IB RAPPORTAGE. Contactcenter Logius

Vergelijkbare documenten
Cybersecuritybeeld Nederland

Over Vest Pioniers in informatiebeveiliging

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Informatiebeveiligingsbeleid

Raadsmededeling - Openbaar

INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop

Een praktische oplossing voor uw meldplicht datalekken

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

IB-Governance bij de Rijksdienst. Complex en goed geregeld

Informatieveiligheid & Privacy Hardinxveld- Giessendam Duiding ten behoeve van Gemeenteraad

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF>

Nieuwe Privacywetgeving per Wat betekent dit voor u?

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

informatiebeveiliging

Stappenplan naar GDPR compliance

Privacy & online. 9iC9I

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

Stappenplan naar GDPR compliance

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

PLATFORM IZO 21 OKTOBER 2016

Inleiding. Praktijk. Aan: Gemeenteraad. Van: College van burgemeester en wethouders. Datum: 05/09/17

Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal

Privacyverklaring voor klanten

Privacy Maturity Scan (PMS)

BIJLAGE 2: BEVEILIGINGSBIJLAGE

Beleid en procedures meldpunt datalekken

De onderwerpen waartoe de raad in de periode verschillende producten en adviezen voor zal ontwikkelen, zijn:

ECIB/U Lbr. 17/010

ISO 27001:2013 Informatiebeveiligingsbeleid extern

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening?

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Wet beveiliging netwerken informatiesystemen. Algemene informatie. Meer weten?

Handboek IBP. Overzicht-projectplan privacy SOML. Oktober Versienummer: 0.2

Document Versie: 1.0

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

VERWERKERSOVEREENKOMST VERSIE 01 OFFLINE. marketing innovators.com

sociaal domein privacy impact assessment

Privacy Impact Assessment

Wat moet je weten over... privacy en passend onderwijs?

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe & Surfibo

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Algemene verordening gegevensbescherming

Privacy ontwikkelingen in het mbo Informatiebeveiliging en privacy in het mbo

De GDPR AVG Privacy wetgeving richt zich op veel meer dan alleen Privacy

Cloud computing Helena Verhagen & Gert-Jan Kroese

Veranderingen privacy wet- en regelgeving

Informatiebeveiliging en Privacy; beleid CHD

Security Management Trendonderzoek. Chloë Hezemans

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Privacywetgeving: AVG /GDPR. Wat betekent dat voor u?

Waarom privacy een relevant thema is En wat u morgen kunt doen

PRIVACY STATEMENT INFORIT

Informatiebeveiliging in Súdwest-Fryslân

Verwerking van persoonsgegevens:

Informatiebeveiliging, noodzakelijk kwaad of nuttig? DNV Business Assurance. All rights reserved.

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Algemeen privacybeleid gemeente Asten 2018

Verwerkersovereenkomst

Wat moet je weten over... privacy en passend onderwijs?

Stichting Pensioenfonds voor Dierenartsen

Format risico analyse en IB-Plan

AB: Ja Opdrachtgever: Klaas de Veen

Privacy Statement. Zwambag Verkeerstechniek B.V.

1. Beveiligingsbijlage

Procedure datalekken NoorderBasis

De nieuwe privacywetgeving:

De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances?

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Introductiefilmpje Informatieveiligheid bestuurders

Congres: de AVG bent u er klaar voor? Workshop privacy en Sociaal Domein

Risico management 2.0

Onderzoeksresultaten infosecurity.nl

Informatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF> Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen. Versie <versie/datum>

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Compliance Charter. Pensioenfonds NIBC

1. Bedrijfsnaam:... Gevestigd te:... Straatnaam, huisnummer:... Vertegenwoordigd door dhr. / mevr... Functie:... adres:...

Verwerkersovereenkomst AgroVision

Agenda. De AVG: wat nu?

Informatiebeveiliging gemeenten

NEN december 2017

Standaard verwerkersovereenkomst

PRIVACYREGLEMENT SERKO GEVELTECHNIEK

Een Information Security Management System: iedereen moet het, niemand doet het.

Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum

A2 PROCEDURE MELDEN DATALEKKEN

De bewerkersovereenkomst

De impact van Cybercrime & GDPR

De vijf hoofdvragen van privacy

STICHTING INLICHTINGENBUREAU AANSLUITINGS- en BEWERKERSOVEREENKOMST GEMEENTELIJK GEGEVENSKNOOPPUNT (Versie 2018)

INFORMATIEBEVEILIGING VOOR VERZEKERAARS. Better safe than sorry. vraag vandaag nog een Assessment aan. Think.Pink.

Transcriptie:

IB RAPPORTAGE [Kies de datum] Contactcenter Logius Dit document bevat een rapportage over de status van informatiebeveiliging bij het Contactcenter Logius en geeft inzicht in belangrijke beveiligingsaspecten.

Inhoud INLEIDING... 2 BEVEILIGINGSRISICO S... 3 COMPLIANCE... 5 Compliance wet- en regelgeving... 5 Wet bescherming persoonsgegevens... 5 Algemene Verordening Gegevensbescherming (AVG)... 6 ISO27001:2013... 6 Baseline Informatiebeveiliging Rijksdienst... 6 BEVEILIGINGSINCIDENTEN... 7 DREIGINGNIVEAU... 8 BEWUSTWORDING & CULTUUR... 9 Voorbeeldgedrag... 9 Praktische uitvoerbaarheid... 9 Betrokkenheid... 9 Zichtbaarheid... 9 Openheid van organisatie... 9 Aanspreekbaarheid... 9 Handhaving... 10 Helderheid van regels... 10 PROJECTEN EN INITIATIEVEN... 11 X... 11 Y... 11 Z... 11 Pagina 1

INLEIDING Een adequaat opgezette en geïmplementeerde rapportagevorm voorziet in; INZICHT in de status van beveiliging, in relatie tot bedrijfsdoelstellingen. Dit stelt de organisatie in staat betere besluitvorming te voeren en in control te blijven op het gebied van beveiliging. FOCUS op wat belangrijk is voor de organisatie. Beveiligingsactiviteiten zouden in balans moeten zijn tussen bedrijfsrisico s en bedrijfsmogelijkheden. Het verliezen van de focus kan echter snel plaatsvinden wanneer de informatie te versnipperd, gedetailleerd of technisch is om een consistent overzicht te geven. COMMUNICATIE & BEWUSTWORDING want het management wenst relevante informatie en beveiligingsprofessionals proberen het niveau van bewustwording te vergroten. Een gedegen dashboard/rapportage voorziet in de behoefte van zowel management als beveiligingsprofessionals om bewustwording en inzicht te creëren m.b.t. de belangrijkste beveiligingsonderwerpen. STANDAARDISATIE & EFFICIENTIE een heldere eenduidige rapportagestructuur geeft vorm aan standaardisatie en zorgt voor meetbare vergelijkingen door de tijd heen. Het draagt ook bij aan heldere inzichten om sturing te geven en efficiënte besluitvorming te faciliteren. De rapportage bevat de onderdelen die hieronder in het schema zijn weergegeven en biedt op deze verschillende onderwerpen een beknopt overzicht van de belangrijkste waarden. Deze rapportage is bedoeld als kwartaalrapportage en zal daarom 4x per jaar worden opgesteld en aangeleverd worden aan de opdrachtgever (Logius Servicecentrum). Risico's Projecten Compliance Bewustwording & Cultuur Incidenten Dreigingsniveau Pagina 2

BEVEILIGINGSRISICO S In dit hoofdstuk worden de belangrijkste risico s benoemd die momenteel worden voorzien door het contactcenter op het gebied van informatieveiligheid. Risico s worden gezien als mogelijke negatieve consequenties die kunnen volgen uit een dreiging waarvoor het Contactcenter inschat dat haar weerbaarheid onvoldoende is om negatieve consequenties te vermijden dit risico zich manifesteert. Op basis van de risicoanalyse, verwachtte ontwikkelingen, voorgedane incidenten, constateringen in de praktijk, etc. zijn in dit hoofdstuk de voornaamste risico s m.b.t. informatieveiligheid benoemd die bij het Contactcenter bekend zijn. Risico s worden ingeschaald op basis van twee factoren; kans en impact. R4 R6 R7 R2 R5 R3 R9 R8 R1 Pagina 3

De risico s uit de risicomatrix worden in onderstaand overzicht verder benoemd en toegelicht. De trendkolom geeft weer of het risico gelijkblijvend, afgenomen of toegenomen is. Risico Omschrijving Level Trend Toelichting R1 HOOG. R2 ZEER.. HOOG R3 MIDDEN. R4 ZEER. HOOG R5 HOOG... R6 HOOG.. R7 HOOG. R8 MIDDEN R9 MIDDEN Pagina 4

COMPLIANCE In dit hoofdstuk wordt de compliance status ten aanzien van de geldende normenkaders voor infomatiebeveiliging en de bescherming van persoonsgegevens weergegeven. De Wet bescherming persoonsgegevens is de tot nu toe geldende Nederlandse wetgeving op het gebied van gegevensbescherming (privacy). De Algemene Verordening Gegevensbescherming is de nieuwe EU wetgeving op het gebied van gegevensbescherming en vervangt vanaf 25 mei 2018 officieel de Wbp, maar is al ingetreden per 25 mei 2016. De ISO27001:2013 is de internationale standaard voor informatiebeveiliging. De ISO27001:2013 voorziet o.a. in de opzet van een Information Security Management System (ISMS), om informatiebeveiliging op een gestructureerde wijze te borgen en als continu verbeterproces in te richten. De Baseline Informatiebeveiliging Rijksdienst is een op de ISO27001:2005 en ISO27002:2005 normenkaders gebaseerde standaard die geldt als het verplichte kader voor informatiebeveiliging bij de Rijksoverheid. Compliance wet- en regelgeving Niveau IB Compliance Huidig Doel AVG 10 BIR 8 6 4 2 0 ISO27001:2013 Wbp Wet bescherming persoonsgegevens Toelichting op status.. Pagina 5

Algemene Verordening Gegevensbescherming (AVG) Toelichting op status.. ISO27001:2013 Toelichting op status.. Baseline Informatiebeveiliging Rijksdienst Toelichting op status.. Status per normhoofdstuk BIR in percentages. Toelichting op tekortkomingen. 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 2015 2016 2017 Pagina 6

BEVEILIGINGSINCIDENTEN In dit hoofdstuk wordt een overzicht gegeven van beveiligingsincidenten die zich hebben voorgedaan, waarbij het contactcenter een directe of indirecte betrokkenheid heeft. Impact van incidenten Halen van beleidsdoelstellingen Relatie klant-logius Politiek Juridisch Imago Vertraging dienstverlening Financieel/ economisch belang Voorbeeld incident 1 1 2 2 2 3 Impact categorie Impactniveau Financieel/ economisch belang Vertraging dienstverlening Imago Juridisch Politiek Relatie klant-logius Halen van beleidsdoelstellingen 1 Klein dragelijk financieel verlies. 2 Aanzienlijk verlies met consequenties voor liquiditeit. 3 Substantieel verlies, onoverbrugbare kosten, voortbestaan in geding. 1 Nauwelijks merkbaar en snel herstel. Kwaliteit dienstverlening nauwelijks in het geding; geen aantasting van leveringsafspraken. 2 Kwaliteit dienstverlening kan in het geding komen. 3 Kwaliteit dienstverlening ernstig in het geding. 1 Beperkte negatieve uitingen in de media. 2 Bijzondere persoonsgegevens of gerubriceerde informatie op straat. 3 Negatieve publiciteit op grote schaal, maatschappelijke verontwaardiging. 1 Geen aantasting van afspraken; geen juridische sancties. 2 Boetes en schadeclaims. 3 Interveniëren door Autoriteit Persoonsgegevens. 1 Geen politieke onrust. 2 Kamervragen, vragen van ombudsman, parlementair onderzoek, bewindslieden ter verantwoording. 3 Onvolkomenheden bij rekenkameronderzoek of onderzoek auditdienst rijk, parlementaire enquete, positie bewindslieden ter discussie. 1 Ongemak op medewerkersniveau kenbaar gemaakt. 2 Communicatie op managementniveau; verlies van managementcontrol. 3 Bestuurlijke escalatie. 1 Geen gevolgen buiten de organisatie; individuele ambtenaar wordt aangesproken. 2 Gevolgen intern zichtbaar. Directeur wordt aangesproken. 3 Gevolgen fors zichtbaar buiten Logius. Minister wordt aangesproken. Pagina 7

DREIGINGNIVEAU In dit hoofdstuk wordt een beeld geschetst van de verschillende dreigingfactoren en het daarbij ingeschatte dreigingniveau voor Logius en het Contactcenter. Dit beeld is gebaseerd op de gegevens die daarover op jaarlijkse basis worden gegeven in het Cybersecurity Beeld Nederland (CSBN) en de eigen risicoanalyses. Bron van Dreiging CSBN NL - Overheden Contactcenter Logius Beroepscriminelen Diefstal en publicatie of verkoop van informatie Manipulatie van informatie Overname van ICT Diefstal en publicatie of verkoop van informatie Manipulatie van informatie Overname van ICT Staten Digitale spionage Digitale spionage Offensieve cybercapaciteiten Offensieve cybercapaciteiten Terroristen Verstoring/overname van ICT Verstoring/overname van ICT Cybervandalen en scriptkiddies Diefstal van informatie Diefstal van informatie Hacktivisten Interne actoren Diefstal en publicatie van verkregen informatie Defacement Overname van ICT Diefstal en publicatie of verkoop van verkregen informatie Diefstal en publicatie van verkregen informatie Defacement Overname van ICT Diefstal en publicatie of verkoop van verkregen informatie Cyberonderzoekers Verkrijging en publicatie van informatie Verkrijging en publicatie van informatie Private Organisaties Geen actor Uitval van ICT Uitval van ICT ZEER HOOG TOEGENOEN RISICO HOOG RISICO GELIJKBLIJVEND/BEPERKT Pagina 8

BEWUSTWORDING & CULTUUR In dit hoofdstuk wordt een overzicht gegeven van de verschillende pijlers t.a.v. IB-cultuur en bewustwording. Onderstaande grafiek geeft inzicht in de status van de verschillende subonderwerpen die hierin zijn te onderkennen. Aanspreekbaarheid Handhaving Helderheid van regels 80% 70% 60% 50% 40% 30% 20% 10% 0% Voorbeeld gedrag Praktische uitvoerbaarheid Huidig Doel Openheid van organisatie Betrokkenheid Zichtbaarheid Voorbeeldgedrag Praktische uitvoerbaarheid Betrokkenheid Zichtbaarheid Openheid van organisatie Aanspreekbaarheid Pagina 9

Handhaving Helderheid van regels Pagina 10

PROJECTEN EN INITIATIEVEN In dit hoofdstuk worden verschillende projecten en initiatieven met een relevantie voor informatiebeveiliging benoemd die momenteel lopen of dat op korte termijn gaan doen. De kolom Status vs Doel geeft aan wat de huidige status is in relatie tot het uiteindelijke doel/oplevering. De kolom Voortgang vs Plan geeft aan wat de huidige voortgang is ten opzichte van de oorspronkelijk geplande voortgang. Project X Verantwoordelijke Status vs Doel.. Voortgang vs Plan! Y.!! Z.! Sterke afwijking Wijkt af Volgens plan X Toelichting.. Y Toelichting.. Z Toelichting.. Pagina 11

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback