SURFaudit, getoetst in de praktijk Februari 2012, Alf Moens, SURFfoundation
|
|
- Gabriël Smit
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 SURFaudit, getoetst in de praktijk Februari 2012, Alf Moens, SURFfoundation Inleiding In 2011 is de eerste auditronde van SURFaudit gehouden. In deze ronde zijn het normenkader, de meetmethode en het benchmarktool in de praktijk getest door 23 instellingen. Dit rapport doet verslag van deze eerste auditronde met de resultaten van de audits en de evaluatie van het gebruik van het normenkader en het benchmarktool. Het gebruik van SURFaudit heeft bij de deelnemende instellingen extra aandacht veroorzaakt voor informatiebeveiliging, zoals ook de bedoeling was. De resultaten van de assesments zijn gebruikt om het bewustzijn te verhogen, in management en bestuurlijke kringen, en ze zijn gebruikt om prioriteiten te stellen voor noodzakelijke verbeteringen. In de volgende paragrafen worden eerst kort de belangrijkste kenmerken van SURFaudit beschreven en wordt de eerste auditronde geïntroduceerd. Vervolgens worden de resultaten van de eerste auditronde gepresenteerd en de resultaten van de evaluatie toegelicht. Tenslotte wordt ingegaan op het vervolg van SURFaudit. SURFaudit in volgelvlucht Nadat in 2010 het meerjarenplan SURFaudit in gang is gezet, is in de zomer van 2011 het inrichtingsvoorstel SURFaudit geaccordeerd door CIO s, ICT- managers en Platformbestuur ICT en Bedrijfsvoering. Een onderdeel van dit voorstel is het normenkader informatiebeveiliging Hoger Onderwijs, een selectie van alle controls (onderwerpen) uit ISO27002 gegroepeerd in 5 clusters (zie tabel 2). De selectie omvat díe onderwerpen die tenminste geregeld moeten zijn bij een instelling voor Hoger Onderwijs. Voor het beoordelen van het niveau wordt gebruik gemaakt van het Capability Maturity Model (CMM) zoals dit in Cobit 1 gebruikt wordt (zie tabel 1). Tabel 1: CMM niveaus Niveau Omschrijving Toelichting 0 Non- existent Management processes are not applied at all. 1 Initial/Ad Hoc Processes are ad hoc and disorganised. 2 Repeatable but Intuitive Processes follow a regular pattern. 3 Defined Process Processes are documented and communicated. 4 Managed and Measurable Processes are monitored and measured. 5 Optimised Good practices are followed and automated. 1 Cobit: Control Objectives for Information and related Technology, een international raamwerk voor het gestructureerd inrichten en beoordelen van een IT- beheeromgeving. SURFaudit, getoetst in de Praktijk verslag auditronde pagina 1 van 8
2 Van alle HO instellingen wordt verwacht dat zij één keer in de vier jaar, op basis van dit normenkader, een onafhankelijke audit laten uitvoeren, en dat zij tussentijds, jaarlijks, middels self- assessments zelf de vinger aan de pols houden. Momenteel is nog geen CMM niveau afgesproken. De ambitie van SURFaudit is om hét auditinstrument te worden voor het Hoger Onderwijs en andere audits op het gebied van informatiebeveiliging overbodig te maken. Voor het realiseren van deze ambitie is medewerking gezocht en verkregen van interne en externe auditers. Daarnaast is het streven zo veel mogelijk aan te sluiten bij vergelijkbare initiatieven in gerelateerde branches (in het bijzonder de UMC s), landelijk (CIO Platform) en internationaal. Om dit te realiseren wordt zoveel mogelijk gebruik gemaakt van nationale en internationale standaarden (ISO27002) en wordt in Nederland gebruik gemaakt van dezelfde hulpmiddelen. Het Hoger Onderwijs, de UMC s (en de ander NVZ ziekenhuizen) en de leden van het CIO Platform Nederland maken allen gebruik van het BMTool van Qubis. De eerste auditronde Het doel van de eerste auditronde was meerledig: - een twintigtal instellingen in staat stellen inzicht te krijgen in het niveau van hun beveiliging; - het toetsen van het normenkader, het scoringsmechanimse en de meetmethode; - het toetsen van de bruikbaarheid van het benchmarktool BMTool. Via het CIO beraad, CvDUR en COMIT zijn de instellingen uitgenodigd deel te nemen aan de eerste auditronde. Hier hebben 23 instellingen spontaan op gereageerd, waaronder ook enkele kleine hogescholen en een wetenschappelijk instituut. Na deelname aan een instructiemiddag met een hands- on oefening van het benchmarktool, zijn deze instellingen zelf aan de slag gegaan. Zij hebben zelf een meetmethode voor hun eigen instelling kunnen kiezen: een workshop met vertegenwoordigers uit de organisatie, interviews door de security officer, invullen door meerdere personen en later combineren, of solo invullen. Bij dit alles is ondersteuning aangeboden voor begeleiding bij het self- assesment. Rond de deadline van 15 december hadden 16 instellingen hun self- assesment afgerond en de resultaten ingestuurd: 9 hogescholen, 6 universiteiten en een wetenschappelijke instelling. Resultaten eerste auditronde De resultaten van de eerste auditronde zijn weergegeven in boxplot 2 tabel 2. In bijlage A zijn de detailresultaten per cluster weergegeven. In de resultaten zijn apart de benchmarkcijfers van de universiteiten en van de hogescholen weergegeven. De median van de score ligt tussen CMM niveau 2 en 3. Op detail niveau ligt de score ook tussen 2 en 3 met twee uitzonderingen, security awareness en clear desk 3. Binnen de clusters is iets meer tekening te zien, meer spreiding van de resultaten, en iets meer onderscheid 2 Zie bijlage A voor een toelichting over boxplot grafieken. 3 Respectievelijk control in cluster 2, en control in cluster 3. SURFaudit, getoetst in de Praktijk verslag auditronde pagina 2 van 8
3 tussen universiteiten en hogescholen. In 2008 is uit volwassenheidmetingen bij 22 instellingen gebleken dat de hogescholen nog achter bleven bij de universiteiten. Nu lijken de hogescholen deze achterstand goed gemaakt te hebben. De absolute scores van de metingen in 2008 en de huidige metingen kunnen niet direct vergeleken worden omdat er te veel verschil is tussen de meetmethodes en de gebruikte scoringsmechanismes. Tabel 2: Resultaten auditronde 2011 Van de twee punten waar opvallend slecht gescoord wordt, is er een verwacht en een onverwacht. Clear desk is traditioneel een zwak punt wat de nodige discipline en overtuigingskracht vergt, maar niet minder bedreigend is. Denk hierbij aan (afdrukken van) vertrouwelijke stukken zoals cijferlijsten en strategische plannen die voor onbevoegden toegankelijk zijn. Aan Security Awareness is juist de laatste jaren veel aandacht besteed via gemeenschappelijke campagnes zoals CyberSave Yourself. Blijkbaar is hier nog niet de juiste methode gevonden en de juiste snaar geraakt. De universiteiten scoren hier gemiddeld het slechts. Deze punten zullen in elk geval terugkomen op de agenda van de verschillende security overleggen (SURFibo, SCIRT, CIO beraad). Daarnaast lijken er ten aanzien van (bedrijfs)continuïteit wel vorderingen gemaakt te zijn. Dit was een van de zwakke punten uit de benchmark van Uit de detail gegevens (bijlage A, figuur 4) blijkt dat er op het gebied van wijzigingsbeheer en backup (onderdelen van de cluster Continuïteit) wel goed gescoord wordt maar ten aanzien van de visie over bedrijfscontinuïteit en de plannen voor continuïteit juist niet. De ervaring leert dat dit een taai onderwerp is, met veelal lage prioriteit. SURFibo heeft hiervoor een starterkit ontwikkeld, deze kan instellingen helpen eenvoudig een volgende stap te maken op dit gebied. Evaluatie Na afloop van de eerste auditronde hebben vertegenwoordigers (security officers) van 16 instellingen een evaluatie ingevuld. De evaluatie was bedoeld om de ervaringen met het normenkader, de meetmethode en het benchmarktool te verzamelen en veranderingen of verbeteringen in gang te zetten. De evaluatie bestond uit gesloten vragen over een tiental onderwerpen en per onderwerp ruimte om aanvullende opmerkingen en suggesties te geven. De resultaten van de evaluatie zijn over de hele linie positief tot zeer positief, vergezeld van een groot aantal aanbevelingen voor verbetering en aanvulling. SURFaudit, getoetst in de Praktijk verslag auditronde pagina 3 van 8
4 De belangrijkste resultaten: - het gebruikte tool is laagdrempelig in gebruik en prima geschikt voor dit doel - het gebruikte tool heeft onvoldoende rapportage mogelijkheden - er was voldoende ondersteuning zowel ten aanzien van het proces als ten aanzien van het gebruik van de tooling 4 Op de vraag of een CMM niveau 3 eind 2013 haalbaar is antwoordt 44 procent van de respondenten positief, mits er voldoende steun van het management is. 31% weet het niet en stelt dat dit afhankelijk is van hoe streng de onafhankelijk audit zal zijn. 19% antwoordt dat het wellicht kan maar dat ze dan wel externe hulp nodig hebben. Een respondent vindt niveau 3 per eind 2013 een brug te ver. Een ruime meerderheid lijkt, onder voorwaarden, niveau 3 per eind 2013 realiseerbaar te vinden. Een veel gemaakte opmerking betreft de scope van de audit. Een aantal instellingen ervaart verschillen in beveiligingsniveaus tussen de ICT afdeling en de faculteiten of schools. Het normenkader en de ondersteunende tooling is geschikt om ook per organisatie onderdeel het niveau van beveiliging te evalueren en binnen de instelling te vergelijken. SURFaudit en de jaarlijkse assesments zijn echter bedoeld om op instellingniveau de stand van zaken weer te geven. Conclusies De eerste auditronde was bedoeld om methodes en technieken te toetsen in de praktijk en om instellingen in de gelegenheid te stellen inzicht te krijgen in hun eigen situatie. Uit de evaluatie, uit individuele feedback, en feedback in presentaties aan platformbestuur en CvDUR, mag geconcludeerd worden dat de eerste auditronde succesvol is verlopen en de gekozen methodes en technieken in de praktijk goed bruikbaar zijn en aansluiten bij wensen en beleving van de doelgroep. Er zijn een aantal goed bruikbare verbetervoorstellen uit de eerste ronde gekomen, voor verbetering van (de toelichtingen bij) het normenkader en voor aanpassingen en uitbreidingen aan de tooling. Voorgesteld wordt om op de ingeslagen weg door te gaan, de aanbevelingen uit de evaluatieronde (in overleg met de maturity werkgroep van SURFibo) uit te voeren en het gebruik van BMTool voort te zetten. Ten aanzien van de benchmarkresultaten 2011 zullen in elk geval twee onderwerpen geagendeerd worden in de hiervoor relevante gremia: - Security Awareness en Clear Desk - Ontwikkelen visie en plannen ten aanzien van bedrijfscontinuïteit SURFaudit in 2012 en verder In 2012 wordt SURFaudit verder uitgerold en beschikbaar gesteld voor alle HO instellingen. Deze worden actief gestimuleerd deel te nemen in SURFaudit, zowel via de 4 Van de aangeboden ondersteuning en de mogelijkheden voor peer reviewing is in deze ronde weinig gebruik gemaakt. Eén instelling heeft zich door een externe partij laten ondersteunen, één instelling maakte gebruik van expertise bij SURF. SURFaudit, getoetst in de Praktijk verslag auditronde pagina 4 van 8
5 bestuurlijke weg als ook via de CIO en ICT management weg en via de informatiebeveiligers van de instellingen. In sommige situaties kan individuele ondersteuning geleverd worden. De assesments worden ondersteund met BMTool, instellingen kunnen hiervoor een licentie aanschaffen via SURFdiensten. In 2012 wordt ook gestart met beoordelende audits door onafhankelijke partijen. Hiervoor wordt samengewerkt met interne en externe auditers. Ook zal de aansluiting van SURFaudit op de aansluitvoorwaarden van verschillende leveranciers (SURFnet, Studielink, SURFfederatie, uitgevers) in 2012 vorm moeten krijgen. SURFaudit, getoetst in de Praktijk verslag auditronde pagina 5 van 8
6 Bijlage A: Detail resultaten benchmark 2011 De resultaten staan weergegeven in boxplots. In een boxplot wordt de verdeling van de individuele scores weergegeven in kwartielen. De randen van het eerste en het laatste kwartiel geven de uiterste scores aan. Het tweede en derde kwartiel geven weer waar de middelste 50% van de scores zit, de mediaan geeft aan waar de middelste score zit. In de boxplot is de spreiding van de scores direct af te lezen. Afbeelding 1: Details Cluster 1 SURFaudit, getoetst in de Praktijk verslag auditronde pagina 6 van 8
7 Afbeelding 2: Details cluster 2 Afbeelding 3: Details cluster 3 SURFaudit, getoetst in de Praktijk verslag auditronde pagina 7 van 8
8 Afbeelding 4: Details cluster 4 Afbeelding 5: Details cluster 5 SURFaudit, getoetst in de Praktijk verslag auditronde pagina 8 van 8
Inrichtingsvoorstel SURFaudit April 2011 Versie 1.2, Alf Moens, voor advies naar CIO Beraad, CvDUR en Comit
pagina 1 / 9 Inrichtingsvoorstel SURFaudit April 2011 Versie 1.2, Alf Moens, voor advies naar CIO Beraad, CvDUR en Comit In juni 2010 heeft het bestuur van het platform ICT en Bedrijfsvoering ingestemd
Nadere informatieCompliance and Control
SURFaudit Compliance and Control Terena&TF(MSP&(&Trondheim&(&sept.&11th,&2013&(&Alf&Moens What is SURFaudit? Introduc@on How&did&it&start? Where&are&we&now? standards,&coopera@on&with&other§ors What&do&all&agree&upon&(and&where&do&they&disagree)?
Nadere informatieCompliance and Control
Informatiebeveiliging in het Hoger Onderwijs Compliance and Control SAMBO-ICT - 16 januari 2014 - Alf Moens Wat ga ik u brengen? Framework Informatiebeveiliging, best practices uit het onderwijs Normenkader
Nadere informatieKamervragen! In drie eenvoudige stappen op de agenda van de Tweede Kamer. of toch liever niet.
Kamervragen! In drie eenvoudige stappen op de agenda van de Tweede Kamer of toch liever niet. 1 ALF MOENS Security Manager TU Delft Programmamanager SURF: Beveiliging en Identity Management voorzitter
Nadere informatieSURF Informatiebeveiliging & Privacy. Huidige en toekomstige ontwikkelingen: SURF(net), SURFibo en SURFaudit
SURF Informatiebeveiliging & Privacy Huidige en toekomstige ontwikkelingen: SURF(net), SURFibo en SURFaudit Bart van den Heuvel, UM, SURFibo - april 2015 even voorstellen: Bart van den Heuvel - Universiteit
Nadere informatieBedrijvenbijeenkomst informatiebeveiliging en privacy
Bedrijvenbijeenkomst informatiebeveiliging en privacy Auteur Datum Jan Bartling, Alf Moens, Ludo Cuijpers, Leo Bakker 26 februari 2016 1. Welkom - Jan 2. Gebruikersgroep en sambo-ict - Jan 3. Programma
Nadere informatieTaskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector.
Taskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector. Doel Aanbieden handreikingen, op basis van best practices uit het Hoger Onderwijs en MBO sector,
Nadere informatieCYBERDREIGINGSBEELD 2015
CYBERDREIGINGSBEELD 2015 SECTOR ONDERWIJS EN ONDERZOEK Bart Bosma, SURFnet bart.bosma@surfnet.nl CYBERDREIGINGSBEELD 2015 Vrijdag 4 december gepubliceerd op de SURF website: www.surf.nl/cyberdreigingsbeeld
Nadere informatieEindrapport Stimulering beveiliging
indi-2009-12-024 Eindrapport Stimulering beveiliging Project : SURFworks Projectjaar : 2009 Projectmanager : Maurice van den Akker Auteur(s) : Maurice van den Akker Opleverdatum : december 2009 Versie
Nadere informatieICT-Risico s bij Pensioenuitvo ering
ICT-Risico s bij Pensioenuitvo ering Seminar Instituut voor Pensioeneducatie 13 juni 2018 Introductie en kennismaking Ali Alam + Senior Consultant bij KPMG IT Assurance & Advisory + Ruime ervaring met
Nadere informatieInformatiebeveiliging: Hoe voorkomen we issues?
Informatiebeveiliging: Hoe voorkomen we issues? Workshop C Remco de Boer (Kennisnet) Ludo Cuijpers (MBO Taskforce IBB) Inhoud 1. Voorstelronde 2. Over uw rol 3. Maatregelen 4. De diepte in Voorstelronde
Nadere informatieVolwassen Informatiebeveiliging
Volwassen Informatiebeveiliging NBA LIO en NOREA symposium Amersfoort 4 februari 2019 Agenda 15.00-15.05 uur Opening Maureen Vermeij- de Vries, voorzitter NBA LIO bestuur 15.05-15.15 uur Introductie programma
Nadere informatieToetsingsproces platforms voor ondersteunde zelfzorg
Toetsingsproces platforms voor ondersteunde zelfzorg Werkgroep Tooling Coöperatie Zelfzorg Ondersteund! Vincent van Pelt Lynn Rulkens cqueline Batenburg Pieter Jeekel Tjeerd van Althuis Marcel Heldoorn
Nadere informatieTaskforce Informatiebeveiligingsbeleid.
Taskforce Informatiebeveiligingsbeleid. Cursus 1 2015-2016 plus overnachting Aanleiding: Om het deskundigheidsniveau van instellingen te vergroten, zal een masterclass Privacy georganiseerd worden. Deze
Nadere informatieInvloed van IT uitbesteding op bedrijfsvoering & IT aansluiting
xvii Invloed van IT uitbesteding op bedrijfsvoering & IT aansluiting Samenvatting IT uitbesteding doet er niet toe vanuit het perspectief aansluiting tussen bedrijfsvoering en IT Dit proefschrift is het
Nadere informatieHandleiding voor het SURF Groene ICT Maturity Model
Een zelfscan voor Groene ICT en Duurzaamheid in de organisatie Auteur(s): Met dank aan: Versie: Gebaseerd op: Albert Hankel Henk Plessius, Dirk Harryvan, Bert van Zomeren 2.0 SGIMM v2.0 Datum: 16-04-2015
Nadere informatieSecurity en Privacy. Agenda
Security en Privacy Benchmark#SURFaudit#2013##44###EPV HO#Security#congres#20144#Alf#Moens Agenda Resultaten#SURFaudit#benchmark#2013 De#ervaringen#van#TU#Eindhoven SURFaudit#2020:#een#vooruitblik Privacy
Nadere informatieInformatiebeveiliging in het Hoger Onderwijs nog niet Volwassen
Informatiebeveiliging in het Hoger Onderwijs nog niet Volwassen Resultaten van de metingen informatiebeveiliging, identity management en security incident management 2008 Een gezamenlijk onderzoek van
Nadere informatieZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA
ZekereZorg3 Informatieveiligheid in de Zorg Nico Huizing RE RA Ziekenhuizen in Nederland * Najaar 2008: IGZ toetst 20 ziekenhuizen, norm NEN7510, rapport 12/ 08 * Opdracht IGZ: lever per 1/2/ 09 plan van
Nadere informatieEven voorstellen. Ervaringen met het NBAvolwassenheidsmodel. Rijksbrede onderzoeken naar de sturing en beheersing van IB
Ervaringen met het NBAvolwassenheidsmodel bij de Rijksbrede onderzoeken naar de sturing en beheersing van IB Even voorstellen. Edwin Hummel RO RE CISA Auditmanager Auditdienst Rijk (ADR) Ministerie van
Nadere informatieToetsingsproces voor Ondersteunde Zelfzorg versie 2018
Basiseisen voor Ondersteunde Zelfzorg 2018 Toetsingsproces voor Ondersteunde Zelfzorg versie 2018 15 december 2017 Werkgroep Tooling Coöperatie Zelfzorg Ondersteund! Tjeerd van Althuis Bart Brandenburg
Nadere informatieDe Rotterdam, één van de hoofdgebouwen van de gemeente Rotterdam.
De Rotterdam, één van de hoofdgebouwen van de gemeente Rotterdam. 1 Hoe heeft Rotterdam IB aangepakt en welke lessen zijn daaruit te trekken: valkuilen en beren. 2 De nieuwe organisatie: 5 primaire proces
Nadere informatieDe dienstverlening van SURFnet Onderzoek onder aangesloten instellingen. - Eindrapportage -
De dienstverlening van Onderzoek onder aangesloten instellingen - Eindrapportage - 09-09-2009 Inhoud Inleiding 3 Managementsamenvatting 4 Onderzoeksopzet 5 Resultaten 6 Tevredenheid 6 Gebruik en waardering
Nadere informatieBeleidsnota Informatiebeveiliging. Hoger Onderwijs
Beleidsnota Informatiebeveiliging Hoger Onderwijs Beleidsnota Informatiebeveiliging Hoger Onderwijs 1 1. Inleiding Binnen SURF ICT en Organisatie is informatiebeveiliging al vele jaren een belangrijk onderwerp.
Nadere informatieStand van zaken IM in Nederland Informatiemanagement onderzoek Quint Wellington Redwood 2010
Stand van zaken IM in Nederland Informatiemanagement onderzoek Quint Wellington Redwood 2010 Tanja Goense 16 September 2010 Programma Even voorstellen Opzet onderzoek Bevindingen Samengevat Foodforthought
Nadere informatieErvaringen met het NBA-LIO volwassenheidsmodel bij de Rijksbrede onderzoeken naar de sturing en beheersing van IB
Ervaringen met het NBA-LIO volwassenheidsmodel bij de Rijksbrede onderzoeken naar de sturing en beheersing van IB Even voorstellen. Edwin Hummel RO RE CISA Auditmanager Auditdienst Rijk (ADR) Ministerie
Nadere informatieINFORMATIEBEVEILIGING
december 2008 nummer 8 ISAE 3402 volgt SAS 70 op: een vergelijking Met 4 aspecten model op weg naar volwassenheid IB Nieuw: Bacheloropleiding Information Security Management Marten Lohstroh wint Joop Bautz
Nadere informatieLIO NOREA bijeenkomst 4 februari 2019
LIO NOREA bijeenkomst 4 februari 2019 DNB meting inzake informatiebeveiliging door Self Assessments CZ 4-2-2019 "Het COBIT model is net een set winterbanden" Soms doen ze wat maar echt nodig heb je ze
Nadere informatie30-06-2015 GASTVRIJ EN ALERT
AANPAK MET VISIE 30-06-2015 GASTVRIJ EN ALERT AGENDA 1. Voorstellen 2. Risicoanalyse of Best Practice 3. Informatiebeveiliging op de VU (in vogelvlucht) 4. De Surfaudit 5. Toch een product 6. Laatste 5
Nadere informatieSeminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging
Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging
Nadere informatieInformatiebeveiligingsbeleid
Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...
Nadere informatieDDoS en netwerkbeschikbaarheid. Xander Jansen Niels den Otter
DDoS en netwerkbeschikbaarheid Xander Jansen Niels den Otter Seminar Naar een op,male netwerkbeschikbaarheid - 17 April 2014 Voorbereiding is het halve werk Bron: NCSC Factsheet Continuïteit van onlinediensten!
Nadere informatieOnderwerp: Toelichting op Toetsingskader Informatiebeveiliging 2014
Confidentieel 1 van 5 Onderwerp: Toelichting op Toetsingskader Informatiebeveiliging 2014 1. INLEIDING Sinds 2010 onderzoekt DNB de kwaliteit van informatiebeveiliging als thema binnen de financiële sector.
Nadere informatieActieplan Informatiebeveiligingsbeleid mbo
Actieplan Informatiebeveiligingsbeleid mbo V.1.0, 14-05-2014 Opdrachtgever: sambo-ict Inhoudsopgave 1. Inleiding... 3 2. Doelstelling... 4 2.1. Waarom informatiebeveiligingsbeleid... 4 2.2. Doelstellingen...
Nadere informatieMVO Prestatieladder en Duurzame IT
MVO Prestatieladder en Duurzame IT Fred Plooijer, 24 mei 2019 Faculteit Management, Science & Technology Business Process Management and IT Historie Club van Rome Grenzen aan de Groei (1972) Freer Spreckley
Nadere informatieENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017
ENSIA Het audit perspectief René IJpelaar Achmed Bouazza Werkgroep ENSIA 4 juli 2017 Agenda Even voorstellen Uitgangspunten ENSIA Auditproces ENSIA voor de IT auditor Aandachtspunten bij het auditproces
Nadere informatieInformatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers
Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam
Nadere informatieKPMG s Identity and Access Management Survey 2008
42 KPMG s Identity and Access Survey 2008 Ing. John Hermans RE, Emanuël van der Hulst, Pieter Ceelen MSc en Geo van Gestel MSc Ing. J.A.M. Hermans RE is director bij KPMG IT Advisory te Amstelveen. Binnen
Nadere informatieEen Information Security Management System: iedereen moet het, niemand doet het.
ADVIESRAPPORT Een Information Security Management System: iedereen moet het, niemand doet het. Een onderzoek naar de betekenis van het ISMS ter borging van de Baseline Informatiebeveiliging Nederlandse
Nadere informatieVoortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector. sambo-ict conferentie, 2 oktober 2015
Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector sambo-ict conferentie, 2 oktober 2015 Overzicht presentatie 1. Terugblik (Ludo) 2. IBP conferentie en masterclasses (Ludo) 3. IBP Benchmark
Nadere informatieSamenvatting Klanttevredenheidsonderzoek 2013 Facilitair Bedrijf UT
Samenvatting Klanttevredenheidsonderzoek 2013 Facilitair Bedrijf UT Het Facilitair Bedrijf heeft in oktober van 2013 een klanttevredenheidsonderzoek gehouden onder haar gebruikers. Dit rapport is een samenvatting
Nadere informatieSecurity Health Check
Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security
Nadere informatieNieuwe richtlijnen beveiliging webapplicaties NCSC
Nieuwe richtlijnen beveiliging webapplicaties NCSC Jan Matto Praktijkervaringen en gevolgen voor ICT certificering. Van beren op de weg, naar knuffelberen Rotterdam, 12 juni 2012 1 Introductie: Jan Matto
Nadere informatieZELFEVALUATIE VAN DE THEMA S HOOG RISICO MEDICATIE IDENTITOVIGILANTIE
COÖRDINATIE KWALITEIT EN PATIËNTVEILIGHEID TWEEDE MEERJARENPLAN 2013-2017 Contract 2013 ZELFEVALUATIE VAN DE THEMA S HOOG RISICO MEDICATIE IDENTITOVIGILANTIE Sp-ziekenhuizen 1 1. Inleiding Hierna volgt
Nadere informatieGEAR Reflectieverslag 2015
GEAR Reflectieverslag 2015 Huisartsopleiding Leiden Public Health en Eerstelijnsgeneeskunde MLM SCHUIVENS 12 januari 2016 Documentbeheer Versie Datum Auteur(s) Wijziging 0.1 09-12- MLM Schuivens Startdocument
Nadere informatieVoor intern gebruik bij een opleiding wordt gerapporteerd over alle stellingen, vragen, toelichtingen enz.
Standaardisatie en formulering stellingen en vragen voor module evaluaties VHL versie 27 maart 2011 Inleiding In het voorjaar van 2010 is het project Standaardiseren module evaluaties VHL breed o.l.v.
Nadere informatieISO/IEC in een veranderende IT wereld
ISO/IEC 20000 in een veranderende IT wereld Dolf van der Haven, Verizon Enterprise Solutions 16 juni 2016 ISO/IEC 20000 in een veranderende IT wereld 1 Achtergrond Dolf van der Haven ITSM Guru with a Human
Nadere informatie2 e webinar herziening ISO 14001
2 e webinar herziening ISO 14001 Webinar SCCM 25 september 2014 Frans Stuyt Doel 2 e webinar herziening ISO 14001 Planning vervolg herziening Overgangsperiode certificaten Korte samenvatting 1 e webinar
Nadere informatieCommunicatieplan. N.C. Zwart Verhuur BV
N.C. Zwart Verhuur BV met de werkmaatschappijen: - Zwart Infracare BV - N.C. Zwart BV Wervershoof, januari 2018 (versie 180130) Auteur: Functie: M. Kuin KVGM-functionaris Geaccordeerd door: Functie: J.
Nadere informatiePhysical Security Maturity
fysieke beveiliging onder controle Physical Security Maturity inzicht in de volwassenheid van fysieke beveiliging www.fysiekebeveiliging.nl Thimo Keizer Physical Security Maturity inzicht in de volwassenheid
Nadere informatie25 Het CATS CM Maturity Model
25 Het CATS CM Maturity Model Op basis van de ervaringen die zijn opgedaan in het advies- en trainingswerk van CM Partners is, uitgaande van CATS CM, een volwassenheidsmodel opgesteld dat ingezet kan worden
Nadere informatieBENCHMARK HUURINCASSO 2015/2016 BOEKJAAR 2015/2016 VERSIE 1.0 DATUM
BENCHMARK HUURINCASSO 2015/2016 WONINGCORPORATIE WONINGBOUWVERENIGING ANNA PAULOWNA BOEKJAAR 2015/2016 VERSIE 1.0 DATUM 05-12-2016 INHOUD ONDERWERP SHEET INTRODUCTIE 3 LEESWIJZER 4 CONCLUSIES 5 RECORD-MODEL
Nadere informatieBenchmarkmodel. Bedrijf XYZ. eindresultaten klanten beleid. Analyse en leggen verbanden. Kwaliteit Tevredenheid Kosten. Waardering.
Benchmarken In feite is benchmarken meten, vergelijken, leren en vervolgens verbeteren. Dit kan op zeer uiteenlopende gebieden. Van de behandelresultaten van een zorgmedewerker tot de resultaten van het
Nadere informatieIMPACTMETING VAN BRIGHT ABOUT MONEY
IMPACTMETING VAN BRIGHT ABOUT MONEY IMPACTMETING VAN BRIGHT ABOUT MONEY - eindrapport - Y. Bleeker MSc (Regioplan) dr. M. Witvliet (Regioplan) dr. N. Jungmann (Hogeschool Utrecht) Regioplan Jollemanhof
Nadere informatieVondelschool Bussum. Leerlingtevredenheidspeiling Basisonderwijs Haarlem, april 2016
Vondelschool Bussum Leerlingtevredenheidspeiling Basisonderwijs 2016 Haarlem, april 2016 Scholen met Succes Postbus 3386 2001 DJ Haarlem www.scholenmetsucces.nl info@scholenmetsucces.nl tel: 023 534 11
Nadere informatieDEMO VERSIE. Enquêteresultaat Trainingsevaluatie 21-08-2012. Mirotek QuestionTool
DEMO VERSIE Enquêteresultaat Trainingsevaluatie -08-0 Mirotek QuestionTool Inhoudsopgave Introductie... Sterkte / zwakte analyse... Score top 5... 5 Verschil eerste groep en overige groepen... 6 5 Prioriteiten
Nadere informatieRapport 834 Oud, W., & Emmelot, Y. (2010). De visitatieprocedure cultuurprofielscholen. Amsterdam: Kohnstamm Instituut.
Samenvatting Rapport 834 Oud, W., & Emmelot, Y. (2010). De visitatieprocedure cultuurprofielscholen. Amsterdam: Kohnstamm Instituut. In 2007 is de Vereniging CultuurProfielScholen (VCPS) opgericht, het
Nadere informatieBerry Kok. Navara Risk Advisory
Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging
Nadere informatieOpdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst
Opdrachtgeverschap 2.0 Toezien op de afspraken in de verwerkersovereenkomst Doel van deze presentatie Zelf een mening hebben over welke certificering/ verklaring het beste past bij een af te nemen dienst
Nadere informatieDCTF Jaarcongres, 23 juni 2010, Amrâth Hotel Lapershoek te Hilversum Rapport over deelsessie II: Risico management in klinisch onderzoek
DCTF Jaarcongres, 23 juni 2010, Amrâth Hotel Lapershoek te Hilversum Rapport over deelsessie II: Risico management in klinisch onderzoek Nellie Kraaijeveld, Rikard Juttmann, Henk Kamsteeg, Willem Verweij,
Nadere informatieNormenkader Informatiebeveiliging HO 2015
Gebaseerd op ISO 27002:2013 Auteur(s): Alf Moens Versie: 1.4 Datum: Status: 5 mei 2015 Vastgesteld door stuurgroep Informatiebeveiliging en Privacy op 30 maart 2015 Moreelsepark 48 3511 EP Utrecht Postbus
Nadere informatieDEMO VERSIE. Enquêteresultaat Werkevaluatie 11-11-2010. Mirotek QuestionTool
DEMO VERSIE Enquêteresultaat Werkevaluatie 11-11-21 Mirotek QuestionTool Inhoudsopgave 1 Introductie... 3 2 Sterkte / zwakte analyse... 4 3 Score top 5... 6 4 Verschil eerste groep en overige groepen...
Nadere informatieRapport: Benchmark Helpdesk. ten behoeve van ANONIEM. Hoe gebruikt u het rapport?
Rapport: Benchmark Helpdesk ten behoeve van ANONIEM. Dit rapport geeft u een overzicht van uw prestatie en de organisatie-inrichting voor uw helpdesk. Dit overzicht heeft als doel u meer inzicht te geven
Nadere informatieMeer Business mogelijk maken met Identity Management
Meer Business mogelijk maken met Identity Management De weg naar een succesvolle Identity & Access Management (IAM) implementatie David Kalff OGh 14 september 2010 't Oude Tolhuys, Utrecht Agenda Herkent
Nadere informatieDe verborgen schatten van ERP Een onderzoek naar ERP-optimalisatie bij middelgrote bedrijven. succeed IT. better results together
De verborgen schatten van ERP Een onderzoek naar ERP-optimalisatie bij middelgrote bedrijven succeed IT better results together Een onderzoek naar ERP-optimalisatie bij middelgrote bedrijven in handel
Nadere informatieEven Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017
GEGEVENSBESCHERMING IN DE PRAKTIJK Folkert van Hasselt 29 november 2017 Even Voorstellen Folkert van Hasselt RI Register informaticus Werkzaam bij Instituut Verbeeten Manager ICT Information Security Officer
Nadere informatieHoe leert de ipad generatie? Feedback Flexibel Individueel Opbrengstgericht Door drs. Roel Smabers En drs. Robert Smeenk
Hoe leert de ipad generatie? Feedback Flexibel Individueel Opbrengstgericht Door drs. Roel Smabers En drs. Robert Smeenk Inhoud Hoe leren we in de (nabije) toekomst?... 3 Een platform voor individueel
Nadere informatieInformatiebeveiliging voor gemeenten: een helder stappenplan
Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers
Nadere informatieNIEUWSBERICHTEN VAN FECTIO
Beste ouders, partners en andere betrokkenen U ontvangt onze tweede nieuwsbrief, speciaal voor ouders van leerlingen en partners en stakeholders van KS Fectio. We informeren u elk half jaar door middel
Nadere informatieCERTIFICERING NEN 7510
CERTIFICERING NEN 7510 Henry Dwars Account manager DEKRA Certification B.V. Standards and Regulations 1 Onderwerpen Intro DEKRA De weg naar certificering Certificatietraject Standards and Regulations 2
Nadere informatieUITNODIGING ICT MARKTTOETS
UITNODIGING ICT MARKTTOETS Verwervingsvragen DSO software VNG namens de gemeenten 21 juni 2019 Voor de digitale economie Op vrijdag 21 juni organiseert Nederland ICT voor de Vereniging van Nederlandse
Nadere informatieBusiness as (un)usual
Business as (un)usual Beperking van de impact van incidenten begint vandaag! Aon Global Risk Consulting Business Continuity Practice Continuiteit = basis voor succesvol ondernemen.voor u business as usual?
Nadere informatieResultaten SURFaudit-benchmark 2017
Resultaten SURFauditbenchmark 2017 Utrecht, 16 juli 2018 Versienummer: 1.0 Colofon Resultaten SURFauditbenchmark 2017 SURF Postbus 19035 NL3501 DA Utrecht T + 31 88 78 73 000 info@surf.nl www.surf.nl Auteur
Nadere informatieIncore Solutions Learning By Doing
Incore Solutions Learning By Doing Incore Solutions Gestart in November 2007 Consultants zijn ervaren met bedrijfsprocessen en met Business Intelligence Alle expertise onder 1 dak voor een succesvolle
Nadere informatieMy Name is Moens, Alf Moens >> 0 >> 1 >> 2 >> 3 >> 4 >>
My Name is Moens, Alf Moens >> 0 >> 1 >> 2 >> 3 >> 4 >> Granted to Alf Moens License to Kill any network connection that is abused, is using extensive bandwidth, has been hacked or otherwise compromised,
Nadere informatieTevredenheidsonderzoek bij klanten van interim management (providers)
FEDERGON OPDRACHTGEVERS BEOORDELEN INTERIM MANAGEMENT PROVIDERS POSITIEF Tevredenheidsonderzoek bij klanten van interim management (providers) Tevredenheidsonderzoek bij de klanten van interim management
Nadere informatieDe Omslag in het ICT Onderwijs: Duurzaamheid voor Systeembeheerders. Ervaringen met een Pilot
De Omslag in het ICT Onderwijs: Duurzaamheid voor Systeembeheerders Ervaringen met een Pilot 1 Even voorstellen Henk Plessius Hogeschool Utrecht o Onderzoeker o Docent o Projectleider Aandachtsgebieden:
Nadere informatieDATAMODELLERING SIPOC
DATAMODELLERING SIPOC Inleiding In dit whitepaper wordt de datamodelleervorm Sipoc beschreven. Deze modelleervorm staat in verhouding tot een aantal andere modelleervormen. Wil je een beeld krijgen van
Nadere informatieIT Security Een keten is zo sterk als de zwakste schakel.
IT Security Een keten is zo sterk als de zwakste schakel. René Voortwist ICT Adviseur Leg het mij uit en ik vergeet het. Laat het me zien en ik onthoud het misschien, maar betrek mij erbij en ik begrijp
Nadere informatieJOB OPENING OPS ENGINEER
2016 DatacenterNext All rights reserved Our Mission Wij zijn een On-Demand Technology Office die bedrijven helpt technologie te organiseren, zekeren en innoveren. Dit stelt onze klanten in staat, vertrouwende
Nadere informatieRESULTATEN. Rapportage De Kinkerbuurt, Amsterdam. Externe Benchmark
RESULTATEN Rapportage De Kinkerbuurt, Amsterdam Externe Benchmark februari 2013 1 ALGEMEEN 1.1 Inleiding Algemeen Het instrument de Kwaliteitsvragenlijst is een hulpmiddel om de kwaliteit van de school
Nadere informatiePilot Benchmarking Groene ICT. 01 januari 2012 31 december 2012
Pilot Benchmarking Groene ICT 01 januari 2012 31 december 2012 1 Agenda - Branchescan 2010 & 2011 - Vervolg 2012 - Opzet en Planning - Deelname en aanmelding 2 BRANCHESCAN 2010 3 Branchescan 2010 -uitkomst
Nadere informatieResultaten online enquête Kennisknooppunt Stadslandbouw
Resultaten online enquête Kennisknooppunt Stadslandbouw 7 oktober 2015, Jan Eelco Jansma Samenvatting Dit document doet verslag van een online enquête (voorjaar-zomer 2015) onder betrokkenen bij stadslandbouw.
Nadere informatieBABVI/U201300696 Lbr. 13/057
Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatiebeveiliging uw kenmerk ons kenmerk BABVI/U201300696 Lbr. 13/057 bijlage(n) datum 6 juni 2013 Samenvatting
Nadere informatie5 oktober Voor de digitale economie
5 oktober 2017 Voor de digitale economie Op donderdag 5 oktober 2017 organiseert Nederland ICT voor het Expertisecentrum Organisatie & Personeel een ICT Markttoets over de vernieuwing van de Carrière Sites
Nadere informatieInformatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours
Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen
Nadere informatieInstellingenonderzoek 2010 Rapport
Instellingenonderzoek 2010 Rapport Onderzoek uitgevoerd door Feelfinders in opdracht van SURFnet Augustus 2010 Meer informatie: www.surfnet.nl / www.feelfinders.nl 1 Inhoud Managementsamenvatting 3 Responsanalyse
Nadere informatieVier in Balans-tool. Teamrapportage
Vier in Balans-tool Teamrapportage 1 Inleiding Deze tool is gebaseerd op het Vier in Balans-model. Dit model vat samen wat er uit wetenschappelijk onderzoek bekend is over succesvolle invoering en gebruik
Nadere informatieCasestudy Monitor Regiobeeld 2025 Regio Alkmaar
Casestudy Monitor Regiobeeld 2025 Regio Alkmaar e Aanleiding Monitor Regiobeeld 2025 Regio Alkmaar, bestaande uit gemeenten Alkmaar, Bergen, Castricum, Heiloo, Heerhugowaard, Langedijk en Uitgeest is opgericht
Nadere informatieEindrapportage klanttevredenheids- /instellingenonderzoek 2010
Eindrapportage klanttevredenheids- /instellingenonderzoek 2010 Project : SURFworks Projectjaar : 2010 Projectmanager : Paulien Rinsema Auteur(s) : Mathijs Bouwman (Feelfinders) Opleverdatum : 10 augustus
Nadere informatieNORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen
NORA Sessie 5 29 mei 2013 in Amersfoort Agenda en een samenvatting Jaap van der Veen Agenda 29-5-2013 1. Welkom 2. Presentatie Eric Brouwer en Joris Dirks over Kennismodel NORA-Wiki en hoe we onze informatie
Nadere informatieDe Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD
De Baseline Informatiebeveiliging & grote gemeenten 6 oktober 2014 John van Huijgevoort, IBD Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): Samenhang Instrumenten Hoe om te gaan
Nadere informatieOnderzoek naar de evalueerbaarheid van gemeentelijk beleid
Onderzoek naar de evalueerbaarheid van gemeentelijk beleid Plan van aanpak Rekenkamer Maastricht februari 2007 1 1. Achtergrond en aanleiding 1 De gemeente Maastricht wil maatschappelijke doelen bereiken.
Nadere informatieDeelplan IC ICT-omgeving 2015 Gemeente Lingewaard
Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.
Nadere informatieTimeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy.
Timeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy. PNIK Jaarlijkse rapportage aan de burgemeester Privacy 28 januari Internationale
Nadere informatieGlobal Project Performance
Return on investment in project management P3M3 DIAGNOSTIEK IMPLEMENTATIE PRINCE2 and The Swirl logo are trade marks of AXELOS Limited. P3M3 -DIAGNOSTIEK (PROJECT PROGRAMMA PORTFOLIO MANAGEMENT MATURITY
Nadere informatieTREND RAPPORTAGE KWALITEITSVRAGENLIJST RAPPORTAGE 2E MONTESSORISCHOOL HET WINTERKONINKJE,
TREND RAPPORTAGE KWALITEITSVRAGENLIJST RAPPORTAGE 2E MONTESSORISCHOOL HET WINTERKONINKJE, december 2014 1 ALGEMEEN 1.1 Inleiding Algemeen Het instrument de Kwaliteitsvragenlijst is een hulpmiddel om de
Nadere informatiePraktijkvoorbeelden en w aarom ISO
Softw are Asset Management Praktijkvoorbeelden en w aarom ISO Rogier van Kuijk Sof tw are Asset Manager Nederland in 1850 NS nu (jaarverslag 2013) 406 5.200 32.155 250.000 1.200.000-43.000.000-64.000.000
Nadere informatie