Informatiebeveiliging: Hoe voorkomen we issues?

Vergelijkbare documenten
Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Taskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector.


Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen

Bedrijvenbijeenkomst informatiebeveiliging en privacy

Taskforce Informatiebeveiligingsbeleid.

Informatiebeveiliging binnen Edustandaard Standaardisatieraad 19 mei Dirk Linden - CTO Kennisnet

Normenkader Informatiebeveiliging MBO

Voortgang Informatiebeveiliging en Privacy (IBP) in de MBO sector. sambo-ict conferentie, 2 oktober 2015

Toetsingskader Informatiebeveiliging cluster 1 t/m 6

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Verklaring van Toepasselijkheid

Normenkader Informatiebeveiliging MBO

Verantwoordingsdocument informatiebeveiliging en privacy (ibp) in het mbo.

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Verantwoordingsdocument Informatiebeveiliging (IB) en Privacy in het MBO

Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon.

Verantwoordingsdocument programma Informatiebeveiliging en Privacy (IBP) in het mbo

Inleiding, toelichting Algemene bepalingen Artikel 1: Begripsbepalingen Artikel 2: Reikwijdte Artikel 3: Doel...

Reglement bescherming persoonsgegevens Lefier StadGroningen

Burgemeester en wethouders van de gemeente Teylingen; gelet op het bepaalde in de Wet bescherming persoonsgegevens; besluiten:

MBO toetsingskader Informatiebeveiliging Handboek MBOaudit

ISO 27001:2013 INFORMATIE VOOR KLANTEN

1.1 Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Bewerkersovereenkomst op grond van artikel 14, tweede lid Wbp tussen <naam> en < >

Privacyreglement verwerking Cursisten gegevens Oxford Opleidingen

Hoe begin je met Informatie Beveiliging en Privacy? Met een kwartiermaker natuurlijk! Presentatie op de 35 e SAMBO~ICT conferentie

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

Benchmark informatiebeveiliging

Afspraken leveranciers: verwerkersovereenkomsten. Leander Versleijen en Job Vos

Actieplan Informatiebeveiligingsbeleid mbo

Randvoorwaarden Privacy & Security

Informatieveiligheid, de praktische aanpak

Cloud & Privacy. B2B Clouddiensten. Robert Boekhorst Amsterdam 27 juni 2013

Toetsingskader Informatiebeveiliging cluster 1 t/m 6 (versie 3.0, juli 2017)

Positionering informatiebeveiliging en privacy (enquête)

Privacy reglement. Inleiding

Privacy Gedragscode Keurmerk RitRegistratieSystemen

Raadsmededeling - Openbaar

Privacy in het mbo, verwerkersovereenkomsten Sebastiaan Wagemans, Contract-/ productmanager SURFmarket Leo Bakker, adviseur ibp Kennisnet

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam

GEDRAGSCODE VERWERKING PERSOONGSGEGEVENS STICHTING EDUROUTE mei 2007 GEDRAGSCODE VERWERKING PERSOONSGEGEVENS STICHTING EDUROUTE

Privacyreglement Medewerkers Welzijn Stede Broec

PRIVACYREGELING RITREGISTRATIESYSTEEM < NAAM BEDRIJF > Versienummer: 1.4 Datum wijziging: < 1 september 2013 > Ingangsdatum: < 1 september 2013 >

PRIVACYREGLEMENT T.B.V. VERWERKING VAN PERSOONSGEGEVENS DOOR FUNDEON

Privacy reglement SlagKracht re-integratie en loopbaanontwikkeling Privacy reglement SlagKracht re-integratie en loopbaanontwikkeling

Hoe operationaliseer ik de BIC?

Handleiding Risicomanagement

Normenkader Informatiebeveiliging HO 2015

gewoondoenreintegratie

Privacy Gedragscode RitRegistratieSystemen Privacy Gedragscode RRS

Privacyreglement. verwerking persoonsgegevens. ROC Nijmegen

Concept Bewerkersovereenkomst uitvoering

REGLEMENT PERSOONSGEGEVENS NHV INHOUDSOPGAVE:

Privacyreglement van De Zaak van Ermelo

Werkprogramma Meldplicht Datalekken. Handreiking

Privacyreglement t.b.v. de verwerking van persoonsgegevens door Caprisma (Capacity Risk Management BV)

Privacyreglement voor de verwerking van kerkelijke gegevens Gereformeerde Kerk Vrijgemaakt Lelystad Artikel 1 - Begripsbepalingen

Bewerkersovereenkomst uitvoering Vroeg Eropaf

Formulier verwerking persoonsgegevens

onderzoek en privacy WAT ZEGT DE WET

MBO roadmap informatiebeveiligingsbeleid. privacy beleid

Tammo Beek beleidsmedewerker Communicatie Jos Bosten Beleidsadviseur Elearning en ICT. Wie zijn wij

PRIVACYREGLEMENT. de publieke uitvoerder van re-integratieactiviteiten in de Leidse regio, onderdeel van de gemeentelijke instelling DZB Leiden.

Transcriptie:

Informatiebeveiliging: Hoe voorkomen we issues? Workshop C Remco de Boer (Kennisnet) Ludo Cuijpers (MBO Taskforce IBB)

Inhoud 1. Voorstelronde 2. Over uw rol 3. Maatregelen 4. De diepte in

Voorstelronde Naam Organisatie Waarom deze workshop?

Privacy en beveiliging: Uw rol Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen Degene aan wie persoonsgegevens worden verstrekt Verantwoordelijke Bewerker Ontvanger De natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt Degene op wie een persoonsgegeven betrekking heeft Betrokkene

Privacy en beveiliging: Uw rol De natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen Degene aan wie persoonsgegevens worden verstrekt Artikel 13, Wbp De verantwoordelijke(!) legt passende technische en organisatorische maatregelen ten uitvoer om Verantwoordelijke Bewerker Ontvanger persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Degene op wie een persoonsgegeven betrekking heeft Betrokkene

Maatregelen Welke maatregelen en instrumenten gebruikt uw organisatie? Wat ontbreekt er nog?

Maatregelen MBO Toetsingskaders MBO Taskforce IBB Normenkader SURFaudit SURF Juridisch normenkader cloudservices HO HO ROSA katern P&B, SION Certificeringsschema Studielink aansluitvoorwaarden Privacyconvenant Doorbraakproject onderwijs en ict PO Kwalificatie OSO VO

In detail MBO Toetsingskaders MBO Taskforce IBB Normenkader SURFaudit SURF Juridisch normenkader cloudservices HO HO ROSA katern P&B, SION Certificeringsschema Studielink aansluitvoorwaarden Privacyconvenant Doorbraakproject onderwijs en ict PO Kwalificatie OSO VO

Roadmap

Roadmap 1. Aanleiding 2. Opdracht Beschrijving urgentie informatiebeveiliging en privacy met als logische vervolgstap het opzetten van Informatiebeveiliging en privacy beleid binnen de MBO instelling. Formulering van de opdracht voor de kwartiermaker. Benoemen van de faciliteiten. Vastleggen van de kaders (bijvoorbeeld normenkader ISO 27001-2). 3. Inventarisatie Inventarisaties architecturen (proces, data, applicatie en netwerk). Gesprekken met medewerkers binnen MBO instelling. Eerste globale BIV classificatie en ranking van IT voorzieningen. 4. Nulmeting 5. Verbeterplan Beleid nulmeting. Technische nulmeting. Proces nulmeting. Risico s en uitdagingen. Verbeterplan. Uitvoeren audit(s)

Risicoanalyse

Risicoanalyse De risico s gegroepeerd: 1A 1B Beleid, organisatie en personeel Informatiebeveiliging Beleid, organisatie en personeel Privacy Cluster: 1, 2 en 7 2 Techniek en externe koppelingen Cluster: 3, 4 en 9 3 Applicaties en audit Cluster: 5 en 6 4 Examineren Cluster: 8

Normen- en toetsingskader

Beleid en organisatie Nr. ISO27002 Statement 1.6 6.2.1.1 Beleid voor mobiele apparatuur: Er dient beleid te worden vastgesteld om de risico s die het gebruik van mobiele apparatuur met zich meebrengt te beheren. I 1.9 10.1.1.1 1.10 10.1.1.2 1.11 11.2.5 1.12 13.2.1 1.13 13.2.2 1.16 15.1.3 1.18 16.1.2 Beleid inzake het gebruik van cryptografische beheersmaatregelen: Ter bescherming van informatie behoort een beleid voor het gebruik van crypto grafische beheersmaatregelen te worden ontwikkeld. Beleid inzake het gebruik van cryptografische beheersmaatregelen: Ter bescherming van informatie zijn er tools of applicaties aanwezig waarmee het beleid voor het gebruik van crypto grafische beheersmaatregelen wordt geïmplementeerd. Verwijdering van bedrijfsmiddelen: Apparatuur, informatie en software behoren niet van de locatie te worden meegenomen zonder voorafgaande goedkeuring. Beleid en procedures voor informatietransport: Ter bescherming van het informatietransport, dat via alle soorten communicatiefaciliteiten verloopt, behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn. Overeenkomsten over informatietransport: Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen. Toeleveringsketen van informatie- en communicatietechnologie: Overeenkomsten met leveranciers behoren eisen te bevatten die betrekking hebben op de informatiebeveiligingsrisico s in verband met de toeleveringsketen van de diensten en producten op het gebied van informatie- en communicatietechnologie. Rapportage van informatiebeveiligingsgebeurtenissen: Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd. P P P B B I B

Beleid

Inrichting organisatie

Inrichting organisatie Scholing informatiebeveiliging Masterclasses Themaconferenties Positionering Governance Functiebeschrijving en waardering (IBP coördinator en IBP manager)

Awareness

Informatie- en privacy-audit

Informatie- en privacy-audit Audit stappen Self assessment Interne audit Peer audit Externe audit

Vragen / meer info Meer informatie? Mails zijn welkom: Ludo Cuijpers Remco de Boer L.Cuijpers@kennisnet.nl R.deBoer@kennisnet.nl

Bibliografie ROSA Katern P&B http://www.edustandaard.nl/fileadmin/edustandaard/user_upload/rosa_k atern_privacy_en_informatie_beveiliging_v1.0.docx Normenkader SURFaudit https://www.surf.nl/diensten-en-producten/surfaudit/normenkadersurfaudit/index.html SURF Juridisch normenkader cloudservices https://www.surf.nl/kennis-en-innovatie/kennisbank/2013/juridischnormenkader-cloud-services-hoger-onderwijs.html Privacyconvenant Doorbraakproject ict en onderwijs http://doorbraakonderwijsenict.nl/ MBO Taskforce IBB http://www.kennisnet.nl/themas/informatiemanagement/informatiebeveili ging/

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback