Scenario 1: risico s. competenties; 1. Onveilige configuraties op IT-systemen en IT-infrastructuur; 2. Gebrek aan netwerkscheiding;

Vergelijkbare documenten
Thema-audit Informatiebeveiliging bij lokale besturen

#vvsg_gdpr Wat kunnen we leren uit de thema-audit informatiebeveiliging?

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

BIJLAGE 6: VASTSTELLINGEN IN CIJFERS

Procedure datalekken NoorderBasis

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid

0.1 Opzet Marijn van Schoote 4 januari 2016

Informatieveiligheidsbeleid. Gemeenteraad van 31 maart 2016

GDPR. To panic or not to panic?

De maatregelen in de komende NEN Beer Franken

Hoe operationaliseer ik de BIC?

Analyse Security Audits 2016

Lokale besturen beveiligen vertrouwelijke en (persoons)gevoelige informatie onvoldoende.

Verklaring van Toepasselijkheid

In jouw schoenen. Een praktische invulling van informatiebeveiliging

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

HRM in GDPR. 06 feb 2017 Gent. Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo. V-ICT-OR Vlaamse ICT Organisatie

Privacyverklaring voor opdrachtgevers

Informatiebeveiligingsbeleid Drukkerij van der Eems

BIJLAGE 2: VRAGENLIJST PASSENDE TECHNISCHE EN ORGANISATORISCHE MAATREGELEN

Bent u een onderneming 1.0 of 2.0? Doe de test en ontdek uw resultaten!

Informatiebeveiliging

Informatiebeveiligingsbeleid

Informatiebeveiligingsplan

Security Awareness Sessie FITZME, tbv de coaches

PRIVACY POLICY AL KOPIE GRIMBERGEN IN HET KADER VAN DE GDPR-COMPLIANCY

VVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord

Beveiligingsbeleid Stichting Kennisnet

Privacy Policy Sport- en Beweegkliniek

Checklist Beveiliging Persoonsgegevens

Verbeterplan. Informatiebeveiliging. Versie november 2011

Kan Moet Wil. ...ik ermee? Wat... Parallelsessie Gegevensbescherming NVLF Jaarcongres 2017

Privacy beleid bso Bink 2018

Privacyverklaring msx-shop.nl

Algemene Verordening Gegevensbescherming (AVG) -Verwerkingsregister- -1-

- Administratieve doeleinden; - Communicatie over de opdracht en/of uitnodigingen; - Het uitvoering geven aan of het uitgeven van een opdracht.

E. Procedure datalekken

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm

Verwerkersovereenkomst

Privacyverklaring Comect B.V.

Competentieprofiel deskundige ICT

Waarom informatieveiligheid. Omdat het actueel is:

5.1 Inzage van gegevens U heeft recht op inzage van uw persoonsgegevens en een kopie daarvan te ontvangen.

PRIVACY VERKLARING. Zo kan het dus ook! Dienstverlening zoals het hoort.

Praktijk Datum opgesteld/herzien Versie

VRAGENLIJST VOOR EEN DERDE PARTIJ DIE INFORMATIE VAN DE OPENBARE INSTELLING SOCIALE ZEKERHEID

DE NIEUWE WETGEVING IN EEN NOTENDOP. Aanspreekpunt Informatieveiligheid: basisopleiding (18-19) Dag 1

Thema-audit Informatiebeveiliging

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Nimava Group B.V. privacy- en cookiebeleid

Privacy Policy P&L Office

Privacy Policy voor Administratiekantoor Hoogendijk

Privacy Policy. Deze Privacy Policy is goedgekeurd en vastgesteld door het Stichtingsbestuur op 25 mei Stichting Sportkoepel Edam-Volendam:

Privacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep)

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Privacy in de eerstelijnspraktijk Checklist & tips

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Patiënten dossier & dataveiligheid Europese Privacy Verordening + ISO / NEN 7510

Gedragsregels. Correct omgaan met informatie over patiënten en medewerkers en eigendommen van het Maasstad Ziekenhuis

AVG privacy verklaring


DIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT

Informatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR

Praktijkbijdrage VERA Studiedag privacybescherming in het

Informatiebeveiligingsbeleid Weverslo

Informatiebeveiligingsbeleid extern

NEN 7510: een ergernis of een hulpmiddel?

Privacybeleid Privacybeleid Kinderopvang De Toverdroom, mei 2018

Verwerking van persoonsgegevens van Klanten

- Verwerking van uw persoonsgegevens beperkt is tot enkel die gegevens welke minimaal nodig zijn voor de doeleinden waarvoor ze worden verwerkt;

Inleiding 1 januari 2010

Verwerkersovereenkomst Openworx

CYBERSECURITY BIJ RIJKSWATERSTAAT

Verantwoordelijke voor de verwerking van persoonsgegevens: Malsch Nederland B.V., gevestigd: Nijverheidsweg 8, 5071 NK Udenhout, KvK nr

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging

Verwerking van persoonsgegevens van klanten of leveranciers

Checklist Automatisering. Hoe goed is jouw IT geregeld? Test je IT op 10 belangrijke punten.

Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening?

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

PRIVACY VERKLARING. Informatiebeheer. Interne audits. Zo kan het dus ook! Dienstverlening zoals het hoort.

PRIVACY BELEID. Geen persoonsgegevens doorgeven aan andere partijen, tenzij dit nodig is voor uitvoering van de doeleinden waarvoor ze zijn verstrekt;

Privacy statement gebaseerd op de Algemene verordening gegevensbescherming (AVG)

ISO 27001:2013 Informatiebeveiligingsbeleid extern

Introductie ICT-er met een brede blik

Privacybeleid Huis van Jonathan

VERSIE 1.0 WOLFMEISTER VOF SERVICE LEVEL AGREEMENT UITGEREIKT DOOR: WOLFMEISTER IT. Graafseweg AL - s-hertogenbosch KVK

PRIVACYVERKLARING VERENIGING BEGAAFDHEIDSPROFIELSCHOLEN (versie 7 juni 2018)

Privacyverklaring Tekstnet

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

- Administratieve doeleinde; - Communicatie over de opdracht en/of uitnodigingen; - Het uitvoering geven aan of het uitgeven van een opdracht.

Privacyverklaring Voetgangersbeweging vzw

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten.

IT General Controls en beheersmaatregelen met een IT-component. Handvat voor toepassing IT General Controls binnen Horizontaal Toezicht

OPDRACHTBLAD PERSOONSGEGEVENS

Privacy verklaring. Waarom deze privacyverklaring? Welke gegevens worden door ons verwerkt? Gegevens van onze leden

Een checklist voor informatiebeveiliging

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

2018 Privacy Reglement

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Transcriptie:

Scenario 1: risico s 1. Onveilige configuraties op IT-systemen en IT-infrastructuur; 2. Gebrek aan netwerkscheiding; 3. Verouderde software op IT-systemen; 4. Geen bijgewerkte antivirus; 5. IT-leverancier kan aanmelden op afstand zonder goedkeuring; 6. Slechte afspraken met IT-dienstenleveranciers; 7. Gebrek aan inventaris middelen en data classificatie; 8. IT-verantwoordelijke ad-interim beschikt niet over juiste competenties; 9. Ontbreken van back-up beleid en continuïteitsplan; 10. Imagoschade. 1

Scenario 1: beheersmaatregelen 1. Documenteer een minimum aan informatiebeveiligingsvereisten voor de configuratie van de IT-omgeving: 2. Bouw logische opdelingen en afschermingen in op het netwerk; 3. Werk de systeemsoftware op IT-systemen voldoende periodiek bij; 4. Installeer een antivirus oplossing en werk virusdefinities voldoende vaak bij; 5. Bouw garanties in dat toegang tot IT-omgeving gecontroleerd gebeurt 6. Maak duidelijke afspraken met dienstenleverancier wie waarvoor verantwoordelijkheid opneemten hoe die verantwoordelijkheid moet worden ingevuld (bv. SLA s, verwerkingsovereenkomst, updatebeheer, incidentbeheer, ) en hoe daarover moet gerapporteerd worden; 7. Bewaar een duidelijk overzicht van al het IT-materiaal en classificeer informatie; 8. Schrijf de diverse rollen en verantwoordelijkheden rond informatiebeveiliging concreet uit en wijs ze expliciet toe 9. Ontdubbel ICT-systemen, back-ups en bijhorende infrastructuur; 2

Scenario 2: risico s 1. Geen continuïteitsplan; 2. Incident blijft onder de radar; 3. Schade kritische infrastructuur; 4. Geen bruikbare back-up; 5. Onduidelijke rollen en verantwoordelijkheden; 6. Manke beveiliging documenten; 7. Opschrijven wachtwoorden; 8. Lage frequentie samenkomst veiligheidscel; 9. Gebrek sensibilisering. 3

Scenario 2: beheersmaatregelen 1. Maak afspraken, stel een plan op en test het. Bepaal gradaties in belang gegevens/activiteiten, documenteer herstelprocedures. 2. Duidt contactpersonen aan, registreer incidenten, deel potentiële vbn. 3. Bescherm het serverlokaal tegen calamiteiten (detectiesystemen, ligging leidingen, etc.). 4. Maak frequent back-ups, test ze, plaats ze ver genoeg van de servers. 5. Wijs rollen en verantwoordelijkheden expliciet intern of extern toe. 6. Clean desk, kasten op slot, afgeschermde zones. 7. Sensibiliseer, denk na over wachtwoordbeleid, naleving/afdwingbaarheid. 8. Kom regelmatig samen, communiceer naar rest organisatie. 9. Sensibilisering via opleiding, gedragscode, nieuwsbrief, e-mail, 4

Scenario 3: risico s 1. Bewustzijn en gedrag m.b.t. informatiebeveiliging persoonsafhankelijk; 2. IT-beleid en sourcing strategie in functie van praktische noden; 3. Externe IT-dienstenleverancier: grote afhankelijkheid, minimale verwachtingen onvoldoende concreet ingevuld en moeilijke opvolging van dienstverlening; 4. Conflicterende taken en verantwoordelijkheden; 5. Eigen ontwikkeling; 6. Geringe betrokkenheid van organisatie bij informatiebeveiliging; 7. Onbevoegde fysieke toegang tot archief 8. Onveilige omgang met papieren informatiedragers; 9. Versleuteling netwerk; 10. Informatiebeveiligingsincidenten blijven onder de radar. 5

Scenario 3: beheersmaatregelen 1. Bepaal beleidsregels rond informatiebeveiliging, stel een IT-code op, communiceer concrete richtlijnen en sensibiliseer medewerkers; 2. Hou bij het organiseren van de IT de doelstellingen van het bestuur en de beleidsregels rond beveiliging voor ogen; 3. Leg de concrete invulling van rollen en verantwoordelijkheden vast; 4. Software-ontwikkeling: duidelijke informatiebeveiligingsvereisten, documentatie, wijzigings- en capaciteitsbeheer, bescherming (test)gegevens, 5. Overleg periodiek in een veiligheidscel; 6. Tref passende maatregelen voor fysieke toegangsbeveiliging; 7. Leg verantwoordelijkheden en procedures vast voor de omgang met incidenten. 6

Scenario 4: risico s 1. Doorsturen van vertrouwelijke informatie zonder de nodige machtiging; 2. Onvoldoende sensibilisering bij instroom; 3. Te ruime rechtentoekenning; 4. Geen versleuteling van USB-stick; 5. Omgang met digitale en papieren informatiedragers zonder oog voor informatiebeveiliging; 6. Onvoldoende fysieke beveiliging; 7. Inmenging van het politieke niveau met als gevolg de niet naleving van de Algemene Verordening Gegevensbescherming; 8. Niet melden van informatiebeveiligingsincidenten. 7

Scenario 4: beheersmaatregelen 1. Beperk de toegang tot vertrouwelijke informatie op basis van noodzaak. 2. Sensibiliseer medewerkers m.b.t. informatiebeveiliging bij in- en uitstroom; 3. Versleutel digitale informatiedragers ter bescherming tegen onbevoegde toegang; 4. Pas een beleid toe omtrent het correct omgaan met digitale en papieren informatiedragers; 5. Beperk de toegang tot vertrouwelijke ruimtes en informatie; 6. Consulteer de veiligheidsconsulent in geval van twijfel; 7. Pas een beleid toe voor het detecteren, melden en opvolgen van informatiebeveiligingsincidenten. 8

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback