Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)



Vergelijkbare documenten
TOELICHTING OP GAP-ANALYSE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

IMPLEMENTATIE BIG. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november Anita van Nieuwenborg

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Welkom bij parallellijn 1 On the Move uur. Stap 2 van de BIG Hoe kom ik tot een informatiebeveiligingsplan?

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

De Baseline Informatiebeveiliging En Kleine Gemeenten

BABVI/U Lbr. 13/057

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Management van mobiele apparaten. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

S. Nicolasen, B. Duindam, K. v.d. Heuvel, D. Wering. Advies: Bijgaande raadsinformatiebrief goedkeuren en naar raad verzenden.

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Handreiking Implementatie Specifiek Suwinetnormenkader

INFORMATIEVEILIGHEID een uitdaging van ons allemaal

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD

Voor het gebruik van het planningsinstrument geldt onderstaande handleiding

o n k Ö A fia* V/ \ ^ * f

Anti-malware beleid. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

Workshop Kwaliteitsmonitor

Baseline(Informatiebeveiliging(HO((BIHO)( (

informatiecentrum tel. uw kenmerk bijlage(n) (070) Lbr. 14/086

BIO-Aanpak. Kees Hintzbergen, Senior adviseur IB IBD. Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).

Massabalans Autodemontagebedrijven

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

FS E. Forum Standaardisatie. Verkennend onderzoek NEN-ISO/IEC en Datum 27 november 2014

11 december 2014 Jule Hintzbergen, IBD. De Baseline Informatiebeveiliging en kleine gemeenten

Aantoonbaar in control op informatiebeveiliging

Tweede Kamer der Staten-Generaal

VEILIGE AFVOER VAN ICT- MIDDELEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

Ondersteuning op de toetsing van Suwinet uit de Collegeverklaring

Informatieveiligheid. Youri Lammerts van Bueren Adviseur Informatiebeveiliging (CISO)

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

INKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

TOEGANGSBELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

HANDREIKING PROCES WIJZIGINGSBEHEER

Rapport. Informatieveiligheid en de Raad Met de hamer op tafel. Enquête over hoe raadsleden denken over het thema Informatieveiligheid

INFORMATION SECURITY MANAGEMENT SYSTEM

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Handreiking functieprofiel Chief Information Security Officer (CISO)

HOE IMPLEMENTEER IK DE BIG? HANDLEIDING GERICHT OP KLEINE GEMEENTEN

Handreiking. Opstellen collegeverklaring ENSIA Versie 2.0. Vereniging van Nederlandse Gemeenten

INFORMATION SECURITY MANAGEMENT SYSTEM

VIAG THEMADAG State of the art internet beveiliging

Spreadsheets (Excel 2003)

CONTRACTMANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe Leguit

ons kenmerk ECSD/U Lbr. 14/091

Handleiding ZorgDomein Draaitabellen maken in Microsoft Excel 97-03

Informatiebeveiliging als proces

MOBIELE GEGEVENSDRAGERS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Onderwijstools 2.0, Kennisnet

ons kenmerk ECSD/U Lbr. 14/091

Welkom bij parallellijn 1 On the Move uur

Een beetje beveiligen kan niet Op weg naar veiliger gemeenten Jaarplan 2015 en toekomst IBD Consulterend Overleg 22 september 2014 Boudien Glashouwer

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Henk Wesseling

KNZB werkproces aanstellen scheidsrechters/ beoordelaars op wedstrijden

Handleiding ZorgDomein Draaitabellen maken in Microsoft Excel 2010

ECIB/U Lbr. 17/010

A&K analyse maatschappelijk vitale processen RWS. Een praktische aanpak

13 februari 2011, versie 1.0. Onderzoeksresultaten e-overheid bij gemeenten stand van zaken ondersteuningsbehoefte

Stap 5. Koppel vervolgens de Stages aan de AIOS op het blad AIOS Stageplaats (figuur 5). Nu kunnen de Stage specifieke afspraken aangemaakt worden.

Samenwerking in Uitvoering

Veilig gebruik van suwinet. Mariska ten Heuw Wethouder Sociale Zaken

Werken met DIVA. Een handleiding voor ondernemers. Colofon. Dit rapport is opgesteld door Jordi Strang. Datum Definitief.

Update documentatie. Intramed versie 9.1. Intramed versie 9.1

RESPONSIBLE DISCLOSURE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Voorstel Informatiebeveiliging beleid Twente

Cools, Luuk

NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging

Een Information Security Management System: iedereen moet het, niemand doet het.

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Learn and Share bijeenkomst Informatieveiligheid, Rheden

Security, standaarden en architectuur

Format presentatie Kick-off

Gemeente Alphen aan den Rijn

ENSIA voor informatieveiligheid

Makkelijk Publiceren

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

SAMENHANG BEHEERPROCESSEN EN INFORMATIEBEVEILIGING

PDCA cyclus IenM ingericht, aansluiting met de cycli van de onderdelen is aandachtspuntt

Snel starten met Testweb PSL-b als Leerkracht

,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik

Handleiding beheer en managen verkoopkansen Microsoft CRM 2016

Als particuliere verkoper kun je tweedehands artikelen aanbieden in de volgende winkels:

Quick Scan Informatieveiligheid en Privacy sociaal domein Bollenstreek

Verwerken ruige mestmeldingen voor SNL en PSAN Toelichting voor gebiedscoördinatoren

HARDENING-BELEID VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

IB RAPPORTAGE. Contactcenter Logius

Transcriptie:

Toelichting op GAP-analyse Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst (BIR), is mogelijk gemaakt door de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID). Het product is gebaseerd op het operationele product Toelichting op GAP-analyse behorende bij de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Dit product is ontwikkeld door de Informatiebeveiligingsdienst voor gemeenten (IBD).

Leeswijzer Dit document is een van de operationele producten op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR). Doel De GAP-analyse heeft tot doel om te kunnen controleren of en in welke mate organisaties binnen de Rijksoverheid de maatregelen uit de Baseline Informatiebeveiliging Rijksdienst hebben geïmplementeerd. Dit document betreft een toelichting op de GAP-analyse. Doelgroep Dit document is van belang voor de verantwoordelijke voor het uitvoeren van een GAPanalyse. Reikwijdte Dit document heeft voornamelijk betrekking op alle maatregelen van de Baseline Informatiebeveiliging Rijksdienst (BIR). Relatie met overige producten Baseline Informatiebeveiliging Rijksdienst (BIR). Tactisch Normenkader (TNK) Voorschrift Informatiebeveiliging Rijksdienst (VIR:2007) Voorschrift Informatiebeveiliging Rijksdienst - Bijzondere Informatie (VIRBI:2012) GAP-analyse Informatiebeveiligingsbeleid

Inhoudsopgave 1 Toelichting op GAP-analyse 5 2 Opbouw van de GAP-analyse 5 2.1 Vragenlijst GAP-analyse 5 3 Invullen spreadsheet deel 1 GAP-analyse 6 4 Invullen spreadsheet deel 2 (Impactanalyse) 7 5 Voortgang en rapportage 8

1 Toelichting op GAP-analyse De GAP-analyse heeft tot doel om te kunnen controleren of en in welke mate organisaties binnen de Rijksoverheid de maatregelen uit de Baseline Informatiebeveiliging Rijksdienst (BIR) hebben geïmplementeerd. Een GAP-analyse is een methode om een vergelijking te maken tussen een bestaande of huidige situatie en een gewenste situatie (implementatie van de BIR-maatregelen). Dit document betreft een toelichting op de GAP-analyse ten aanzien van de BIR waarin praktische handreikingen worden geboden om de analyse uit te voeren. De GAP-analyse kan worden uitgevoerd door binnen de organisatie de vragenlijst in de spreadsheet te beantwoorden. De GAP-analyse bevat alle maatregelen uit de Baseline Informatiebeveiliging Rijksdienst met daarbij controlevragen. De GAP-analyse tegen de baseline aanhouden is een brede onderzoeksvraag en gaat binnen de organisatie over alle processen en applicaties heen. Als bijvoorbeeld gekeken wordt naar maatregel 5.1.1.1. dan kan er binnen de organisatie een informatiebeveiligingsplan bestaan binnen de GBA informatiebeveiliging documentatieset of in de set die gemaakt is voor DigiD. Er is daarmee dan deels voldaan aan de vraag of er een informatiebeveiligingsplan is. Pas als de scope van het plan alle bedrijfsprocessen betreft, kan er van een informatiebeveiligingsplan gesproken worden in de zin van de BIR. 2 Opbouw van de GAP-analyse De GAP-analyse kan worden uitgevoerd met het Microsoft Excel-bestand GAP-analyse. De spreadsheet bestaat uit vier tabbladen: 1. Colofon 2. BIR vragenlijst Alle maatregelen uit de BIR, vraag ter specificatie van de maatregelen en kolommen om de vragen te beantwoorden. 3. Resultaat Grafieken waarin het resultaat van de analyse automatisch wordt gepresenteerd. 4. Blad1 Ruimte voor aantekeningen 2.1 Vragenlijst GAP-analyse Vragenlijst De kolomopbouw van de vragenlijst voor de GAP-analyse is als volgt: BIR-nummer Het nummer van het BIR-hoofdstuk/paragraaf; Hoofdgroep Hoofdstuk aanduiding (kan gebruikt worden voor selecteren); Groep Aanduiding van groep binnen een BIR-hoofdstuk (kan gebruikt worden voor sorteren); Maatregel Weergave van de maatregel uit de BIR; 5 13 augustus 2014 Toelichting GAP-analyse Versie 1.0

Vraag Maatregelvraag om de beantwoording scherper te kunnen maken. Beantwoording deel 1 GAP-analyse Aanwezig Is de maatregel geïmplementeerd binnen de organisatie? Deze kolom bevat keuzes: Gedeeltelijk, Ja, Nee, Niet van toepassing en Onbekend; Vindplaats/opmerking 1. Vindplaats Waar is de (beschrijving van de) maatregel gevonden? 2. Opmerking Ruimte voor eigen tekst; Eigenaar Naam van de maatregeleigenaar. Beantwoording deel 2 Impactanalyse Status Wat is de status van de maatregel?; Actiehouder Wie is aanspreekbaar voor de maatregel en/of verantwoordelijk voor implementatie?; Wanneer gereed Wanneer is de implementatie volgens planning gereed?; Geaccepteerd risico Dit beschrijft het besluit van het management. 3 Invullen spreadsheet deel 1 GAP-analyse Na de vragenlijst is het in het Excel-bestand mogelijk de antwoorden voor de GAP-analyse in te vullen. De keuzes die gemaakt kunnen worden in de kolom Aanwezig zijn als volgt: Ja De maatregel is aanwezig. Vul ook de vindplaats in, wie de maatregel uitvoert, waar de maatregel is vastgelegd en overige bijzonderheden. Nee Er is geen maatregel aanwezig. Gedeeltelijk De maatregel is gedeeltelijk geïmplementeerd. Niet van toepassing De maatregel is niet van toepassing. Vul daarbij ook in waarom de maatregel niet van toepassing is. Onbekend: Het is onduidelijk of de aanwezige maatregel voldoet, er moet te lang naar gezocht worden of er liggen nog een aantal onopgeloste vraagstukken. 6 13 augustus 2014 Toelichting GAP-analyse Versie 1.0

Schermvoorbeeld met keuzes: Resultaat deel 1 GAP-analyse Als de vragenlijst is beantwoord, wordt duidelijk hoe de organisatie ervoor staat ten opzichte van de BIR-implementatie. Het resultaat wordt na invullen zichtbaar op het tabblad Resultaat in de bovenste figuur Status GAP-analyse. Binnen dit tabblad kan cel B3 tot en met B14 worden geselecteerd en door middel van de toetsaanslag ALT-F5 een verversing van de resultaten worden bewerkstelligd. Het figuur geeft een procentuele score aan ten opzichte van het optimale resultaat. Na het invullen van deel 1 is de GAP-analyse uitgevoerd. 4 Invullen spreadsheet deel 2 (Impactanalyse) In het tweede deel van het tabblad Vragenlijst van het Excel-bestand kan een impactanalyse worden uitgevoerd. De impactanalyse is een stap in de toewijzing van maatregelen waarbij het van belang is dat een reële planning wordt gemaakt. Hier worden de nog niet gevonden maatregelen of de onbekende maatregelen verder verdeeld in de volgende statussen: Deels geïmplementeerd Een maatregel is deels aanwezig. Geaccepteerd risico Een maatregel wordt niet genomen. Het risico dat wordt gelopen door het niet nemen van de maatregel, wordt geaccepteerd. Geïmplementeerd Een maatregel is volledig geïmplementeerd. In overleg Een maatregel is nog in overleg. Niet geïmplementeerd De maatregel moet nog geïmplementeerd worden. Niet van toepassing De maatregel is niet van toepassing. Nog niet onderzocht De maatregel is nog niet onderzocht. 7 13 augustus 2014 Toelichting GAP-analyse Versie 1.0

Overgedragen De maatregel is overgedragen (bijvoorbeeld aan een technische beheer organisatie). Te implementeren De maatregel gaat geïmplementeerd worden binnen afzienbare tijd. De kolommen Actiehouder en Wanneer Gereed kunnen worden voorzien van concrete informatie over wanneer en door wie een maatregel wordt geïmplementeerd. Schermvoorbeeld met keuzes: Resultaat deel 2 Impactanalyse Als deel 2 is ingevuld, kan in het tabblad Resultaat bij het onderste figuur Status na update en management besluiten zien welke keuzes gemaakt zijn. Binnen dit tabblad kunnen cel B30 tot en met B41 worden geselecteerd en door middel van de toetsaanslag ALT-F5 een verversing van de resultaten worden bewerkstelligd. Het figuur geeft een procentuele score aan ten opzichte van het optimale resultaat. Na het invullen van deel 2 is de Impactanalyse uitgevoerd. 5 Voortgang en rapportage Door de beantwoording van de vragenlijst van de GAP-analyse en de Impactanalyse regelmatig te updaten, kan de voortgang van de BIR-implementatie zichtbaar worden gemaakt. Als er wijzigingen zijn in statussen kunnen deze in de loop van de implementatie van de maatregelen verwerkt worden. De verschillende rekenbladen kunnen samen gebruikt worden voor rapportages aan het management. 8 13 augustus 2014 Toelichting GAP-analyse Versie 1.0

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback