René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

Vergelijkbare documenten
Gemeente Alphen aan den Rijn

Aantoonbaar in control op informatiebeveiliging

Youri. CISO BUCH-gemeenten. Even voorstellen. Stuurgroeplid. Lammerts van Bueren. Grip op informatieveiligheid met ENSIA

Welkom bij parallellijn 1 On the Move uur

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Brief aan de leden T.a.v. het college en de raad. 21 maart ECIB/U Lbr. 17/017 (070)

Bijeenkomst gemeenten zelfevaluaties 2016/2017. d.d. 31 januari te Utrecht

Format presentatie Kick-off

Voorstel Informatiebeveiliging beleid Twente

Het verveelvoudigen of openbaar maken van dit werk is, zonder de schriftelijke toestemming van ARANEA ISM, niet toegestaan. 1

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Handreiking Informatieveiligheid

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

ENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017

ENSIA ROL- EN TAAKBESCHRIJVING VAN GEMEENTELIJKE STAKEHOLDERS

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Handreiking Implementatie Specifiek Suwinetnormenkader

ENSIA voor informatieveiligheid

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

Ver V eniging eniging v an Nede rlandse meenten In deze sessie Wat vooraf ging Waarom vind ik ENSIA belangrijk? ENSIA the basics

ECIB/U Lbr. 17/010

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Proces verantwoorden ENSIA Toelichting en formats voor college en de raad

Timeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy.

Handleiding ENSIA-tool. voor gemeenten

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november Anita van Nieuwenborg

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Jaarverslag Informatiebeveiliging en Privacy

Kwaliteitsmonitor en zelfevaluaties Mandy van Tol/Lida ten Veen Diana van den Brink Enry de Brouwer Sylvia van Gilst

Informatieveiligheidsbeleid

In deze raadsinformatiebrief leest u de stand van zaken over de invoering van de AVG en BIG.

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

ons kenmerk ECIB/U Lbr. 16/046

De maatregelen in de komende NEN Beer Franken

Verklaring van Toepasselijkheid en Informatiebeveiligingsbeleid

Hoe implementeer je de NEN7510?

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Rapportage Informatiebeveiliging 2018

NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Welkom bij parallellijn 1 On the Move uur

Hoe operationaliseer ik de BIC?

TOELICHTING OP GAP-ANALYSE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Verklaring van Toepasselijkheid

BABVI/U Lbr. 13/057

Innovatie in een veranderd risicolandschap

IMPLEMENTATIE BIG. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Dit voorstel gaat over de implementatie van de BIG, de AVG en de ENSIA en de gevolgen hiervan voor de gemeentelijke organisatie.

Agenda. Peter Greve Strategisch Accountmanager bij UWV Gegevensdiensten

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Ondersteuning op de toetsing van Suwinet uit de Collegeverklaring

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Rapportage informatieveiligheid en privacy gemeente Delfzijl

Informatieveiligheid. Youri Lammerts van Bueren Adviseur Informatiebeveiliging (CISO)

ENSIA door gemeenten. 31 oktober 2017 Edith van Ruijven

Welkom bij parallellijn 1 On the Move uur. Stap 2 van de BIG Hoe kom ik tot een informatiebeveiligingsplan?

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015

Een Information Security Management System: iedereen moet het, niemand doet het.

ENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017

NEN 7510: een ergernis of een hulpmiddel?

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

Wat is ENSIA? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit.

HANDREIKING ENSIA VERANTWOORDING VOOR SAMENWERKINGSVERBANDEN

Informatiebeveiliging gemeenten. KPN logische partner bij invoering en uitvoering

4G Dienstbeschrijving Februari 2013

9 augustus 2016 Gegevenswisseling Suwinet ECIB/U

Workshop Kwaliteitsmonitor

CERTIFICERING DATASTORAGE ISO 27001:2013 EN NEN7510:2011

INFORMATIEVEILIGHEID een uitdaging van ons allemaal

Informatiebeveiligingsbeleid

ENSIA voor Informatieveiligheid. Informatie voor Auditors

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

Rapportage informatiebeveiliging bij gemeente Zaanstad Periode: 2016

informatiebeveiliging

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe & Surfibo

Mobiel Internet Dienstbeschrijving

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]

Informatiebeveiliging in Súdwest-Fryslân

Stappenplan naar GDPR compliance

informatiecentrum tel. uw kenmerk bijlage(n) (070) Lbr. 14/086

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst


Zet de stap naar certificering!

Openheid versus Informatiebeveiliging. Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

I N T E R C O M M U N A L E L E I E D A L 1

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

pagina x van y 1. Onderwerp. Qubic Solutions. Ansur gebruikersdag oktober Vision meets Precision. Vision meets Precision

Informatiebeveiliging voor overheidsorganisaties

Informatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR

Transcriptie:

ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases 7. Vragen 1

Partners van SEP 2

ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases 7. Vragen René IJpelaar VIAG-congres, 3 november Een slimme implementatie én 2014 goede borging van de BIG 3

1 2 3 4 5 6 Baseline Informatiebeveiliging Gemeenten Standaard aanpak Slimme aanpak ISMS 2.0 Slim samenwerkende gemeenten BIG: jaarlijks focus aanbrengen Aanpak informatieveiligheid gemeenten Waar begon het ook al weer? 1 november 2013 29 november 2013 VNG & KING Informatie Beveiligings Dienst (IBD) Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente aangenomen 4

Aanpak informatieveiligheid gemeenten Inhoud resolutie: 1. bestuurlijk en ambtelijk borgen 2. de BIG (Baseline Informatiebeveiliging Gemeenten) implementeren 3. transparant zijn over de lokale invulling van informatieveiligheid (in control verklaring) Baseline Informatiebeveiliging Gemeenten (BIG) = BIG! Doel: 1. Gemeenten op een vergelijkbare manier efficiënt laten werken met informatieveiligheid. 2. Gemeenten een hulpmiddel bieden om aan alle eisen op het gebied van van Informatieveiligheid te kunnen voldoen. 3. De auditlast bij gemeenten te verminderen. BIG betekent 39 doelstellingen in 11 domeinen, 133 mogelijke beheersmaatregelen en 303 mogelijke beveiligingsmaatregelen. 4. Gemeenten zijn een aantoonbaar betrouwbare partner. 5

Baseline Informatiebeveiliging Gemeenten 11 domeinen: A.5 Beveiligingsbeleid A.6 Organisatie van de informatiebeveiliging A.7 Beheer van bedrijfsmiddelen A.8 Personele beveiliging A.9 Fysieke beveiliging en beveiliging van de omgeving A.10 Beheer van communicatie- en bedieningsprocessen A.11 Logische toegangsbeveiliging A.12 Verwerving, ontwikkeling en onderhoud van informatiesystemen A.13 Beheer van informatiebeveiligingsincidenten A.14 Beheer van bedrijfscontinuïteit A.15 Naleving A.5 A.6 A.7 A.8 A.9 A.10 A.11 A.12 A.13 A.14 A.15 Domeinen A.11.1 A.11.2 A.11.3 A.11.4 A.11.5 A.11.6 A.11.7 A.11.1.1 A.11.7.1 A.11.7.2 Doelstellingen Beheersmaatregelen 1 2 Baseline Informatiebeveiliging Gemeenten Standaard aanpak 3 4 5 6 Slimme aanpak ISMS 2.0 Slim samenwerkende gemeenten BIG: jaarlijks focus aanbrengen 6

Standaard aanpak Bestaat uit: GAP analyse op diepste niveau (303 beveiligingsmaatregelen), quick wins en daarna impactanalyse Ervaring: nog geen 25% voert impactanalyse uit Waar is de focus? BIG verplicht: jaarlijks risico-afweging, elk jaar opnieuw focus aanbrengen! Implementatie is niet eenmalig! Fasering en planning Vuistregel praktijk: per maatregel 16 uur per betrokken team. 303 maatregelen. Stel: 200 nog te nemen met gemiddeld 2 teams betrokken: 200 * 2 * 16 = 6400 uur Op basis van concrete voorbeelden Advies: Focus aanbrengen door: 1. Slimme aanpak én 2. Gebruik van standaard ISMS. Dat scheelt tijd! 7

1 2 3 4 5 6 Baseline Informatiebeveiliging Gemeenten Standaard aanpak Slimme aanpak ISMS 2.0 Slim samenwerkende gemeenten BIG: jaarlijks focus aanbrengen Ervaring slimme aanpak Bij 50 gemeenten Ervaring slimme aanpak: Gebaseerd op best practice ISO 27001, bij meer dan 50 gemeenten Slimme aanpak: 1. Pas toe of leg uit: Top is verantwoordelijk. Alle bedrijfsprocessen zijn in control Transparant: zeg wat je doet en doe wat je zegt. 2. Een werkende verbetercyclus: Géén eenmalige actie, maar permanente verbetercyclus. 8

Slimme aanpak Bestaat uit: 1. Gezamenlijke commitment en focus binnen één week (!): gap analyse en impactanalyse tegelijk uit te voeren op beheermaatregel niveau (133) 2. Stuurinstrument: Verklaring Van Toepasselijkheid (VVT) 3. Gebruik ISMS 2.0 voor sturing en procedures 4. Jaarlijkse herhaling, focus aanbrengen Voordelen Sneller inzicht met minder inzet mét alle stakeholders betrokken Meer focus op impactanalyse de juiste dingen doen Overzicht stand van zaken tbv management met verbeterplanning en verantwoording Binnen één week meer tijd voor implementatie 9

VVT (in control verklaring) Zorg voor een AO die voldoet en blijft voldoen aan de Baseline Informatiebeveiliging Gemeenten! Inclusief: Dashboard Overzicht stand van zaken Verbeterplanning Management commitment Kern: Verklaring Van Toepasselijkheid 10

ISMS 2.0 Voortgang 11

Dashboard 1 2 3 4 5 6 Baseline Informatiebeveiliging Gemeenten Standaard aanpak Slimme aanpak ISMS 2.0 Slim samenwerkende gemeenten BIG: jaarlijks focus aanbrengen 12

Gebruikers Maatregelen 13

Beheer- én beveiligingsmaatregelen Voortgang 14

Controles en notificaties Van toepassing? Dan bijbehorende documenten gekoppeld aan maatregel 15

Documenten Eigen documenten 16

In control verklaring Collegeverklaring (bestuur, management, visitatiecommissie, ENSIA) Voortgangbespreking Risico-afweging Downloaden Verklaring Van Toepasselijkheid 17

Export VVT + documenten We staan klaar voor de ENSIA! 18

Pilot importfunctie ENSIA-tool Export: vragenlijst + collegeverklaring ISMS 2.0 Compleet, integraal én goede basis voor de single audit 19

1 2 3 4 5 6 Baseline Informatiebeveiliging Gemeenten Standaard aanpak Slimme aanpak ISMS 2.0 Slim samenwerkende gemeenten BIG: jaarlijks focus aanbrengen ISMS 2.0 Organisatiestructuren 4 basisvarianten van een ISMS-structuur SO SO SO SO SO O OO OO OO OO OO OO 20

Slim samenwerkende gemeenten Overzichten gezamenlijk en individueel Samenwerkende organisatie gekoppeld 21

Slim samenwerkende gemeenten G G S S G G G Ieder eigen verantwoordelijkheid en toch gezamenlijk overzicht en inzicht S 1 Baseline Informatiebeveiliging Gemeenten 2 Standaard aanpak 3 Slimme aanpak 4 ISMS 2.0 5 Slim samenwerkende gemeenten 6 BIG: jaarlijks focus aanbrengen 22

Jaarlijks focus aanbrengen Demingcirkel Monitoren, controleren en focus aanbrengen Implementeren met behulp van ISMS Inventariseren ISMS 2.0 Maatregelen doornemen en invoeren in ISMS 2.0 met VVT Vaststellen in VVT en beveiligingsplan Klanten ISMS, o.a.: 23

ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Vragen ISMS 2.0 Beveiliging SSL certificaat EV (Extended Validatie) SSL-certificaat met groene adresbalk en bedrijfsnaam zichtbaar diverse testen VPS bij TransIP.nl Amsterdam hoge beveiliging 100% CO 2 neutraal, groene stroom certificering ISO 9001 ISO 27001 ISO 14001 backup 48 24

ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases 7. Vragen ISMS 3.0 nieuwe functies die (zeker) in 3.0 komen Interface Gebruikersinterface meer conform standaard en consistent Outlook menustructuur inklapbare menu s kruimelpad mijn account menu uitbreiding dashboard grafische vormgeving met domeinfilters doorklikmogelijkheden uitbreiding rapportages 50 25

ISMS 3.0 Interface 51 ISMS 3.0 Interface 52 26

ISMS 3.1 nieuwe functies in 3.1 SEPtember / begin 2018 3 stappen gebruikers / adviseurs gebruikersgroep gebruikersenquête 53 ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases 7. Vragen 27

Inhoudelijk Content aanpassingen Content Per januari 69 gewijzigde documenten Tussentijds gerealiseerde aanpassingen Nieuwe al gerealiseerde content Op speciaal verzoek van Burgerzaken, begin juni 2017 Juli 2017 55 5.1.2 Informatiebeveiligingsbeleid Inhoudelijk Content aanpassingen Per januari 69 gewijzigde documenten Tussentijds gerealiseerde aanpassingen 5.1.2 Informatiebeveiligingsbeleid 8.2.1.1 Eed of gelofte 13.1.1 Procedure melden van incidenten 13.1.1.2 Werkinstructie melden datalekken 13.1.1.3 Informatiebulletin meldplicht datalekken ISMS-Verklaring van Toepasselijkheid template 6.2.1.1 Bijlage inkoopvoorwaarden vanuit BIG 56 28

5.1.2 Informatiebeveiligingsbeleid Inhoudelijk Content aanpassingen Nieuwe al gerealiseerde content Speciale versie voor belastingkantoren 8.2.1.6 Flyer omgaan met informatie voor medewerkers 8.2.1.7 Flyer omgaan met informatie voor beheerders 8.2.1.8 Flyer omgaan met informatie voor informatieverwerkers 8.2.1.9 Flyer omgaan met informatie voor leidinggevenden 57 5.1.2 Informatiebeveiligingsbeleid Inhoudelijk Content aanpassingen Op speciaal verzoek van Burgerzaken, begin juni 2017 15.3.1.1 Cross reference vragenlijst BRP met vindplaats ISMS8.2.1.6 Flyer omgaan met informatie voor medewerkers 15.3.1.5 Cross reference vragenlijst PNIK met vindplaats ISMS 58 29

5.1.2 Informatiebeveiligingsbeleid Inhoudelijk Content aanpassingen Juli 2017 15.3.1.2 Cross reference vragenlijst Suwinet met vindplaats ISMS uit Ensia tool Overige aanpassingen i.v.m. Suwinet Collegeverklaring Informatiebeveiliging (ENSIA) 8.1.1.11 Functiebeschrijving Beveiligingsfunctionaris Waardedocumenten. 8.1.1.12 Functiebeschrijving Beveiligingsbeheerder BRP Mobile devicemanagement Aanpassingen i.v.m. nieuwe DigiD assessment 59 ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases 7. Vragen 30

Vragen? 31

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback