Privacy- en informatiebeveiligingsplan

Transcriptie

1 2-Control B.V. +31 (0) Haagse Markt BA Breda info@2-control.nl The Netherlands Privacy- en informatiebeveiligingsplan Concept Datum

2 Versiebeheer Versie Datum Status Naam Toelichting Informatiebeveiligingsplan datum 2 van 24

3 Inhoud 1 Algemeen Inleiding Definities Doelstelling en reikwijdte Uitgangspunten vanuit informatiebeveiligingsbeleid 5 2 Managementsysteem voor informatiebeveiliging Overzicht managementsysteem informatiebeveiliging Beleidsvorming Risicoanalyse Planvorming Implementatie Monitoring, evaluatie en controle Cyclisch proces 8 3 Organisatie van informatiebeveiliging Toelichting Strategisch, tactisch en operationeel niveau Generieke rollen voor informatiebeveiliging Rollen en functies voor informatiebeveiliging Overlegvormen voor informatiebeveiliging Externe partijen Monitoring, controle en rapportage over informatiebeveiliging 12 4 Classificatie en risicoanalyse Classificatie Risicoanalyse 14 5 Systeembeschrijving Gegevensverzamelingen Applicatie-architectuur Systeem- en netwerkarchitectuur 15 6 Beveiligingseisen aan personeel Voorafgaand aan het dienstverband Tijdens het dienstverband Na het dienstverband 16 7 Fysieke beveiliging Locatie <bedrijfsnaam> Fysieke beveiliging hardware Hosted servers 17 8 Operationeel beheer 18 Informatiebeveiligingsplan datum 3 van 24

4 8.1 Beheerprocedures Wijzigingsbeheer Bescherming tegen malware Back-up plan Documentatie Verwijdering van media 18 9 Toegangsbeveiliging Beheer van toegangsrechten Controle toegangsrechten Toegang tot hardware en servers Aanschaf, ontwikkeling en onderhoud van informatiesystemen Beoordeling risico s ten aanzien van informatieveiligheid Data protection impact assessment (DPIA) Aanpassing informatiebeveiliging plan Continuïteitsbeheer Continuïteitsbeheer RTO en RPO Lokale hardware Backup & recovery Cloud systemen Incidentregistratie Registratie van beveiligingsincidenten Stimuleren bewustwording personeel Bijlage Verbeteracties Toelichting Bijlage verwijzingen Verwijzingen naar andere documenten 24 Informatiebeveiligingsplan datum 4 van 24

5 1 Algemeen 1.1 Inleiding Het gebruik van informatie en gegevens neemt nog altijd toe. Hiermee ook de bedreigingen die hiermee samenhangen, zoals onbevoegde inzage, onbedoelde wijziging of vernietiging van gegevens. (hierna: de organisatie) dient voldoende passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen tegen onder meer deze bedreigingen. Deze verplichting wordt uitgedragen door de bestuurder middels het vastgestelde informatiebeveiligingsbeleid. Dit privacy- en informatiebeveiligingsplan is een uitwerking van dat beleid. Deze uitwerking geldt voor de gehele organisatie () tenzij expliciet anders beschreven. Waar hieronder gesproken wordt van informatiebeveiliging en informatieveiligheid wordt expliciet ook bedoeld de beveiliging en bescherming van de privacy. Ook waar gesproken wordt van vertrouwelijkheid mag privacy worden gelezen. 1.2 Definities Definitie van informatiebeveiliging Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen Definitie van privacy Privacy is een zeer veel omvattend begrip. In de context van dit document valt onder privacy en het beschermen van privacy het volgende: de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens Doelstelling en reikwijdte Doelstelling van dit document is het geven van inzicht in de actuele maatregelen, procedures en processen die bij zijn geïmplementeerd om de kwaliteit van de informatieveiligheid te waarborgen. Daarnaast worden in dit plan ook verbeteracties benoemd, die worden aangeduid met het symbool dat hier in de kantlijn staat. In hoofdstuk 13 is een totaaloverzicht van verbeteracties opgenomen. 1.4 Uitgangspunten vanuit informatiebeveiligingsbeleid Het informatiebeveiligingsbeleid, dat door de bestuurder is vastgesteld d.d. <datum> kent de volgende uitgangspunten: 1. Alle informatie en informatiesystemen kunnen van kritiek en vitaal belang zijn voor de organisatie. De verantwoordelijkheid voor informatiebeveiliging ligt bij het (lijn)management, met de directie als eindverantwoordelijke. De verantwoordelijkheden voor de informatiebeveiliging en voor het uitvoeren van beveiligingsprocedures zijn expliciet gedefinieerd. 2. Door periodieke controle, organisatie brede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening. In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening organisatie breed benaderd. Het plan wordt periodiek bijgesteld op 1 Artikel 1a, Besluit voorschrift informatiebeveiliging rijksdienst 2007 (2007, 1 juli), geraadpleegd op van 2 Artikel 1 Europese Algemene Verordening Gegevensbescherming, geraadpleegd op van Informatiebeveiligingsplan datum 5 van 24

6 basis van nieuwe ontwikkelingen, registraties in het incidentenregister en bestaande risicoanalyses. 3. Informatiebeveiliging is een continu verbeterproces. Plan, do, check en act vormen samen het managementsysteem van informatiebeveiliging. 4. Vanuit een onafhankelijke positie wordt de organisatie ondersteunt bij het bewaken en verhogen van de betrouwbaarheid van de informatievoorziening en de rapportage hierover. 5. De organisatie stelt de benodigde mensen en middelen beschikbaar om haar eigendommen en werkprocessen te kunnen beveiligen volgens de wijze gesteld in dit beleid. 6. Regels en verantwoordelijkheden voor het beveiligingsbeleid dienen te worden vastgelegd en vastgesteld. Alle medewerkers van de organisatie worden getraind in het gebruik van beveiligingsprocedures. 7. Iedere medewerker, zowel vast als tijdelijk, intern of extern is verplicht, waar nodig, gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht en bij vermeende inbreuken hiervan melding te maken. 8. De organisatie dient een integere organisatie met integere medewerkers te zijn. Integriteitschendingen worden niet getolereerd. Informatiebeveiligingsplan datum 6 van 24

7 2 Managementsysteem voor informatiebeveiliging 2.1 Overzicht managementsysteem informatiebeveiliging Het managementsysteem voor informatiebeveiliging omvat de volgende vijf stappen. Beleidsvorming Monitoring, evaluatie en controle Risicoanalyse Implementatie Planvorming De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: Plan : Beleidsvorming en Risicoanalyse Do : Planvorming en Implementatie Check : Monitoring, evaluatie en controle Act : Het verbeterproces In de volgende paragrafen worden deze vijf stappen toegelicht. Bij de uitvoering van het managementsysteem voor informatiebeveiliging wordt zo veel mogelijk aangesloten bij andere managementsystemen binnen de organisatie: Kwaliteitshandboek Uitwerking inzake de ISO9001 certificering en de bijbehorende Audit-cyclus Maatregelen en voorschriften die uitgevoerd zijn. Afspraken die gelden vanuit het lidmaatschap. Beveiligingseisen. 2.2 Beleidsvorming Het managementsysteem voor informatiebeveiliging start met het opstellen van het informatiebeveiligingsbeleid. In dit beleid worden de doelstellingen en uitgangspunten voor informatiebeveiliging van de organisatie vastgelegd. Hiermee vormt het beleid de leidraad voor de overige stappen van het managementsysteem. Informatiebeveiligingsplan datum 7 van 24

8 2.3 Risicoanalyse De tweede stap van het managementsysteem voor informatiebeveiliging bestaat uit risicoanalyse. Het analyseren van de risico s heeft tot doel: - Inzicht te krijgen in de kwaliteit en de effectiviteit van de bestaande beveiligingsmaatregelen. - Inzicht te krijgen in de risico s die de realisatie van het gewenste beveiligingsniveau in gevaar kunnen brengen. - Het gewenste niveau van informatiebeveiliging vast te stellen in de vorm van een classificatie van bedrijfsprocessen, informatiesystemen en gegevensverzamelingen. - Keuzes te kunnen maken voor het beheersen van risico s. - Prioriteiten te bepalen voor de verbetering van de bestaande situatie. Over de uitkomsten van de analyse van de bestaande situatie voor informatiebeveiliging wordt op centraal niveau gerapporteerd aan de bestuurder en op decentraal niveau aan de leiding van het desbetreffende organisatieonderdeel. 2.4 Planvorming Op basis van de uitkomsten van de risicoanalyse wordt een verbeterplan (zie hoofdstuk 13) opgesteld. In dit plan worden de verbeteractiviteiten voor de realisatie van het gewenste beveiligingsniveau op projectmatige wijze vastgelegd. Het informatiebeveiligingsplan wordt vastgesteld door de bestuurde en het management van de organisatieonderdelen. 2.5 Implementatie Aan de hand van het verbeterplan wordt de implementatie van de aanvullende beveiligingsmaatregelen ter hand genomen. Dit betekent onder andere het opstellen van richtlijnen en procedures voor informatiebeveiliging, het invoeren van beveiligingshulpmiddelen en het voorlichten en opleiden van management en medewerkers. 2.6 Monitoring, evaluatie en controle De laatste stap van het managementsysteem voor informatiebeveiliging bestaat uit monitoring, evaluatie en controle. Monitoring betreft het continu bewaken van het niveau van informatiebeveiliging binnen de organisatie. Daar waar dit niveau in gevaar komt door het optreden van bedreigingen treedt incidentmanagement in werking om het gewenste beveiligingsniveau te waarborgen of zo snel mogelijk te herstellen. De organisatie van deze controle en de afspraken voor de bijbehorende rapportage wordt in paragraaf 3.7 nader uitgewerkt. 2.7 Cyclisch proces Het managementsysteem voor informatiebeveiliging omvat een continu en cyclisch proces. Dit betekent dat op basis van de uitkomsten van evaluaties en controles of door nieuwe ontwikkelingen de noodzaak aanwezig kan zijn het informatiebeveiligingsbeleid aan te passen, een nieuwe risicoanalyse uit te voeren, extra maatregelen te treffen of de implementatie hiervan aan te passen. Dit wordt in de figuur in paragraaf 2.1 aangegeven door de grijze gestippelde lijnen. Ook is het mogelijk dat nieuwe ontwikkelingen, zoals de introductie van nieuwe bedrijfsprocessen of informatiesystemen, aanleiding geven om het informatiebeveiligingsbeleid te heroverwegen. Een dergelijke beoordeling vindt jaarlijks plaats en wordt geïnitieerd door Stuurgroep privacy- en informatiebeveiliging Informatiebeveiligingsplan datum 8 van 24

9 3 Organisatie van informatiebeveiliging 3.1 Toelichting In dit hoofdstuk wordt de organisatie van informatiebeveiliging binnen beschreven. Het is van groot belang dat de verantwoordelijkheden, taken en bevoegdheden met betrekking tot informatiebeveiliging op een eenduidige wijze zijn toegewezen. Deze toewijzing heeft tot doel te voorkomen dat zaken dubbel worden uitgevoerd of dat de uitvoering van beveiligingstaken achterwege blijft. De organisatie van informatiebeveiliging wordt beschreven volgens de volgende invalshoeken: - het niveau van de beveiligingstaken, waarbij onderscheid wordt gemaakt naar strategische, tactische en operationele informatiebeveiliging; - generieke rollen voor informatiebeveiliging, waarbij de rollen van eigenaar, functioneel beheerder, applicatiebeheerder, technisch beheerder en gebruiker worden onderscheiden; - rollen en functies voor informatiebeveiliging binnen de organisatie. Ten slotte wordt in dit hoofdstuk ook aandacht besteed aan de overlegvormen die in het kader van informatiebeveiliging van belang zijn en aan de manier waarop controle en rapportage is vormgegeven. 3.2 Strategisch, tactisch en operationeel niveau In het onderstaande overzicht wordt een indeling van activiteiten met betrekking tot informatiebeveiliging gepresenteerd, waarbij het niveau van de activiteiten als onderscheidend criterium is gehanteerd. Bestuurder ondersteund door Stuurgroep privacyen informatiebeveiliging Niveau Activiteit Verantwoordelijke Documentatie Controle Strategisch Beleidsvorming Stuurgroep IB Informatiebeveiligingsbeleid Informatiebeveiligingsplan Tactisch Planning MT-lid/ teammanager IB-beleid IB-plan Verbeterplan Richtlijnen per afdeling/team Operationeel Uitvoering Coördinerend medewerker Operationele procedures per afdeling/team Stuurgroep IB + extern adviseur MT-lid/ teammanager 3.3 Generieke rollen voor informatiebeveiliging Voor ieder informatiesysteem en gegevensverzameling worden de volgende rollen en de bijbehorende verantwoordelijkheden toegewezen. Rol Eigenaar Functioneel beheerder/ applicatiebeheerder Verantwoordelijkheden Beslissingsrecht voor het informatiesysteem, c.q. de gegevensverzameling Bepalen van het doel en de middelen van de verwerking. Bepalen van de beveiligingseisen Ondersteunen van de verantwoordelijke bij het bepalen van de beveiligingseisen Ondersteunen van de gebruiker, onder andere door voorlichting Informatiebeveiligingsplan datum 9 van 24

10 Rol Ontwikkelaar Technisch beheerder Gebruiker Verantwoordelijkheden Ontwikkelt het informatiesysteem, c.q. de gegevensverzameling, conform de (beveiligings)eisen die door de verantwoordelijke zijn gesteld. Denkt actief mee over de realisatie en de beveiliging van het informatiesysteem, c.q. de gegevensverzameling. Voor een (groot) deel ligt de uitvoering hiervan bij externe partijen. blijft wel verantwoordelijk hiervoor. Exploitatie van de technische infrastructuur Ziet toe op een juiste technische werking van de technische infrastructuur Voor een deel ligt de uitvoering hiervan bij externe partijen. blijft wel verantwoordelijk hiervoor. Toepassing van het informatiesysteem, c.q. de gegevensverzameling Naleving van beveiligingsrichtlijnen en procedures De verschillende betrokkenen maken onderling afspraken over de uitvoering van de (beveiligings)taken en leggen deze desgewenst vast in dienstverleningsovereenkomsten (SLA s). 3.4 Rollen en functies voor informatiebeveiliging Veel onderdelen binnen zijn bij informatiebeveiliging betrokken. Hieronder worden de verantwoordelijkheden van de volgende functies en rollen beschreven: Raad van Toezicht De houdt toezicht op beleid en beheer van het bestuur. In die hoedanigheid houdt zij ook toezicht op het gevoerde informatiebeveiligingsbeleid. De verantwoordelijkheid voor informatiebeveiliging omvat: - het evalueren van de toepassing en werking van het informatiebeveiligingsbeleid op basis van rapportages over informatiebeveiliging. - het toezien op de naleving van relevante wet- en regelgeving met betrekking tot informatieveiligheid en privacy Bestuurder De Bestuurder is eindverantwoordelijk voor Stuurgroep privacy- en informatiebeveiliging Manager ICT Lijnmanagement Coördinator Informatiebeveiliging Interne controle... Informatiebeveiligingsplan datum 10 van 24

11 3.5 Overlegvormen voor informatiebeveiliging Voor overleg, coördinatie en afstemming op het gebied van informatiebeveiliging worden de volgende overlegvormen onderscheiden: Overleg Wie Wat Frequentie Opt. Stuurgroep privacy- en informatiebeveiliging Stuurgroep Alle aspecten van informatiebeveiliging: - Realisatie en naleving van het IB-beleid - Beveiligingsincidenten - Planning en acties ten aanzien van het verbeterplan - Omgang met persoonsgegevens binnen Stuurgroep/bestuurder Stuurgroep met - overleg Managementoverleg bestuurder Vertegenwoordiger MT-overleg Manager ICT MT-overleg Teamleiders/ MT - Coffee-corner/ Team werkoverleg/ lunchoverleg Alle medewerkers per team - Regulier werkoverleg Functionerings-/ beoordelingsgesprek Individueel of per team Individuele medewerker/ leidinggevende Tijdens deze overleggen staan de punten genoemd onder Wat op de agenda van dit overleg. Indien in de kolom Opt(ioneel) Ja staat dan zal het onderwerp informatiebeveiliging niet op de agenda van elk overleg staan, maar alleen indien dit op dat moment relevant is. Indien in deze kolom Nee staat dient het onderwerp wel bij elk overleg op de agenda te staan al is het maar om te constateren dat op dat moment geen actuele zaken behandeld hoeven te worden. 3.6 Externe partijen De organisatie is op diverse punten afhankelijk van externe partijen om de informatieveiligheid te kunnen waarborgen. Uitgangspunt bij het uitbesteden van gegevensverwerking of andere onderdelen die de informatieveiligheid raken is dat van de betreffende externe partij contractueel aantoonbaar hetzelfde niveau van informatiebeveiliging wordt geëist. Minimaal 1x per jaar bespreekt de manager ICT de contractverantwoordelijk en de uitvoeringsverantwoordelijke van de betreffende externe partij. Tijdens deze besprekingen worden minimaal de volgende zaken besproken; Welke beveiligingsincidenten hebben zich voorgedaan? Van dit overleg wordt een verslag gemaakt, zo nodig met de actiepunten voor de komende periode <Softwareleverancier A> <Softwareleverancier B> Overige partijen Informatiebeveiligingsplan datum 11 van 24

12 3.7 Monitoring, controle en rapportage over informatiebeveiliging Monitoring betreft het continu bewaken van het niveau van informatiebeveiliging binnen. Informatiebeveiligingsplan datum 12 van 24

13 4 Classificatie en risicoanalyse 4.1 Classificatie Classificatie van bedrijfsprocessen, informatiesystemen en informatie levert een bijdrage aan de beveiliging van deze bedrijfsprocessen, informatiesystemen en informatie. Op basis van de classificatie van deze objecten kunnen prioriteiten voor beveiliging worden gesteld, beveiliging op maat dus. Daarom wordt binnen de organisatie gebruik gemaakt van een classificatiesysteem om de verschillende beveiligingsniveaus te definiëren. De classificatie vindt plaats naar de aspecten beschikbaarheid, integriteit en vertrouwelijkheid Beschikbaarheid Classificatie Omschrijving Voorbeeld Geen Uitval van het bedrijfsproces/ informatiesysteem levert geen of nauwelijks schade op voor de organisatie Acrobat Reader Laag Uitval van het bedrijfsproces/ informatiesysteem levert beperkte schade op Excel voor de organisatie. (Een eventueel incident is met direct betrokkenen is snel recht te zetten.) Midden Uitval van het bedrijfsproces/ informatiesysteem levert aanzienlijke schade op Servers voor de organisatie. (incident kan leiden tot krantenkoppen, mediaberichten, vragen van belangrijke partners/klanten, budgettaire problemen.) Hoog Uitval van het bedrijfsproces / informatiesysteem levert ernstige schade op voor de organisatie. (de dienstverlening aan de cliënt/bedrijven/ketenpartners komt in gevaar, reactie bestuurder/woordvoerder vereist, berichten in de media, professionaliteit van het de organisatie ter discussie.) NAV / CRM Integriteit Classificatie Omschrijving Voorbeeld Geen Onjuiste of onvolledige uitvoering van het bedrijfsproces/ PowerPoint informatiesysteem levert geen of nauwelijks schade op voor de organisatie. Laag Onjuiste of onvolledige uitvoering van het bedrijfsproces/ Excel informatiesysteem levert beperkte schade op voor de organisatie. Midden Onjuiste of onvolledige uitvoering van het bedrijfsproces/ Mailing informatiesysteem levert aanzienlijke schade op voor de organisatie. Hoog Onjuiste of onvolledige uitvoering van het bedrijfsproces/ informatiesysteem levert ernstige schade op voor de organisatie. Bankpakket incasso Vertrouwelijkheid Classificatie Omschrijving Voorbeeld Laag (Openbaar) Deze gegevens zijn mogen vrijelijk verspreid worden onder belanghebbenden. Verspreiding van deze gegevens kan geen schade toebrengen aan de organisatie. Midden (Bedrijfsvertrouwelijk) Hoog (persoonsgegevens en persoonsgegevens van vertrouwelijke aard) Deze gegevens mogen toegankelijk zijn voor (bepaalde) medewerkers van de organisatie. Verspreiding van deze gegevens kan beperkte (imago)schade toebrengen aan de organisatie. Deze gegevens bevatten tot personen herleidbare informatie van mogelijk (zeer) vertrouwelijke aard. Verspreiding van deze gegeven kan Informatiebladen, brochures, persberichten. Financiële administratie, begrotingen, systeembeschrijvingen. Persoonsgegevens: Naw-gegevens. Persoonsgegeven van vertrouwelijke aard: medische gegevens, financiële gegevens, gegevens over ras, geloof, Informatiebeveiligingsplan datum 13 van 24

14 Classificatie Omschrijving Voorbeeld ernstige (imago)schade toebrengen politieke gezindheid, BSN-nr., aan de organisatie. gebruikersnamen en wachtwoorden 4.2 Risicoanalyse Risicoanalyse heeft tot doel inzicht te krijgen in de risico s die het gewenste informatiebeveiligingsniveau in gevaar brengen om zo gepaste maatregelen te kunnen bepalen om deze risico s tot een aanvaardbaar niveau te kunnen terugbrengen Privacy Impact Assessment Om de risico s met betrekking tot aanwezige gegevensverzamelingen te analyseren is <datum> een Privacy Impact Assessment uitgevoerd Algemene Risk Assessment Op <datum> is door <bedrijf/ persoon> een algemene risk assessment ingevuld en besproken. Hierin worden een aantal algemene risico s t.a.v. informatiebeveiliging ingeschaald op basis van kans x impact. Uit de risk assessment komen de volgende risico s naar voren: Nr. Risico Opmerkingen Mensen 1 Onvoldoende capaciteit beschikbaar 2 Mensen maken fouten door onvoldoende sturing en/of stress 3 Gebruikers gaan onvoorzichtig met wachtwoorden om (Gemakkelijk te raden of te vinden). 4 Buitenstaanders krijgen ongecontroleerd toegang tot het systeem (bijvoorbeeld via internet, of ter plaatse door een onbeveiligde PC) Apparatuur 5 Ongeautoriseerde gebruikers of derden verschaffen zich toegang tot de server- of netwerkprogrammatuur en beschadigen deze al dan niet bewust waardoor de server niet meer juist functioneert (d.w.z. regelmatig uitvalt of gegevens niet op de juiste manier verwerkt). Programmatuur 6 Bij een nieuwe release van de programmatuur of de installatie daarvan is een fout gemaakt waardoor de programmatuur niet meer juist functioneert (d.w.z. regelmatig uitvalt of gegevens niet op de juiste manier verwerkt). Gegevens 7 Gegevens komen ter beschikking van ongeautoriseerde personen of buitenstaanders door een foutieve handeling van een medewerker (bijvoorbeeld verkeerd mailadres, faxnummer etc.). 8 Gegevensdragers (USB-sticks etc.) worden veelvuldig gebruikt waardoor malware kan binnendringen innen het netwerk of gegevens aan ongeautoriseerde medewerkers of buitenstaanders ter beschikking komen (datalek) Omgeving 9 De computerruimte of gedeelten daarvan gaan verloren door (natuur)geweld, diefstal en dergelijke of is (tijdelijk) niet beschikbaar door het ontbreken van nutsvoorzieningen/ technische installaties Organisatie 10 Er wordt niet voldaan aan de AVG en/of andere relevante wetgeving 11 Taken, bevoegdheden en verantwoordelijkheden zijn onvoldoende beschreven of geïmplementeerd en worden onvoldoende gecontroleerd. Door gebrek aan kennisbeheer gaat kennis verloren als werknemers de organisatie verlaten Diensten 12 Diensten zijn tijdelijk of definitief niet meer te leveren door de dienstverlener (bijvoorbeeld door faillissement, leegloop, afstoten van taken of het niet verlengen van een service overeenkomst, staking, slecht capaciteitsbeheer, verlegging van prioriteiten naar andere klanten en dergelijke.). Informatiebeveiligingsplan datum 14 van 24

15 5 Systeembeschrijving 5.1 Gegevensverzamelingen Alle gegevensverzamelingen die bij de organisatie in gebruik zijn, zijn beschreven in het document Gegevensverzamelingen.xlsx. In dit document is tevens de classificatie van betreffende gegevensverzamelingen aangegeven conform paragraaf Applicatie-architectuur Neem een overzicht van de belangrijkste applicaties op. 5.3 Systeem- en netwerkarchitectuur Beschrijf de interne en externe systeem- en netwerkarchitectuur Intern Extern Informatiebeveiligingsplan datum 15 van 24

16 6 Beveiligingseisen aan personeel 6.1 Voorafgaand aan het dienstverband Screening Arbeidsvoorwaarden Functieprofielen 6.2 Tijdens het dienstverband Verantwoordelijkheid van het management Training en opleiding Disciplinaire procedure Personeelsdossier 6.3 Na het dienstverband Informatiebeveiligingsplan datum 16 van 24

17 7 Fysieke beveiliging 7.1 Locatie <bedrijfsnaam> 7.2 Fysieke beveiliging hardware 7.3 Hosted servers Informatiebeveiligingsplan datum 17 van 24

18 8 Operationeel beheer 8.1 Beheerprocedures 8.2 Wijzigingsbeheer 8.3 Bescherming tegen malware Firewall Antivirus 8.4 Back-up plan Interne servers Cloud 8.5 Documentatie 8.6 Verwijdering van media Informatiebeveiligingsplan datum 18 van 24

19 9 Toegangsbeveiliging 9.1 Beheer van toegangsrechten Netwerk en domain Overige applicaties 9.2 Controle toegangsrechten 9.3 Toegang tot hardware en servers Informatiebeveiligingsplan datum 19 van 24

20 10 Aanschaf, ontwikkeling en onderhoud van informatiesystemen 10.1 Beoordeling risico s ten aanzien van informatieveiligheid 10.2 Data protection impact assessment (DPIA) 10.3 Aanpassing informatiebeveiliging plan Informatiebeveiligingsplan datum 20 van 24

21 11 Continuïteitsbeheer 11.1 Continuïteitsbeheer 11.2 RTO en RPO 11.3 Lokale hardware 11.4 Backup & recovery 11.5 Cloud systemen Informatiebeveiligingsplan datum 21 van 24

22 12 Incidentregistratie 12.1 Registratie van beveiligingsincidenten 12.2 Stimuleren bewustwording personeel Informatiebeveiligingsplan datum 22 van 24

23 13 Bijlage Verbeteracties 13.1 Toelichting Informatiebeveiligingsplan datum 23 van 24

24 14 Bijlage verwijzingen 14.1 Verwijzingen naar andere documenten Informatiebeveiligingsplan datum 24 van 24