ENSIA Was-wordt lijst

Transcriptie

1 ENSIA Was-wordt lijst Versie :00 Op basis van Export BIG lijst en Export BIG lijst Vragenlijst: ENSIA Zelfevaluatie - Informatiebeveiliging BIG 2018 Let op: de vragenlijst op is leidend en derhalve kunnen aan deze excel geen rechten worden ontleend Categorie: Vragenlijst BIG hs 3: Implementatie van de Tactische Baseline > Vragen hs 3.1 Benoem verantwoordelijkheden Vraag ID Routering. Optioneel Vraagtekst Antwoord mogelijkheden Toelichting Tags Iets veranderd? Formulering 2017 i Nee Nee vragen hs 3: ISMS i Nee Nee 3.1.a Is er een informatiebeveiligings plan voor de Baseline Informatiebeveiliging Gemeenten (BIG)? Een informatiebeveiligingsplan is een implementatieplan om ontbrekende informatiebeveiligingsmaatregelen te implementeren. Dit plan wordt jaarlijks gemaakt op basis van management besluiten, nieuwe risico's, gewijzigde wetgeving, andere organisatietaken. Zie ook hs 3.1 uit de BIG: Benoem verantwoordelijken p.14benodigde documentatieeen informatiebeveiligingsplan met daarin de korte en lange termijn doelen en planningen voor het implementeren van maatregelen. ja, de vraag is veranderd Is er een integraal implementatieplan? i Ja Nee a Wordt er periodiek gerapporteerd over de voortgang? De rapportage is belangrijk voor het management om inzicht te krijgen in de voortgang en om daarop te kunnen sturen. ja, in 2017 stond er geen nummer voor de vraag (nu a) i Nee Nee 3.1.b Is er een Information Security Management System (ISMS) waar het informatiebeveiligingsplan een onderdeel van is? De gemeenten moeten een gedocumenteerd ISMS vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren binnen het kader van de algemene bedrijfsactiviteiten en -risico's van de organisatie. Het proces dat in het kader van deze maatregel wordt gehanteerd, is gebaseerd op het Plan-Do- Check-Act-model (PDCA). ISMS mag ook een spreadsheet zijn, hoeft niet persé een echte aparte applicatie te zijn. Zie ook hs 3.1 uit de BIG: Benoem verantwoordelijken p.14benodigde documentatieeen spreadsheet met maatregelen, hun statussen, de verantwoordelijken voor de maatregelen, de verwachte planning van implementatie, management besluiten over planning. ja, de vraag is veranderd Is er een Information Security Management System (ISMS) waar het plan een onderdeel van is? Categorie: Vragenlijst hs 4: Samenwerkingsverbanden > Vragen hs 4.1: Afspraken Vraag ID Routering. Optioneel Vraagtekst Antwoord mogelijkheden Toelichting Tags Iets veranderd? Formulering 2017 i Nee Nee Vragen hs 4: Samenwerkingsverbande n i Nee Nee 4.1.a Heeft u gemeentelijke taken ondergebracht in een gemeentelijk samenwerkingsverband? Ja, Nee, Geen samenwerkingsverbanden In dit hoofdstuk zijn vragen opgenomen over samenwerkingsverbanden, ervan uitgaande dat samenwerking voor alle gemeenten aan de orde is. Bijvoorbeeld: Gemeenschappelijke Regelingen, Veiligheidsregio, of samenwerking met andere gemeenten en/of ketenpartners.de vragen in dit hoofdstuk betreffen samenwerking; vragen over dienstverlening door leveranciers vindt u terug in hoofdstuk 6. In deze vraag gaat het erom of met de samenwerkingsverbanden afspraken zijn gemaakt over informatieveiligheid op basis van een relevente norm zoals de BIG. ja, de vraag is veranderd en de volgorde van de antwoord mogelijkheden zijn veranderd Is er met alle samenwerkingsverbanden gemeenschappelijke norm afgesproken zoals de BIG die op gemeenten van toepassing is?

2 i Ja Nee 4.1.b Zijn er in deze samenwerkingsverbande n afspraken gemaakt over informatiebeveiliging (BIG)? Ja, Nee, In ontwikkeling, Deels Als een (gemeenschappelijke) norm afgesproken is, dan moet er ook enige verantwoording plaatsvinden. Bij deze vraag gaat het erom of daadwerkelijk afspraken zijn gemaakt over de periodieke verantwoording over informatieveiligheid. Als de samenwerking "dichtbij" staat, dan kan een In Controle Verklaring (ICV) voldoende zijn. Indien de samenwerking verder weg staat of is er een verwerkingsovereenkomst, dan kan een TPM aan de orde zijn. Deze afspraken zouden moeten zijn vastgelegd in de oprichtingsakte of in de jaarlijkse afspraken. ja, de vraag is veranderd, de volgorde van de antwoord mogelijkheden zijn veranderd en de antwoordmogelijkheid 'deels' is toegevoegd Zijn er met deze samenwerkingsverbanden afspraken gemaakt over de jaarlijkse verantwoording over informatieveiligheid? i Ja Nee 4.1.c Controleert u de naleving van deze afspraken? Heeft u op basis van de rapportage vanuit uw samenwerkingsverband de afgesproken normen gecontroleerd? En heeft u dit gebruikt om de relevante vragen binnen ENSIA te beantwoorden? ja, de vraag is veranderd Heeft u de ter zake relevante normen die binnen de samenwerking gelden gecontroleerd en daar waar nodig deze gebruikt om vragen te beantwoorden binnen ENSIA? i Nee Nee Vraag hs 4.1: Onderstaande vraag is in 2018 komen te. i Nee Nee 4.1.d Is er ook een vorm van rapportage afgesproken met de samenwerkingsverbande n over de mate waarin zij in control zijn op informatieveiligheid? U kunt deze voor 2018 is komen te. Heeft u daadwerkelijk afspraken gemaakt met de samenwerkingsverbanden over de concrete vorm van rapportage over informatieveiligheid? Categorie: Vragenlijst BIG hs 5: Beveiligingsbeleid > Vragen hs 5.1: Informatiebeveiligingsbeleid Vraag ID Routering. Optioneel Vraagtekst Antwoord mogelijkheden Toelichting Tags Iets veranderd? Formulering 2017 i Nee Nee Vragen hs 5.1.1: Beleidsdocumenten voor informatiebeveiliging ensia-rvig ensiaitaudit ensia-suwi i Nee Nee a Wat is de status van het informatiebeveiligings beleid (IBB) gebaseerd op de BIG? Het ibb is actueel en jonger dan 3 jaar, Het ibb is door het college vastgesteld, Het ibb is gepubliceerd, Het ibb is kenbaar gemaakt aan alle medewerkers en externe partijen, Het ibb is ouder dan 3 jaar en niet vastgesteld, Er is geen ibb De vragen onder hs zijn in 2018 samengevoegd. De vragen en de antwoorden van 2017 zijn onder aan deze pagina zichtbaar. Een gemeente moet een actueel en door het college vastgesteld informatiebeveiligingbeleid hebben dat niet ouder is dan drie jaar (BIG norm). Bij voorkeur is gebruik gemaakt van het voorbeeld informatiebeveiligingsbeleid van de IBD met een eigen invulling / aanvulling op de lokale situatie. Dit is een BRP bepaling, PUN-eis en een Suwinorm. PUN art 90 BRP 1.11, lid 1Besluit BRP 6 Suwinorm B.01 Zie ook hs van de BIG: Beleidsdocumenten voor informatiebeveiliging p.19benodigde documentatieeen actueel informatiebeveiligingsbeleid, passend bij het gegeven antwoord. Bij voorkeur is gebruik gemaakt van het voorbeeld informatiebeveiligingsbeleid van de IBD met een eigen invulling / aanvulling op de locale situatie.suwi guidanceklik hier voor de uitgebreide Suwi guidance. Plaats in het opmerkingenveld hieronder de eventuele extra onderbouwing van uw antwoord voor de IT auditor. ensia-rvig ensiaitaudit ensia-brp ensiakeycontrol ensiapun ensia-suwi ja, de vraag is veranderd, de antwoord mogelijkheden zijn veranderd en de vraag ID is veranderd Is er een actueel informatiebeveiligingsbeleid (gebaseerd op de BIG)? vraag ID was i

3 i Nee Nee b Voor welke weten regelgeving is er een verwijzing in het Voor de BRP, Voor Suwinet, Voor de AVG, informatiebeveiligingsbele Voor geen van bovenstaande id opgenomen? voorzieningen en wetgeving is expliciet aandacht in het beleid, Overig Een gemeente moet een actueel en door het college vastgesteld informatiebeveiligingbeleid hebben dat niet ouder is dan drie jaar (BIG norm). Bij voorkeur is gebruik gemaakt van het voorbeeld informatiebeveiligingsbeleid van de IBD met een eigen invulling / aanvulling op de lokale situatie. Dit is een BRP en Suwi eis.wet BRP 1.11, lid 1/Besluit BRP 6Suwinorm: B.01Zie ook hs van de BIG: Beleidsdocumenten voor informatiebeveiliging p.19benodigde documentatieaantoonbare passages over de respectievelijke speciale gemeentelijke voorzieningen in het gemeentelijk informatiebeveiligingsbeleid ensia-keycontrol ensiarvig ensia-brp ensiasuwi ensia-itaudit ja, de vraag is veranderd, de antwoord mogelijkheden zijn veranderd en de vraag ID is veranderd Is er in het gemeentelijk informatiebeveiligingsbeleid expliciet aandacht voor speciale gemeentelijke voorzieningen en wetgeving? vraag ID was i i Nee Nee c Heeft u het Ja, gemeentelijke Ja, alleen voor de BRP, informatiebeveiligingsbele Nee, id vertaald naar te nemen Niet van toepassing maatregelen of te implementeren maatregelen naar de door u opgerichte samenwerkingsverbande n of die waarin uw gemeente een deelname heeft? Het vertalen van maatregelen naar samenwerkingsverbanden is essentieel voor het sluiten krijgen en houden van een adequate beveiliging door de hele organisatie. Dit is een BRP eis.wet BRP 1.11, lid 1 / Besluit BRP 6Zie ook hs van de BIG: Beleidsdocumenten voor informatiebeveiliging p.19benodigde documentatieoprichtings- dan wel instellingsbeschikkingen van Gemeenschappelijke Regelingen met daarin specifiek aandacht voor Informatiebeleid. Voor Gemeenschappelijke Regelingen die openbare lichamen zijn: bewerkersovereenkomsten. ja, deze vraag is nieuw (bestond niet in 2017) ja, de volgorde van de antwoord mogelijkheden zijn veranderd en de antwoordmogelijkheid 'ja, alleen voor de BRP' is toegevoegd i Nee Nee d Heeft uw gemeente een privacybeleid conform de AVG? i Nee Nee Vraag hs 5.1.2: Beoordeling van het informatiebeveiligingsbele id De verwerkersverantwoordelijke is verplicht technische en organisatorische maatregelen te treffen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd. Een van de passende maatregelen is een gegevensbeschermingsbeleid.avg art 24, BRP art 1,10 lid 2, PUN art 90. i Ja Nee Vul hier uw antwoord aan ensia-keycontrol ensiabrp ensia-itaudit ensiarvig ensia-suwi ensia-rvig ensiakeycontrol ensia-brp ensia-avg ensia-brp ensiapun ensia-rvig niet in ja, deze vraag is nieuw (bestond 2017) ensia-itaudit ensia-suwi i Nee Nee a Wordt het informatiebeveiligingsbele id minimaal één keer per drie jaar of bij grote wijzigingen binnen de organisatie opnieuw beoordeeld en indien nodig aangepast? Zie ook hs van de BIG: Beoordeling van het informatiebeveiligingsbeleid p.19benodigde documentatieinformatiebeveiligingsbeleid jonger dan 3 jaarsuwi guidanceklik hier voor de uitgebreide Suwi guidance.suwinorm: C.01Plaats in het opmerkingenveld hieronder de eventuele extra onderbouwing van uw antwoord voor de IT auditor. ensia-itaudit ensia-suwi nee i Nee Nee Vragen hs 5.1: Onderstaande vragen zijn in 2018 komen te.

4 i Nee Nee a Is er een actueel informatiebeveiligingsbele id (gebaseerd op de BIG)?U kunt deze vraag niet. Een gemeente moet een actueel en door het college vastgesteld informatiebeveiligingbeleid hebben dat bij voorkeur jonger is dan drie jaar. Bij voorkeur is gebruik gemaakt van het voorbeeld informatiebeveiligingsbeleid van de IBD met een eigen invulling / aanvulling op de locale situatie. Dit is een BRP bepaling en een Suwinorm.Wet BRP 1.11, lid 1/Besluit BRP 6Suwinorm B.01Zie ook hs van de BIG: Beleidsdocumenten voor informatiebeveiliging p.19benodigde documentatieeen actueel informatiebeveiligingsbeleid, passend bij het gegeven antwoord. Bij voorkeur is gebruik gemaakt van het voorbeeld informatiebeveiligingsbeleid van de IBD met een eigen invulling / aanvulling op de locale situatie.suwi guidanceklik hier voor de uitgebreide guidance Plaats in het opmerkingenveld hieronder de eventuele extra onderbouwing van uw antwoord voor de IT auditor. i Nee Nee Is het informatiebeveiligingsbele id vastgesteld door het College?U kunt deze omdat deze in 2018 is komen te. i Nee Nee Is het informatiebeveiligingsbele id jonger dan drie jaar?u kunt. i Nee Nee Is het informatiebeveiligingsbele id gepubliceerd en kenbaar gemaakt aan alle medewerkers en externe partijen?u kunt deze omdat deze in 2018 is komen te. i Nee Nee b Is er in het gemeentelijk informatiebeveiligingsbele id expliciet aandacht voor speciale gemeentelijke voorzieningen en wetgeving?u kunt deze omdat deze in 2018 is komen te. Een gemeente moet een actueel en door het college vastgesteld informatiebeveiligingbeleid hebben dat bij voorkeur jonger is dan drie jaar. Bij voorkeur is gebruik gemaakt van het voorbeeld informatiebeveiligingsbeleid van de IBD met een eigen invulling / aanvulling op de locale situatie. Dit is een BRP en Suwi eis.wet BRP 1.11, lid 1/Besluit BRP 6Suwinorm: B.01Zie ook hs van de BIG: Beleidsdocumenten voor informatiebeveiliging p.19benodigde documentatieaantoonbare passages over de respectievelijke speciale gemeentelijke voorzieningen in het gemeentelijk informatiebeveiligingsbeleid.

5 i Nee Nee Kunt u aangeven voor welke voorzieningen en wetgeving er expliciet aandacht is in het informatiebeveiligingsbele id?u kunt. Categorie: Vragenlijst BIG hs 6: Organisatie van de informatiebeveiliging > Vragen hs 6.1: Interne organisatie Vraag ID Routering. Optioneel Vraagtekst Antwoord mogelijkheden Toelichting Tags Iets veranderd? Formulering 2017 i Nee Nee Vragen hs 6.1.1: Betrokkenheid van het College van B&W bij beveiliging i Nee Nee a Op welke wijze is het College van B&W betrokken bij beveiliging? Het College van B&W stelt de informatiebeveiligingsdoelstelling en vast, De voortgang wordt jaarlijks besproken tussen B&W en management, Er wordt jaarlijks over de voortgang gerapporteerd, Het College van B&W is niet betrokken bij de informatiedoelstellingen, Overig/anders: De vragen onder hs a zijn in 2018 samengevoegd. De vragen en de antwoorden van 2017 zijn onder aan deze pagina zichtbaar. Het College behoort actief informatiebeveiliging binnen de organisatie te ondersteunen door duidelijk richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor informatiebeveiliging toe te kennen en te erkennen. Dit is een BRP en een Suwi- eis. Besluit BRP 6, LO 7.2, 7.4.7, 4.2.4, 3.1. PUN art 90. Suwinorm: B.01, C.01.Zie ook hoofdstuk van de BIG: Betrokkenheid van het College van B&W bij beveiliging van de BIG p.20benodigde documentatiein ieder geval verslagen van vergaderingen waarin het onderwerp Informatiebeveiliging aan de orde gekomen is. Daarnaast behoort het management voldoende budgetten ter beschikking te stellen die passen bij de jaarlijkse informatieplanning. Ze behoren actief het belang van informatieveiligheid uit te dragen.suwi guidanceklik hier voor de uitgebreide guidance Plaats in het opmerkingenveld hieronder de eventuele extra onderbouwing van uw antwoord voor de IT auditor. ensia-rvig ensiakeycontrol ensiasuwi ensia-itaudit ensia-rvig ensiakeycontrol ensiabrp ensia-suwi ensiaitaudit ja, de vraag is veranderd, de antwoord mogelijkheden zijn veranderd en de vraag ID is veranderd Worden de informatiebeveiligingsdoelstellingen vastgesteld door het College? vraag ID was i i Nee Nee Vraag hs 6.1.2: Coördineren van beveiliging i Nee Nee a Zijn de rollen van de CISO en het lijnmanagement beschreven waar het de coördinatie van de activiteiten voor informatiebeveiliging betreft? Activiteiten voor informatiebeveiliging behoren te worden gecoördineerd door vertegenwoordigers uit de verschillende delen van de organisatie met relevante rollen en functies. Dit is een Suwi eis.suwinorm: B.01 en B.04 Zie ook hs van de BIG: Coördineren van beveiliging p.20suwi guidanceklik hier voor de uitgebreide guidance Benodigde documentatieoverzicht van IB functies met taken, bevoegdheden en verantwoordelijkheden (formeel vastgesteld).plaats in het opmerkingenveld hieronder de eventuele extra onderbouwing van uw antwoord voor de IT auditor. ensia-suwi ensia-itaudit ja, deze vraag is nieuw (bestond niet in 2017) ensia-suwi ensia-itaudit ja, de vraag is veranderd Zijn de informatiebeveiligingsactiviteiten vastgesteld en belegd? i Nee Nee Vragen hs 6.1.3: Verantwoordelijkheden i Ja Nee Vul hier uw antwoord aan ensia-keycontrol ensiabrp ensia-rvig ensiasuwi ensia-itaudit ensia-keycontrol ensiasuwi ensia-itaudit

6 i Nee Nee a Zijn de beveiligingsrollen voor wat betreft informatiebeveiliging van de (lijn, proces, systeem) manager belegd? Ja, in de functiebeschrijvingen, Ja, in de taakopdrachten, Ja, voor de basisregistraties, Nee ja, de volgorde van de antwoord mogelijkheden zijn veranderd i Nee Nee b Heeft uw gemeente een Functionaris Gegevensbescherming benoemd? Alle verantwoordelijkheden voor informatiebeveiliging ensia-keycontrol ensia- behoren duidelijk te zijn gedefinieerd. Dit is een Suwi suwi ensia-itaudit ensia- avg eis.suwinorm: B.05AVG : artikel 37, lid 1 Zie ook hs van de BIG: Verantwoordelijkheden p.20benodigde documentatievoor relevante rollen en functies behoren de eisen te zijn uitgewerkt in functie- dan wel taak omschrijvingen. Ongeacht de plaats in de organisatie is er altijd enige verantwoordelijkheid met betrekking tot veiligheid van informatie. Ieder proces en informatiesysteem dient een eigenaar te hebben.suwi guidanceklik hier voor de uitgebreide guidance Plaats in het opmerkingenveld hieronder de eventuele extra onderbouwing van uw antwoord voor de IT auditor. De functionaris voor de gegevensbescherming (FG) dient ensia-avg ensia-brp ensiapun ensia-rvig ja, deze vraag is nieuw (bestond met deskundige kennis van gegevensbeschermingswetgeving en -praktijken de verwerkingsverantwoordelijke of de verwerker bij te staan bij het toezicht op de interne naleving van de AVG. De FG houdt binnen een organisatie toezicht op de toepassing en naleving van de AVG. Een gemeente is verplicht om een FG aan te stellen. De FG functioneert als een verlengstuk bij de Autoriteit Persoonsgegevens.BRP artikel 1,10 lid 2PUN art. 90AVG : artikel 37, lid 1 niet in 2017) i Nee Nee Vragen hs 6.1.4: Goedkeuringsproces voor ICT-voorzieningen i Nee Nee a Is er een geïmplementeerd proces voor het goedkeuren van nieuwe ICTvoorzieningen? Er behoort een goedkeuringsproces voor nieuwe ICTvoorzieningen te worden vastgesteld en geïmplementeerd. Het goedkeuringsproces is onafhankelijk van een oplossing on-site of in de cloud.zie ook hs van de BIG: Goedkeuringsproces voor ICTvoorzieningen p.21benodigde documentatie:autorisatieproces nieuwe IT voorzieningen. ja, de vraag is veranderd Is er geïmplementeerd beleid voor het goedkeuren van nieuwe ICT-voorzieningen? i Nee Nee Vragen hs 6.1.5: Geheimhoudingsovereen komst ensia-hrm ensiaburgerzaken ensia-rvig i Nee Nee a Is voor alle typen werknemers uitgewerkt of er een geheimhoudingsverklarin g getekend moet worden bij aanstelling? Eisen voor vertrouwelijkheid of voor een geheimhoudingsovereenkomst die een weerslag vormen van de behoefte van de organisatie aan bescherming van informatie behoren te worden vastgesteld en regelmatig te worden beoordeeld.het onderteken van een individuele verklaring integriteit / tot geheimhouding of het afleggen van de ambtseed of belofte is een BRP en PUN eis.brp: WBP 12, lid 2PUN: WBP 12, lid 2Zie ook hs van de BIG: Geheimhoudingsovereenkomst p.21benodigde documentatiegeheimhoudingsverklaringen in Personeelsdossiers. ensia-hrm ensiaburgerzaken ensiapun ensia-pnikni ensiabrp ensia-rvig ja, de vraag is veranderd Is er een beleid om de geheimhoudingsverklaring te laten tekenen bij een aanstelling?

7 i Ja Nee b Wat staat er in het Iedere ambtelijk medewerker beleid over hoe om te gaan met geheimhoudingsverklarin gen bij aanstelling? ondertekent een individuele verklaring integriteit / tot geheimhouding of legt de ambtseed of ambtsbelofte af, Externe en tijdelijke medewerkers ondertekenen een geheimhoudingsverklaring Binnen de organisatie moet zijn vastgelegd hoe moet worden omgegaan met het intreden van nieuwe medewerkers. Indien een nieuwe medewerker al reeds een ambtseed of belofte heeft afgelegd en ambtenaar is dan valt deze vwb geheimhouding onder de ambtenaren wet. Mocht een tijdelijke medewerker in dienst zijn van de gemeente of ingehuurd zijn (en deze vallen dan dus niet onder de ambtenaren wet vwb geheimhouding) dan moet voor bepaalde functies een geheimhoudingsverklaring ondertekend worden.benodigde documentatie Formats geheimhoudingsverklaringen gedifferentieerd naar medewerkers die omgaan met vertrouwelijke informatie. ensia-hrm ensiaburgerzaken ensiarvig ensia-brp ensiapun ensia-pnikni ja, de vraag is veranderd en de antwoord mogelijkheid 'Bij de aanstelling wordt een VOG gevraagd'is verwijderd Kunt u aangeven op welke wijze dit gebeurt? i Nee Nee Vragen hs 6.1.6: Contact met overheidsinstanties i Nee Nee a Worden er contacten onderhouden in relatie tot informatiebeveiliging met relevante (overheids) organisaties? Er behoren geschikte contacten met relevante (overheids)instanties te worden onderhouden.zie ook hs van de BIG: Contact met overheidsinstanties p.21implementatie ondersteuningorganisaties behoren procedures te hebben geïmplementeerd die beschrijven wanneer en door wie er met autoriteiten contact behoort te worden opgenomen (bijvoorbeeld politie, brandweer, toezichthouders) en hoe de vastgestelde informatiebeveiligingsincidenten tijdig behoren te worden gerapporteerd, indien het vermoeden bestaat dat er wetgeving is overtreden. Organisaties die via het internet worden aangevallen kunnen bijstand van externe partijen (bijvoorbeeld een leverancier van internetdiensten of een telecommunicatiebedrijf) nodig hebben om actie tegen de aanvaller te ondernemen. Overige informatie: Het onderhouden van dergelijke contacten kan een eis zijn voor het ondersteunen van het beheer van informatiebeveiligingsincidenten (13.2) of het bedrijfscontinuïteit- en noodplanproces (hoofdstuk 14). Benodigde documentatie In geval van een calamiteit dient duidelijk te zijn langs welke lijnen de communicatie dient te verlopen. Dit kan vastgelegd zijn in calamiteiten procedures, incident management en responsebeleid, noodplannen, Business Continuity Management (BCM). ja, de vraag is veranderd Worden er contacten onderhouden in relatie tot informatiebeveiliging met relevante (overheids) organisaties en is dit vastgelegd? i Nee Nee Vragen hs 6.1.7: Contact met speciale belangengroepen ensia-suwi

8 i Nee Nee a Onderhoudt de gemeente contact met relevante expertise groepen? Er behoren geschikte contacten met speciale ensia-suwi belangengroepen of andere specialistische platforms voor beveiliging en professionele organisaties te worden onderhouden.zie ook hs van de BIG: Contact met speciale belangengroepen p.21benodigde documentatie:aansluitdocumenten stap 1 en 2 van de IBD.SUWI-norm: B.04Implementatie voorbeelden:het lidmaatschap van bepaalde belangengroeperingen of forums behoort te worden beschouwd als een middel om:a) kennis te vergroten van beproefde werkwijzen ( best practice ) en op de hoogte te blijven van de laatste stand van zaken op het gebied van informatiebeveiliging;b) te waarborgen dat kennis en begrip van het vakgebied informatiebeveiliging volledig actueel en compleet zijn;c) vroegtijdig signalen te krijgen van waarschuwingen, adviezen en patches die verband houden met aanvallen en kwetsbaarheden;d) toegang te verkrijgen tot deskundig informatiebeveiligingsadvies;e) informatie over nieuwe technologieën, producten, bedreigingen of kwetsbaarheden te delen en uit te wisselen; geschikte aanspreekpunten te leveren wanneer men te maken heeft met informatiebeveiligingsincidenten (zie ook ). Ja, de vraag is veranderd en de vraag ID is veranderd Onderhoud de gemeente contacten met relevante expertise groepen en leveranciers om in geval van incidenten snel/juist te kunnen handelen? vraag ID was i i Nee Nee Vragen hs 6.1.8: Onafhankelijke beoordeling van informatiebeveiliging ensia-rvig ensia-suwi i Nee Nee a Wordt het informatiebeveiligingsbele id minimaal jaarlijks onafhankelijk beoordeeld? De benadering van de organisatie voor het beheer van ensia-rvig ensia-brp ensiasuwi ja, de vraag is veranderd informatiebeveiliging en de implementatie daarvan (d.w.z. beheerdoelstellingen, beheersmaatregelen, beleid, processen en procedures voor informatiebeveiliging) behoren onafhankelijk en met geplande tussenpozen te worden beoordeeld, of zodra zich wijzigingen voordoen in de implementatie van de beveiliging. Dit is een BRP en een Suwi eis.wet BRP 4.3, lid 1Suwinorm: C.01 en C.08De onafhankelijke beoordeling zou moeten worden geïnitieerd door de directie. Een dergelijke onafhankelijke beoordeling is nodig om te waarborgen dat de organisatie een geschikte, toereikende en doeltreffende aanpak van het beheer van informatiebeveiliging hanteert. In de beoordeling behoren de mogelijkheden voor verbetering en de noodzaak om wijzigingen aan te brengen in de beveiligingsaanpak, waaronder het beleid en de beheersdoelstellingen, te worden meegenomen.onafhankelijk betekent hier dat een beoordeling zou moeten worden uitgevoerd door personen die onafhankelijk zijn ten opzichte van de omgeving die wordt beoordeeld, bijvoorbeeld de interne auditor, een onafhankelijke manager of eenderde partij die in dergelijke beoordelingen is gespecialiseerd, voor zover zij beschikken over de juiste vaardigheden en ervaring. Zie ook hs van de BIG: Beoordeling van het informatiebeveiligingsbeleid p.21benodigde documentatieaudit verslagen, gespreksverslagen, verslag van de beoordeling van het beleid. Wordt het informatiebeveiligingsbeleid onafhankelijk beoordeeld en wordt hierover intern verantwoording afgelegd? i Nee Nee Vragen hs 6.1: Onderstaande vragen zijn in 2018 komen te.

9 i Nee Nee a Worden de informatiebeveiligingsdoel stellingen vastgesteld door het College?U kunt. Het College behoort actief informatiebeveiliging binnen de organisatie te ondersteunen door duidelijk richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor informatiebeveiliging toe te kennen en te erkennen. Dit is een BRP en een Suwi- eis bepaling.besluit BRP 6, LO 7.2, 7.4.7, 4.2.4, 3.1Zie ook hoofdstuk van de BIG: Betrokkenheid van het College van B&W bij beveiliging van de BIG p.20benodigde documentatie In ieder geval verslagen van vergaderingen waarin het onderwerp Informatiebeveilging aan de orde gekomen is. Daarnaast behoort het management voldoende budgetten ter beschikking te stellen die passen bij de jaarlijkse informatieplanning. Ze behoren actief het belang van informatieveiligheid uit te dragen.suwi guidanceklik hier voor de uitgebreide guidance Plaats in het opmerkingenveld hieronder de eventuele extra onderbouwing van uw antwoord voor de IT auditor. i Nee Nee Wordt de voortgang jaarlijks besproken tussen bestuur en management?u kunt. i Nee Nee Wordt er over de voortgang gerapporteerd?u kunt. i Nee Nee Subvraag bij a Door welke vertegenwoordigers / rollen worden de informatiebeveiligingsacti viteiten (op alle niveaus) gecoördineerd binnen de organisatie? U kunt deze voor 2018 is komen te. i Nee Nee b Wordt er minimaal eens in de drie jaar verantwoording wordt afgelegd over de informatiebeveiligingsacti viteiten?u kunt deze omdat deze in 2018 is komen te.

10 i Nee Nee Subvraag bij a Is er aandacht voor beveiliging binnen dit proces?u kunt. i Nee Nee Subvraag bij a Kunt u aangeven met welke instanties er contacten worden onderhouden?u kunt. i Nee Nee a Onderhoud de gemeente contacten met relevante expertise groepen en leveranciers om in geval van incidenten snel/juist te kunnen handelen?u kunt. Er behoren geschikte contacten met speciale belangengroepen of andere specialistische platforms voor beveiliging en professionele organisaties te worden onderhouden.zie ook hs van de BIG: Contact met speciale belangengroepen p.21benodigde documentatie:aansluitdocumenten stap 1 en 2 van de IBD.SUWI-norm: B.04Er is bekendheid met en contact met de servicedesk van SUWI bij BKWI, meldingen die het SUWI stelsel aangaan worden ook doorgemeld aan BKWI. i Nee Nee Subvraag bij a Kunt u aangeven met welke expertisegroepen uw gemeenten contacten onderhoudt?u kunt deze omdat deze in 2018 is komen te. i Nee Nee b Wordt over het functioneren van informatiebeveiliging verantwoording afgelegd aan de gemeenteraad?u kunt. Suwinorm: C.01 en C.08Zie ook hs van de BIG: Beoordeling van het informatiebeveiligingsbeleid p.21benodigde documentatiestukken van raadsvergaderingen. i Nee Nee c Heeft u een sluitende IBverantwoording ingericht binnen uw gemeente?u kunt. Suwinorm: C.01 en C.08Zie ook hs van de BIG: Beoordeling van het informatiebeveiligingsbeleid p.21 Benodigde documentatiein control verklaringen van samenwerkingsverbanden en directeuren van afdelingen.

11 i Nee Nee d Vraagt u jaarlijks van uw directeuren / afdelingshoofden / samenwerkingsverbande n om een in control verklaring over de op hun van toepassing zijnde maatregelen?u kunt deze omdat deze in 2018 is komen te. Categorie: Vragenlijst BIG hs 6: Organisatie van de informatiebeveiliging > Vragen hs 6.2: Externe partijen i Nee Nee Vragen hs 6.2.1: Identificatie van risico's die betrekking hebben op externe partijen ensia-rvig ensiasuwi ensia-avg i Nee Nee a Worden externe partijen (inclusief samenwerkingsverbande n) gebruikt om ICTvoorzieningen in stand te houden dan wel te beheren of worden externe partijen gebruikt voor de invulling van bedrijfsprocessen? Alleen voor het in standhouden/beheren van ICTvoorzieningen, Alleen voor de invulling van bedrijfsprocessen, Externe partijen worden zowel voor het in standhouden/beheren van ICT-voorzieningen als voor de invulling van bedrijfsprocessen gebruikt, Nee, externe partijen worden niet gebruikt voor het in stand houden/beheer van ICTvoorzieningen en voor de invulling van bedrijfsprocessen De risico's voor de informatie en ICT-voorzieningen van de organisatie vanuit bedrijfsprocessen waarbij externe partijen betrokken zijn, behoren te worden geïdentificeerd en er behoren geschikte beheersmaatregelen te worden geïmplementeerd voordat toegang wordt verleend.deze vraag wordt gebruikt voor de routing op de vervolgvragen. ensia-rvig ensia-brp ja, de antwoord mogelijkheden zijn veranderd Alleen voor het in standhouden/beheren van ICT-voorzieningen, Alleen voor de invulling van bedrijfsprocessen, Externe partijen worden niet gebruikt voor het in stand houden/beheer van ICTvoorzieningen en voor de invulling van bedrijfsprocessen, Externe partijen worden zowel voor het in standhouden/beheren van ICT-voorzieningen als voor de invulling van bedrijfsprocessen gebruikt, Deze worden niet gebruikt i Ja Nee b Is er voor uitbesteding van een proces of systeem een risicoafweging gemaakt en zijn de relevante beveiligingsrisico s in kaart gebracht? De risico's voor de informatie en ICT-voorzieningen van de organisatie vanuit bedrijfsprocessen waarbij externe partijen betrokken zijn, behoren te worden geïdentificeerd en er behoren geschikte beheersmaatregelen te worden geïmplementeerd voordat toegang wordt verleend. Zie ook hs van de BIG: Identificatie van risico's die betrekking hebben op externe partijen p.22benodigde documentatieingevulde dataclassificatie verslagen, risicoanalyse rapporten. nee i Ja Nee c Als er uitbesteed is, zijn er dan beveiligingsmaatregelen vastgelegd in de (inkoop) contracten? Ja, Incidenteel, Nee Er behoort te worden gewaarborgd dat de externe partij kennis draagt van zijn verplichtingen en verantwoordelijkheden die gepaard gaan met de toegang tot de toegang van informatie en IT voorzieningen van de organisatie.zie ook hs van de BIG: Identificatie van risico's die betrekking hebben op externe partijen p.22benodigde documentatieinkoop dossiers ja, de antwoord mogelijkheid 'incidenteel' is toegevoegd i Ja Nee d Als er uitbesteed is en er zijn persoonsgegevens betrokken, is er dan met de leverancier een verwerkersovereenkomst afgesloten? De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling.avg art 28 l 3.Zie ook hs van de BIG: Identificatie van risico's die betrekking hebben op externe partijen p.22benodigde documentatievoor iedere uitbesteding met persoonsgegevens moet een verwerkersovereenkomst aanwezig zijn. ensia-avg ja, de vraag is veranderd Als er uitbesteed is en er zijn persoonsgegevens betrokken, is er dan met de leverancier een bewerkersovereenkomst conform het model van de BIG-OP afgesloten?

12 i Nee Nee Kunt u aangeven op welke wijze de afspraken zijn gemaakt? Conform voorstel van de leverancier, Conform het model uit de BIG- OP reeks, Op basis van de BIG en in overleg met de leverancier ensia-avg nee i Ja Nee e Als er persoonsgegevens verwerkt worden, is er dan een wettelijke grondslag en is doelbinding en proportionaliteit gewaarborgd? Nee, Ja, Wettelijke grondslag is vastgesteld er wordt gedaan aan doelbinding en er worden niet meer gegevens vastgelegd dan noodzakelijk, Ja, maar we houden daar niet in alle gevallen rekening mee Als persoonsgegevens verwerkt worden moet er een wettelijke grondslag zijn om deze verwerking te mogen uitvoeren.avg art. 28, lid 1Benodigde documentatieuitgevoerde Data Protection Impact Analyses (DPIA's)(let op: het uitvoeren van een PIA is nu nog niet verplicht, alleen bij nieuwe voorzieningen!) ensia-avg nee i Nee Nee f Als er persoonsgegevens verwerkt worden, worden er dan Data Protection Impact Analyses (DPIA's) uitgevoerd? Ja, Incidenteel, Nee Bij verwerking van persoonsgegevens is het uitvoeren van een Data Protection Impact Analyse (DPIA's) verplicht volgens de AVG. Alleen dan is de impact op de privacy juist in kaart gebracht.avg Artikel 35 lid 1 1 ensia-avg ja, deze vraag is nieuw (bestond niet in 2017) i Ja Nee g Is in deze contracten opgenomen dat een leverancier verplicht is om binnen 24 uur alle beveiligingsinbreuken te melden? De risico's voor de informatie en ICT-voorzieningen van de organisatie vanuit bedrijfsprocessen waarbij externe partijen betrokken zijn, behoren te worden geïdentificeerd en er behoren geschikte beheersmaatregelen te worden geïmplementeerd voordat toegang wordt verleend.avg art. 33, lid 1Zie ook hs van de BIG: Identificatie van risico's die betrekking hebben op externe partijen p.22benodigde documentatie:incidentregistratie, relevante passages in bewerkersovereenkomsten en leveringsovereenkomsten, SLA's, voor alle uitbesteedde processen/systemen. ensia-avg ja, de vraag is veranderd en het vraag nummer was f in 2017 Is in deze contracten opgenomen dat een leverancier verplicht is om binnen 24 uur alle beveiligingsinbreuken te melden? (WBP-eis). i Ja Nee h Worden de aan derden opgelegde informatiebeveiligingsma atregelen jaarlijks gecontroleerd? Ja, en we ontvangen een TPM/SAE/SAS, Ja, door een onafhankelijk onderzoek, maar niet middels een TPM/SAE of SAS, Nee, Niet van toepassing Als aan een leverancier beveiligingseisen worden opgelegd, dan moeten deze eisen/afspraken jaarlijks aantoonbaar geïmplementeerd zijn. Dit is een eis vanuit AVG/Suwi/BRP. Besluit BRP 8, 9 PUN art 90 Suwinorm: B.03 AVG art 24 Zie ook hs van de BIG: Identificatie van risico's die betrekking hebben op externe partijen p.22benodigde documentatie:aanwezige TPM's, externe audit rapporten (SAE verklaringen, SAS rapporten), per leverancier. ensia-rvig ensia-brp ensiaavg ensia-suwi volgorde van de antwoord ja, de vraag is veranderd, de mogelijkheden zijn veranderd en het vraag nummer was g in 2017 Worden de aan de leverancier opgelegde informatiebeveiligingsmaatregelen jaarlijks gecontroleerd? i Nee Nee i Hebben u en/of uw externe softwareleveranciers bij softwareontwikkeling privacy by design ingericht? Verwerkersverantwoordelijken en verwerkers behoren niet meer persoonsgegevens te verwerken dan strikt noodzakelijk voor het beoogde doel nodig is. Externe softwareleveranciers dienen deze eis uit de AVG te respecteren. AVG art 78. ensia-avg ensia-suwi ja, deze vraag is nieuw (bestond niet in 2017) i Nee Nee j Heeft u privacy by default ingericht binnen uw processen en systemen? Ja, Deels, Nee Verwerkersverantwoordelijken en verwerkers behoren niet meer persoonsgegevens te verwerken dan strikt noodzakelijk voor het beoogde doel nodig is. Externe softwareleveranciers dienen deze eis uit de AVG te respecteren. AVG art 78. ensia-avg ja, deze vraag is nieuw (bestond niet in 2017)

13 i Nee Nee k Heeft uw gemeente werkende procedures voor alle rechten van betrokkenen? Ja, Deels, Nee Onder de Algemene Verordening Gegevensbescherming (AVG) hebben mensen meer mogelijkheden om voor zichzelf op te komen als hun persoonsgegevens worden verwerkt. Uw systemen, processen en interne organisatie moeten ingericht zijn op deze rechten. Zodat u op de juiste manier gehoor kunt geven aan verzoeken van mensen die hun rechten uitoefenen. U heeft maximaal 4 weken de tijd om te reageren op een verzoek van een betrokkene.avg art. 78, BRP art. 1,10 lid 2, PUN art. 90 ensia-avg ensia-brp ensiapun niet in ja, deze vraag is nieuw (bestond 2017) i Ja Nee l Heeft de gemeente de betrokkenen over hun rechten geïnformeerd met betrekking tot persoonsgegevens? AVG tekst:(78) Ter bescherming van de rechten en ensia-avg vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens zijn passende technische en organisatorische maatregelen nodig om te waarborgen dat aan de voorschriften van deze verordening wordt voldaan. Om de naleving van deze verordening aan te kunnen tonen, moet de verwerkingsverantwoordelijke interne beleidsmaatregelen nemen en maatregelen toepassen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Dergelijke maatregelen kunnen onder meer bestaan in het minimaliseren van de verwerking van persoonsgegevens, het zo spoedig mogelijk pseudonimiseren van persoonsgegevens, transparantie met betrekking tot de functies en de verwerking van persoonsgegevens, het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking en uit het in staat stellen van de verwerkingsverantwoordelijke om beveiligingskenmerken te creëren en te verbeteren. Bij de de ontwikkeling, de uitwerking, de keuze en het gebruik van toepassingen, diensten en producten die zijn gebaseerd op de verwerking van persoonsgegevens, of die persoonsgegevens verwerken bij de uitvoering van hun opdracht, dienen de producenten van de producten, diensten en toepassingen te worden gestimuleerd om bij de ontwikkeling en de uitwerking van dergelijke producten, diensten en toepassingen rekening te houden met het recht op bescherming van persoonsgegevens en, met inachtneming van de stand van de techniek, erop toe te zien dat de verwerkingsverantwoordelijken en de verwerkers in staat zijn te voldoen aan hun verplichtingen inzake gegevensbescherming. De beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen moeten ook bij openbare aanbestedingen in aanmerking worden genomen. ja, deze vraag is nieuw (bestond niet in 2017) i Nee Nee Vragen hs 6.2.3: Beveiliging behandelen in overeenkomsten met een derde partij ensia-suwi i Nee Nee a Zijn alle benodigde beveiligingsmaatregelen vastgelegd in overeenkomsten met externe partijen? In overeenkomsten met derden (waaronder samenwerkingsverbanden) waarbij toegang tot, het verwerken van, communicatie van of beheer van informatie of ICT-voorzieningen van de organisatie, of toevoeging van producten of diensten aan ICTvoorzieningen, behoren alle relevante beveiligingseisen te zijn opgenomen. Suwinorm: U.01 Zie ook hs van de BIG: Beveiliging behandelen in overeenkomsten met een derde partij p.23benodigde documentatiedossier: Contract, SLA, Verwerkersovereenkomst. ensia-suwi ja, de vraag is veranderd Zijn alle ontdekte beveiligingsmaatregelen uit de risicoafweging vastgelegd en geïmplementeerd voordat het product of de dienst in werking gezet wordt?

14 i Nee Nee Vragen hs 6.2: Onderstaande vragen zijn in 2018 komen te. i Nee Nee h Worden de rapportages over leveranciers verwerkt in de Collegeverklaring? U kunt. Worden de hiervoor genoemde rapprtages verwerkt in de interne rapportages en besproken en verwerkt in de in control verklaring/college verklaring?zie ook hs van de BIG: Identificatie van risico's die betrekking hebben op externe partijen p.22benodigde documentatieeen In Control Verklaring (ICV). i Nee Nee Vragen hs 6.2.2: Beveiliging beoordelen in de omgang met klanten i Nee Nee a Wordt aan externe medewerkers pas toegang verleend tot informatie en of bedrijfsmiddelen nadat alle beveiligingseisen geïmplementeerd zijn?u kunt. Alle geïdentificeerde beveiligingseisen behoren te worden beoordeeld voordat externe medewerkers toegang wordt verleend tot de informatie of bedrijfsmiddelen van de organisatie.zie ook hs van de BIG: Beveiliging beoordelen in de omgang met klanten p. 23Benodigde documentatie:contracten met beveiligingseisen en voorwaarden i Nee Nee b Is dat ook vastgesteld en vastgelegd en uitgewerkt in de contracten?u kunt deze omdat deze in 2018 is komen te. i Nee Nee Subvraag bij a Welke van de volgende onderwerpen zijn vastgelegd en geregeld in formele contracten bij de uitbesteding dan wel ontwikkeling van software?u kunt deze omdat deze in 2018 is komen te. In overeenkomsten met derden waarbij toegang tot, het verwerken van, communicatie van of beheer van informatie of ICT-voorzieningen van de organisatie, of toevoeging van producten of diensten aan ICTvoorzieningen, behoren alle relevante beveiligingseisen te zijn opgenomen.zie ook hs van de BIG: Beveiliging behandelen in overeenkomsten met een derde partij p.23benodigde documentatie: Dossier: Contract, SLA, Bewerkersovereenkomst. i Nee Nee b Is in contracten vastgelegd hoe wordt omgegaan met wijzigingsbeheer?u kunt.

15 i Nee Nee c Is in contracten met externe leveranciers de aansprakelijkheid uitgewerkt?u kunt deze omdat deze in 2018 is komen te. In overeenkomsten met derden waarbij toegang tot, het verwerken van, communicatie van of beheer van informatie of ICT-voorzieningen van de organisatie, of toevoeging van producten of diensten aan ICTvoorzieningen, behoren alle relevante beveiligingseisen te zijn opgenomen.zie ook hs van de BIG: Beveiliging behandelen in overeenkomsten met een derde partij p.23benodigde documentatiedossier: Contract, SLA, Bewerkersovereenkomst. i Nee Nee d Worden leverancierseisen doorvertaald naar onderaannemers?u kunt. In overeenkomsten met derden waarbij toegang tot, het verwerken van, communicatie van of beheer van informatie of ICT-voorzieningen van de organisatie, of toevoeging van producten of diensten aan ICTvoorzieningen, behoren alle relevante beveiligingseisen te zijn opgenomen. Dit is een Suwi eis.suwinorm: B.03 (met name B.03.02), U.01Zie ook hs van de BIG: Beveiliging behandelen in overeenkomsten met een derde partij p.23 Benodigde documentatie Dossier: Contract, SLA, Bewerkersovereenkomst. i Nee Nee e Is in contracten vastgelegd hoe er wordt omgegaan met geheimhouding? U kunt deze voor 2018 is komen te. In overeenkomsten met derden waarbij toegang tot, het verwerken van, communicatie van of beheer van informatie of ICT-voorzieningen van de organisatie, of toevoeging van producten of diensten aan ICTvoorzieningen, behoren alle relevante beveiligingseisen te zijn opgenomen.zie ook hs van de BIG: Beveiliging behandelen in overeenkomsten met een derde partij p.23benodigde documentatie:dossier, Contract, SLA, Bewerkersovereenkomst. Categorie: Vragenlijst BIG hs 7: Beheer van bedrijfsmiddelen > Vragen hs 7.1: Beheer van bedrijfsmiddelen i Nee Nee Vragen hs 7.1.1: Inventarisatie van bedrijfsmiddelen ensia-suwi i Nee Nee a Is er een actuele registratie van bedrijfsmiddelen? De vragen onder hs 7 zijn in 2018 samengevoegd. De vragen en de antwoorden van 2017 zijn onder aan deze pagina zichtbaar.bedrijfsmiddelen behoren duidelijk te zijn geïdentificeerd en er behoort een inventaris van alle belangrijke bedrijfsmiddelen te worden opgesteld en bijgehouden. Onder bedrijfsmiddelen wordt verstaan hard- en software, applicaties en schaduwit.suwinorm: B.06Zie ook hs van de BIG: Inventarisatie van bedrijfsmiddelen p.24benodigde documentatie:een gevulde CMDB (configuratie management database). ensia-suwi nee i Nee Nee b Beschikt uw gemeente over een register van verwerkingen? U dient aan te tonen dat uw verwerkingen aan de regels van de AVG voldoen. Een verwerkingsverantwoordelijke en de verwerker dient een register bij te houden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. BRP art.l 1,10 lid 2,PUN art. 90, AVG art ensia-avg ensia-brp ensiapun ensia-rvig niet in ja, deze vraag is nieuw (bestond 2017) i Nee Nee Vragen hs 7.1.2: Eigendom van bedrijfsmiddelen ensia-rvig

16 i Nee Nee a Hebben informatiesystemen die het organisatieproces ondersteunen een eigenaar? Alle informatie en bedrijfsmiddelen die verband houden met ICT-voorzieningen behoren een eigenaar te hebben in de vorm van een aangewezen deel van de organisatie. AVG 8Zie ook hs van de BIG: Eigendom van bedrijfsmiddelen p.24benodigde documentatiebinnen de CMDB (configuratie management database) zijn ook eigenaren van (groepen) van processen dan wel informatiesystemen benoemd en die eigenaren weten dat. Dit kan blijken uit jaarplannen en begrotingen en gebruikersautorisatiebeheer. Een eigenaar doet de financiële verantwoordingen en tekent op autorisatieformulieren of heeft dat gemandateerd. ensia-avg ja, de vraag is veranderd Is er voor elk bedrijfsproces, applicatie, gegevensverzameling en ICT-faciliteit een verantwoordelijke lijnmanager? i Ja Nee b Is de verantwoordelijke lijnmanager formeel vastgesteld? ja, in 2017 stond er geen nummer voor de vraag (nu b) i Nee Nee Vragen hs 7.1.3: Aanvaardbaar gebruik van bedrijfsmiddelen ensia-rvig i Nee Nee a Zijn er regels opgesteld voor het gebruiken van (ICT- )bedrijfsmiddelen? Alle werknemers, ingehuurd personeel en externe gebruikers behoren zich te houden aan de regels voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die te maken hebben met ICTvoorzieningen, waaronder: a) regels voor elektronische post ( ) en gebruik van internet (zie 10.8); b) richtlijnen voor het gebruik van draagbare apparatuur, in het bijzonder voor gebruik buiten het terrein van de organisatie (zie ). (telewerken, thuiswerken, mobiel onderweg zijn, huisbezoeken, vergaderingen, verkiezingen enz enz) Er behoren specifieke regels of richtlijnen te worden verstrekt door het desbetreffende management. Werknemers, ingehuurd personeel en externe gebruikers die gebruikmaken van of toegang hebben tot de bedrijfsmiddelen van de organisatie behoren zich bewust te zijn van de grenzen die bestaan voor hun gebruik van de informatie en bedrijfsmiddelen die te maken hebben met ICT-voorzieningen en hulpmiddelen. Zij behoren verantwoordelijk te zijn voor hun gebruik van informatievoorzieningen en voor elk gebruik uitgevoerd onder hun verantwoordelijkheid. PUN art. 90. Zie ook hs van de BIG: Aanvaardbaar gebruik van bedrijfsmiddelen p.24benodigde documentenhuisregels en regels gebruik ICT voorzieningen, inclusief telewerkbeleid indien toegestaan. ensia-rvig ensiapnikni ensia-pun ja, de vraag is veranderd Zijn er regels opgesteld voor het juist gebruiken van (ICT-)bedrijfsmiddelen? i Nee Nee Vragen hs 7.1: Onderstaande vraag is in 2018 komen te. i Nee Nee Subvraag bij a Kunt u aangeven voor welke bedrijfsmiddelen er een actuele registratie is?u kunt.

17 Categorie: Vragenlijst BIG hs 7: Beheer van bedrijfsmiddelen > Vragen hs 7.2: Classificatie van informatie i Nee Nee Vragen hs 7.2.1: Richtlijnen voor classificatie van informatie ensia-suwi i Nee Nee a Zijn er rubricerings- of classificatierichtlijnen opgesteld binnen de gemeente? Informatie behoort te worden geclassificeerd met ensia-suwi betrekking tot de waarde en, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie. Het beschermingsniveau kan worden beoordeeld door het analyseren van de vertrouwelijkheid, integriteit en beschikbaarheid en eventuele andere eisen voor de informatie die wordt beschouwd.na verloop van tijd is informatie vaak niet langer gevoelig of kritiek, bijvoorbeeld wanneer de informatie is openbaar gemaakt. Ook daarmee behoort rekening te worden gehouden, omdat overclassificatie kan leiden tot de implementatie van overbodige beheersmaatregelen die leiden tot onnodige extra uitgaven.het tegelijk bestuderen van documenten met soortgelijke beveiligingseisen bij het toewijzen van classificatieniveaus kan helpen bij het vereenvoudigen van de classificatietaak.in het algemeen is de classificatie die aan informatie wordt gegeven een snelle manier om te bepalen hoe deze informatie moet worden verwerkt en beschermd. Suwinorm: U.06 Zie ook het BIG-OP product over dataclassificatie Zie ook hs van de BIG: Richtlijnen voor classificatie van informatie p.25benodigde documentatieverslagen van classifcatie onderzoeken/analyses. nee i Nee Nee b Zijn de gegevensverzamelingen die het primair proces ondersteunen binnen de gemeenten geclassificeer d? Elke gemeente dient haar primaire processen gedefinieerd te hebben. Dit kan per gemeente verschillend zijn. De gegevensverzamelingen die deze processen ondersteunen moeten geclassificeerd zijn.suwi norm U.06. Benodigde documentatieclassificatieverslagen ensia-suwi ja, de vraag is veranderd Zijn de essentiële gegevensverzamelingen binnen de gemeenten allen geclassificeerd volgens deze richtlijnen? i Nee Nee Vraag hs 7.2.2: Labeling en verwerking van informatie i Nee Nee a Zijn er procedures voor ieder classificatieniveau? Er behoren geschikte, samenhangende procedures te worden ontwikkeld en geïmplementeerd voor de labeling en de verwerking van informatie overeenkomstig het classificatiesysteem dat de organisatie heeft geïmplementeerd. Informatie dient het juiste niveau van bescherming te krijgen.classifieren van informatie leidt tot labeling (waarde toekennen aan de data). Voorbeelden van labels: vertrouwelijke, personeelsvertrouwelijk, raadsvertrouwelijk etc. Suwinorm: U.06Zie ook hs van de BIG: Labeling en verwerking van informatie p.25benodigde documentatieverwerkingsprocedures voor beveiligd verwerken, opslag, transmissie, declassificatie, en vernietiging.overeenkomsten met derde partijen waarin wordt uitgelegd hoe classificatie labels moeten worden uitgelegd. ensia-suwi ensia-suwi ja, de vraag is veranderd Worden er procedures ontwikkeld op basis van uitgevoerde dataclassificaties, zodat informatie het juiste niveau van bescherming krijgt? i Nee Nee Vragen hs 7.2: Onderstaande vragen zijn in 2018 komen te.