Informatiebeveiliging: Hoe voorkomen we issues?

Maat: px

Weergave met pagina beginnen:

Download "Informatiebeveiliging: Hoe voorkomen we issues?"

Rosa Smit
10 jaren geleden
Aantal bezoeken:

1 Informatiebeveiliging: Hoe voorkomen we issues? Workshop C Remco de Boer (Kennisnet) Ludo Cuijpers (MBO Taskforce IBB)

2 Inhoud 1. Voorstelronde 2. Over uw rol 3. Maatregelen 4. De diepte in

3 Voorstelronde Naam Organisatie Waarom deze workshop?

4 Privacy en beveiliging: Uw rol Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen Degene aan wie persoonsgegevens worden verstrekt Verantwoordelijke Bewerker Ontvanger De natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt Degene op wie een persoonsgegeven betrekking heeft Betrokkene

5 Privacy en beveiliging: Uw rol De natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen Degene aan wie persoonsgegevens worden verstrekt Artikel 13, Wbp De verantwoordelijke(!) legt passende technische en organisatorische maatregelen ten uitvoer om Verantwoordelijke Bewerker Ontvanger persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Degene op wie een persoonsgegeven betrekking heeft Betrokkene

6 Maatregelen Welke maatregelen en instrumenten gebruikt uw organisatie? Wat ontbreekt er nog?

7 Maatregelen MBO Toetsingskaders MBO Taskforce IBB Normenkader SURFaudit SURF Juridisch normenkader cloudservices HO HO ROSA katern P&B, SION Certificeringsschema Studielink aansluitvoorwaarden Privacyconvenant Doorbraakproject onderwijs en ict PO Kwalificatie OSO VO

8 In detail MBO Toetsingskaders MBO Taskforce IBB Normenkader SURFaudit SURF Juridisch normenkader cloudservices HO HO ROSA katern P&B, SION Certificeringsschema Studielink aansluitvoorwaarden Privacyconvenant Doorbraakproject onderwijs en ict PO Kwalificatie OSO VO

9 Roadmap

10 Roadmap 1. Aanleiding 2. Opdracht Beschrijving urgentie informatiebeveiliging en privacy met als logische vervolgstap het opzetten van Informatiebeveiliging en privacy beleid binnen de MBO instelling. Formulering van de opdracht voor de kwartiermaker. Benoemen van de faciliteiten. Vastleggen van de kaders (bijvoorbeeld normenkader ISO ). 3. Inventarisatie Inventarisaties architecturen (proces, data, applicatie en netwerk). Gesprekken met medewerkers binnen MBO instelling. Eerste globale BIV classificatie en ranking van IT voorzieningen. 4. Nulmeting 5. Verbeterplan Beleid nulmeting. Technische nulmeting. Proces nulmeting. Risico s en uitdagingen. Verbeterplan. Uitvoeren audit(s)

11 Risicoanalyse

12 Risicoanalyse De risico s gegroepeerd: 1A 1B Beleid, organisatie en personeel Informatiebeveiliging Beleid, organisatie en personeel Privacy Cluster: 1, 2 en 7 2 Techniek en externe koppelingen Cluster: 3, 4 en 9 3 Applicaties en audit Cluster: 5 en 6 4 Examineren Cluster: 8

13 Normen- en toetsingskader

14 Beleid en organisatie Nr. ISO27002 Statement Beleid voor mobiele apparatuur: Er dient beleid te worden vastgesteld om de risico s die het gebruik van mobiele apparatuur met zich meebrengt te beheren. I Beleid inzake het gebruik van cryptografische beheersmaatregelen: Ter bescherming van informatie behoort een beleid voor het gebruik van crypto grafische beheersmaatregelen te worden ontwikkeld. Beleid inzake het gebruik van cryptografische beheersmaatregelen: Ter bescherming van informatie zijn er tools of applicaties aanwezig waarmee het beleid voor het gebruik van crypto grafische beheersmaatregelen wordt geïmplementeerd. Verwijdering van bedrijfsmiddelen: Apparatuur, informatie en software behoren niet van de locatie te worden meegenomen zonder voorafgaande goedkeuring. Beleid en procedures voor informatietransport: Ter bescherming van het informatietransport, dat via alle soorten communicatiefaciliteiten verloopt, behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn. Overeenkomsten over informatietransport: Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen. Toeleveringsketen van informatie- en communicatietechnologie: Overeenkomsten met leveranciers behoren eisen te bevatten die betrekking hebben op de informatiebeveiligingsrisico s in verband met de toeleveringsketen van de diensten en producten op het gebied van informatie- en communicatietechnologie. Rapportage van informatiebeveiligingsgebeurtenissen: Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd. P P P B B I B

15 Beleid

16 Inrichting organisatie

17 Inrichting organisatie Scholing informatiebeveiliging Masterclasses Themaconferenties Positionering Governance Functiebeschrijving en waardering (IBP coördinator en IBP manager)

18 Awareness

19 Informatie- en privacy-audit

20 Informatie- en privacy-audit Audit stappen Self assessment Interne audit Peer audit Externe audit

21 Vragen / meer info Meer informatie? Mails zijn welkom: Ludo Cuijpers Remco de Boer [email protected] [email protected]

22 Bibliografie ROSA Katern P&B atern_privacy_en_informatie_beveiliging_v1.0.docx Normenkader SURFaudit SURF Juridisch normenkader cloudservices Privacyconvenant Doorbraakproject ict en onderwijs MBO Taskforce IBB ging/

Vergelijkbare documenten

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam