Checklist informatieveiligheid. 12 januari versie 1.1

Vergelijkbare documenten
Norm ICT-beveiligingsassessments DigiD

DIGID-AUDIT BIJ ZORGPORTAAL RIJNMOND

THIRD PARTY MEDEDELING 2015 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: E-DIENSTVERLENING VERSIE 6.1

DigiD beveiligingsassessment Decos Information Solutions

DigiD beveiligingsassessment

Rapportage ICT beveiligingsassessment DigiD Inhoudsopgave. Auditdienst Rijk Minhterie van Financiën

Toepasbaarheid gebied: houder DigiD aansluiting, software ontwikkelaar, hosting partij. Scope: de DigiD applicatie en de infrastructuur

Het ICT beveiligingsassessment. Bas Colen CISSP CISA Eindhoven 17 september 2013

Assurancerapport DigiD assessment Justis

Handreiking DigiD ICT-beveiligingsassessment voor RE's Tabel beveiligingsrichtlijnen met aandachtspunten

AVG. Security awareness & ICT beveiliging

Handreiking DigiD ICT-beveiligingsassessment voor RE's

UWV Security SSD Instructies

Beveiligingsbeleid Perflectie. Architectuur & Procedures

Ontsluiten iprova via Internet Voorbeeld methoden

Beveiliging en bescherming privacy

Algemene voorwaarden ZORG. Algemene gebruiks- en servicevoorwaarden. Zorgrapportage.nl. RAPPORTAGE.nl.

Databeveiliging en Hosting Asperion

Forecast XL Technology

Informatiebeveiliging ZorgMail

Beveiligingsbeleid. Online platform Perflectie

Team Werknemers Pensioen

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

Technische QuickScan. JOMA secundair Merksem Pagina 1 van 28

Bijlage 11 Programma van Eisen

Privacyverklaring. 1. Algemeen. 2. Persoonsgegevens website

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Service Level Agreement Beschrijving van diensten LINFOSYS datacenter. Versie 1.1. Auteur: Linfosys B.V. Tijvoortsebaan 9a.

YOUPROVIDE. Security aspecten

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacyverklaring Hijsspecialist.nl

Privacybeleid. Mankr8 Groep B.V. Charles Petitweg 11a 4827 HJ, Breda Tel

Beschrijving maatregelen Informatie beveiliging centrale omgeving

Bijeenkomst DigiD-assessments

/011. Rapportage ICT beveiligingsassessment DigiD Inhoudsopgave. Auditdienst Rijk

Pluform Privacybeleid Versie 9, 23 april 2018

Security Pentest. 18 Januari Uitgevoerde Test(s): 1. Blackbox Security Pentest 2. Greybox Security Pentest

ENSIA guidance DigiD-assessments

GDPR en de tester Waar moet je als tester bewust van zijn met de GDPR?

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink

Standaardbestek 270. Telematica security DEEL II. Hoofdstuk 48d

ENSIA guidance DigiD-assessments

Service Level Agreement (SLA)

Softcrow Trusted Electronic Services B.V. Privacy Verklaring. Pagina 1 van 9

Privacyreglement Bouwmeester Groep BV / BasisOnline

Security bij de European Registry for Internet Domain Names

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.

HAN4.x technisch document

Atlassian-producten en add-ons als dienst

Beveiligingsbeleid. Online platform Dialog

Privacyverklaring Maatschappelijk Werk Walcheren

INHOUDSOPGAVE INLEIDING... 3 TOEGANG TOT HET NETWERK KSZ VIA INTERNET...

Privacy-AO voor een beveiliger Martin Romijn

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Factsheet Backup on demand

THIRD PARTY MEDEDELING 2017 LEVERANCIER: LIAAN CONSULT B.V. APPLICATIE: Third Party Mededeling 2017 E-DIENSTVERLENING VERSIE 7.2

SSL VPN. In deze handleiding zullen wij onderstaande SSL mogelijkheden aan u uitleggen. - SSL VPN account/groep creëren.

Remote Toegang Policy VICnet/SPITS

Wij verzamelen de volgende gegevens van u als sollicitant: - Naam; - Adres; - adres; - Andere gegevens door uw via uw cv aan ons verstrekt;

Privacy statement leveranciers Toshiba

PRIVACYVERKLARING. Computim web development & Zakelijke VoIP Telefonie

Beveiligingsmaatregelen

Norm ICT-beveiligingsassessments DigiD

1 Inleiding Welke persoonsgegevens verzamelt d-basics B.V.? Persoonsgegevens gebruikers d-basics software... 4

Privacyverklaring msx-shop.nl

Technische en organisatorische beveiligingsmaatregelen voor Op School

Podotherapie Eindhoven verwerkt uw persoonsgegevens uitsluitend voor de volgende doeleinden:

Met het gebruik van het Duurzame Inzetbaarheid-portaal verstrek je bepaalde persoonsgegevens aan SIMPLE CHECK. SIMPLE CHECK verwerkt deze

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Verwerkersovereenkomst

PRIVACYVERKLARING WORK N TOOLS BV (WNT)

Maximale ontzorging in eigen regie POWERED BY

Gebruikershandleiding MobiDM

Technische en organisatorische beveiligingsmaatregelen

Dienstbeschrijving MSSL Licenties

SURFconext Cookbook. Het koppelen van Alfresco aan SURFconext. Versie: 1.0. Datum: 8 december admin@surfnet.nl

Privacyverklaring Tekstnet

AVG. Privacy verklaring. Datum: 18/05/2018. Maakt u gebruik van de diensten van Eetvallei? Dan is deze privacyverklaring voor u bedoeld.

(Door)ontwikkeling van de applicatie en functionaliteiten

Dienstbeschrijving Versie 1.2 Oktober 2014

Privacy beleid JixawStudio mei 2018

Technische Eisen Applicaties

Security web services

Hosting SLA Byte B.V.

Bijlage 2: Communicatie beveiligingsincidenten

Toetsingskader digitaal Ondertekenen (pluscluster 9)

Jacques Herman 21 februari 2013

AVG-proof vergaderen met OurMeeting

Vragenlijst. Voor uw potentiële Cloud Computing-leverancier

Hosting & support contract

Privacy Statement De Bruijn Haarmode

Privacy Policy v Stone Internet Services bvba

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

SSL VPN. In deze handleiding zullen wij onderstaande SSL mogelijkheden aan u uitleggen. - SSL VPN account/groep creëren.

Databeveiligingsmaatregelen voor verenigingen

Service Level Agreement. mijndienstrooster

DIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT

Transcriptie:

Checklist informatieveiligheid 12 januari 2017 - versie 1.1

ICT-Beveiligingsrichtlijnen voor webapplicaties Beschrijving van de beveiligingsrichtlijn Is informatiebeveiliging als een proces ingericht in het totale beheer van uw systeem en in uw organisatie? Voert u actief risicomanagement uit? Zijn alle ICT-componenten inclusief de onderlinge relaties vastgelegd en wordt dit overzicht permanent onderhouden? Maakt u gebruik van een hardingsproces, zodat alle ICTcomponenten zijn gehard tegen aanvallen? Test u alle wijzigingen altijd eerst voordat deze in productie worden genomen en worden deze wijzigingen via wijzigingsbeheer doorgevoerd? De beveiliging van informatie is bij alle stappen van het proces continu punt van aandacht. Zowel hardware als software worden proactief gemonitord. Taken, verbanden en verantwoordelijkheden zijn in een proces vastgelegd, welke wordt aangepast indien wijzigingen optreden. Een actieplan is terug te vinden in de procesbeschrijving. HR Appstore maakt gebruik van een OTAP straat in combinatie met een versiebeheersysteem. Alle software wijzigingen doorlopen diverse test stadia voordat deze in productie genomen worden. Door het versiebeheersysteem kunnen wijzigingen ongedaan gemaakt worden. 2

Beschrijving van de beveiligingsrichtlijn Worden de laatste (beveiligings)patches tijdig geïnstalleerd en worden deze volgens een patchmanagement proces doorgevoerd? Voert u penetratietests periodiek uit? Heeft u een toereikend recovery proces ingericht waar back-up en restore onderdeel van uit maakt? Heeft u maatregelen ontworpen en ingericht met betrekking tot toegangsbeveiliging/toegangsbeheer? Legt u afspraken met uw leveranciers/onderaannemers vast in een overeenkomst? Heeft u maatregelen tegen (d)dos aanvallen geïmplementeerd? Deze acties worden uitgevoerd door de provider. Penetratietests worden niet op vaste data/tijden uitgevoerd. Dagelijks wordt van de databases een full back-up gemaakt en snapshots van de systemen. De retentie van de back-up is 1 maand. Toegang tot de applicatie wordt verleend met gebruikersnaam en wachtwoord. Hiervoor wordt gebruik gemaakt van het HTTPS protocol. Toegang tot de serveromgeving wordt verleend met VPN (gebruikersnaam en wachtwoord). Alle leveranciers en partners worden verbonden aan een overeenkomst met strikte geheimhoudingsbepalingen. Medewerkers tekenen bij indiensttreding een geheimhoudings- en integriteitsverklaring. Beheer- en testapplicaties worden op basis van IP-adres gefilterd. 3

Beschrijving van de beveiligingsrichtlijn Maakt u gebruik van lokale firewalls? Valideert de webapplicatie de inhoud van een HTTPrequest voordat deze wordt gebruikt? Maakt de webserver alleen gebruik van de hoogst noodzakelijke HTTP-methoden? Controleert de webapplicatie voor elk HTTP verzoek of de initiator geauthentiseerd is en de juiste autorisatie heeft? Normaliseert de webapplicatie invoerdata voor validatie? Gebruikt de webapplicatie voor het raadplegen en/of wijzigen van gegevens in de database alleen geparametriseerde query's? Alle standaard HTTP requests worden door de server geaccepteerd. Deze zijn HEAD, GET, PUT en POST. Standaard onderdeel van de applicatie server functionaliteit (.NET). 4

Beschrijving van de beveiligingsrichtlijn Valideert de webapplicatie alle invoer, gegevens die aan de webapplicatie worden aangeboden, aan de serverzijde? Beperkt de webserver de informatie, bij het optreden van een fout, aan de gebruiker tot een minimum in een HTTPresponse? Voert u periodiek een code review uit? Is er expliciete functionaliteit aanwezig om uit te loggen (het verbreken van de sessie), daar waar de gebruiker en/of beheerder kan inloggen op de webapplicatie. Maakt u gebruik van versleutelde (HTTPS) verbindingen? Slaat u gevoelige gegevens versleuteld of gehashed op? Versleuteld u de cookies? Synchroniseert u de systeemklokken van alle servers? Heeft u Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging adequaat vastgesteld. Alle data wordt aan de serverzijde ge(her)valideerd. De HTTP-response is een gebruikersvriendelijke boodschap. Alle website hebben een HTPPS verbinding. Gevoelige gegevens als wachtwoorden en data. 5

Additionele Security en beschikbaarheidsrichtlijnen Beschrijving van de beveiligingsrichtlijn Wordt er gebruik gemaakt van DNSSEC voor DNSservices? Heeft u een wachtwoordbeleid voor uw applicatie (beschrijf deze) en welke technische maatregelen zijn genomen om sterke wachtwoorden af te dwingen? Heeft u een procedure voor het wijzigen van wachtwoorden en op welke wijze is geregeld dat dit op de veilige manier plaatsvindt. Gebruikt u crypto grafische protocollen zoals SSL en/of TLS en welke versies? Zijn de SSL-certificaten op een trusted niveau vastgesteld en zo ja, welke: EV (Extended validation, hoog niveau), organisatie validatie (midden-hoog niveau), domeinnaam validatie (laagste niveau) of het hoogste niveau van PKI? HR Appstore heeft zelf geen DNS servers. Voor DNS requests worden de DNS servers van onze hostingproviders gebruikt. Een gebruikerswachtwoord dient minimaal 8 karakters, 1 cijfer, 1 hoofdletter en 1 speciaal karakter te bevatten. De gebruiker kan zijn/haar wachtwoord binnen de ingelogde omgeving wijzigen in zijn/haar profiel. Als een gebruiker zijn/haar wachtwoord is vergeten kan deze via de site middels een link in een email resetten. Verificatie via email wordt afgedwongen. TLS v1.2 Ja, extended valiation 6

Vraag Is het mogelijk dat informatie in de database versleuteld opgeslagen wordt m.b.v. een certificaat van de gegevenseigenaar? Beschikt u in het kader van informatiebeveiliging over een ISO27001 certificering of een andere assurance (ISAE3000/ISAE3402) verklaring? Bent u als leverancier bereid om mee te werken aan een penetratietest, uitgevoerd in opdracht van opdrachtgevers op elk gewenst moment door een externe onafhankelijke partij? Heeft u als leverancier de broncode en technische documentatie betreffende product ten behoeve van opdrachtgevers gedeponeerd bij een escrow leverancier? Wat zijn de garanties dat de opdrachtgevers in alle gevallen eigenaar blijft van de gegevens? Is de van toepassing zijnde wet- en regelgeving in het land waar de data is opgeslagen in overeenstemming met de Nederlandse wet- en regelgeving? Provider is ISO27001 gecertificeerd. Ja, indien op afspraak en op kosten van de externe partij Het eigendom van de gegevens is in een overeenkomst vastgelegd. Alle data binnen de HR Appstore applicatie wordt opgeslagen op de servers van Provider in NL (Previder.nl). 7

Vraag Is authenticatie (toegang tot de applicatie) en autorisatie (toegang binnen de applicatie) geregeld en zo ja: op welke wijze? Geeft u garanties m.b.t. de beschikbaarheid van het systeem? Heeft u een onderhoudswindow ingeregeld (periode waarbinnen het systeem niet beschikbaar is vanwege onderhoud), zo ja: welke (beschrijven)? Geeft u garanties af m.b.t. gemiddelde en maximale response tijd voor de interactieve toepassingen, zo ja: welke (beschrijven)? Is de applicatie inclusief de onderliggende gegevensopslag schaalbaar, zo ja: op welke wijze (beschrijven)? Toegang tot de applicatie wordt verleend met gebruikersnaam en wachtwoord. De rol van de gebruiker bepaald welke informatie te zien is en functionaliteiten beschikbaar worden gesteld. Ja, deze garanties zijn beschreven in de SLA. Ja, deze periodes zijn beschreven in de SLA. Ja, zie SLA. Ja, het is mogelijk om zowel op hardware niveau (aantal CPU s, memory, storage) alsook horizontaal te schalen. 8

Vraag Is de schaalbaarheid van de applicatie en onderliggende gegevensopslag onderdeel van de standaard dienstverlening? Worden alle klanten waarop het betrekking heeft ingelicht op het moment dat er zich een beveiligingsincident heeft voorgedaan? Voldoet u als cloud provider aantoonbaar aan van toepassing zijnde Nederlandse wet- en regelgeving? De cloud provider mag tijdens de looptijd van de overeenkomst niet eenzijdig belangrijke wijzigingen doorvoeren in de dienstverlening? Is de vernietigingsprocedure van archiefbescheiden en backups zowel in de cloud als intern, beschreven en geborgd. In het geval van een beveiligingsincident informeren wij de betrokkenen over de consequentie(s), oplossing(en) en planning. Wij werken in deze situaties conform regels van Autoriteit Persoonsgegevens. Alle data binnen de HR Appstore applicatie wordt opgeslagen op de servers van Provider in NL (Previder.nl). Gebruikers kunnen hun sollicitatiegegevens anonimiseren, waarna de gedepersonaliseerde gegevens beschikbaar blijven voor statische doeleinden (rapportage). 9

Vragen? 023 55 30 359 info@hroffice.nl

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback