het zijn de bedrijfsactiviteiten die het rendement van de organisatie moeten opleveren. De faciliteiten die door de informatietechnologie worden geboden en de mensen die ermee werken, moeten dus voortdurend voldoen aan de gestelde eisen. Niet-beschikbare apparatuur, programmatuur of gegevens leiden tot vertragingen waardoor afgesproken termijnen niet worden gehaald. Niet-betrouwbare informatie leidt tot "vragen" van de afnemer. Mogelijk leidt het ertoe dat de klant van verdere contacten maar helemaal afziet. Onbetrouwbaarheid is geen goede basis voor een langdurige relatie. Hetzelfde geldt voor het derde element van informatiebeveiliging: de vertrouwelijkheid waarmee de organisatie omgaat met de gegevens van en over derden. Inbreuken daarop leiden tot een slecht "beeld" van de organisatie en tast de geloofwaardigheid snel aan. Volop redenen dus om inzicht te willen hebben in de mogelijke risico's van het gebruik van informatietechnologie. Op grond van dat inzicht kunnen dan strategieën worden ontworpen om de risico's, die niet acceptabel worden geacht, te verminderen. 5

7 In de Code voor informatiebeveiliging 3 wordt op verschillende plaatsen aangegeven dat risicoanalyse moet worden uitgevoerd om tot de keuze van beveiligingsmaatregelen te komen. De Code is opgezet door het bedrijfsleven als een gemeenschappelijke standaard en naslagwerk voor de beveiliging van het gegevensverkeer tussen bedrijven en voor het leveren of verwerven van IT-diensten en IT-producten. De Code is in 1993 ontstaan in Groot Brittannië en heeft daar inmiddels de status van standaard: BS7799. De Nederlandse Code voor Informatiebeveiliging is een vertaling van de Britse standaard BS 7799 Part 1: 1999 en ISO 17799:2000. Het eerste deel bestaat uit een overzicht van mogelijke maatregelen gegroepeerd naar tien onderwerpen. Het tweede deel beschrijft een proces dat kan worden gebruikt voor het selecteren en invoeren van maatregelen in een concrete situatie. De Code bevat een opsomming van beveiligingsmaatregelen verdeeld over 10 hoofdstukken: 1. Beveiligingsbeleid 2. Beveiligingsorganisatie 3. Classificatie en beheer van bedrijfsmiddelen 4. Beveiligingseisen ten aanzien van personeel 5. Fysieke beveiliging en beveiliging van de omgeving 6. Beheer van Communicatie -en bedieningsprocessen 7. Toegangsbeveiliging 8. Ontwikkeling en onderhoud van systemen 9. Continuïteitsmanagement 10. Naleving Omdat de Code in de praktijk is ontstaan, mag worden verondersteld dat het een maatstaf is voor een minimale beveiliging die business partners van elkaar vragen. Het karakter van de Code wordt steeds meer die van een praktijkstandaard. Minder beveiliging dan door de Code wordt aangegeven zal in het maatschappelijke verkeer niet meer worden geaccepteerd. Waar dat vereist wordt door het belang van de ondersteunde processen, zullen echter meer en scherpere eisen worden gesteld aan de beveiliging van informatie en de verwerking daarvan. Afhankelijkheid Iedere organisatie is afhankelijk van de beschikbaarheid en de betrouwbare werking van de informatietechnologie. Zowel de continuïteit als de geloofwaardigheid van de organisatie zijn in het geding zodra de informatietechnologie het laat afweten. Dat kan gebeuren als gevolg van vele oorzaken. Op zichzelf zijn deze oorzaken niet van belang. Het gaat om de effecten die daarvan het gevolg kunnen zijn. 3 Code voor Informatiebeveiliging Nederlands Normalisatie Instituut

8 Dat er alle reden is om de zwakke punten in het gebruik van de informatietechnologie goed in het oog te houden komt tot uitdrukking in de ondertitel van een verhaal over operational risk management 4 : All the sophisticated market and credit risk measurement systems in the world will not shield banks from potentially disastrous losses brought about by IT deficiencies or poor internal controls. In het kader van Bazel 2 wordt door banken nagedacht over de manier waarop operationele risico s kunnen worden vastgesteld. Op termijn zullen banken verplicht zijn op grond van de hoogte van dergelijke risico s een reservering aan te houden. Tijdens een toespraak (15 maart 1996) voor de Rotterdam School of Management vergeleek de toenmalige President van Philips, Jan Timmer, het belang van chips in onze maatschappij met die van olie in de jaren 70. Het verschil is natuurlijk dat de afhankelijkheid van de vele in apparatuur ingebouwde chips minder zichtbaar is. Toch gaat het bij chips om combinaties van hardware, software en gegevens die alleen onder bepaalde condities correct werken. Alle dreigingen die de condities nadelig beïnvloeden (zoals stroomstoringen) kunnen een risico opleveren. Volgens Gene Kim 5 blijkt uit Amerikaans onderzoek dat de uitval van informatievoorziening in bedrijven gedurende twee uur oploopt tot meer dan een miljoen euro voor bedrijfskritische systemen. Uit een internationaal onderzoek van KPMG IRM blijkt in 2002 het aantal werkdagen dat bedrijven gemiddeld verloren bij het optreden van de Top-drie bedreigingen. Ook de gemiddelde schades blijken uit dit onderzoek: Topdrie dreigingen en gemiddeld aantal verloren dagen Gemiddeld schade bedrag 1 Website intrusion (hackers) 2 Falen kritische systemen 3 Virussen k US$ 155k US$ 162k US$ Risicoanalyse Het analyseren van de gevolgen van bedreigingen, waaraan een organisatie of een gedeelte daarvan blootstaat. Deze gevolgen kunnen worden uitgedrukt in financiële schadeverwachtingen. 4 Paul Penrose Everything else besides, banking technology april In Beveiliging, vaktijdschrift voor integrale veiligheidszorg augustus

9 Het analyseren van risico's is een bezigheid die van nogal wat moeilijke begrippen gebruik maakt. Het moeilijke zit daarbij vaak in het feit dat termen in het dagelijks leven worden gebruikt. Voor een beschrijving van een methode voor risicoanalyse wordt verwezen naar: Risicoanalyse als onderdeel van de Risk Control Method (RCM), een methode voor risicomanagement. 6 Veel van wat in hoofdstuk 3 en 4 wordt beschreven is gebaseerd op dit artikel. Risicoanalyse levert het inzicht dat nodig is om de beveiliging van de informatietechnologie te integreren in het risicomanagement van de organisatie. A&Kanalyse De afhankelijkheid & kwetsbaarheidsanalyse is een methode die in het Voorschrift Informatiebeveiliging Rijksdienst (VIR) wordt aangeraden voor het analyseren van risico s. 7 Risico Volgens de dikke Van Dale, is een risico een kwade kans. Het gaat dus om een mogelijke gebeurtenis die bovendien negatief wordt opgevat. Met andere woorden: alleen bij negatieve uitkomsten van de gebeurtenis wordt van een risico gesproken. In de literatuur wordt ook wel gesproken van zuivere (of statische) risico's om aan te geven dat de uitkomsten van de bedreiging altijd negatief zijn. Indien de uitkomsten ook positief kunnen zijn, wordt gesproken van speculatieve (of dynamische) risico's. 8 Dit onderscheid wordt met name gebruikt om de verzekerbaarheid van risico s te kunnen bepalen. Opvallend is dan ook dat in de verhalen waar dit onderscheid wordt gemaakt, vaak met het begrip schade oorzaak wordt gewerkt. Dat geeft een directe verwijzing naar de verzelkeringsvoorwaarden. Door de toenemende complexiteit van de maatschappij wordt het evenwel steeds moeilijker een scherpe scheiding aan te brengen tussen zuivere en speculatieve risico s. Een voorbeeld hiervan wordt geleverd in een recent artikel 9. Speculatieve risico s zouden volgens een voorbeeld in dit verhaal door ons zelf worden opgeroepen door de beslissing een nieuw informatiesysteem aan te schaffen. Achteraf blijken de doelen niet te worden gehaald en het systeem wordt weer vervangen. Steeds is zorgvuldig gewerkt en is aan alles gedacht. Toch loopt het mis en verslechterd de situatie. De kosten die met dit hele gebeuren samenhangen, vormen een belangrijke verliespost en zijn het gevolg van een beslissingsfout. Van een zuiver risico is sprake wanneer het risico bestaat uit een omstandigheid die we niet 6 Cees Coumou in: Handboek Informatiebeveiliging, A.I.V. Control, juni Voorschrift Informatiebeveiliging Rijksdienst, Ministerie van Binnenlandse Zaken, P.F. Claes en H.J.J.M. Meerman, Risk management inleiding tot het risicobeheersproces Stenfert Kroese P.F. Claes Benaderingen bij risicoanalyse, in Informatiebeveiligingjaarboek 1999/2000, TenHage&Stam 8

10 wensen en ook niet altijd in de hand hebben. De vraag of in dit geval van een speculatief of zuiver risico sprake is, komt neer op de vraag of de beslissingsfout in kwestie betrekking heeft op iets dat we in de hand hebben of niet. Met andere woorden: als de beslissing (welke eigenlijk? Die om het systeem aan te schaffen? Of die om juist dat systeem aan te schaffen? Of nog een andere die tot het falen heeft geleid?)kan worden herleid tot een door ons zelf opgeroepen risico, dan zou het om een speculatief risico gaan. Het is duidelijk dat een scherpe grens niet is te bepalen in dit geval. Overigens is het onderscheid zuiver/speculatief voor risicomanagement niet van belang. Daar gaat het immers om het inzicht in de risico s en de beslissingen die daar uit voortvloeien. Dat kan verzekeren zijn, maar ook iets anders (zie hoofdstuk 6). De maatschappelijke betekenis van risico's komt met name aan de orde als de overheid beslissingen moet nemen die met onzekere gebeurtenissen te maken hebben. Het keuzeproces dat in die gevallen wordt gevolgd heeft een politieke dimensie die tot uitdrukking komt in elkaar bestrijdende partijen. Daarmee is duidelijk dat risico's in sterke mate een subjectieve grootheid zijn. De individuele beleving van risico's leidt tot een houding en beoordeling van mogelijke gedragsmogelijkheden die van persoon tot persoon sterk kunnen verschillen. In een organisatie waar verschillende partijen (stakeholders) samenwerken, is het van belang duidelijk te zijn over de wijze waarop met risico's wordt omgegaan. Zowel voor het verkrijgen van consensus als voor het onderbouwen van een gekozen richting, kan risicoanalyse helpen "de neuzen in dezelfde richting" te krijgen. Samenvatting Voor het beheersen van risico s is het volgende onderscheid goed toepasbaar: de dreigingen en de kans waarmee die zich kunnen voordoen; de mogelijke gevolgen die kunnen optreden. Analyse van beide grootheden kan leiden tot voorstellen om door middel van preventieve (gericht op de kans van voorkomen) en/of repressieve (gericht op het beperken van schade) maatregelen. De keuze wel of niet maatregelen te treffen is voorbehouden aan de verantwoordelijke voor proces of organisatie. Het gaat er vooral om bewust te acteren: welke risico s accepteren we en welke niet? Welke maatregelen worden er vervolgens getroffen? Pas als dreigingen zich manifesteren zal duidelijk zijn of de juiste maatregelen in voldoende mate zijn getroffen. Dan is er in ieder geval het moment om verantwoording af te leggen omtrent gemaakte keuzes. Fouten maken mag zolang ze verantwoord en betaalbaar zijn Zie ook: Drs. C.J. Coumou en drs J.W.R.Schoemaker, Het managen van ICT-risico s; over de onderhandelbaarheid van risico s en maatregelen, in de Jubileumuitgave 25 jaar Compact (KPMG EDP Auditors en TenHage&Stam). 9

11 3 In beeld brengen van risico s 3.1 Dreigingenanalyse Dreigingen vormen de bron van de kwade kansen die risico's voor de onderneming vormen. Door een analyse van de verschillende dreigingen die relevant worden geacht in een bepaalde situatie, wordt een basis gelegd voor de risicoanalyse. Hoe kunnen relevante dreigingen (of vaak gewoon risico s genoemd) worden herkent? Als iedereen wordt uitgenodigd risico s op te noemen dan ontstaat al gauw een waslijst van gebeurtenissen. Vele daarvan zijn (ongeveer) hetzelfde maar de woordkeuze verschilt, andere lijken meer op de gevolgen van een dreiging (failliet gaan) en weer andere zijn de dreigingen zelf (brand, fouten, misdaad). Er is dus veel voor te zeggen een enigszins gestructureerde manier van risico-identificatie toe te passen. Een voorbeeld kan het volgende schema zijn dat aan iedere bedrijfssituatie kan worden aangepast: Financiële risico s Risico s van het primaire proces Productierisico s Milieurisico s Transportrisico s Risico s van de omgeving Bedrijfstak Distributie Totale bedrijfsrisico Catastrofes Macroeconomie Brand Criminaliteit Algemene risico s Natuur Procesontwerp Operationele risico s Technologie Mensen 10

12 Voor de aan IT gerelateerde bedreigingen wordt uitgegaan van de volgende gebeurtenissen die het gevolg kunnen zijn van het optreden van een bedreiging: het niet beschikbaar zijn van hulpmiddelen (bedrijfsmiddelen); het ongeautoriseerd openbaren van gegevens; het ongeautoriseerd wijzigen van gegevens. Met deze omschrijving wordt een relatie gelegd naar de drie onderwerpen die bij de beveiliging van IT een grote rol spelen: de beschikbaarheid of continuïteit; de privacy of exclusiviteit; de betrouwbaarheid of integriteit. Uit deze definitie blijkt dat het optreden van een bedreiging die niet lijdt tot één van de genoemde gebeurtenissen, feitelijk niet als risico wordt beschouwd en derhalve als bedreiging buiten beschouwing blijft. Met andere woorden, indien het optreden van een bedreiging niet tot een gevolg leidt, wordt de bedreiging in dat geval genegeerd. Omdat bedreigingen niet altijd dezelfde effecten hebben zal eenzelfde bedreiging soms wel en soms niet als risico worden beschouwd. Als voorbeeld kan de lengte van een stroomstoring dienen. Een korte stroomstoring kan zonder gevolgen blijven en als risico buiten een analyse worden gehouden. Een langdurige storing zal echter vrijwel altijd nadelige gevolgen hebben en kan derhalve niet buiten de analyse blijven. De keuze van bedreigingen die in een bepaalde situatie relevant worden geacht voor de analyse, wordt daarom bepaald door de mogelijke gevolgen. De mate waarin de bedreiging tot gevolgen zal leiden, wordt in een later stadium bepaald. Ook blijkt uit de bovengenoemde definitie dat alle geautoriseerde openbaarmaking en wijziging van gegevens worden beschouwd als normaal en acceptabel. Zij zouden daarom dus niet tot risico's leiden. Toch kan hierop kritiek worden geuit. Door onbewuste handelingen (fouten) kunnen negatieve gevolgen ontstaan. De betrokken persoon kan geautoriseerd zijn, maar is dat feitelijk niet voor ongewenste fouten en wat daaruit kan voortkomen. Dit is een reden de verschillende bedreigingen nader te bestuderen. Statistiek De vele componenten waaruit informatiesystemen bestaan, kunnen alle onderwerp zijn van een bedreigende gebeurtenis. Er is sprake van "multiple points of failure". Wat dat betreft is een informatiesysteem weer goed vergelijkbaar met andere hulpmiddelen die worden gebruikt ter ter ondersteuning van de bedrijfsprocessen zoals logistiek, administratie, 11

13 productie en verkoop. Bij een analyse van mogelijke dreigingen kan inzicht nodig zijn in de specifieke situatie voor de betrokken onderneming. Het gaat daarbij niet alleen om de incidenten waarmee de organisatie werd geconfronteerd, maar ook met dreigingen die mogelijk zijn. In hoeverre kan algemene en statistische informatie daarbij helpen? Onderstaand overzicht is afgeleid uit de resultaten van het Computer Crime and Security Survey 2002, een US onderzoek onder 503 security practioners. Van de deelnemers zegt 80% financiële schade te hebben geleden. Slechts 44% is in staat (of bereid) in te gaan op de omvang van deze financiële schades. Een recent onderzoek in het UK komt op 41%. Kennelijk is de openheid niet groot, of is de omvang van opgetreden schade niet bekend. Inbreuk Gevallen genoemd Financiële schade genoemd Gemiddelde schade per geval (US$) Diefstal bedrijfsgegevens Diefstal lap top computers 20% 5% % 27% Fraude 21% 8% Ongeautoriseerde toegang tot gegevens door internen Inbreuken op Internet afspraken (intern) Inbreuken die leiden tot het blokkeren van de toegang tot systemen 38% 3% % 18% % 12% Sabotage 8% 6% Vormen van hacking 40% 12% Virussen 85% 35%

14 De moeilijkheden met kwantificeren van schades wordt onderstreept door het jubileum onderzoek van KPMG EDP Auditors in In deel 1 wordt gerapporteerd dat in 1998 door 28% van de deelnemers schade werd ondervonden door virussen. Dat is een hoog percentage als bedacht wordt dat 88% aangeeft dat zij standaarden en procedures hanteren ter voorkoming van virussen. Slechts 53% kan aangeven hoe groot de schade is geweest in verloren werktijd. Gemiddeld bedraagt die schade 6,9 werkdagen per geval. Het is vaak moeilijk goed inzicht te krijgen in feitelijk opgetreden bedreigingen. Om voor de hand liggende redenen zijn getroffen bedrijven vaak niet erg open over dergelijke gebeurtenissen. Een Amerikaans onderzoek 12 van de FBI laat zien dat 41% van de ondervraagde organisaties (175 van 428 ondervraagden) toegeeft dat hun computersystemen in het afgelopen jaar ten minste eenmaal te zijn geïnfiltreerd door een hacker. Van de ondervraagden zegt meer dan 83% de politie in voorkomende gevallen niet in te schakelen. Ook voor andere bedreigingen zijn voldoende cijfers beschikbaar die tonen dat de vraag: "kan het mij ook overkomen?", een academische is. Zonder behoorlijke maatregelen is het een kwestie van tijd zo lijkt het. De Michigan State University onderzocht bij 150 managers met verantwoordelijkheid voor informatiebeveiliging, de praktijk van computercriminaliteit. Vrijwel allen (98,6%) zeiden met een of andere vorm ervan in aanraking te zijn gekomen binnen de eigen organisatie 13. Het nut van statistieken zit vooral in de bewustwording. Door bij de gepubliceerde cijfers de vraag naar de toepasselijkheid voor de eigen organisatie te stellen, kan worden nagegaan of er sprake is van een relevant gegeven. Zoals nog zal blijken is voor het nemen van besluiten over risico s, volledige informatie noodzakelijk evenals de interpretatie van die informatie door de verantwoordelijke probleemeigenaren. Dreigingen naar aard De meest voorkomende verdeling van dreigingen is die naar de aard of de oorzaak. De indeling zegt dan dat de oorzaak ligt in de natuur of in het gedrag van de mens. Deze indeling kan nog worden gecombineerd met een verdeling naar ongeluk of toeval en opzet. Van natuurlijke dreigingen kan alleen sprake zijn in de vorm van een ongeluk of fout waarbij van opzet geen sprake is. 11 Van EDP naar ICT: op de gens van een millennium. Vier rapporten op basis van een onderzoek onder grote en middelgrote Nederlandse organisaties. 12 New Scientist, 18 May Geciteerd door mr. V.A. de Pous in zijn rubriek Wet & Recht in Informatie, juni

15 Bron dreiging Toeval Opzet Natuur Mens Acts of god Fouten NVT Sabotage In de categorie ongeluk worden over het algemeen die bedreigingen verstaan die ook wel worden aangeduid als act of God zoals brand en natuurrampen. Ook worden er de fouten toegerekend die door medewerkers worden gemaakt. Daarbij kan het begrip medewerker breed worden opgevat. Iemand die in opdracht van de organisatie bijvoorbeeld herstelwerkzaamheden uitvoert, kan ook fouten maken die tot de ongelukken moeten worden gerekend. Ook de fouten, breuk en disfunctioneren van apparatuur valt onder het begrip ongeluk. Wanneer sprake is van opzettelijk gedrag van mensen, dan kan worden gedacht aan sabotage. Hierbij kan de veroorzakende mens weer een medewerker zijn maar ook een buitenstaander. In de volgende figuur wordt een relatie gelegd tussen de elementen van informatiebeveiliging en dreigingen die (on)opzettelijk een inbreuk kunnen veroorzaken 14 : Malicious Accidental Fraud Fraud increasing increasing with with restructuring restructuring & economic economic pressures pressures Increasing Increasing sophistication sophistication of of viruses, viruses, hacker hacker groups, groups, involvement involvement organised organised crime crime Threats to Confidentiality Threats to Integrity Threats to Availability Espionage, Leaks Fraud, Mischief Sabotage, Vandalism Theft Oversights, Breaches Safety Safety critical critical systems Errors, systems cause cause Failures concern concern Breakdowns Theft Theft of of notebooks notebooks Information Information warfare warfare Specifieke en algemene dreigingen Bedreigingen kunnen een effect hebben op IT-hulpmiddelen of de daardoor ondersteunde processen. Het effect van een bedreiging op IT-hulpmiddelen is vaak hetzelfde als voor niet- IT-hulpmiddelen. Brand bijvoorbeeld heeft op een computer hetzelfde effect als op een productiemachine, namelijk het effect van vernietiging. 14 Mr. P van Dijken in een lezing voor de KPMG EDP Audit Conference, Barcelona november Een bewerking hiervan is opgenomen in Compact, tijdschrift EDP-Auditing 1998/3 14

16 Specifieke bedreigingen die op de IT betrekking hebben, bestaan uitsluitend door de aanwezigheid van IT-hulpmiddelen. Deze vormen voor het optreden van de bedreiging vaak zelfs een voorwaarde. Het nut van dit onderscheid kan worden gevonden in de verantwoordelijkheid voor maatregelen. Indien in de analyse alleen rekening kan worden gehouden met bedreigingen die specifiek zijn voor IT, dan zal de analyse niet alle gevolgen voor de IT kunnen omvatten. Hierdoor wordt het inzicht dat door de analyse kan worden verkregen beperkt. Het is daarom verstandig bij het selecteren van bedreigingen voor een risicoanalyse te letten op de mogelijke effecten van de bedreigingen. Aard bedreiging Algemene Effect op IT Algemeen IT Specifiek hulpmiddelen? kan hulpmiddelen kan steeds Fysieke en niet-fysieke dreigingen Een andere indeling van dreigingen is die naar fysieke en niet-fysieke. De reden voor deze indeling is de relatie met de gevolgen die de dreiging kan veroorzaken, namelijk de vernietiging van waarden. Voorbeeld van een dergelijke indeling: Fysiek algemeen (vernietiging van een deel der waarde waarschijnlijk) 1. Brand 2. Wateroverlast 3. Sabotage 4. Diefstal 5. Vandalisme 15

17 Niet-fysiek algemeen (vernietiging onwaarschijnlijk) 6. Stroomstoring 7. Personeelsverlies 8. Apparatuurfouten 9. Fraude Niet-fysiek algemeen en IT specifiek (vernietiging onwaarschijnlijk) 10. Programmatuurfouten 11. Invoerfouten 12. Ongeautoriseerde ontsluiting van gegevens Dreigingen voor de reputatie Op grond van geheel andere overwegingen kunnen weer andere indelingen ontstaan. Als voorbeeld nemen we het geval van bedreigingen die kunnen leiden tot het aantasten van de reputatie (het imago) van een bedrijf. 15 Daarvoor kunnen de volgende voorbeelden gelden: 1. Natuurramp: bliksem treft vliegtuig, boorplatform geraakt door aardbeving. 2. Fouten van de mens: vliegtuigongeval door fout piloot, olievervuiling door fout bij productie. 3. Ontwerp-, productie-, verpakkingsfouten: in de media verschijnen regelmatig waarschuwingen voor producten die een mankement vertonen en oproepen om deze terug te brengen naar de winkel. 4. Product sabotage door consumenten-, politieke of andere groepen. 5. Bedrijfsspionage: het lekken van informatie, bewust of onbewust, opzettelijke spionage. 6. Berichtgeving in de media: bewuste verspreiding van een verkeerde voorstelling van zaken of door slechte kennis van zaken veroorzaakt. 15 Zie bijvoorbeeld: Peter Sheldon Green Reputation Risk Management, Pitman publishing, 1992 London 16

18 Oorzaak en gevolg Afhankelijk van de vraag in welke mate men de relatie tussen oorzaak en gevolg wil analyseren, kan in een risicoanalyse meer of minder gedetailleerd worden ingegaan op verschillende dreigingen. Om hier een praktisch illustratie van te geven wordt het volgende voorbeeld geïntroduceerd: Voorbeeld van dreigingen Bij het gebruik van moderne netwerkverbindingen wordt veelal rekening gehouden met de dreiging dat ongeautoriseerde personen trachten toegang te krijgen tot de ICT infrastructuur van de eigen organisatie. Meestal wordt deze dreiging aangeduid met: Hacking. Soms wordt evenwel ook het mogelijke gevolg van de poging tot hacking als dreiging genoemd, zoals bij Uitval van diensten (denial of services) hetgeen het resultaat kan zijn van overmatig berichtenverkeer (overigens ook van geautoriseerde personen). Poging tot het verkrijgen van toegang Mogelijke gevolgen 1. Vormen van onbevoegde toegang Overnemen van de autoriteit over (delen van) de infrastructuur 2. Kwaadaardige programmatuur Diefstal, openbaarmaking of vernietiging van data en/of programmatuur 3. Acties gericht op uitval van diensten Uitval van diensten Ad 1: onbevoegde toegang kan optreden in de volgende (combinaties van) verschijningsvormen: Brute force, het gebruik van hulpmiddelen, zoals kraakprogramma s, om toegang te verkrijgen. Ook het systematisch afbellen van telefoonnummers ( war-dialing ) valt onder deze techniek. Sniffing, het afluisteren van communicatieverkeer met als doel om waardevolle informatie te onderscheppen. IP-spoofing, het omzeilen van de authenticatie op basis van IP-adressen door het creëren van pakketten met gefingeerde IP-adressen. Security flaws and bugs, tekortkomingen in de systeem- en beveiligingsprogrammatuur van computersystemen, waarvan derden gebruik maken om toegang tot systemen te verkrijgen; Highjacking, het (tijdelijk) overnemen van een besturing van een computersysteem en het uitvoeren van schadelijke activiteiten gedurende deze periode. 17

19 Ad 2: kwaadaardige programmatuur kan optreden in de volgende (combinaties van) verschijningsvormen: Computervirus, programmacode die zich via kopiëren verspreidt en op vooraf bepaalde tijdstippen en/of condities schadelijke acties uitvoert. Trojan horse, gebruik van een computerprogramma dat normaal kan worden toegepast maar gedurende de toepassing of op een later, door de maker bepaald, moment vernietigend werk doet. Logical bom, een op het computersysteem geïnstalleerd programma die op vooraf bepaalde tijdstippen en/of condities schadelijke acties uitvoert. Nukers, programma s die adreslabels van pakketjes veranderen. Hierdoor raakt de besturing in de war als het totaal van de adreslabels niet klopt. Web-agents, programmatuur die zelfstandig ten behoeve van de eigenaar bruikbare informatie op het Internet opzoekt. Ad 3: de volgende acties kunnen leiden tot (tijdelijk) uitval van computer diensten door overbelasting van het netwerk: Buffer overflow, het beïnvloeden van de opslag van gegevens en programmatuur in het geheugen van het computersysteem met als doel de werking van dit systeem te ontregelen. Spamming, het laten vollopen van mailboxen door overvloedige (niet gewenste) berichten. Flaming, het uit de hand lopen van een discussie waardoor verschijnselen zoals bij spamming beschreven optreden. Hoaxes, (on)terechte waarschuwingen via , bijvoorbeeld voor virussen die veel worden doorgestuurd en daardoor het netwerk onnodig belasten. Ping flood, het sturen van een groot aantal controleberichten ( ping ) naar het targetsysteem. SYN flood, het doen van een groot aantal pogingen voor het opzetten van een verbinding, waardoor connectietabellen vollopen. smurf attack, misbruik maken van broadcastadressen met als doel massaal netwerkverkeer te genereren. Parameters Dreigingen worden beschreven door hun parameters. De frequentie (hoe vaak treedt de dreiging op?) is daarvan een bekend voorbeeld. Andere parameters zijn de duur van de dreiging of de omvang van het optreden. Voorbeelden hiervan zijn: wateroverlast: hoeveelheid water; 18

20 stroomstoring: lengte van de periode; fouten: tijd nodig om de fout op te sporen en te herstellen. Statistische gegevens zijn beperkt beschikbaar omdat alleen de algemeen en regelmatig optredende dreigingen worden geregistreerd. Bovendien vindt registratie niet systematisch plaats. Als gevolg daarvan wordt vaak met benaderingen of aannames gewerkt. Ook is het mogelijk met kwalitatieve aanduidingen te werken als: Grote kans en Kleine kans. Opdracht 1: bedreigingen van Bedreigingen 1 t/m 17 vanuit de optiek van de Zender. Legenda: V = Vertrouwelijkheid, I = Integriteit, B = Beschikbaarheid Nr. Bedreiging Beveiligingsaspect (V\I\B) 1. Vertraging in transport van berichten 2. Verlies van een bericht 3. Verkeerde bezorging 4. Ongewenste wijziging van de berichtinhoud 5. Technische verminking van een bericht 6. Vermenigvuldigen van een bericht 7. Ongewenste kennisname berichtinhoud 8. Transport mislukt 9. Ontvangst geweigerd 10. Ontkenning van ontvangst (door de ontvanger) 11. Identiteit ontvanger onbekend 12. Uitvallen van faciliteiten 13. Bewijskracht elektronische handtekening juridisch niet erkend 14. Inhoud bericht juridisch niet beschermd door briefgeheim 15. Misbruik van door aanname valse identiteit 16. Onbevoegde kennisname berichtenstroom (route en aantal berichten) 17. Onterecht claimen van bericht ontvangst Vragen: 1. Geef in de betreffende kolom voor iedere bedreiging aan of er een relatie is met het beveiligingsaspect: V = Vertrouwelijkheid, I = Integriteit, B = Beschikbaarheid. 2. Maak een opstelling van de bedreigingen vanuit het gezichtspunt van de ontvanger. 19

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG Bescherming tegen de gevolgen van cyber risico s Bedrijfsverzekeringen CyberEdge van AIG Wat zijn cyber risico s? Cyber risico s zijn een vaststaand gegeven in een wereld van informatie, informatiesystemen

Nadere informatie

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007 Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Inhoud Aanleiding en Historie VIR 2007 Invoeringsaspecten 2 Aanleiding en historie

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Hoe fysiek is informatiebeveiliging?

Hoe fysiek is informatiebeveiliging? Hoe fysiek is informatiebeveiliging? Johan de Wit Siemens Nederland NV Hoe fysiek is informatiebeveiliging? Informatie is voor organisaties van onschatbare waarde, het beschermen ervan heeft binnen organisaties

Nadere informatie

Advies informatiebeveiligings analyse HvA

Advies informatiebeveiligings analyse HvA Advies informatiebeveiligings analyse HvA Wouter Borremans - 0461911 - v1.1 1 Juni 2005 1 Inleiding Dit document is geschreven met als doel om de Hogeschool van Amsterdam[5] (HvA) te voorzien van een advies

Nadere informatie

Document Versie: 1.0

Document Versie: 1.0 Bepaling van benodigde Beschikbaarheid, Integriteit en Vertrouwelijkheid van een systeem ter ondersteuning van een provinciaal proces. Document Versie: 1.0 1 Inhoudsopgave INTRODUCTIE... 3 HANDLEIDING

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data Asset 1 van 10 Big Data Analytics voor Dummies Gepubliceerd op 30 june 2014 Gelimiteerde editie van de populaire Dummies-reeks, speciaal voor managers. Het boek legt uit waarom Big Data Analytics van cruciaal

Nadere informatie

Controletechnische functiescheiding

Controletechnische functiescheiding Controletechnische functiescheiding A3040^1. Controletechnische functiescheiding drs. A.J.A. Hassing RE RA 1 1 Inleiding A3040 ^ 3 2 Functies A3040 ^ 4 2.1 Beschikken A3040 ^ 4 2.2 Bewaren A3040 ^ 4 2.3

Nadere informatie

6. Project management

6. Project management 6. Project management Studentenversie Inleiding 1. Het proces van project management 2. Risico management "Project management gaat over het stellen van duidelijke doelen en het managen van tijd, materiaal,

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Hoe kan ik Inspectieview gebruiken in mijn toezichtproces?

Hoe kan ik Inspectieview gebruiken in mijn toezichtproces? Hoe kan ik Inspectieview gebruiken in mijn toezichtproces? Versie 1.0 Datum 2 april 2014 Status Definitief Colofon ILT Ministerie van Infrastructuur en Milieu Koningskade 4 Den Haag Auteur ir. R. van Dorp

Nadere informatie

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 22 mei 2014 Raymond Slot raymond.slot@hu.nl nl.linkedin.com/in/raymondslot VRAAG: Top bedreigingen Continuïteit? Continuïteitsbedreiging

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Risicomanagement en NARIS gemeente Amsterdam

Risicomanagement en NARIS gemeente Amsterdam Risicomanagement en NARIS gemeente Amsterdam Robert t Hart / Geert Haisma 26 september 2013 r.hart@risicomanagement.nl / haisma@risicomanagement.nl 1www.risicomanagement.nl Visie risicomanagement Gemeenten

Nadere informatie

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security. Het verlengstuk van uw IT security operations: altijd (24x7) de beste expertise en meest actuele kennis, geïntegreerd zicht op wat er gebeurt in uw datacenter en eerder en Security as a Service Het verlengstuk

Nadere informatie

Privacy Verklaring versie 01-10-2015

Privacy Verklaring versie 01-10-2015 Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,

Nadere informatie

Managers moeten beslissingen nemen over IT, maar hebben weinig kennis. Eli de Vries

Managers moeten beslissingen nemen over IT, maar hebben weinig kennis. Eli de Vries Managers moeten beslissingen nemen over IT, maar hebben weinig kennis Eli de Vries Managers moeten beslissingen nemen over IT, maar hebben weinig kennis Managers moeten beslissingen nemen over IT, maar

Nadere informatie

De visie van Centric op datamanagement

De visie van Centric op datamanagement De visie van Centric op datamanagement De vijf elementen om optimaal invulling te geven aan datamanagement Inhoudsopgave 1 Inleiding 2 2 Wat is datamanagement? 2 2.1 Actuele en statische data 3 3 De vijf

Nadere informatie

SEE INFORMATION DIFFERENTLY ARCHIEF- EN INFORMATIEBEHEER: EEN GOED BEGIN IS HET HALVE WERK BASISKENNIS OVER RETENTIESCHEMA'S

SEE INFORMATION DIFFERENTLY ARCHIEF- EN INFORMATIEBEHEER: EEN GOED BEGIN IS HET HALVE WERK BASISKENNIS OVER RETENTIESCHEMA'S SEE INFORMATION DIFFERENTLY ARCHIEF- EN INFORMATIEBEHEER: EEN GOED BEGIN IS HET HALVE WERK BASISKENNIS OVER RETENTIESCHEMA'S INLEIDING DEZE SNELGIDS HELPT U BIJ HET PLANNEN, MAKEN EN BEHEREN VAN RETENTIESCHEMA'S

Nadere informatie

Security Management Trendonderzoek. Chloë Hezemans

Security Management Trendonderzoek. Chloë Hezemans Security Management Trendonderzoek Chloë Hezemans Security Management Survey (5 e editie) Agenda Voorstellen Methode Trends Opvallende resultaten deze editie Security Management 2020? Voorstellen Chloë

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. BISL Business Information Services Library Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 9 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Security Starts With Awareness

Security Starts With Awareness Security Starts With Awareness Think Secure Think Secure is in 2003 opgericht met het doel organisaties te ondersteunen met kennis en diensten die: 1.Het bewustzijn m.b.t. informatie- en ICT beveiliging

Nadere informatie

Whitepaper. Outsourcing. Uitbesteden ICT: Wat, waarom, aan wie en hoe? 1/6. www.nobeloutsourcing.nl

Whitepaper. Outsourcing. Uitbesteden ICT: Wat, waarom, aan wie en hoe? 1/6. www.nobeloutsourcing.nl Uitbesteden ICT: Wat, waarom, aan wie en hoe? 1/6 Inhoud Uitbesteden ICT: Wat, waarom, aan wie en hoe? 3 Relatie tussen ICT en 3 Outsourcen ICT: Wat? 3 Cloud Services 3 Service Level Agreement 3 Software

Nadere informatie

Privacy beleid. Algemeen

Privacy beleid. Algemeen Privacy beleid Algemeen In dit Privacy beleid wordt beschreven hoe wij omgaan met uw persoonsgegevens. Wij verzamelen, gebruiken en delen persoonsgegevens om de websites van JaMa Media, zoals Mijnkoopwaar

Nadere informatie

Internationale veiligheidsrichtlijnen Hoofdstuk 6 voor binnentankschepen en terminals. Hoofdstuk 6 BEVEILIGING

Internationale veiligheidsrichtlijnen Hoofdstuk 6 voor binnentankschepen en terminals. Hoofdstuk 6 BEVEILIGING Hoofdstuk 6 BEVEILIGING Binnenvaarttankers laden of lossen vaak op faciliteiten waar zeevaarttankers worden behandeld en waar dus de International Ship en Port Facility Security (ISPS) Code van toepassing

Nadere informatie

De strategische keuzes die moeten gemaakt worden zijn als volgt: Interne controle of zelfcontrole/sociale controle

De strategische keuzes die moeten gemaakt worden zijn als volgt: Interne controle of zelfcontrole/sociale controle 1 Hoofdstuk 1 1.1 Dirigeren en coördineren p43 1.1.1 Dirigeren Dirigeren is een synoniem voor delegeren. Dirigeren houdt in dat bepaalde bevoegdheden overgedragen worden naar een persoon met een lagere

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Professioneel facility management. Competenties en veranderstrategieën om waarde toe te voegen aan het primaire proces

Professioneel facility management. Competenties en veranderstrategieën om waarde toe te voegen aan het primaire proces Professioneel facility management Competenties en veranderstrategieën om waarde toe te voegen aan het primaire proces Inhoud Voorwoord Professionele frontliners 1. Theoretisch kader 2. Competenties en

Nadere informatie

Onderzoek Soft controls bij interne accountantsdiensten: Terugkoppeling bevindingen

Onderzoek Soft controls bij interne accountantsdiensten: Terugkoppeling bevindingen RISK & COMPLIANCE Onderzoek Soft controls bij interne accountantsdiensten: Terugkoppeling bevindingen 16 februari 2010 ADVISORY Onderwerp: Onderzoek Soft controls binnen interne accountantsdiensten Geachte

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

Grip op uw bedrijfscontinuïteit

Grip op uw bedrijfscontinuïteit Grip op uw bedrijfscontinuïteit Hoe omgaan met risico s 1 Grip op uw bedrijfsdoelstellingen: risicomanagement Ondernemen is risico s nemen. Maar bedrijfsrisico s mogen ondernemen niet in de weg staan.

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo notities Versie: versie datum Onderwerp Aan CC Van Hans Wolters 29 januari 2016 c-n-hawo-0004-20160129 HaWo 1. Leveringsvoorwaarden 1.1. Algemene gegevens ISC Het ICT Servicecentrum (ISC) is voor de Radboud

Nadere informatie

Analyse van de inkoopfunctie

Analyse van de inkoopfunctie Ir. ing. D. Mostert, DME Advies Inkoopgebonden kosten zijn vaak een aanzienlijk deel van de totale kosten, hierdoor vormt de inkoopfunctie een belangrijke potentiële winstbron. Niet alleen door de invloed

Nadere informatie

ITIL Security Management: een kritische beschouwing

ITIL Security Management: een kritische beschouwing ITIL Security Management: een kritische beschouwing Marcel Spruit, Informatiebeveiliging is een beheerproces dat zich richt op het beschermen van de informatievoorziening. Het ligt voor de hand om voor

Nadere informatie

Praktijkinstructie Beheer en installatie computersystemen/administratie 3 (CIN06.3/CREBO:50191)

Praktijkinstructie Beheer en installatie computersystemen/administratie 3 (CIN06.3/CREBO:50191) instructie Beheer en installatie computersystemen/administratie 3 (CIN06.3/CREBO:50191) pi.cin06.3.v1 ECABO, 1 augustus 1997 Alle rechten voorbehouden. Niets uit deze uitgave mag worden vermenigvuldigd,

Nadere informatie

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Biedt u openbare telefonie, internettoegang of een netwerk aan?

Biedt u openbare telefonie, internettoegang of een netwerk aan? Biedt u openbare telefonie, internettoegang of een netwerk aan? Biedt u openbare 1) telefonie, internettoegang en/of een netwerk 2) aan? Aanbieders 3) van deze netwerken of diensten 4) hebben op grond

Nadere informatie

GEBRUIKERSVOORWAARDEN THE JOBCONNECTOR. B.V. ("The JobConnector"). The JobConnector is geregistreerd bij het Handelsregister te Amsterdam.

GEBRUIKERSVOORWAARDEN THE JOBCONNECTOR. B.V. (The JobConnector). The JobConnector is geregistreerd bij het Handelsregister te Amsterdam. GEBRUIKERSVOORWAARDEN THE JOBCONNECTOR I. ALGEMENE BEPALINGEN 1 Algemeen 1.1 De website The JobConnector (de "Website") wordt beheerd door The JobConnector B.V. ("The JobConnector"). The JobConnector is

Nadere informatie

Onderzoeksresultaten infosecurity.nl

Onderzoeksresultaten infosecurity.nl Onderzoeksresultaten infosecurity.nl Pagina 1 Introductie Tijdens de beurs infosecurity.nl, die gehouden werd op 11 en 12 oktober 2006, heeft Northwave een onderzoek uitgevoerd onder bezoekers en exposanten.

Nadere informatie

Digitale Communicatie. Gedragscode voor internet- en e-mailgebruik

Digitale Communicatie. Gedragscode voor internet- en e-mailgebruik Digitale Communicatie Gedragscode voor internet- en e-mailgebruik Gedragscode internet- en e-mailgebruik Deze gedragscode omvat gedrags- en gebruiksregels voor het gebruik van internet- en e-mail op de

Nadere informatie

Bestuurlijke informatievoorziening Examennummer: 61567 Datum: 29 juni 2013 Tijd: 13:00 uur - 14:30 uur

Bestuurlijke informatievoorziening Examennummer: 61567 Datum: 29 juni 2013 Tijd: 13:00 uur - 14:30 uur Bestuurlijke informatievoorziening Examennummer: 61567 Datum: 29 juni 2013 Tijd: 13:00 uur - 14:30 uur Dit examen bestaat uit 5 pagina s. De opbouw van het examen is als volgt: - 10 open vragen (maximaal

Nadere informatie

De nieuwe ISO norm 2015 Wat nu?!

De nieuwe ISO norm 2015 Wat nu?! De nieuwe ISO norm 2015 Wat nu?! Stichting QualityMasters Nieuwland Parc 157 3351 LJ Papendrecht 078-3030060 info@qualitymasters.com www.qualitymasters.com 02-2015 Inhoud Inleiding pagina 3 Van Oud naar

Nadere informatie

voor al uw maatwerk trainingen

voor al uw maatwerk trainingen voor al uw maatwerk trainingen voor al uw maatwerk trainingen Als u wilt dat uw medewerkers weten hoe te handelen bij calamiteiten of dat u uw medewerkers handvatten aan wilt reiken waardoor zij waardevoller

Nadere informatie

Doxis Informatiemanagers

Doxis Informatiemanagers Substitutie Doxis Informatiemanagers Grootste adviesburo op het gebied van informatiemanagement in Nederland Zelfstandig bedrijfsonderdeel van Ernst & Young Jarenlange ervaring bij NL Overheid Gedegen

Nadere informatie

NCAE. Toelichting handelsnormen voor eieren - verzamelaars november 2013

NCAE. Toelichting handelsnormen voor eieren - verzamelaars november 2013 1 TOELICHTING HANDELSNORMEN VOOR EIEREN VERZAMELAARS Inhoud 1 Algemeen 2 Vergunning / registratie 3 Ontvangst, transportverpakking, begeleidend document eieren 4 Intraverkeer van eieren 5 Merken van de

Nadere informatie

RUM. requirements Management. SPIder session Project. driven by requirements 25th april. Risk assessed User

RUM. requirements Management. SPIder session Project. driven by requirements 25th april. Risk assessed User RUM Risk assessed User requirements Management - SPIder session Project driven by requirements 25th april Copyright 2006 ps_testware - Gijs Kuiper Risk assessed User requirement Management Personalia Gijs

Nadere informatie

Dataguard. Volledige financiële bescherming tegen de risico s die uw informatie- en telecommunicatiesystemen bedreigen

Dataguard. Volledige financiële bescherming tegen de risico s die uw informatie- en telecommunicatiesystemen bedreigen Dataguard Volledige financiële bescherming tegen de risico s die uw informatie- en telecommunicatiesystemen bedreigen Piraterij, virussen, fraude, fouten, denial of service (DoS), crashes en nog veel meer

Nadere informatie

ALGEMENE VOORWAARDEN AGILE MARKETING AGENCY. 1. Definities/begripsbepalingen. Agile Marketing Agency: Agile Marketing Agency B.V.,

ALGEMENE VOORWAARDEN AGILE MARKETING AGENCY. 1. Definities/begripsbepalingen. Agile Marketing Agency: Agile Marketing Agency B.V., ALGEMENE VOORWAARDEN AGILE MARKETING AGENCY 1. Definities/begripsbepalingen Agile Marketing Agency: Agile Marketing Agency B.V., Klant: Elk natuurlijk of rechtspersoon aan wie Agile Marketing Agency een

Nadere informatie

Benefits Management. Continue verbetering van bedrijfsprestaties

Benefits Management. Continue verbetering van bedrijfsprestaties Benefits Management Continue verbetering van bedrijfsprestaties Agenda Logica 2010. All rights reserved No. 2 Mind mapping Logica 2010. All rights reserved No. 3 Opdracht Maak een Mindmap voor Kennis Management

Nadere informatie

Fysieke beveiliging van informatie- en communicatietechnologie

Fysieke beveiliging van informatie- en communicatietechnologie 3 Fysieke beveiliging van informatie- en communicatietechnologie Over het Paard van Troje en ander fysiek onheil Drs. J.W.R. Schoemaker De legende van het Paard van Troje leert dat al eeuwenlang wordt

Nadere informatie

BUSINESS RISK MANAGEMENT

BUSINESS RISK MANAGEMENT BUSINESS RISK MANAGEMENT Algemene benadering FEDICT Quick-Win-methode Datum Auteur Versie 24/8/26 A. Huet - A. Staquet V1. Inhoud 1 DOELSTELLING VAN HET DOCUMENT... 2 2 DEFINITIES... 2 3 PRINCIPE... 3

Nadere informatie

6.6 Management en informatiebeveiliging in synergie

6.6 Management en informatiebeveiliging in synergie 6.6 Management en informatiebeveiliging in synergie In veel organisaties ziet men dat informatiebeveiliging, fysieke beveiliging en fraudemanagement organisatorisch op verschillende afdelingen is belegd.

Nadere informatie

Bedrijfscontinuïteit met behulp van een BCMS

Bedrijfscontinuïteit met behulp van een BCMS Bedrijfscontinuïteit met behulp van een BCMS 26 november 2014 Aart Bitter@ISGcom.nl www.information-security-governance.com Disaster Recovery Plan 2 The Bitter Brew Case To Brew or not to Brew, That s

Nadere informatie

Vragenlijst ten behoeve van opstellen continuïteitsplan

Vragenlijst ten behoeve van opstellen continuïteitsplan Vragenlijst ten behoeve van opstellen continuïteitsplan Soorten risico s Data (digitaal of op papier) zijn voor langere tijd niet beschikbaar Applicaties (software) zijn voor langere tijd niet beschikbaar

Nadere informatie

Kwaliteitsbewaking en testen in ICT beheerorganisaties

Kwaliteitsbewaking en testen in ICT beheerorganisaties DKTP Informatie Technologie Veembroederhof 1 1019 HD Amsterdam Telefoon 020 427 52 21 Kwaliteitsbewaking en testen in ICT beheerorganisaties Voor de meeste projectgroepen die software ontwikkelen vormt

Nadere informatie

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG Post Bits of Freedom Bank 55 47 06 512 M +31 613380036 Postbus 10746 KvK 34 12 12 86 E ton.siedsma@bof.nl 1001 ES Amsterdam W https://www.bof.nl Ivo Opstelten Minister van Veiligheid en Justitie Postbus

Nadere informatie

Service Niveau Overeenkomst Digikoppeling

Service Niveau Overeenkomst Digikoppeling Service Niveau Overeenkomst Digikoppeling Versie 1.3 Datum 26 mei 2015 Status Definitief Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555 4555 (10 ct p/m) e. servicecentrum@logius.nl

Nadere informatie

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. Beleid over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

DHM Security Management

DHM Security Management - 1 Introductie DHM Security Management DE HAAGSE METHODIEK INSPECTIE BODIES ADVISEUR/ CONSULTANT PART.RECH. BURO PAC ICT & INF SECURITY POLITIE GWT PBO FABRIKANT BOUWKUNDIG INSTALLATEUR ALARM INSTALLATEUR

Nadere informatie

24/7. Support. smart fms

24/7. Support. smart fms 24/7 Support Smart FMS vindt het van het grootste belang dat haar klanten helder inzicht hebben in de voorwaarden, zekerheid over gemaakte afspraken en het vertrouwen in haar als softwareaanbieder. Het

Nadere informatie

STAKEHOLDERS. Hoe gaan we daar mee om? Jacques van Unnik Manager Personnel Certification & Training 3 december 2015 BUSINESS ASSURANCE

STAKEHOLDERS. Hoe gaan we daar mee om? Jacques van Unnik Manager Personnel Certification & Training 3 december 2015 BUSINESS ASSURANCE BUSINESS ASSURANCE STAKEHOLDERS Hoe gaan we daar mee om? Jacques van Unnik Manager Personnel Certification & Training 3 december 2015 1 DNV GL 2014 Stakeholders 19 November 2015 SAFER, SMARTER, GREENER

Nadere informatie

BEWERKERSOVEREENKOMST EMATTERS

BEWERKERSOVEREENKOMST EMATTERS BEWERKERSOVEREENKOMST EMATTERS Ondergetekenden: [NAAM KLANT], gevestigd [ADRES] te [PLAATS] en ingeschreven bij de Kamer van Koophandel onder nummer [KVKNUMMER], hierbij rechtsgeldig vertegenwoordigd door

Nadere informatie

Beknopt overzicht van bedreigingen en maatregelen

Beknopt overzicht van bedreigingen en maatregelen Beknopt overzicht van bedreigingen en maatregelen Dit voorbeelddocument omvat een beknopt overzicht van bedreigingen en maatregelen. De opgesomde componenten, bedreigingen en maatregelen zijn bedoeld om

Nadere informatie

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP)

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Samenvatting De minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft in de Tweede Kamer toegezegd de broncode

Nadere informatie

Praktijkinstructie Oriëntatie op de informatie-analyse 4 (CIN08.4/CREBO:50131)

Praktijkinstructie Oriëntatie op de informatie-analyse 4 (CIN08.4/CREBO:50131) instructie Oriëntatie op de informatie-analyse 4 (CIN08.4/CREBO:50131) pi.cin08.4.v2 ECABO, 1 september 2003 Alle rechten voorbehouden. Niets uit deze uitgave mag worden vermenigvuldigd, overgenomen, opgeslagen

Nadere informatie

Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V.

Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V. Studiedag VZI Risicomanagement Toepassing van gecertificeerde kwaliteitsmanagementsystemen Kees van Putten, DEKRA Solutions B.V. Een kwaliteitsmanagementsysteem helpt bij de beheersing van risico s Want

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Business Continuity Management

Business Continuity Management Business Continuity Management Aart Bitter - 14 januari 2014 SAFER, SMARTER, GREENER Praktijk case Wij zijn als bierbrouwerij voorgedragen om onze producten te leveren aan het Holland House tijdens het

Nadere informatie

Archimate risico extensies modelleren

Archimate risico extensies modelleren Archimate risico extensies modelleren Notatiewijzen van risico analyses op basis van checklists versie 0.2 Bert Dingemans 1 Inleiding Risico s zijn een extra dimensie bij het uitwerken van een architectuur.

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM

IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM De tijd dat MVO was voorbehouden aan idealisten ligt achter ons. Inmiddels wordt erkend dat MVO geen hype is, maar van strategisch belang voor ieder

Nadere informatie

Informatiebeveiliging en bewustzijn

Informatiebeveiliging en bewustzijn Informatiebeveiliging en bewustzijn Organisatiefouten vaak oorzaak van menselijk falen Het optreden van beveiligingsincidenten is vaak aanleiding voor het starten van een beveiligingsbewustwordingsprogramma,

Nadere informatie

Voorwaarden Preproductieomgeving DigiD (Leverancier)

Voorwaarden Preproductieomgeving DigiD (Leverancier) Voorwaarden Preproductieomgeving DigiD (Leverancier) Datum 15 mei 2012 Versie 4.0 Artikel 1 Begrippen De hierna met een hoofdletter aangeduide begrippen hebben in deze Voorwaarden de volgende betekenis:

Nadere informatie

Contractmanagement en contractbeheer

Contractmanagement en contractbeheer Ir. ing. D. Mostert, DME Advies If you are not in control of your contracts, you are not in control of your business (Gartner) Uitbesteding op diverse gebieden neemt een grote vlucht. Steeds vaker wordt

Nadere informatie

Privacy Compliance in een Cloud Omgeving

Privacy Compliance in een Cloud Omgeving Privacy and Trust in the Digital Society Privacy Compliance in een Cloud Omgeving Jeroen Terstegge NVvIR Amsterdam, 17 juni 2010 Even voorstellen mr.drs. Jeroen Terstegge, CIPP Directeur Privacyadviesbureau

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018. 2500 EA Den Haag. Datum 22 mei 2013 Beantwoording Kamervragen 2013Z08874

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018. 2500 EA Den Haag. Datum 22 mei 2013 Beantwoording Kamervragen 2013Z08874 > Retouradres Postbus20011 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Directie Burgerschap en Informatiebeleid Turfmarkt 147 Den Haag Postbus

Nadere informatie

MVO-Control Panel. Instrumenten voor integraal MVO-management. Intern MVO-management. Verbetering van motivatie, performance en integriteit

MVO-Control Panel. Instrumenten voor integraal MVO-management. Intern MVO-management. Verbetering van motivatie, performance en integriteit MVO-Control Panel Instrumenten voor integraal MVO-management Intern MVO-management Verbetering van motivatie, performance en integriteit Inhoudsopgave Inleiding...3 1 Regels, codes en integrale verantwoordelijkheid...4

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Privacyreglement AMK re-integratie

Privacyreglement AMK re-integratie Privacyreglement Inleiding is een dienstverlenende onderneming, gericht op het uitvoeren van diensten, in het bijzonder advisering en ondersteuning van opdrachtgevers/werkgevers in relatie tot gewenste

Nadere informatie

Opzetten medewerker tevredenheid onderzoek

Opzetten medewerker tevredenheid onderzoek Opzetten medewerker tevredenheid onderzoek E: info@malvee.com T: +31 (0)76 7002012 Het opzetten en uitvoeren van een medewerker tevredenheid onderzoek is relatief eenvoudig zolang de te nemen stappen bekend

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Beknopte dienstbeschrijving Beveiligen van e-mail m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

Wie doet wat? 30-5-2013. Gebruik en beheer van applicaties. Een kader VHIC VHIC. Pagina 1. Pagina 2

Wie doet wat? 30-5-2013. Gebruik en beheer van applicaties. Een kader VHIC VHIC. Pagina 1. Pagina 2 Gebruik en beheer van applicaties Wie doet wat? Pagina 1 Een kader Pagina 2 Bron: daanrijsenbrij, Elementaire bedrijfsinformatica 1 Functioneel beheer Applicaties worden gebruikt door de gebruikersorganisatie.

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie