ICT Outsourcing & Beveiliging

Vergelijkbare documenten
Grip op Contractmanagement IIR Congres 27 en 28 november 2013 Thematafel: privacy & security issues voor de contractmanager.

Kennismiddag: Demand Management

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

Sociale Verzekeringsbank Document Afspraken en Procedures (DAP) Bijlage N, behorend bij het Beschrijvend document

Informatiebeveiligingsbeleid

Service Level Management SLA Template

Service Level Management Contract Template

Gegevensbescherming & IT

Concrete SLA's in een keten van diensten RONDE 2

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Informatiebeveiligingsbeleid

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Enkele handige tips bij het beoordelen van clouddienstvoorwaarden. en Service Level Agreements

Service Level Management Contract Checklist

Informatiebeveiligingsbeleid SBG

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Outsourcing in een ziekenhuis Klantcase uitbesteden TAB Hix. Las Vegas, 7 maart 2018 Ed de Myttenaere BEng CISA CRISC MBA RI

Welkom bij Interconnect. Maartje van Alem Marketing Manager

Maximale ontzorging in eigen regie POWERED BY

Categorie ICT Werkomgeving Rijk: Inrichting contractmanagement

ICT en recht. mr. ir. A. Engelfriet Partner bij ICTRecht.nl en parttime docent bij de / ictrecht.

Als beveiligingssystemen IT-systemen zijn, waarom worden ze dan niet beheerd door de. IT-afdeling? Over Thimo Keizer

SERVICE LEVEL AGREEMENT SERVICE LEVEL AGREEMENT ADDENDUM MANTELOVEREENKOMST BIT B.V. VERSIE

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

ICT-contracten en algemene voorwaarden

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Uitbestedingsbeleid. - Uitbestedingsrelatie: de onderneming aan wie het fonds heeft uitbesteed.

A-1: Zijn de procedures omtrent het beheer van de IT infrastructuur vastgelegd?

SLA s voor niet-juristen

Offshore Outsourcing van Infrastructure Management

BIJLAGE : MODEL SERVICE LEVEL AGREEMENT

DIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT

Basisnormen Beveiliging en Beheer ICT-infrastructuur

notities Versie: versie datum Onderwerp Interne Leveringsvoorwaarden van het ICT Servicecentrum, RU Nijmegen Aan HaWo

Beveiliging en SLA :02 Pagina 1. Beveiliging en Service Level Agreements

Inholland DC à Cloud Huub Oude Groen Robert Beudeker Manager IT Operations Solution Architect

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Databeveiliging en Hosting Asperion

Ondersteunende processen Organisatie Informatiebeveiliging Melding Datalek

Informatiebeveiliging

Partnering Trust in online services AVG. Vertrouwen in de keten

Inkopen van idiensten

Algemene voorwaarden Trouwen en Meer

ADVISIE SERVICE SOLUTIONS

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

1. Begrippen. Hierna gezamenlijk te noemen Partijen ; In aanmerking nemende:

Gelukkig Nieuwjaar. TweeduizendTwaalf. Transition Experts wenst iedereen een gelukkig, gezond en succesvol. Dat het een goed T&T jaar mag worden!

Whitepaper. Outsourcing. Uitbesteden ICT: Wat, waarom, aan wie en hoe? 1/6.

24/7. Support. smart fms

Outsourcing aanpak. Aanpak en leermomenten bij outsourcing Willem Klinkert

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007

Privacy Compliance in een Cloud Omgeving

Best practice verzameling voor het managen van alle aspecten van beheer van ICT-infrastructuur.

Masterclass. Uitbesteden / Outsourcing

Contactpersoon: Romy Koster - Bulo Telefoon: r.bulo@adjectiv.nl Lelystad. Curriculum Vita Hanny van Keep

Bijlage 2 behorend bij de Algemene Voorwaarden Caresharing B.V.: Security Statement

Facilitair inkopen. Met gereedschappen en methodieken om het inkoopvak beter te beheersen

Readiness Assessment ISMS

Hoe veilig is de cloud?

Checklist Beveiliging Persoonsgegevens

Service Level Agreement (SLA)

1 Dienstbeschrijving all-in beheer

Keurmerk Zeker-OnLine is HET keurmerk voor online administratieve diensten.

Verklaring van Toepasselijkheid

TESTEN % ITIL & ASL & BISL WAT HEEFT EEN TESTER AAN ITIL? EEN PRAKTISCH HULPMIDDEL OF BUREAUCRATISCHE BALLAST?

SURFmarket O365 propositie

Het succes van samen werken!

ComPromise Cross Info Event 7 november 2013

Service Level Agreement Datacenter Vlaanderen

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid

Wieben. ik?

Bonte Bij Aanbestedingen ehrm

Seriously Seeking Security

De succesfactoren voor een IT contract. Reinout Rinzema Ventoux Advocaten 23 juni 2016

Veilig mobiel werken. Workshop VIAG 7 oktober 2013

PinkSCAN. Verbeter de kwaliteit van uw IT dienstverlening

Managementinformatie Onderhoudsbedrijven

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

ITIL en/of eigen verantwoordelijkheid

Innovatiegericht inkopen

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

Vertrouwen is het sleutelwoord bij outsourcen. IS Interned Services: Outsourcen doe je samen op basis van gelijkwaardig partnership

De bewerkersovereenkomst

Service Level Agreement Versie april 2012

BEWERKERSOVEREENKOMST

Scenario 1: risico s. competenties; 1. Onveilige configuraties op IT-systemen en IT-infrastructuur; 2. Gebrek aan netwerkscheiding;

Actualiteitendag Platform Deelnemersraden Risicomanagement

BIJLAGE behorende bij ISO/IEC 27002: 2013 Grafimedia

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Risicoworkshop 21 maart Zoek de risico s

Model Classificatie en Risicoanalyse Gegevensverwerkingen

Welke van onderstaande factoren bepaalt mede de prioriteit van een incident?

Praktijkcase de ervaringen van Koenen en Co met de transitie naar de cloud. Koenen en Co en Valid

Uitbesteding & Uitbestedingsrisico s. Ingrid Talsma Verzekeringsmiddag Bussum, 25 april 2018

Transcriptie:

ICT Outsourcing & Beveiliging Mr.W. H.M. Hafkamp abobank Nederland /Platform Informatiebeveiliging G VIB 18 december 2001 Jaarbeurs Utrecht

Agenda Toelichting abobank / PI Outsourcing proces De SLA-studies: praktijkwijzer Drielagenmodel Het (model)contract Objecten van uitbesteding Beveiligingsmatrix Stellingen

Even voorstellen... Wim Hafkamp: Senior adviseur informatiebeveiliging abobank Nederland Betalingsverkeer

abobank Groep Coöperatieve abobanken (439) Aangesloten Banken Bedrijf abobank Nederland Concernstaven abobank International Interpolis International Private Banking & Trust De Lage Landen International obeco Groep abofacet Schretlen & Co Gilde Investment Management Overige Deelnemingen

Platform Informatiebeveiliging Vereniging van: security managers (CSA) EDP-auditors (OTB) +/- 50 organisaties zijn lid Doel: beveiligingsnormen / studies themasessies

Outsourcing decision model IT Function of strategic importance? YES More than one capable vendor? NO Will outsourcing lead to loss of control? YES Can there be switched from vendor? NO Can vendor be sufficiently evaluated in advance? NO Can vendor realise economies of scale? NO Consider outsourcing Forget outsourcing

Het outsourcing proces Stap 1:Initiatie Haalbaarheidsonderzoek FI/FP Leverancierselectie Prijs/prestatie Contract Stap 2:Installatie Infrastructuur Organisatie Migratie Stap 3: Uitvoering Service (level) management SECUITY?!

PI-SLA studies Beveiliging in klant-leveranciersrelatie Studie 1: normen en bedreigingen Studie 2: contractuele aspecten Hulpmiddel voor SLA / contract betrokkenen

Uitgangspunten Eindverantwoordelijkheid kan niet worden uitbesteed Bestaande beveiligingsniveau wordt niet aangetast Aansluiting bij ITIL-methodologie Basis voor normen / maatregelen: relevante bedreigingen

Visie op uitbesteding Uitbesteding overeenkomst Tactisch niveau Operationeel niveau Strategisch niveau Service Level Agreement Dossier Afspraken en Procedures Provider Klant

Drielagenm o del:essentialia Maak contract tijd/conjunctuur-ongevoelig beveiligingsdetails in SLA anticipeer op toekomstige wetgeving gebruik bijlagen voor afspraken over: concrete dienstverlening prestatie-indicatoren uitgangspunten / randvoorwaarden definitie-omschrijving

Overeenkomst/contract 6:217 Bw (...) door aanbod en aanvaarding Mondelinge afspraken zijn bindend Wil & gewekte verwachting equest for proposal (pre-contractuele fase!)

Pre-contractuele fase: rechtspraaksteekproef Leverancier - Informatieverstrekking - Deskundige bij uitstek - Waarschuwingsplicht - Scholing (bijstandsplicht) Klant - Ondernemingsinfo - Vergewissingsplicht - Bedingen van tests

M o delcontract 14 artikelen: 1. Definities 2. Onderwerp 3. Prijzen en tarieven 4. Acceptatieprocedures 5. Overleg en rapportagestructuur 6. Controlerecht 7. Inzet derden

M o delcontract 8. Geheimhouding en beveiliging 9. Wijziging services 10. Garanties 11. Licentie en Intellectuele eigendom 12. Aansprakelijkheid 13. Duur van de overeenkomst 14. Geschillen

M o delcontract Aldus overeengekomen ( ): Opdrachtgever en leverancier Datum en Plaats

Objecten van uitbesteding Netwerk Werkplek ekencentrum Systeemontwikkeling BESCHIKBAAHEID INTEGITEIT VETOUWELIJKHEID

Beveiligingsmatrix Input voor SLA Ontstaan vanuit risicogedachte menselijk falen systeemtechnisch falen infrastructureel falen organisatorisch falen koppeling met Code voor Informatiebeveiliging

Gedeelte uitmatrix CITEIA VOO BEVEILIGING: - Beschikbaarheid (B) - Integriteit (I) - Vertrouwelijkheid (V) Nummer B I V Overig MOGELIJKE MAATEGEL(EN): BEDEIGING: Link naar Code voor Informatie beveiliging 2000 M MENSELIJK FALEN M1 X Verduidelijken werkzaamheden Onoplettendheid 4.1.3, 5.1, 6.1.1, B Collegiale/Interne controle 6.1.2, 6.2, 6.3, 7.2, 7.3.1 M2 X Opleiden Ondeskundigheid 6.2, 8.1.1, 11.1.5 B M3 X Duidelijke werkinstructies Helpdesk informatie Onvoldoende ondersteuning 6.2, 8.1.1, 8.1.3 B M4 X X Toegangsbeveiliging Controle op geoorloofdheid van programma s egistratie en evaluatie gebruik Ongeoorloofd gebruik van systemen en programma s 4.2, 5.2, 7.2.1, 7.2.5, 7.2.6, 7.3, 8.1.4, 8.1.5, 8.7.5, 9 S M5 X Classificatie van gegevens egistratie en evaluatie gebruik Toegangsbeveiliging Clean Desk/screen policy Ongeoorloofd gebruik van gegevens en output 5.2, 7.2.5, 7.2.6, 7.3, 8.1.4, 8.1.5, 8.6, 8.7, 9, 10.4.2, 12.1 Klant IM Levera ncier

DIEFSTAL

BAND

AFLUISTEEN

Stap 1: selectie bedreigingen Selecteer op basis van object of B-I-V kwaliteitseis de relevante bedreigingen (Voorbeeld ekencentrum) EIS BEDEIGING MOGELIJKE MAATEGEL(EN) CODE INITIATO I / V Ongeoorloofd gebruik gegevens / output egistratie gebruik Toegangsbeveiliging Clean desk policy 5.2, 7.2.1, 7.2.5, 7.2.6, 8.1.4, ( ) Klant: IM

Stap 2: adresseer maatregelen Maak de maatregelen genoemd bij de bedreigingen concreet en voeg toe aan SLA EIS BEDEIGING MOGELIJKE MAATEGEL(EN) CODE INITIATO I / V Ongeoorloofd gebruik gegevens / output egistratie gebruik Toegangsbeveiliging Clean desk policy 5.2, 7.2.1, 7.2.5, 7.2.6, 8.1.4, ( ) Klant: IM

Stap 3: verantwoordelijken Koppel verantwoordelijke functionarissen (K/L) aan maatregelen in kader van naleving en communicatie EIS BEDEIGING MOGELIJKE MAATEGEL(EN) CODE INITIATO I / V Ongeoorloofd gebruik gegevens / output egistratie gebruik Toegangsbeveiliging Clean desk policy 5.2, 7.2.1, 7.2.5, 7.2.6, 8.1.4, ( ) Klant: IM

Stelling 1 Beveiligingsnormen zijn lastig te concretiseren Aspecten als Integriteit en Vertrouwelijkheid zijn in een klant-leverancier vaak niet te kwantificeren. De PI-studies helpen bij het opstellen van een SLA en het adresseren van adequate beveiligingsmaatregelen.

Stelling 2 Certificering van IT-beveiliging niet dé oplossing Enkel certificering van leverancier is niet verstandig. Leverancier bepaalt dan immers niveau en kwaliteit van de geïmplementeerde maatregelen. Beveiligingsnormen dienen vooraf in een uitbestedingsovereenkomst / SLA vast te liggen!

Vragen /opmerkingen? Jullie mogen alles van mij weten, behalve mijn. W.H.M.HAFKAMP@N.ABOBANK.NL

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback