BIO-Aanpak. Kees Hintzbergen, Senior adviseur IB IBD. Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).
|
|
- Jurgen Verlinden
- 5 jaren geleden
- Aantal bezoeken:
Transcriptie
1 BIO-Aanpak Kees Hintzbergen, Senior adviseur IB IBD Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).
2 Waar gaan we het over hebben Het goede nieuws! Uitgangpunten Waarom Wat is de BIO BIO toepassing BIO Wat is BBN Beveiligingsniveau s Onderhoud van de BIO Hoe dan? Hoe gaan we verder als gemeente Aanpak Baselinetoets Aanpak GAP-analyse
3 Het goede nieuws! We blijven doen wat we al deden Minimale impact Volledig ondersteund met producten en ondersteuning van de IBD Keuze mogelijkheid
4 BIO uitgangspunten Uitgangspunten Hanteerbaar en efficiënt Risicomanagement is en blijft uitgangspunt De rol bepaalt wijze van verantwoording Belang bepaalt diepgang verantwoording Veilige samenwerking in ketens en bij gegevensuitwisseling Transitie VNG > BIO = verbindende standaard per De BIO is verbindend verklaard voor alle gemeenten door het bestuur van VNG op voordracht van het college van dienstverleningszaken van VNG per De BIO is daarnaast aangenomen in het OBDO waarmee het een standaard is geworden voor de hele overheid.
5 BIO Waarom ook alweer? Urgentie op politieke niveau Reguliere bijstelling (evaluatie) Nieuwe ISO 27002:2013 Operationele verbeteringen Gezamenlijke ontwikkeling Gedeelde taal, samenwerken in ketens Allemaal hetzelfde, basisnorm In de pas lopen met de NEN/ISO en de markt! 3 mei 2018 IBX 5
6 Wat is de BIO? 2017 ISO 27002:2017 = Pas toe of leg-uit norm Overheids maatregelen Relevante en passende maatregelen per BBN Addendum Specifieke maatregelen, tekstblokken of verwijzingen per overheidslaag BIO = ISO Controls + verplichte overheidsmaatregelen + risico-based maatregelen voor niet uitgewerkte controls (zijn de meeste maatregelen) 6
7 BIO en toepassing BIO Verplichtend Verbindingsdocument Verbinding norm met toepassing 2-pager per praktijkthema. (12+ thema s) Thema-uitwerking 11 Themauitwerkingen met SIVA methodiek Ondersteunend Algemene Practices overheden NORA/ISOR Objectenbibliotheek. Bestaande algemeen bruikbare Practices uit het veld (bijv. BIG-OP-producten)
8 BIO spelregels specifiek BBN2 is het standaardniveau De baselinetoets bepaalt het feitelijke BBN Controls (en onderliggende maatregelen) in een BBN zijn altijd verplicht Controls kunnen de status NVT krijgen (vereist onderbouwing door proceseigenaar) Op basis van risicoafweging moeten maatregelen bepaald worden die de doelstelling van de control afdekken. Implementatierichtlijnen uit de ISO27002 kunnen als inspiratie dienen Controls (en onderliggende maatregelen) bouwen voort op het onderliggende BBN De proces- of systeem eigenaar moet gemaakte keuzes vastleggen om uiteindelijk te kunnen verantwoorden waarom hij controls NVT gemaakt heeft.
9 Niveau BasisBeveiligingsNiveaus (BBN) BBN 1 BBN 2 Minimale beveiligingsniveau voor alle overheidssystemen Uitgangspunt voor alle informatiesystemen Vertrouwelijke informatie (max DepV, privacygevoelige, commercieel vertrouwelijk, informatie in het kader van beleidsvorming) Incidenten leiden tot bestuurlijke commotie Onzekerheid of informatie van derden open is Veiligheid van andere systemen wordt beïnvloed BBN 3 BBN2 + weerstand tegen statelijke actoren of vergelijkbare dreigers nodig (o.b.v. vertrouwelijkheid) Wordt nog nader uitgewerkt; op basis van VIR-BI en andere relevante regelgeving aangevuld met het NAVO-verdrag voor beveiliging van informatie 9
10 10 Basisbeveiligingsniveaus Beschikbaarheid, Integriteit en Vertrouwelijkheid BBN1 Wat mag minimaal verwacht worden? BBN2 Valt de maatregel onder goed huisvaderschap? BBN3 Gerubriceerde informatie (DepV) & weerstand geavanceerde dreigingen B=L I=L V=L B=M I=M V=M B=M I=M V=H Schaal: Laag, Midden, Hoog
11 11 BasisBeveiligingsNiveaus (BBN)
12 12 Controls & overheidsmaatregelen
13 Controls, overheids maatregelen en handreikingen 13
14 BBN3 Kader voor weerbaarheid van DepV tegen statelijke actoren, 1 e tranche Basis NATO Restricted BBN3 BBN2 BBN1
15 Implementatierichtlijn De Implementatierichtlijn is onderdeel van de ISO 27002:27002 en bevat aanwijzingen, aandachtspunten en overige informatie om bij een control passende maatregelen te bedenken. Implementatierichtlijnen geven richting en maken een control concreet Contact met speciale belangengroepen Beheersmaatregel Er behoren passende contacten met speciale belangengroepen of andere gespecialiseerde beveiligingsfora en professionele gemeenten te worden onderhouden. Implementatierichtlijn Lidmaatschap van speciale belangengroepen of fora behoort te worden overwogen als middel om: kennis te verbeteren over best practices en op de hoogte te blijven van relevante beveiligingsinformatie; ervoor te zorgen dat de kennis van informatiebeveiliging actueel en volledig is; vroegtijdige waarschuwingen te ontvangen inzake alarm, adviezen en patches die verband houden met aanvallen en kwetsbaarheden; toegang te krijgen tot gespecialiseerd advies over informatiebeveiliging; informatie over nieuwe technologieën, producten, bedreigingen of kwetsbaarheden te delen en uit te wisselen; geschikte contactpunten te verkrijgen als er informatiebeveiligingsincidenten aan de orde zijn (zie hoofdstuk 16).
16 Onderhoudsproces Elk half jaar: wijzigingen en aanvullingen R-maatregelen en handreikingen ter vergroting praktische toepasbaarheid Jaarlijks: gehele evaluatie en zo nodig bijstelling Input gemeenten via IBD Eerste ervaringen
17 BIO vanuit ketenpartners De BIO legt verantwoordelijkheden daar waar ze thuishoren De BIO sluit aan bij de ISO27002 > gemakkelijker communiceren De BIO als enabeler voor zakendoen en opdrachtgeverschap De BIO voor het werken in ketens > minimale set De BIO als 1 norm voor alle overheden De BIO bespaart kosten
18 De stappen: Hoe dan? Hoe gaan we verder als gemeente? 1. (begin eventueel met een hoog over GAP analyse (BIG <-> BIO) om vast te stellen waar je staat) 2. Bepaal de bedrijfsprocessen en zet deze op volgorde van belangrijkheid 3. Zoek de verantwoordelijke voor het te onderzoeken bedrijfsproces 4. Laat deze verantwoordelijke de baselinetoets uitvoeren 5. Laat de verantwoordelijke een diepgaande risicoanalyse uitvoeren bij afwijkende betrouwbaarheidseisen 6. Voer een data protection impact assessment (DPIA) uit als dat verplicht is en deze nog niet eerder uitgevoerd was 7. Zoek in de BIO de controls en verplichte maatregelen bij het geselecteerde BBN om de gevonden risico s adequaat te beheersen 8. Noteer de controls die niet van toepassing zijn, onderbouw waarom deze niet van toepassing zijn en bewaar het verslag van de analyse 9. Cluster de controls en te treffen maatregelen naar soort en verdeel ze indien nodig onder andere uitvoerders binnen de gemeente 10. Zoek aansluiting bij het organisatorische ISMS en neem daar de maatregelen en uitvoerders op ter monitoring, gebruik zo mogelijk een GRC / ISMS tool 11. Voer over de eigen controls en maatregelen een GAP-analyse uit om vast te stellen wat nog gedaan moet worden 12. Bewaak de voortgang van de implementatie (risicomanagement).
19 Baselinetoets Stap 1: Beantwoord algemene vragen, bepaal scope, het proces, de keten, de externe eisen, wet- en regelgeving en de eigenaar Stap 2: Vul vragen in over beschikbaarheid Stap 3: Vul vragen in over integriteit Stap 4: Vul vragen in over vertrouwelijkheid Stap 5: Vul vragen in over privacy Stap 6: De spreadsheet geeft in het tabblad resultaat de score weer en hieruit kan worden afgeleid wat de vervolgstappen zijn. Stap 7: Stel resultaten vast LET OP: het BBN niveau wordt bepaald door de Vertrouwelijkheid
20 DPIA In de baselinetoets zitten verschillende privacy gerelateerde vragen: Vragen van de AP over verwerkingen waarvoor een DPIA verplicht is vragen over het soort verwerking van de AP over de persoonsgegevens om alsnog te bepalen of een DPIA noodzakelijk is. Als de uitkomst van deze toets ja is dan moet een DPIA worden uitgevoerd Voor bestaande verwerkingen is er niet de plicht om dit te doen, maar het mag wel: 1. Doe dit in ieder geval bij grote wijzigingen 2. En bij nieuwe processen / systemen De IBD is bezig met een DPIA tool, verwacht Q2-2019
21 OEFENING Baselinetoets
22 Spreadsheet GAP De spreadsheet geeft de GAP-analyse weer, die bestaat uit 3 tabbladen, te weten: Vragenlijst : de inhoud van de BIO met vragen. Resultaat : een sheet met grafieken als resultaat van de vragenlijst. Aantekeningen: ruimte voor eigen aantekeningen
23 Toelichting kolommen 24
24 Aanpak GAP analyse Totaal 137 analyse vragen 72 BIG gerelateerde controls = GAP = selectie met BIG nr 65 nieuwe BIO controls = 0-meting = selectie nieuw in BIO. Onderscheid tussen van toepassing op de centrale organisatie of primaire processen 52 generieke controls 85 controls voor lijnmanagers/(eind)verantwoordelijken bij ondersteunende processen
25 Van BIG naar BIO 26
26 Voorbeelden GAP analyse vraag van BIG naar BIO BIO GAP analyse vraag BIG 27
27 Resultaat 28
28 Oefening GAP-analyse 29
29 Risico, wat is dat? Een risico is een gekwantificeerde dreiging berekend op basis van de kans en het gevolg ofwel de impact. Figuur 5-1 Risicokwadranten
30 Risicomanagement definitie (uit BVR) Het inzichtelijk en systematisch inventariseren, beoordelen en door het treffen van maatregelen beheersbaar maken van risico s en kansen, die het bereiken van de doelstellingen van de organisatie bedreigen dan wel bevorderen, op een zodanige wijze dat verantwoording kan worden afgelegd over de gemaakte keuzes.
31 Risicomanagement Proces Het proces van risicomanagement bestaat in veel modellen uit zes stappen: 1. Bepaal doelstelling: wat wil de gemeente bereiken. 2. Identificeer risico s: een dreiging is een onzekere gebeurtenis met mogelijke gevolgen voor de doelstelling. 3. Identificeer mogelijke impact: Een risico is een dreiging waaraan een kans en gevolg toegevoegd zijn. 4. Beoordeel de risico s: Een gemeente moet van tevoren bepalen hoeveel risico gelopen mag worden, door het maken van een risicoprofiel en de risicobereidheid uit te werken en de belangrijkste risico s te prioriteren. 5. Beheers risico s: Dit kan op vier manieren: Vermijden: alle mogelijke beheersmaatregelen treffen om het risico s te vermijden Verminderen: beheersmaatregelen selecteren die de kans en/of impact verkleind, maar waarbij een restrisico overblijft Overdragen/verzekeren: het risico wordt overdragen aan een andere partij (denk aan een brandverzekering) Accepteren: het (rest)risico wordt geaccepteerd en er worden hiervoor geen beheersmaatregelen getroffen 6. Monitoring: Gedurende het hele proces volgen van risico s (meten, controleren en rapporteren) en de werking van maatregelen door deze maatregelen ook te koppelen aan het incidentmanagement proces. Risk management ISO 27005
32 Rol van de CISO In de BIO zijn de verantwoordelijkheden per control vastgelegd, wat in de BIO niet staat is wie nu voor de invoering van de BIO verantwoordelijk is 1. Het college is verantwoordelijk voor de BIO invoering binnen de gemeente. 2. De proces eigenaar is verantwoordelijk voor de invoering van de BIO voor zijn/haar processen 3. De CISO is verantwoordelijk voor het ISMS, de ondersteuning van de proceseigenaren en verantwoordelijk voor de rapportage naar het college
33 Leg alles vast! In ieder geval moet bij de proceseigenaar het volgende aanwezig zijn: Het verslag van de uitgevoerde baselinetoets. Het verslag van de geselecteerde BBN, de controls en uitgewerkte maatregelen. Eventueel resultaat van een uitgevoerde diepgaande risicoanalyse. Eventueel resultaat van een uitgevoerde DPIA. Opname van controls, maatregelen en actiehouders in het ISMS. Ontbrekende controls en maatregelen in een (systeem)informatiebeveiligingsplan.
34 Wat nog meer? De IBD is momenteel druk met een aantal activiteiten rondom de BIO Omzetten BIG-OP producten naar de BIO Opleveren BIO proof beleid Voorbereiden regiobijeenkomsten rondom de BIO Aanpassen ENSIA En daarnaast onder andere: Verhogen digitale weerbaarheid De IBD zelf runnen Team privacy opnemen Hoe kan de CISO zich beter wapenen: Opleiding Workshops / regiobijeenkomsten van de IBD bezoeken Vragen stellen aan de IBD en collega s Oefenen met RA en DPIA
35 Vragen?
36 Nassaulaan JS Den Haag CERT: (9:00 17:00 ma vr) CERT 24x7: Piketnummer (instructies via voic ) / incident@ibdgemeenten.nl
Introductie aanpak BIO
Handreiking Introductie aanpak BIO Hoe implementeren organisaties de BIO en hoe ziet het proces er dan uit? Colofon Naam document Introductie aanpak BIO Versienummer 1.0 Versiedatum 23-1-2019 Versiebeheer
Nadere informatieIntroductie aanpak BIO
Handreiking Introductie aanpak BIO Hoe implementeren gemeenten de BIO en hoe ziet het proces er dan uit? Colofon Naam document Introductie aanpak BIO Versienummer 1.03 Versiedatum April 2019 Versiebeheer
Nadere informatieInnovatie in een veranderd risicolandschap
Innovatie in een veranderd risicolandschap Kees Hintzbergen, adviseur IBD Het is toegestaan om voor eigen gebruik foto s te maken tijdens deze bijeenkomst. Foto s mogen niet zonder toestemming van de afgebeelde
Nadere informatieDe Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD
De Baseline Informatiebeveiliging & grote gemeenten 6 oktober 2014 John van Huijgevoort, IBD Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): Samenhang Instrumenten Hoe om te gaan
Nadere informatieWorkshop DPIA. Wifi-netwerk: Wachtwoord:
Workshop DPIA Wifi-netwerk: Wachtwoord: Het is toegestaan om voor eigen gebruik foto s te maken tijdens deze bijeenkomst. Foto s mogen niet zonder toestemming van de afgebeelde deelnemers gepubliceerd
Nadere informatieWelkom bij parallellijn 1 On the Move uur. Stap 2 van de BIG Hoe kom ik tot een informatiebeveiligingsplan?
Welkom bij parallellijn 1 On the Move 11.00 11.50 uur Stap 2 van de BIG Hoe kom ik tot een informatiebeveiligingsplan? 1 IBD-Praktijkdag Work IT Out Hoe kom ik tot een informatiebeveiligingsplan? Jule
Nadere informatieToelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Toelichting op GAP-analyse Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging
Nadere informatieTOELICHTING OP GAP-ANALYSE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
TOELICHTING OP GAP-ANALYSE Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Toelichting op GAP-analyse Versienummer
Nadere informatieInformatieveiligheid, de praktische aanpak
Informatieveiligheid, de praktische aanpak Wie ben ik? Frederik Baert Domeinverantwoordelijke Informatieveiligheid Domeinverantwoordelijke Infrastructuur & Connectiviteit @ V-ICT-OR V-ICT-OR cvba Dienstenorganisatie
Nadere informatieHandleiding. Checklist Data Privacy Impact Analyse
Handleiding Checklist Data Privacy Impact Analyse Colofon Naam document Checklist Data Privacy Impact Analyse Versienummer 1.0 Versiedatum 04-06-2018 Versiebeheer Het beheer van dit document berust bij
Nadere informatieFAQ s Baseline Informatiebeveiliging Overheid
voor een veilige digitale overheid FAQ s Baseline Informatiebeveiliging Overheid v1.02 Inhoudsopgave Algemeen 3 ISO 27001/27002 6 BasisBeveiligingsNiveaus (BBN s) 7 Controls en maatregelen 9 Rollen 11
Nadere informatieBIR2017 FAQ s Baseline Informatiebeveiliging Rijksdienst
BIR2017 FAQ s Baseline Informatiebeveiliging Rijksdienst Inhoudsopgave Algemeen 3 ISO 27001/27002 4 BasisBeveiligingsNiveau s BBN s 5 Controls 7 Rijksmaatregelen 8 Handreikingen 9 Rollen 10 Verantwoording
Nadere informatieAnita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015
Anita van Nieuwenborg Teamleider IBD Stand van zaken IBD Regiobijeenkomsten juni-juli 2015 Agenda IBD in de praktijk Terugblik Ontwikkelingen Leveranciersmanagement Meldplicht datalekken IBD producten-
Nadere informatiekwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten
Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst
Nadere informatieNVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging
NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging Kees Hintzbergen 25 mei 2018 Agenda Voorstellen Vragen! Wat is dat eigenlijk: risico? Hoe ziet de ideale
Nadere informatieSTAPPENPLAN VOOR GEMEENTEN BIJ DE VOORBEREIDING OP DE AVG
STAPPENPLAN VOOR GEMEENTEN BIJ DE VOORBEREIDING OP DE AVG Versie 1.00 1 december 2017 Deze handreiking is mede tot stand gekomen door een samenwerking van onder andere VNG, KING, IBD en Kenniscentrum Europa
Nadere informatieBIC Building Blocks Beleid & Strategie
BIC Building Blocks Beleid & Strategie INFORMATIEBEVEILIGING BIC De informatievoorziening van een organisatie is het geheel van mensen, middelen en maatregelen, gericht op de informatiebehoefte van die
Nadere informatieImplementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Implementatie BIR Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst
Nadere informatieInspiratiedag. Workshop 1: Risicogestuurde interne controle. 15 september 2016
Inspiratiedag Workshop 1: Risicogestuurde interne controle 15 september 2016 Programma Inleiding Risicomanagement Interne beheersing Relatie met de externe accountant Van interne controle naar beheersing
Nadere informatieDit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van
Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van NORA-3. Het bevat doelen, de Ist en Soll situatie van het NORA katern beveiliging en als laatste sheet de producten die
Nadere informatieVOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatieNota Risicomanagement en weerstandsvermogen BghU 2018
Nota Risicomanagement en weerstandsvermogen BghU 2018 *** Onbekende risico s zijn een bedreiging, bekende risico s een management issue *** Samenvatting en besluit Risicomanagement is een groeiproces waarbij
Nadere informatieNEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR
NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR Theo de Breed Standards and Regulations 1 Agenda AVG voorbereiding in 10 stappen (Bron: AP) Praktische invulling door gebruik van
Nadere informatieDPIA. Natasja Pieterman Strategisch adviseur AVG
DPIA Natasja Pieterman Strategisch adviseur AVG Even voorstellen.. De DPIA De DPIA Een proces om: de verwerking van persoonsgegevens te beschrijven de noodzaak en evenredigheid te beoordelen de risico
Nadere informatieInformatiebeveiliging En terugblik op informatiebeveiliging 2016
Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen
Nadere informatieRené IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG
ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases
Nadere informatieRapportage 2018 Q4 / 2019 Q1 Informatiebeveiliging & Privacybescherming
Rapportage 2018 Q4 / 2019 Q1 Informatiebeveiliging & Privacybescherming Indeling Dreigingsbeeld Incidenten en datalekken Informatiebeveiligingsbeleid 2019: stand van zaken SIEM en SOC, Responsible Disclosure
Nadere informatieEnergie Management Programma. InTraffic
Energie Management Programma InTraffic Wijzigingsblad Versie Datum Auteur Wijzigingen 0.1 17/2/2012 Marije de Vreeze Opzet structuur 0.2 13/3/2012 Marije de Vreeze Gegevens 0.3 5/4/2012 Dirk Bijkerk Input
Nadere informatieMobile Device Management Ger Lütter, adviseur IBD
Mobile Device Management Ger Lütter, adviseur IBD Het is toegestaan om voor eigen gebruik foto s te maken tijdens deze bijeenkomst. Foto s mogen niet zonder toestemming van de afgebeelde deelnemers gepubliceerd
Nadere informatieOpdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst
Opdrachtgeverschap 2.0 Toezien op de afspraken in de verwerkersovereenkomst Doel van deze presentatie Zelf een mening hebben over welke certificering/ verklaring het beste past bij een af te nemen dienst
Nadere informatieDit is een presenteerbaar werkdocument voor de expertgroep Actualiseren NORA-3 Het bevat views van de huidige situatie (Ist) en ideeën waar in
Dit is een presenteerbaar werkdocument voor de expertgroep Actualiseren NORA-3 Het bevat views van de huidige situatie (Ist) en ideeën waar in opdracht naar toe kan worden gewerkt (Soll) . 2 . 3 Het BIR
Nadere informatie2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042
Brief aan de leden T.a.v. het college en de raad 2 3 MEI 28H Vereniging van Nederlandse Gemeenten informatiecentrum tel. (070) 373 8393 uw kenmerk bījlage(n) betreft Voortgang Informatieveiligheid ons
Nadere informatieTelewerken met de BRP. Telewerken met de BRP. Zero Footprint en Jailbreak?
Telewerken met de BRP Telewerken met de BRP Zero Footprint en Jailbreak? Sandra Lentjes, BZK Ger Lütter, Informatiebeveiligingsdienst Het is toegestaan om voor eigen gebruik foto s te maken tijdens deze
Nadere informatieSiSa cursus 2013. Gemeente en accountant. 21 november 2013
SiSa cursus 2013 Gemeente en Welkom Even voorstellen EY: Stefan Tetteroo RA Page 1 Agenda Doelstelling Accountant en gemeente Onze visie inzake de betrokken actoren Coördinatie- en controlefunctie binnen
Nadere informatieInformatiebeveiligingsbeleid
Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld
Nadere informatieFunctieprofiel Functionaris Gegevensbescherming
Functionaris Gegevensbescherming Inhoudsopgave 1. Doel van de functie 2. Plaats in de organisatie 3. Resultaatgebieden 4. Taken, verantwoordelijkheden & bevoegdheden 5. Contacten 6. Opleiding, kennis,
Nadere informatieJaarrapportage gegevensbescherming
Voorbeeld Jaarrapportage gegevensbescherming Jaarrapportage voor het college van Burgemeester en Wethouders Colofon Naam document FG Jaarrapportage College van Burgemeester en Wethouders Versienummer 1.0
Nadere informatieHoe staat het met de AVG?
Hoe staat het met de AVG? Vorig jaar is de AVG ingevoerd waardoor Gemeenten een hoop verplichtingen erbij kregen om de bescherming van persoonsgegevens te waarborgen. Hoe staat uw gemeente er na een jaar
Nadere informatieJaarrapportage gegevensbescherming
Voorbeeld Jaarrapportage gegevensbescherming Jaarrapportage voor de gemeenteraad Colofon Naam document FG Jaarrapportage gemeenteraad Versienummer 1.0 Versiedatum 13-03-2019j Versiebeheer Het beheer van
Nadere informatieDPIA. Roza van Cappellen en Elly Dingemanse
DPIA Roza van Cappellen en Elly Dingemanse DPIA WPB had een PIA = Privacy Impact Assessment Verwerkingen buiten het vrijstellingsbesluit moest je melden aan AP AVG heeft een DPIA = Data PROTECTION Impact
Nadere informatieEven Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017
GEGEVENSBESCHERMING IN DE PRAKTIJK Folkert van Hasselt 29 november 2017 Even Voorstellen Folkert van Hasselt RI Register informaticus Werkzaam bij Instituut Verbeeten Manager ICT Information Security Officer
Nadere informatieDrs. J. (Jaap) Bergman RA vestigingsdirecteur - partner. Hartelijk welkom
Adequate AO/IB Drs. J. (Jaap) Bergman RA vestigingsdirecteur - partner Hartelijk welkom Onderwerpen 1. Basis AO/IB 2. Toegepast op SWV 3. Risicomanagement 4. Vragen 1. Basis AO/IB 1. Basistheorie AO/IB
Nadere informatieIedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.
Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris
Nadere informatieOnderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799
Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere
Nadere informatieAgendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.
Ter info (AB) Afdeling: Team: Bedrijfsbureau Beh.door: Bos, M.G. Port.houder: DB, Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Memo Informatiebeveiliging Inleiding Met
Nadere informatieAon Global Risk Consulting Cyber Practice Privacy Services
Aon Global Risk Consulting Cyber Practice Privacy Services Bent u klaar voor de Europese Privacy Verordening? Wat de verzwaring van de privacywetgeving betekent voor uw organisatie en welke acties u moet
Nadere informatieECIB/U Lbr. 17/010
Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatieveiligheid en privacy uw kenmerk ons kenmerk ECIB/U201700133 Lbr. 17/010 bijlage(n) - datum 20 februari
Nadere informatieHet belang van risicomanagement voor maatschappelijke organisaties Beheersing of buikpijn?
Het belang van risicomanagement voor maatschappelijke organisaties Beheersing of buikpijn? 7 september 2017 Erik Breijer 1 Waarom Risicomanagement? Wat is aanleiding om met risicomanagement te starten:
Nadere informatieIMPLEMENTATIE BIG. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
IMPLEMENTATIE BIG Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Implementatie BIG Versienummer 1.0 Versiedatum
Nadere informatieDe 10 bestuurlijke principes voor informatiebeveiliging
Baseline De 10 bestuurlijke principes voor informatiebeveiliging Behorende bij de Baseline Informatiebeveiliging Overheid (BIO) Colofon Copyright 2019 Vereniging van Nederlandse Gemeenten (VNG). Alle rechten
Nadere informatieHANDREIKINGDATA PROTECTION IMPACT ASSESSMENT (DPIA)
HANDREIKINGDATA PROTECTION IMPACT ASSESSMENT (DPIA) Wanneer moet een DPIA worden uitgevoerd? Een Data Protection Impact Assessment (DPIA, ook wel PIA of GEB genoemd) wordt in twee situaties uitgevoerd:
Nadere informatieVerantwoordingsrichtlijn
Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling
Nadere informatieAantoonbaar in control op informatiebeveiliging
Aantoonbaar in control op informatiebeveiliging Agenda 1. Introductie key2control 2. Integrale interne beheersing 3. Informatiebeveiliging 4. Baseline Informatiebeveiliging Gemeenten 5. Demonstratie ISMS
Nadere informatieDynamisch risicomanagement eenvoudig met behulp van GRCcontrol
Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Mike de Bruijn roduct Owner Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement
Nadere informatie26 maart 2015 Jule Hintzbergen, IBD. De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en ENSIA
26 maart 2015 Jule Hintzbergen, IBD De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en ENSIA Agenda De Informatiebeveiligingsdienst voor gemeenten (IBD) De Baseline Informatiebeveiliging
Nadere informatieRisicomanagement en NARIS gemeente Amsterdam
Risicomanagement en NARIS gemeente Amsterdam Robert t Hart / Geert Haisma 26 september 2013 r.hart@risicomanagement.nl / haisma@risicomanagement.nl 1www.risicomanagement.nl Visie risicomanagement Gemeenten
Nadere informatieDit betekent dat u op 25 mei 2018 wettelijk verplicht bent om ten minste aan de volgende zes AVGmaatregelen
Brief aan de leden T.a.v. het college en de raad Datum 8 februari 2018 Ons kenmerk TIS/U201800068 Lbr. 18/003 Telefoon (070) 373 8393 Bijlage(n) - Onderwerp 2018 wordt het jaar van de nieuwe privacyregels
Nadere informatieResponsible Disclosure
Handreiking Responsible Disclosure Een operationeel kennisproduct ter ondersteuning van de implementatie van de Baseline Informatiebeveiliging Overheid (BIO) Colofon Naam document Handreiking Responsible
Nadere informatieInformatiebeveiliging voor gemeenten: een helder stappenplan
Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers
Nadere informatieOPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw
OPERATIONEEL RISKMANAGEMENT Groningen, maart 2016 Wim Pauw Risicomanagement Risicomanagement is steeds meer een actueel thema voor financiële beleidsbepalers, maar zij worstelen vaak met de bijbehorende
Nadere informatieWelkom bij parallellijn 1 On the Move 14.20 15.10 uur
Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag
Nadere informatieRisicomanagement en Weerstandsvermogen
Risicomanagement en Weerstandsvermogen Boxmeer, 28 september 2010 tbo . Inhoudsopgave Risicomanagement en weerstandsvermogen 1. Inleiding...3 1.1. Aanleiding... 3 1.2. Doelstelling en reikwijdte... 3 1.3.
Nadere informatieDoen of laten? Een dag zonder risico s is een dag niet geleefd
Doen of laten? Een dag zonder risico s is een dag niet geleefd Wie, wat en hoe Eric Lopes Cardozo & Rik Jan van Hulst sturen naar succes Doel Delen van inzichten voor praktisch operationeel risico management
Nadere informatiePrivacybeleid gemeente Wierden
Privacybeleid gemeente Wierden Privacybeleid gemeente Wierden Binnen de gemeente Wierden wordt veel gewerkt met persoonsgegevens van burgers, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk
Nadere informatieAuliitdienst Rijk Ministerie van Financiën
Tl i-x b b ó Auliitdienst Rijk Ministerie van Financiën > Retouradres Postbus 20201 2500 EE Den Haag Ministerie van Binnenlancdse Zaken en Koninkrijksrelaties t.a.v. CIO Rijk dhr. H.E. Wanders Turfmarkt
Nadere informatieGeen ISO zonder pragmatiek! Implementeren van een ISMS, niets nieuws.
Geen ISO 27001 zonder pragmatiek! Implementeren van een ISMS, niets nieuws. Agenda Introductie Beveiligingsproces Framework (ISO 27001) IB organisatie en processen ISMS informatiesysteem Lessons learned
Nadere informatieDriedaagse Speed up Course: implementatie van de BIO
Driedaagse Speed up Course: implementatie van de BIO Introductie van de driedaagse Speed up Course BIO De BIO is een baseline voor overheidsinstellingen die moet zorgen dat de beveiliging van informatie(systemen)
Nadere informatieINFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop
INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG 25 juni 2018 Paul Frencken Johan van Middelkoop GEBRUIKTE AFKORTINGEN Afkorting Betekenis AVG Algemene Verordening Gegevensbescherming (ook wel de privacy wetgeving)
Nadere informatieInformatiebeveiligingsbeleid
Informatiebeveiligingsbeleid Inhoudsopgave 1 Goedkeuring informatiebeveiligingsbeleid en distributie (BH1) 2 2 Inleiding 2 2.1 Toelichting 2 2.2 Definitie van informatiebeveiliging 2 2.3 Samenhang tussen
Nadere informatieEen beetje beveiligen kan niet Op weg naar veiliger gemeenten Jaarplan 2015 en toekomst IBD Consulterend Overleg 22 september 2014 Boudien Glashouwer
Een beetje beveiligen kan niet Op weg naar veiliger gemeenten Jaarplan 2015 en toekomst IBD Consulterend Overleg 22 september 2014 Boudien Glashouwer Doelstellingen en scope IBD Het preventief en structureel
Nadere informatieInformatiebeveiliging voor overheidsorganisaties
Solviteers Informatiebeveiliging voor overheidsorganisaties 6 6 Informatiebeveiliging voor overheidsorganisaties Pragmatisch stappenplan Whitepaper Solviteers Solviteers Informatiebeveiliging voor overheidsorganisaties
Nadere informatieVERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
VERSLAG PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Verslag PIA Versienummer 1.0 Versiedatum April 2014
Nadere informatieInformele raadsbijeenkomst over de risico s van de 3 decentralisaties in het sociaal domein. Heerenveen, 17 oktober 2013
Informele raadsbijeenkomst over de risico s van de 3 decentralisaties in het sociaal domein Heerenveen, 17 oktober 2013 Programma over risico s 3D s - Welkom. Door Frederike Gossink. - Wat zijn risico
Nadere informatieVersie Wijzigingen Datum 1.1 VNG Realisatie lay-out
Privacybeleid IBD Versiebeheer Versie Wijzigingen Datum 1.1 VNG Realisatie lay-out 16-4-2018 Over de IBD De IBD is een gezamenlijk initiatief van alle Nederlandse Gemeenten. De IBD is de sectorale CERT
Nadere informatieCERTIFICERING NEN 7510
CERTIFICERING NEN 7510 Henry Dwars Account manager DEKRA Certification B.V. Standards and Regulations 1 Onderwerpen Intro DEKRA De weg naar certificering Certificatietraject Standards and Regulations 2
Nadere informatieINFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga
INFORMATIEVEILIGHEID een uitdaging van ons allemaal ICT Noord, Harro Spanninga Agenda Toelichting op de Taskforce BID Introductie thema Informatieveiligheid Technisch perspectief Perspectief van de overheid
Nadere informatieWat moet je weten over... privacy en passend onderwijs?
Erik van Roekel Wat moet je weten over... privacy en passend onderwijs? Job Vos (adviseur privacy) 22 maart 2018, Doetinchem Hallo allemaal, wat fijn dat u er bent 2 Hallo allemaal, wat fijn dat u er bent
Nadere informatiesociaal domein privacy impact assessment
compliance @ sociaal domein privacy impact assessment Matias Kruyen De urgentie Toezichtsarrangement AP significant uitgebreid Bestuursrechtelijke sancties van materieel belang Accountant materialiseert
Nadere informatieDPIA. Leon van Lare en Roza van Cappellen
DPIA Leon van Lare en Roza van Cappellen DPIA WPB had een PIA Privacy Impact Accessment Verwerking moest je melden aan AP AVG heeft een DPIA Data PROTECTION Impact Accessment VOORAF goed nadenken over
Nadere informatieHoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening?
Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening? Inhoud 1. Introductie 2. Informatieveiligheid en privacy van alle kanten bedreigd 3. Het belang van privacy
Nadere informatieINFORMATIEVEILIGHEID een uitdaging van ons allemaal
INFORMATIEVEILIGHEID een uitdaging van ons allemaal FAMO Mini Congres: Harro Spanninga, Peter Keur Agenda Inleiding op informatieveiligheid De opdracht van de taskforce Interactief verankeren van informatieveiligheid
Nadere informatieVERWERKERS- OVEREENKOMST <NAAM BEDRIJF> Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen. Versie <versie/datum>
VERWERKERS- OVEREENKOMST Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen Versie DEEL 1: DATA PRO STATEMENT Dit Data Pro Statement vormt
Nadere informatieGemeente Alphen aan den Rijn
Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid
Nadere informatieRaamwerk Informatiebeveiliging Gegevensdiensten
Raamwerk Informatiebeveiliging Gegevensdiensten Raamwerk voor te treffen informatiebeveiligingsmaatregelen bij de levering van gegevensdiensten door de afdeling Onderzoek, Informatie en Statistiek Cluster
Nadere informatieNORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen
NORA Sessie 5 29 mei 2013 in Amersfoort Agenda en een samenvatting Jaap van der Veen Agenda 29-5-2013 1. Welkom 2. Presentatie Eric Brouwer en Joris Dirks over Kennismodel NORA-Wiki en hoe we onze informatie
Nadere informatieEen bestuursmanifest voor informatieveiligheid
Een bestuursmanifest voor informatieveiligheid Het CIP betracht zorgvuldigheid bij het samenstellen van zijn publicaties. Het kan echter voorkomen dat er toch sprake is van omissies of onjuistheden. Het
Nadere informatieInformatiebeveiligingsbeleid
Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...
Nadere informatie25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink
Privacyrecht & de AVG 2 mei 2018 Rob Tijdink Koningstraat 27-2 T + 31 88 322 6000 info@daanlegal.nl 6811 DG Arnhem F + 31 88 322 6001 www.daanlegal.nl 25 mei a.s. een nieuwe privacyverordening Bron: Financieele
Nadere informatieWelkom bij parallellijn 1 On the Move 15.10 16.00 uur
Welkom bij parallellijn 1 On the Move 15.10 16.00 uur Stap 5 van de BIG Hoe draagt u zorg voor de gemeentelijke verantwoording over het informatiebeveiligingsbeleid? ENSIA 1 Project ENSIA Paulien van der
Nadere informatieVlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer SHOPT-IT 2013. Informatieveiligheid omdat het moet!
voor het elektronische bestuurlijke gegevensverkeer SHOPT-IT 2013 Informatieveiligheid omdat het moet! Caroline Vernaillen 25 april 2013 Wie zijn wij o adviseurs van de VTC o De voor het elektronische
Nadere informatieHandreiking Quickscan Information Security. versie februari 2018
Handreiking Quickscan Information Security versie 1.0 20 februari 2018 Inleiding Stap 1: Bepaal scope, context en rubricering Stap 2: Classificeer proces en informatiesysteem en bepaal externe eisen De
Nadere informatieTimeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy.
Timeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy. PNIK Jaarlijkse rapportage aan de burgemeester Privacy 28 januari Internationale
Nadere informatieons kenmerk ECIB/U201600732 Lbr. 16/046
Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Ontwikkelingen informatieveiligheid Samenvatting uw kenmerk ons kenmerk ECIB/U201600732 Lbr. 16/046 bijlage(n)
Nadere informatieDefinitieve bevindingen Rijnland ziekenhuis
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl Definitieve bevindingen Rijnland ziekenhuis
Nadere informatieHANDREIKING RISICOMANAGEMENT DOOR LIJNMANAGERS. Hoe plaatst u als CISO de lijnmanagers in de juiste rol ten aanzien van informatiebeveiliging?
HANDREIKIN RISICOMANAEMENT DOOR LIJNMANAERS Hoe plaatst u als CISO de lijnmanagers in de juiste rol ten aanzien van informatiebeveiliging? Colofon Naam document Risicomanagement door lijnmanagers Versienummer
Nadere informatieoáëáåçã~å~öéãéåí= `ÉåíêìãîÉêåáÉìïáåÖ=bããÉå=sÉêëáÉ=MPJMPJOMNQ=
oáëáåçã~å~öéãéåí= `ÉåíêìãîÉêåáÉìïáåÖ=bããÉå=sÉêëáÉ=MPJMPJOMNQ= Vastgesteld door b&w dd 11-03-2014 Risicomanagement Centrumvernieuwing Emmen Inhoud: 1. Inleiding 2. Invulling risicomanagement binnen CvE
Nadere informatie11 december 2014 Jule Hintzbergen, IBD. De Baseline Informatiebeveiliging en kleine gemeenten
11 december 2014 Jule Hintzbergen, IBD De Baseline Informatiebeveiliging en kleine gemeenten Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Hoe om te gaan met de BIG als kleine gemeente
Nadere informatieHans de Jonge 29 oktober2009
Hans de Jonge 29 oktober2009 Strategische doelen Rendement Risico s Monitoring en verantwoording Risico- en lifecycle management Veroudering & lifecycle Besluitvorming en prioritering Operationele werkzaamheden
Nadere informatieBeoordelingskader Informatiebeveiliging DNB
Beoordelingskader Informatiebeveiliging DNB NBA LIO en NOREA symposium 'Volwassen Informatiebeveiliging' 4 februari 2019 Derek Dijst, Expertisecentrum Operationele en IT Risico s Agenda Toezicht door DNB
Nadere informatieInformatiebeveiliging. Nederlandse Gemeenten
Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2019/2020 Realisatie Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2019/2020 Informatiebeveiliging = risicomanagement Het dreigingsbeeld
Nadere informatie