BIJLAGE behorende bij ISO/IEC 27002: 2013 Grafimedia

Vergelijkbare documenten
Beleid Informatiebeveiliging InfinitCare

BELEID INFORMATIEBEVEILIGING. Inhoudsopgave

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

Beleid in kader van de Wet Meldplicht Datalekken

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Privacyreglement 1.0

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

DIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT

Doxis Informatiemanagers

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Beveiligingsbeleid Stichting Kennisnet

0.1 Opzet Marijn van Schoote 4 januari 2016

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Gemeente Alphen aan den Rijn

Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see

Informatiebeveiligingsbeleid

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

De maatregelen in de komende NEN Beer Franken

Besluit van het college van burgemeester en wethouders van de gemeente Oegstgeest houdende regels voor Basisregistratie Personen Beheerregeling BRP

Informatiebeveiliging heeft betrekking op het behoud van vertrouwelijkheid, integriteit en beschikbaarheid van (patiënten)informatie binnen de CIHN.

VERWERKERSOVEREENKOMST. tussen INFOGROEN SOFTWARE B.V.

Informatiebeveiliging

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

Checklist Beveiliging Persoonsgegevens

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Overzicht van taken en competenties. Demandmanager-rol

Verklaring van Toepasselijkheid

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo

1. Beveiligingsbijlage

UITVOERINGSVERORDENING (EU) /... VAN DE COMMISSIE. van

Verwerkersovereenkomst Openworx

ESCROW? NOOIT VAN GEHOORD ZEGT DE EEN, WEL EENS WAT VAN GEHOORD ZEGT DE ANDER

Werkplekbeveiliging in de praktijk

Databeveiliging en Hosting Asperion

Documentatie Handleiding Hunter-CRM Desktop v1.0

BIJLAGE 2: VRAGENLIJST PASSENDE TECHNISCHE EN ORGANISATORISCHE MAATREGELEN

Vragenlijst ten behoeve van opstellen continuïteitsplan

IT Beleid Bijlage R bij ABTN

Informatiebeveiligingsbeleid

GEBRUIKERSBIJEENKOMST 11 april

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Welkom bij parallellijn 1 On the Move uur

Beknopt overzicht van bedreigingen en maatregelen

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Informatiebeveiligingsbeleid

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Bijlage 2 behorend bij de Algemene Voorwaarden Caresharing B.V.: Security Statement

BEWERKERSOVEREENKOMST

Algemene voorwaarden ZORG. Algemene gebruiks- en servicevoorwaarden. Zorgrapportage.nl. RAPPORTAGE.nl.

Praktijkinstructie Geautomatiseerde informatievoorziening - beheer 3 (CIN02.3/CREBO:50170)

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

Ondersteunende processen Organisatie Informatiebeveiliging Melding Datalek

NETQ Healthcare: Voor inzicht in het effect van therapie

Informatiebeveiligingsbeleid SBG

Dienstbeschrijving. Efficon Shared Services

Sturen op rendement en cashflow

Bemmel Container Service b.v. PRIVACY VERKLARING VERSIE 1, 25 mei 2018

Hoe veilig is de cloud?

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden

Beschrijving maatregelen Informatie beveiliging centrale omgeving

Informatiebeveiliging en Privacy; beleid CHD

AVG. Privacy verklaring. Datum: 18/05/2018. Maakt u gebruik van de diensten van Eetvallei? Dan is deze privacyverklaring voor u bedoeld.

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Derden-mededeling Overstapservice Onderwijs

Agenda. Wat kost het MIS Waarom JorSoft. Over JorSoft. Diensten Het MIS. Vervolgstappen IT infrastructuur

Informatiebeveiligingsplan SOML 2018

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

De strategische keuzes die moeten gemaakt worden zijn als volgt: Interne controle of zelfcontrole/sociale controle

Q3 Concept BV Tel: +31 (0)

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement

Verwerkingsstatuut AVG

PRIVACY POLICY. Savvy Congress APRIL 26, SAVVY CONGRESS Postbus 226, 3340 AE, Hendrik-Ido-Ambacht, Nederland

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

BIJLAGE 2: BEVEILIGINGSBIJLAGE LEARNBEAT

Gelijkwaardigheid van niet-geaccrediteerde laboratoria (conform NEN-EN ISO/IEC 17025)

Update: Exact Online Handel. Joost de Stigter Exact Software Nederland

Archiveren by design Papieren Tijger Netwerk

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

VERWERKERSOVEREENKOMST. tussen. Verwerkingsverantwoordelijke INFOGROEN SOFTWARE B.V.

PSA dienstverlening en Financieel adminstratieve dienstverlening

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds <Leverancier>

ICT-uitbestedingsdiensten en Software as a Service:

Checklist Leveranciersselectie

Data en Applicatie Migratie naar de Cloud

Vaals, juni 2013 Versie 1.2. PLAN VAN AANPAK Informatievoorziening & Automatisering De route voor de toekomst

Wij, als InPrintMatter BV, hechten veel waarde aan een goed beheer van uw privacy gevoelige gegevens.

Digitaal Archief Vlaanderen Stappenplan & Projectfiches

Hoe operationaliseer ik de BIC?

DE PRIVATE CLOUD. Johan Bos & Erik de Meijer

ISMS (Information Security Management System)

SERVICE LEVEL AGREEMENT

Informatiebeveiligingsbeleid Drukkerij van der Eems

VERKLARING PERSOONSGEGEVENS- BEVEILIGING

Definitieve bevindingen Rijnland ziekenhuis

Transcriptie:

BIJLAGE behorende bij ISO/IEC 27002: 2013 Grafimedia Onderdeel van de Certificatienorm Informatiebeveiliging Uitgave van de Stichting Certificatie Creatieve Industrie (SCCI)

Noodzaak Bijlagen behorende bij Bijlage A: Instrument voor Risicoanalyse, het stoplicht model Het stoplichtmodel biedt een visuele weergave van het beveiligingsniveau waardoor het mogelijk wordt om verbeteringen hiervan stapsgewijs in te voeren en zicht wordt gekregen op de status van het risicomanagement en de besluitvorming overzichtelijk wordt. Daarnaast biedt het model de mogelijkheid maatregelen direct met de betrokkenen af te stemmen en zo passende en haalbare oplossingen te vinden. De maatregelen kunnen in de tijd worden geplaatst, zodat ook een fasering in de tijd inzichtelijk kan worden gemaakt. Stoplichtmodel 1 2 3 4 Ernst 3 2 1 0 De noodzaak geeft de afhankelijkheid van de organisatie voor een bepaalde component weer, de noodzaak om dit te beveiligen. De ernst geeft de ernst van de bedreiging voor deze component weer. Per risicogebied kunnen de risico s en de mogelijke maatregelen om deze te beperken in kaart worden gebracht en het effect daarvan worden bepaald in een verbetering van het risicoprofiel. Voor het management zullen ook de kosten die met het nemen van de maatregelen gemoeid zijn belangrijk zijn. Deze kunnen in de maatregelen tabel worden opgenomen. Vervolgens kan er een totaaloverzicht opgesteld worden van de risico s per risicogebied. Versie: mei 2016 Copyright SCCI Pagina 2

Versie: mei 2016 Copyright SCCI Pagina 3

BIJLAGE B: Hoofdlijnen beleidsuitgangspunten Hieronder is een overzicht opgenomen van onderwerpen die deel uit kunnen maken van een statuut met uitgangspunten voor informatiebeveiliging Uitgangspunt vormen de doelstellingen van de norm NEN-ISO/IEC 27002 voor zover zij bijdragen aan de informatiebeveiliging. Als een doelstelling op een andere wijze gerealiseerd wordt via alternatieve maatregelen, dan is dat toegestaan, mits dit alternatief beschreven is. De fysieke en logistieke beveiliging van de computercentra en de andere bedrijfsgebouwen is zodanig, dat de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens en gegevensverwerking gewaarborgd zijn. Aanschaf, installatie en onderhoud van geautomatiseerde gegevensverwerkende systemen, evenals inpassing van nieuwe technologieën, mogen geen afbreuk doen aan het niveau van veiligheid van de totale informatievoorziening. Het personeelsbeleid is mede gericht op het leveren van een bijdrage aan de vertrouwelijkheid, integriteit en continuïteit van de informatievoorziening. Opdrachten aan derden voor het uitvoeren van werkzaamheden worden zodanig omgeven met maatregelen, dat er geen inbreuk op de vertrouwelijkheid, integriteit en continuïteit van de informatievoorziening kan ontstaan. Ontwikkeling van en onderhoud op informatiesystemen geschieden binnen de kaders en regels van de vastgestelde ICT-architectuur volgens een standaardmethodiek, waarbij de documentatie volgens een vaste systematiek tot stand komt. Bij de geautomatiseerde informatievoorziening zijn strikte scheidingen aangebracht tussen de test- /ontwikkelomgeving, de acceptatietestomgeving en de productieomgeving. Er zijn functiescheidingen aangebracht tussen de systeemontwikkelings-, beheer- en gebruikersorganisatie. Bij de verwerking en het gebruik van gegevens worden maatregelen getroffen om de privacy van klanten en personeel te waarborgen. Logische toegangsbeveiliging zorgt ervoor, dat ongeautoriseerde personen of processen geen toegang krijgen tot de geautomatiseerde systemen, gegevensbestanden en programmatuur. Gegevensverstrekking intern en extern gebeurt op basis van 'need to know'. Medewerkers treffen maatregelen om te voorkomen dat informatie in handen van personen terechtkomt, die deze informatie niet strikt nodig hebben. Ook de toegang tot informatiesystemen wordt volgens dit principe adequaat beveiligd. Voor ICT-beheerders wordt hierop een uitzondering gemaakt, om te komen tot een betere service aan de gebruikers. Datatransport is zodanig met beveiligingsmaatregelen omkleed, dat geen inbreuk kan worden gepleegd op de vertrouwelijkheid en de integriteit van de gegevens en op de informatievoorziening als geheel. End-user computing is omgeven door zodanige maatregelen, dat de vertrouwelijkheid en de integriteit van de opgeleverde informatie. Teneinde computervirusinfecties te voorkomen wordt er slechts gewerkt met geautoriseerde versies van (legale) programmatuur. De bescherming van digitale materialen van klanten en digitale materialen waar rechten op liggen, wordt gewaarborgd. Het beheer en de opslag van gegevens zijn zodanig, dat geen informatie verloren kan gaan. Er is een proces om incidenten adequaat af te handelen en hier 'lessons learned' uit te trekken. Er zijn calamiteitenplannen en -voorzieningen om de continuïteit van de bedrijfsvoering en de informatievoorziening te waarborgen en imagoschade te voorkomen. Versie: mei 2016 Copyright SCCI Pagina 4

BIJLAGE C: Voorbeeld informatiestroom diagram LOG-IN model Mitopics/KVGO 1997 13. Management Begroting capaciteit Eerste- en herziene voorcalculatie/nacalculatie/faalkosten 11. Nacalculatie Eerste- en herziene voorcalculatie Factureringsvoorstel 12. Facturering Uitgaande facturen Factuur Verwachte cap.behoefte derden en materiaal 3. Grofplanning Prognoses/ Raamcontracten Facturen Leveranciers/derden 6. Archivering Ordermateriaal Aanlevering ordermateriaal Zoekopdracht 7. Detailplanning/bew. drukvoorb. Ordervrijgave/ Voortgang Status beschikbaarheid ordermateriaal 5. Inkoop/ voorraadbeheer mat. Reservering/uitbestedingsaanvraag Bestelling/ uitbesteding Levertijd-en prijs materiaal/uitbest. Voortgang uitbesteding/ mat. beschikbaar Reserveringen/ uitbestedingen Niet Order gebonden matr. Ordergebonden matr. Grofplanning 4. Planning Werkorders/voortgang/meerwerk Alternatieve routing/levertijd 8. Detailplanning/bew. drukken Ordervrijgave/ Voortgang/Starteindtijdstip 2. Voorcalc./ ordervoorb. Routing/gewenste lev.tijd/cap.beslag 9. Detailplanning/bew. afwerking Ordervrijgave/ Voortgang/Starteindtijdstip Klantspecificaties Eerste voorcalc./ Levertijd Voortgang/ meerwerk Minimum voorraadsignalering Te verzenden orders Geproduceerde orders 1. Verkoop/ orderregistratie Levering uit voorraad 10. Voorraad beheer/exp. eindprod. Pakbon/vervoersdocumenten Order/ Klachten/ Vragen Prijs/ Levertijd/ Meerwerk/ Status/ Offerte Klant Archief ordermateriaal Drukvoorbereiding OHW Orders gereed voor druk Drukken OHW Halffabrikaat Drukafwerking OHW Gereed produkt Distributie Klant HJ Versie: mei 2016 Copyright SCCI Pagina 5

BIJLAGE D: Voorbeeld systeemarchitectuur Onderstaand is een vereenvoudigd voorbeeld van een systeemarchitectuur beschreven: Versie: mei 2016 Copyright SCCI Pagina 6

Bijlage F: Checklist voor aanschaf van Informatiesystemen Onderwerp Voldaan? Opmerking 1. Beoordeling leverancier Gebruikersondersteuning o Is er een helpdesk aanwezig o hoe lang is die helpdesk geopend? o Is er een calamiteitennummer met welke uren per week aanwezigheid? Geleverde service door leverancier (onderhoud en reactiesnelheid na incidenten) Liggen de afspraken over de te verwachten dienstverlening vast in een service level agreement. Betrouwbaarheid en reputatie leverancier (Bedrijfsomvang en reputatie, toekomstverwachting) 2. Software Geldige licenties Beschikbaarheid documentatie Compatibiliteit met bestaande omgeving o Importeren bestaande data o Bekende conflicten met bestaande software o Compatibiliteit met bestaande hardware Mogelijkheden om met veilige wachtwoorden te werken en gebruikers middels rollen te beheren Gebruik beveiligde communicatie bij gevoelige informatie 3. Risicoafweging bij de aanschaf Welke specifieke risico s loopt de nieuwe applicatie of hardware zelf? o Wisselt de applicatie gegevens uit, is de beveiliging gewaarborgd? o Wordt er informatie buiten de organisatie opgeslagen? o Natuurlijke risico s zoals verlies bij draagbare apparatuur o Beschikbaarheid van kritische applicaties en hoge vertrouwelijkheid van informatie Welke aanvullende maatregelen of wijzigingen op bestaande maatregelen zijn wenselijk? Moeten er nieuwe maatregelen genomen om de nieuwe aanschaf veilig te gebruiken? Is nadere risicoafweging door of advies van een expert nodig? 4. Implementatie van nieuwe software, hardware en randapparatuur Neem de nieuwe hardware, software of randapparatuur op in het overzicht van hardware, software en randapparatuur Versie: mei 2016 Copyright SCCI Pagina 7

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback