Interprovinciale Baseline Informatiebeveiliging

Vergelijkbare documenten
Interprovinciale Baseline Informatiebeveiliging. Document Versie: 1.0 (definitief)

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

BIC Building Blocks Beleid & Strategie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Informatiebeveiligingsbeleid

Beleid Informatiebeveiliging InfinitCare

Beveiligingsbeleid Stichting Kennisnet

De maatregelen in de komende NEN Beer Franken

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Gemeente Alphen aan den Rijn

Informatieveiligheid. Onderzoeksplan

Verklaring van Toepasselijkheid

INTERPROVINCIALE BASELINE INFORMATIEVEILIGHEID

Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein

Informatieveiligheid. Onderzoeksopzet

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Informatiebeveiliging

Informatiebeveiligingsbeleid

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC

Informatiebeveiligingsbeleid

De nieuwe NEN7510: 2017 een introductie Jan Willem Schoemaker, CISO/Business Continuity Manager Erasmus MC. Standards and Regulations 1

Presentatie NORA/MARIJ

Definitieve versie d.d. 24 mei Privacybeleid

Een Information Security Management System: iedereen moet het, niemand doet het.

Strategisch Informatiebeveiligingsbeleid Hefpunt

Stuurgroep Informatievoorziening & ICT tactische architectuur principes versie 1.0

Informatiebeveiligingsbeleid

Basisscholen in krimpgebieden in schooljaar 2017/2018

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Informatieveiligheid in de steiger

Werkplekbeveiliging in de praktijk

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Informatiebeveiligingsbeleid

Hoe operationaliseer ik de BIC?

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

0.1 Opzet Marijn van Schoote 4 januari 2016

Document Versie: 1.0

Informatiebeveiliging voor overheidsorganisaties

BIJLAGE behorende bij ISO/IEC 27002: 2013 Grafimedia

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

Thema-audit Informatiebeveiliging bij lokale besturen

Security Health Check

NEN 7510: een ergernis of een hulpmiddel?

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Provincievergelijking

BEVEILIGINGSARCHITECTUUR

Informatiebeveiligingsbeleid

INFORMATIEBEVEILIGING VOOR VERZEKERAARS. Better safe than sorry. vraag vandaag nog een Assessment aan. Think.Pink.

STRATEGISCHE BASELINE INFORMATIEBEVEILIGING NEDERLANDSE GEMEENTEN

NORA dossier Informatiebeveiliging. Architectuur Aanpak

Informatiebeveiligingsbeleid SBG

NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging

Mobiel Internet Dienstbeschrijving

Doxis Informatiemanagers

Informatiebeveiligingsbeleid

#vvsg_gdpr Wat kunnen we leren uit de thema-audit informatiebeveiliging?

Inleiding. Aanleiding

Definitieve bevindingen Rijnland ziekenhuis

Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement

In jouw schoenen. Een praktische invulling van informatiebeveiliging

Praktisch Implementeren van EA bij Gemeenten

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid

Informatiebeveiligingsbeleid extern

Voorwoord. Peter Truijens. directeur-bestuurder Samenwerkingsverband Passend Onderwijs IJmond

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Beleid Informatiebeveiliging en privacy De Nieuwe Veste

DATAMODELLERING ARCHIMATE DATA- & APPLICATIEMODELLERING

INFORMATIEBEVEILIGING WHITEPAPER

Verantwoordingsrichtlijn

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

VVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord

Gemeentelijke Duurzaamheidsindex GDI-2014 Data voor alle 12 provincies

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Dienstverlening Procesmanagement. Informatiemanagement. 18 september 2014

Beleidskader informatiebeveiliging

Internet Beveiliging en Privacy (IBP) Beleid Aloysius

Informatiebeveiligings- en privacy beleid

Informatiebeveiligingsbeleid Heemstede

Openheid versus Informatiebeveiliging. Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht

18 REDENEN OM TE KIEZEN VOOR CENTRIC PROJECTPORTAAL BOUW

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Informatiebeveiligings- en privacy beleid (IBP)

Informatiebeveiliging en Privacy; beleid CHD

AVG Routeplanner voor woningcorporaties

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Baseline informatiebeveiliging (minimale maatregelen)

Informatiebeveiligings- en privacybeleid

Het verveelvoudigen of openbaar maken van dit werk is, zonder de schriftelijke toestemming van ARANEA ISM, niet toegestaan. 1

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer SHOPT-IT Informatieveiligheid omdat het moet!

Transcriptie:

Centraal informatiebeveiligingsoverleg Interprovinciale Baseline Informatiebeveiliging Document Versie: 1.0 (definitief)

DDD BEE 1 Colofon Deelnemers expertgroep CIBO: Jos Bell, provincie Friesland Michel Wekema, provincie Groningen Peter Tak, provincie Groningen Willem van den Boogaart, provincie Drenthe Freddie Janssen, provincie Gelderland Peter Hepp, provincie Overijssel Jan -Willem Jorritsma, provincie Overijssel William Gijse, provincie Noord-Holland Erik-Jan Oskam, provincie Zuid-Holland René Reith, provincie Zuid-Holland Annemarie van Grunsven, provincie Utrecht Ruben Weel, provincie Flevoland Peter van de Boogaart, provincie Noord-Brabant Leon Deben, provincie Limburg Eindredacteurs: Annemarie van Grunsven, Provincie Utrecht Michel Wekema, Provincie Groningen Paul Peursum, DNV-CIBIT Versiebeheer Datum Versie Auteur September 201 0 1.0 Paul Peursum, Michel Wekema, Annemarie van Grunsven Opmerkingen Documenten Titel NEN-ISO/IEC-27001 /27002 Business Impact Analyse PETRA 0.9 NORA 2.0 ITIL security Management: een kritische beschouwing. RAS Cl Best Practice Normen Informatiebeveiliging ICTvoorzieningen Auteur NEN ISF Guido Bayens Spruit, M. (HEC) http: I /www.kwali teitshandvesten. nl Jaap van der Veen Jaartal Omschrijving 2005 De landelijke standaard voor informatiebeveiliging/ "de code van informatiebeveiliging" 2007 2009 De provinciale referentiearchitectuur 2007 Nederlandse Overheid Referentie Architectuur 2003 www. marcelspruit. nl I papers/ itilsecman.pdf 2009, versie 1.0 2

DDD DDD DDD Inhoudsopgave 1 2 Colofon.................... _..................... _... _......... 2 lnleiding.............................................. 4 2.1 lnformatiebeveiliging, waarom nu?........ _........................ _..4 2.2 De definitie van Informatiebeveiliging............ _.............4 2. 3 De scope van informatiebeveiliging.................. _.................. _.. 5 2. 3.1 Mens en Organisatie..................... _... _..... 5 2. 3. 2 Basisinfrastructuur......... _.................... _............... 5 2.3.3 ICT........................................ 5 2.4 Int egratie is belangrijk...................... _........................ _............. 6 2. 5 Standaard werkwijze en richtlijn voor maatregelen................. _.......... 6 2.6 Doelgroep en gebruik............................ 6 3 De baseline, uitgangspunten................ _........... _..............7 3. 1 De baseline als onderdeel van PET RA, de provinciale referentie architectuur......... 7 3.2 De baseline, standaardmethode................. 8 3.2.1 Standaard Business lmpactanalyse.......................... 8 3.2.2 Standaard maatregelensets...................................... 8 3. 3 De baseline is een groeidocument, maatregelen passen bij ontwikkelingsniveau........ 10 4 De baseline, gebruik....................................................... 11 4.1 Eigen basisniveau maatregelen voor iedere provincie..................... _...... 11 4.2 Bepalen van het benodigde beveiligingsniveau............. _...... 11 4. 3 Maatregelen uit de baseline selecteren..... _......... 11 4.4 Verantwoordelijkheden toewijzen........ _... _. 11 5 De baseline, overzicht van maatregelen......................... 14 5.1 Compleet overzicht................... _......... _.............. 14 5.2 Verwijsindex....................... 15 6 Beheer en Onderhoud............ _............... _............ 16 6. 1 C I BO...... _.............. _.............. _.... 16 6.2 IPO........... 16 BijlageA. BIA......................... 17 A.1 Handleiding invullen formulieren..... _................. _.. 17 A.2 Business Impact Referentie Tabel Provincies... _...... 18 A. 3 Business Impact Analyse formulieren............ _...... 18 A.4 Formulier Beschikbaarheid............... _..._... 18 A. 5 Formulier Integriteit....... _......... _.............. 19 A.6 Formulier Vertrouwelijkheid... _... _... 19 A. 7 Formulier Samenvatting, Overall Rating... _... 19 Bij lage B. Baseline uitgebreid........ _................... _........... 25 B.1 Beveiligingsbeleid... _................ _... 25 B.2 Organisatie van lnformatiebeveiliging...... _.................. 26 B.3 Beheer van Bedrijfsmiddelen................. 28 B.4 Beveiliging van Personeel.... _............. _... 29 B. 5 Fysieke beveiliging en beveiliging van de omgeving........ _...... 31 B.6 Beheer van communicatie- en bedieningsprocessen.............. _... 32 B. 7 Toegangsbeveiliging............. _........... _...... 36 B.8 Verwerving, ontwikkeling en onderhoud van informatiesystemen........40 B. 9 Beheer van informatiebeveiligingsincidenten.................._......... 42 B.1 0 Bedrijfscontinuïteitsbeheer........_............. _... 43 B.11 Naleving...... _................. _... _. 44 BijlageC. RASCI.................................................. 46 3

2 Inleiding Door de toenemende digitalisering is het zorgvuldig omgaan met de gegevens van burgers, bedrijven en partners ook voor provincies van groot belang. Daarom is er nu de Interprovinciale Baseline lnformatiebeveiliging. De baseline is bedoeld om alle provincies op een vergelijkbare manier te laten werken met lnformatiebeveiliging. Het geeft een standaard werkwijze waannee per bedrijfsproces of per informatiesysteem bepaald wordt, welke beveiligingsmaatregelen getroffen moeten worden. De Interprovinciale Baseline Informatiebeveiliging is tot stand gekomen door een intensieve samenwerking van elf provincies, in opdracht van het IPO. 2.1 lnformatiebeveiliging, waarom nu? Een betrouwbare informatievoorziening is essentieel voor het goed functioneren van de processen van de provincie. Informatiebeveiliging is het proces dat deze betrouwbare informatievoorziening borgt. Dat is, in twee zinnen, de bestaansreden van informatiebeveiliging. Het opnemen van informatiebeveiliging als normaal kwaliteitscriterium voor een gezonde bedrijfsvoering is tegenwoordig niet langer een keuze, maar een noodzaak. Deze noodzaak komt onder meer voort uit de toenemende digitalisering van de provinciale dienstverlening, waardoor de afhankelijkheid van de geautomatiseerde informatieverwerking steeds verder groeit. Maar het is niet alleen de automatisering. De samenwerking met andere overheden (in ketensamenwerking) en contacten met burgers en bedrijven wordt steeds vaker digitaal van aard. Dit legt (deels nieuwe) eisen op aan de kwaliteit van de informatievoorziening van de provincie. Al was het maar dat van digitale dienstverlening vaak verwacht wordt dat deze 24 uur per dag en 7 dagen per week beschikbaar is. Daarnaast spelen wet- en regelgeving is een belangrijke rol. De WBP (Wet Bescherming Persoonsgegevens) en de Archiefwet zijn voorbeelden van wetten die eisen stellen aan de verwerking en opslag van informatie. Tot slot is er de maatschappelijke verantwoordelijkheid die een overheidsinstantie tegenover de inwoners en bedrijven heeft. Van de provincie mag verwacht worden dat zij zorgvuldig omgaat met de gegevens die zij beheert, en dat de gegevens die zij levert juist, accuraat en tijdig zijn. Kortom, structurele aandacht voor de betrouwbaarheid van de informatievoorziening, het domein van informatiebeveiliging, helpt de provincie bij een goede invulling van haar maatschappelijke taken. Een goede barging van informatiebeveiliging zorgt voor een betere betrouwbaarheid van de informatievoorziening en een grotere continuïteit van de provinciale bedrijfsvoering. 2.2 De definitie van Informatiebeveiliging Informatiebeveiliging is het behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. - Integriteit is de eigenschap dat de nauwkeurigheid en volledigheid van bedrijfsmiddelen wordt beveiligd. - Vertrouwelijkheid is de eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, entiteiten of processen. - Beschikbaarheid is het kenmerk dat iets toegankelijk en bruikbaar is op verzoek van een bevoegde entiteit. NEN -150/IEC-27001 en 27002 4

2.3 De scope van informatiebeveiliging Informatiebeveiliging gaat over de betrouwbaarheid van de informatievoorziening van een organisatie, en heeft tot doel risico's tot een acceptabel niveau terug te brengen. Voor een juiste barging van dit kwaliteitsaspect is een evenwicht ig st elsel van maatregelen nodig. Deze maatregelen zijn divers van aard, en verspreid over alle onderdelen en hiërarchische niveaus van een organisatie. Dit wordt geïllustreerd in het architectuurmodel van NORA. Provinciale Missie Visie Strateg ie Bele id Figuur 1 NORA Architectuurraamwerk voor bedrijfsinrichting Informatiebeveiliging reikt dan ook verder dan alleen de geautomatiseerde informatiesystemen en de!ct-infrastructuur. Zaken zoals toegangsbeveiliging, pe rsoneel, beleid en bureauveiligheid horen ook tot haar werkgebied. Informatiebeveiliging kan daarom niet alleen het domein van de afdeling I&A zijn. Informatiebeveiliging omvat alle informatie die een organisatie nodig heeft om haar processen naar behoren uit te kunnen voeren. Naast procedurele en technische maatregelen is met name het gedrag van mensen van belang voor een effectieve informatiebeveiliging. Ook dat is een reden waarom informatiebeveiliging niet de verantwoordelijkheid van één directie of afdeling kan zijn. Vaak worden maatregelen alleen getroffen op technisch gebied. Informatiebeveiliging bestaat echter uit de aandachtsgebieden : mens en organisatie, basisinfrastructuur en ICT. 2. 3.1 Mens en Organisatie Hierbij gaat het om werkwijzen (manieren, routines, gewoonten, gedrag). Maatregelen bestaan uit procedures (AO) en het creëren van bewustzijn voor informatiebeveiliging. 2.3.2 Basisinfrastructuur De basisinfrastructuur betreft onder meer: Elektriciteitsvoorziening; Telecommunicatievoorzieningen; Gebouwen en toegang. Een voorbeeld van een beveiligingsmaatregel is de noodstroomvoorziening. 2.3.3 ICT Bij ICT gaat het om : Applicaties en gegevensverzamelingen; ICT infrastructuur (computers, netwerkapparatuur en randapparatuur); ICT programmatuur van de ICT infrastructuur (diverse besturingsprogramma's). Beveiligingsmaatregelen in dit vlak zijn bijvoorbeeld het opstellen van reserveapparatuur (redundantie) en het installeren van antivirusprogramma's. 5

2.4 Integratie is belangrijk DDD BBB Het is van belang dat de focus op het geheel van de aandachtsgebieden Mens en Organisatie, Basisinfrastructuur en ICT gericht wordt. Het nemen van technische maatregelen alleen, is onvoldoende. Veelal wordt gesteld dat het bewustzijn van de gebruiker de belangrijkste basis is voor een goede informatiebeveiliging. Inderdaad: onbewuste gebruikers, nemen onbewust veel risico's. Er zijn ook gebruikers die bewust risico lopen zoals de medewerker die nog even een rapport op tijd af wil krijgen en vertrouwelijke informatie op een USB-stick zet om er thuis verder aan te werken. Dit is met beveiliging op het gebied van ICT en toegangsbeveiliging slechts ten dele weg te nemen. De diverse maatregelen (uit de aandachtsgebieden Mens en Organisatie, Basisinfrastructuur en ICT) moeten daarom in samenhang worden genomen. Alleen op deze wijze kan er sprake zijn van een goed informatiebeveiligingsbeleid 1 2.5 Standaard werkwijze en richtlijn voor maatregelen Bij het treffen van maatregelen moet altijd een afweging gemaakt worden tussen enerzijds de werkbaarheid en anderzijds de (noodzakelijke) beveiliging van de informatie in het proces. De te nemen maatregelen moeten in verhouding staan tot de grootte van het risico. Het proces mag bijvoorbeeld niet gefrustreerd worden door maatregelen die slechts een marginale verlaging van een risico betekenen. Dus maatregelen moeten gericht zijn op het garanderen van continuïteit en betrouwbaarheid van de informatievoorziening op een niveau dat past bij de behoefte vanuit de primaire provinciale organisatie. Daarom worden maatregelen geselecteerd op basis een risicoanalyse/risicoafweging die in de primaire organisatie wordt gemaakt. De Coördinator Informatiebeveiliging heeft hierbij een adviserende en faciliterende rol. De organisatie maakt daarbij gebruik van de Interprovinciale Business Impact Analyse (zie Bijlage A) en de Interprovinciale Baseline Informatiebeveiliging (dit document) als richtlijn voor de te nemen maatregelen. Deze Interprovinciale Baseline Informatiebeveiliging geeft een standaard werkwijze waarmee per bedrijfsproces of per informatiesysteem bepaald wordt, welke beveiligingsmaatregelen getroffen moeten worden. Daarmee zorgt de Interprovinciale Baseline Informatiebeveiliging ervoor dat: Alle provincies op een vergelijkbare manier werken met lnformatiebeveiliging; Het duidelijk is voor ketenpartners welke eisen provincies stellen aan informatiebeveiliging; Provincies een sterkere positie kunnen innemen bij leveranciers van!ct-systemen en!ctdiensten door deze eisen aan informatiebeveiliging mee te nemen. 2.6 Doelgroep en gebruik Het document is bedoeld voor specifieke functionarissen zoals: informatiebeveiligingscoördinatoren, architecten, organisatie- en procesontwerpers, programmamanagers, projectleiders, applicatieontwerpers, functioneel en technisch beheerders van systemen. De Interprovinciale Baseline Informatiebeveiliging is te gebruiken als: Richtlijn voor inrichten van een basisbeveiligingsniveau; Toetsingskader bij de aanvang en uitvoering van projecten; Instrument voor risicobeheersing; Instrument voor ondersteuning inkoop; Richtlijn voor samenhang in de resultaten die via projecten bereikt worden; Ontwerprichtlijn voor onder meer proces-, DIV- en applicatieontwerpers. 1 De standaard "NEN-150/IEC-27001 /27002" heeft de integratie van de drie aandachtsgebieden ook als basis. 6

3 De baseline, uitgangspunten Deze Interprovinciale Baseline Informatiebeveiliging geeft een standaard werkwijze waarmee per bedrijfsproces of per informatiesysteem bepaald wordt, welke beveiligingsmaatregelen getroffen moeten worden. Het zorgt voor een uniforme werkwijze voor alle provincies op het gebied van informatiebeveiliging. Daarmee hebben de provincies een duidelijk communicatiemiddel naar ketenpartners en leveranciers van!ct-systemen over de door de provincies gehanteerde beveiligingseisen. 3. 1 De baseline als onderdeel van PET RA, de provinciale referentie architectuur De provinciale architectuur is het fundament voor de bedrijfsinrichting van een provincie. Daarbij gaat het om het organisatie- en procesontwerp (de business), om het ontwerp van de informatievoorziening, de applicaties en de technische infrastructuur. Een professionele ontwerpfunctie geeft inzicht in de opbouw en samenhang van de samenstellende delen van een organisatie. Hierdoor wordt het mogelijk om wijzigingen sneller en beheerst door te voeren. Dit laatste is vooral nodig omdat ontwikkelingen als elektronische dienstverlening, samenwerking met andere overheidsorganen en internationalisering in steeds hoger tempo langskomen. De complexiteit van werkprocessen en informatiehuishouding neemt hierdoor toe. De PETRA zorgt voor overzicht en daarmee een blijvende barging van een optimale samenhang tussen diensten, processen, organisatie, besturing en informatievoorziening. De PETRA is een provinciale verbijzondering van de NORA. In de onderstaande figuur is het NORA Architectuurraamwerk voor bedrijfsinrichting weergegeven. Informatiebeveiliging is een onderliggende laag voor alle domeinen van de referentiearchitectuur. Het is dus een breed onderwerp dat alle aspecten van de bedrijfsinrichting raakt. In de PETRA is ook een hoofdstuk Informatiebeveiliging opgenomen. De Interprovinciale Baseline Informatiebeveiliging zal op termijn dit onderdeel in de PETRA vervangen. DDD BBB Provinciale Missie Visie Strategie Beleid Figuur 2 NORA Architectuurraamwerk voor bedrijfsinrichting 7

DDD DDD DDD 3.2 De baseline, standaardmethode De baseline bestaat uit de volgende onderdelen: 1) Business Impact Analyse 2) Maatregelensets 3.2.1 Standaard Business Impact Analyse De Business Impact Analyse (BIA) is een hulpmiddel om vast te stellen wat de impact op een informatiesysteem of bedrijfsproces is indien de informatiebeveiliging van de informatie niet gewaarborgd of zelfs geschaad is. Met de BIA wordt het classificatieniveau van een proces bepaald. De BIA is gebaseerd op de Business Impact Analyse van het lnformation Security Forum (een vooraanstaand internationaal forum op het gebied van informatiebeveiliging) en is door het CIBO vertaald naar de provinciale situatie. 3.2.2 Standaard maatregelensets Deze Interprovinciale Baseline Informatiebeveiliging standaardiseert op methode (werkwijze): Elk bedrijfsproces of informatiesysteem krijgt middels de provinciale Business Impact Analyse een classificatie mee. Op basis van deze classificatie wordt een standaardpakket aan beveiligingsmaatregelen toegewezen in de Interprovinciale Baseline lnformatiebeveiliging. Tevens bevat de Interprovinciale Baseline Informatiebeveiliging zogenaamde 'Generieke' maatregelen: maatregelen die niet gekoppeld zijn aan een bepaald niveau van Beschikbaarheid, Integriteit of Vertrouwelijkheid, maar altijd genomen moeten worden. De term "Interprovinciale Baseline lnformatiebeveiliging" suggereert één basisniveau aan maatregelen voor informatiebeveiliging voor àlle provincies, dus maatregelen die je verwacht altijd aan te treffen. Dit kan echter verschillend geïnterpreteerd worden. 1) Dit basisniveau aan maatregelen geldt altijd en hoort dus ook altijd geïmplementeerd te zijn: dit zijn dan de Generieke maatregelen en maatregelen behorend bij de classificatie Beschikbaarheid, Integriteit of Vertrouwelijkheid = Laag. 2) Dit basisniveau aan maatregelen geldt specifiek voor dat bedrijfsproces of informatiesysteem waarvoor een provinciale Business Impact Analyse is uitgevoerd: dit zijn dan de Generieke maatregelen én de juiste maatregelen behorend bij de classificatie Beschikbaarheid, Integriteit of Vertrouwelijkheid op basis van de provinciale Business Impact Analyse. De gedachte van deze Interprovinciale Baseline Informatiebeveiliging is dat ieder Provincie begint met de implementatie van de Generieke maatregelen en maatregelen behorend bij de classificatie Beschikbaarheid, Integriteit of Vertrouwelijkheid = Laag. Daarnaast wordt per bedrijfsproces of informatiesysteem een provinciale Business Impact Analyse uitgevoerd, waardoor duidelijk wordt of aanvullende maatregelen uit de Interprovinciale Baseline Informatiebeveiliging nodig zijn. Zie hoofdstuk 4. Wanneer deze analyses gedaan worden op procesniveau wordt het mogelijk om onderling af te stemmen welke classificatie generiek gehanteerd kan worden voor alle provincies. Uit de totale set van maatregelen zal daarmee ook één uniform standaardpakket van basismaatregelen voor alle provincies vloeien. Een risicoanalyse op systeemniveau is niet toepasbaar omdat de concrete technische invulling voor de procesondersteuning per provincie kan verschillen. Op termijn is het dus de verwachting dat de basisniveaus van de provincies gelijk worden. Voor nu werken we met een standaardmethode, waarmee iedere provincie het classificatieniveau kan bepalen. 8

DDD DDD DDD Het groeipad is daarm ee ook vastgesteld : voor de volgende versie van dit document willen we de risicoanalyses op procesniveau ui tvoeren zodat het uniforme standaardpakket aan maatregelen vastgesteld kan worden. 3.2.2. 1 NEN-ISOIIEC-27001 127002 en NORA De inhoud van de Interprovinciale Baseline Informatiebeveiliging is gebaseerd op de landelijke standaard NEN-ISO/IEC-27001 /27002 (ook wel de code van informatiebeveiliging genoemd). De Interprovinciale Baseline Informatiebeveiliging heeft de code als uitgangspunt, en is aangepast voor gebruik door de provincies: Sommige maatregelen uit de code zijn niet van toepassing voor de provincies: deze zijn weggelaten in de Interprovinciale Baseline lnformatiebeveiliging; Andere maatregelen uit de code zijn onveranderd van toepassing voor de provincies: naar de betreffende passage in de code wordt verwezen vanuit de Interprovinciale Baseline I nformatiebevei l iging; Weer andere maatregelen uit de code zijn niet geheel of anders van toepassing op de provincies: de aanpassing is vermeld in de Interprovinciale Baseline lnformatiebeveiliging; Niet elke maatregelen is altijd van toepassing, maar slechts bij of vanaf een bepaald beveiligingsniveau. Het bijbehorende beveiligingsniveau is vermeld in de Interprovinciale Baseline lnformatiebeveiliging. Daarnaast is geb ruik gemaakt van de zogenaamde NORA aanpak (best practices). 9

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback