Beveiligingsbeleid Stichting Kennisnet



Vergelijkbare documenten
Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Informatiebeveiligingsbeleid

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Een checklist voor informatiebeveiliging

0.1 Opzet Marijn van Schoote 4 januari 2016

Verklaring van Toepasselijkheid

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Gebruikersvoorwaarden mijndoomijn portaal / app

5.1 Inzage van gegevens U heeft recht op inzage van uw persoonsgegevens en een kopie daarvan te ontvangen.

Voorwaarden Digilevering

Abuse & acceptable use policy

Informatiebeveiligingsbeleid extern

Beknopt overzicht van bedreigingen en maatregelen

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam

In jouw schoenen. Een praktische invulling van informatiebeveiliging

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

PRIVACYVERKLARING IBN versie mei 2018

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

Openheid versus Informatiebeveiliging. Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht

Privacy Statement Kerkdienst gemist. Voor het laatst bijgewerkt op May 24, :58. (Voor het laatst bijgewerkt op 17 mei 2018)

Raadsmededeling - Openbaar

Privacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep)

Privacyverklaring msx-shop.nl

Gebruikersvoorwaarden EnqueteViaInternet.nl

ISO 27001:2013 Informatiebeveiligingsbeleid extern

Checklist Beveiliging Persoonsgegevens

Privacy Policy v Stone Internet Services bvba

Informatiebeveiligingsplan

Inhoud. Dus u denkt dat internetbankieren veilig is? Informatiebeveiliging Cryptografie Internetbankieren. 26 september 2009 Harald Vranken

PRIVACYVERKLARING BESPAARMETJEDAK B.V.

Privacy Verklaring Definities Toegang tot Innerview

Systeemconfiguratie Policy VICnet/SPITS

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

E. Procedure datalekken

Informatiebeveiligingsbeleid Drukkerij van der Eems

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Informatiebeveiliging

Remote Toegang Policy VICnet/SPITS

Privacyverklaring. LIMM Recycling Versie

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid

Cookies! Meer uitleg vindt u hieronder in onze privacy verklaring.

Doel van de opleiding informatieveiligheid

Privacyverklaring. Ben je op zoek naar andere juridische informatie? Kijk dan even bij onze juridische informatie.

Informatiebeveiligingsbeleid

Privacy statement. Nederlandse Veiligheidsgroep BV

Privacyverklaring Wodan Brothers B.V.

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Strategisch Informatiebeveiligingsbeleid Hefpunt

Aan welke eisen moet het beveiligingsplan voldoen?

Algemene voorwaarden Versie 1.2 Therapieland B.V. Nieuwendammerdijk BX Amsterdam

Algemene Verordening Gegevensbescherming (AVG) -Verwerkingsregister- -1-

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

Privacy Statement Eindhoven Airport N.V.

BEWERKERSOVEREENKOMST

KLEIN LONDEN BVBA (Klein Londen), hierna te noemen "we" of "ons", beheert deze website.

Het Letselhuis gebruikt verschillende categorieën van persoonsgegevens.

Gedragsregels. ICT-voorzieningen

Examineren bij derden Servicedocument betreffende de afname van centrale examens met ExamenTester buiten de eigen mbo-instelling

Privacy Policy BZ&PC. In dit document vindt u:

Privacy Policy Spelt Financiële Adviseurs

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

BEWERKERSOVEREENKOMST KLEURRIJKWONEN

Privacy Statement Mulders Motoren

BSH Bewerkersovereenkomst

GEDRAGS- CODE. Gebruik van elektronische communicatiemiddelen

QRS HealthCare bvba Zoerselbaan 1A 2390 Malle T 03/ F 03/ E W PRIVACYVERKLARING

PRIVACYVERKLARING PARKINSON VERENIGING

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen

Privacyreglement WIJ 3.0 Versie ; versie 1.4

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

VERWERKERSOVEREENKOMST VNG BERICHTENAPP Versie 1.0

PRIVACY VERKLARING. Dit is de privacyverklaring van maxxien, gevestigd aan Erica 37, 5091 EC Middelbeers.

Introductie. Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ).

PRIVACYBELEID NVM ONLINE BIEDEN

Met het gebruik van het Duurzame Inzetbaarheid-portaal verstrek je bepaalde persoonsgegevens aan SIMPLE CHECK. SIMPLE CHECK verwerkt deze

Privacy Verklaring. Stichting Pensioenfonds Lloyd s Register Nederland

Privacyreglement Artikel 1 Toepasselijkheid Artikel 2 Verstrekken persoonsgegevens Artikel 3 Doeleinden gebruik

Beveiligingsplan bij het Convenant voor het Veiligheidshuis Twente

Privacyverklaring loyaliteitsprogramma

Privacy-AO voor een beveiliger Martin Romijn

Beleid Informatiebeveiliging InfinitCare

BIJLAGE 2: BEVEILIGINGSBIJLAGE

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm

Privacy statement voor de gebruiker van de RadiologieNetwerk-Services

NETQ Healthcare: Voor inzicht in het effect van therapie

Informatiebeveiligingsbeleid

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten.

PRIVACY BELEID. Geen persoonsgegevens doorgeven aan andere partijen, tenzij dit nodig is voor uitvoering van de doeleinden waarvoor ze zijn verstrekt;

BEVEILIGINGSARCHITECTUUR

Privacy Compliance in een Cloud Omgeving

PRIVACYVERKLARING PARKINSON VERENIGING

Transcriptie:

Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek gebruiksdoel, functionaliteit en/of bruikbaarheid van de gepubliceerde informatie. De gepubliceerde documenten zijn ontwikkeld voor de specifieke situatie van Kennisnet als internetorganisatie. Kennisnet aanvaardt geen aansprakelijkheid voor schade ontstaan door het gebruik van deze informatie. Inleiding De missie van Kennisnet is het stimuleren van Internet gebruik in het onderwijs. Kennisnet voert deze missie uit door onder andere Internet diensten, bijvoorbeeld de Portals, Entree en Davindi, aan te bieden aan het onderwijs. Een belangrijke eigenschap van de Kennisnet diensten is dat deze betrouwbaar en veilig zijn: de Portals mogen bijvoorbeeld alleen informatie bevatten die geschikt zijn voor de doelgroepen en gebruikersgegevens dienen goed beveiligd te zijn. Om deze betrouwbaarheid en veiligheid te waarborgen heeft Kennisnet een beveiligingsbeleid ingesteld. Dit beveiligingsbeleid beschrijft de eisen en verantwoordelijkheden die gesteld worden aan personeel en diensten van Kennisnet, om een goede beveiliging van de Kennisnet diensten te waarborgen. Het beveiligingsbeleid bestaat uit drie onderdelen: het beleid, een risicoanalyse methode en de security policy. Het Beleid geeft de kaders en verantwoordelijkheden voor het beveiligingsbeleid bij Kennisnet. Met de risicoanalyse methode wordt het gewenste beveiligingsniveau van een dienst vastgesteld, de security policy bepaalt de beveiligingsmaatregelen die bij dat beveiligingsniveau horen. Dit document bevat het Beveiligingsbeleid van Stichting Kennisnet.

08-08-2005 2/6 Samenvatting 1. Verantwoordelijkheid: Informatie, applicaties, systemen en diensten binnen Kennisnet heeft/hebben altijd een eigenaar, deze eigenaar is verantwoordelijk voor de beveiliging ervan. Iedereen binnen Kennisnet is bijvoorbeeld verantwoordelijk voor de beveiliging van zijn/haar wachtwoorden en vertrouwelijke informatie. Productmanagers zijn verantwoordelijk voor de beveiliging van de diensten waarvoor zij verantwoordelijk zijn. 2. Kennis: medewerkers van Kennisnet zijn op de hoogte van het beveiligingsbeleid en handelen daarnaar. Hieronder valt bijvoorbeeld het locken van werkstations bij afwezigheid, zorgvuldig omgaan met wachtwoorden en het opbergen van vertrouwelijke informatie. 3. Externe partijen: Activiteiten die zijn uitbesteed aan externe partijen moeten aan dezelfde beveiligingseisen voldoen als activiteiten die door Kennisnet zelf worden uitgevoerd 4. Beveiliging van diensten: voor elke dienst is een CIA-classificatie vastgesteld. De dienst voldoet aan de eisen die de security policy steltvoor deze CIA-classificatie. 5. Privacy en vertrouwelijkheid: alle Kennisnet diensten voldoen aan het Kennisnet handvest en aan relevante wet- en regelgeving. 6. Misbruik: de volgende activiteiten zijn expliciet verboden: a. Het gebruiken van bedrijfsmiddelen voor andere activiteiten dan waarvoor deze bedoeld zijn b. Het gebruiken en/of verspreiden van illegale content en applicaties c. Het bewust verspreiden van computervirussen, worms, trojan horses, of andere kwaadaardige software d. (proberen) toegang te krijgen en/of gebruiken van bedrijfsmiddelen waarvoor men niet geautoriseerd is e. Het bewust toegankelijk maken van bedrijfsmiddelen voor ongeautoriseerde gebruikers f. Het plaatsen van gevoelige of vertrouwelijke gegevens op computersystemen die niet afdoende zijn beveiligd g. Het openbaar maken van gegevens waarvan men het recht niet heeft om deze gegevens openbaar te maken 7. Wie doet wat? a. De CTO is eindverantwoordelijk voor het beveiligingsbeleid van Kennisnet b. De Security Officer (SO) is verantwoordelijk voor het opstellen en implementeren van het beveiligingsbeleid, en voor het reageren op beveiligingsincidenten c. De Manager PT&B is verantwoordelijk voor de beveiliging van de Kennisnet diensten en de kantoorautomatiseringsomgeving van Kennisnet. 8. Wat te doen bij beveiligingsincidenten? Waarschuw dan direct de volgende personen: je directe manager, de Security Officer en de Manager PT&B.

08-08-2005 3/6 Algemeen Elke gebruiker van Kennisnet is verantwoordelijk voor de beveiliging en bescherming van informatie, applicaties, systemen en diensten waarvan hij of zij de functioneel eigenaar is. De maatregelen omvatten bescherming tegen bedreigingen zoals ongeautoriseerde toegang, misbruik of ongeautoriseerde verandering. Activiteiten die uitbesteed zijn aan externe partijen moeten aan dezelfde beveiligingseisen voldoen als activiteiten die door Kennisnet zelf worden uitgevoerd. Rollen en verantwoordelijkheden Verantwoordelijkheden kunnen variëren van het beheren van de beveiliging van een groot systeem tot het beschermen van een wachtwoord. Hieronder worden de voor beveiliging relevante - rollen beschreven die bij Kennisnet voorkomen, met de bijbehorende verantwoordelijkheden. Bij Kennisnet hebben de meeste medewerkers meerdere rollen. Eigenaren van diensten zoals unitmanagers, sectormanagers en productmanagers zijn verplicht om: Diensten (inclusief alle bijbehorende gegevens) die onder hun controle vallen te identificeren Functie en doel van deze diensten en gegevens te bepalen en ervoor te zorgen dat er voldoende informatie beschikbaar is binnen de organisatie om de diensten doelmatig in te zetten Diensten voldoende te beveiligen. De mate van beveiliging wordt bepaald door factoren als: o Hoe vertrouwelijk is de informatie die door de dienst wordt verwerkt? o Wordt het functioneren van Kennisnet negatief beïnvloed door het niet, of beperkt beschikbaar zijn van de informatie? o Wat is de schade voor Kennisnet bij aantasting van de integriteit van de informatie of het onbedoeld bekend worden van de informatie? (schade kan hierbij zowel financiële als imagoschade zijn) o Hoe waarschijnlijk is het dat een diensten of informatie kan worden o gebruikt voor onrechtmatige activiteiten? Welke limieten worden gesteld door beschikbare technologie, benodigde inspanning, kosten en beschikbare ondersteuning? Te controleren dat de benodigde beveiligingsmaatregelen correct zijn geïmplementeerd voor de betreffende diensten en gegevens Providers zoals medewerkers die applicaties en systemen ontwerpen, bouwen en beheren (zoals project managers, system designers, developers, functioneel applicatiebeheerders en systeembeheerders) zijn verplicht om: Op de hoogte te zijn van relevante beveiligingseisen en richtlijnen voor het ontwerpen, bouwen en beheren van applicaties en systemen Potentiële bedreigingen en de geschiktheid van de beveiligingsmaatregelen te analyseren en daarover te adviseren richting de Eigenaren van diensten die gebruik maken van deze applicaties en systemen. Voldoende beveiligingsmaatregelen te implementeren om bedreigingen te minimaliseren tot een aanvaardbaar risico. Het aanvaardbare risico wordt bepaald door de Eigenaren van de diensten die gebruik maken van deze applicaties en systemen. Alert en vakkundig te reageren op beveiligingsincidenten en maatregelen te nemen om te voorkomen dat een soortgelijk incident in de toekomst nogmaals voorkomt.

08-08-2005 4/6 Procedures in te richten en te onderhouden met het doel het aantal accounts met speciale bevoegdheden tot een minimum te beperken en dat eigenaren van deze accounts zich houden aan de eisen die aan het gebruik van dergelijke accounts worden gesteld. Duidelijk te communiceren over de doelen en gebruiksregels voor applicaties en systemen die onder hun controle vallen Gebruikers die toegang hebben tot- en gebruik maken van applicaties en systemen, zijn verplicht om: Op de hoogte te zijn van relevante beveiligingseisen en richtlijnen voor het gebruiken van deze applicaties en systemen Applicaties en systemen die onder hun controle vallen te beschermen. Hieronder valt ook bescherming van gevoelige gegevens (bv. wachtwoorden, configuratieinformatie) over deze systemen. De CTO is eindverantwoordelijk voor het beveiligingsbeleid van Kennisnet. Het beveiligingsbeleid regelt informatiebeveiliging en beveiliging van de Kennisnet diensten. De Security Officer (SO) De Security Officer (SO) is verantwoordelijk voor het opstellen en implementeren van het beveiligingsbeleid, en voor het reageren op beveiligingsincidenten De Manager Portal Techniek & Beheer is verantwoordelijk voor de beveiliging van de Kennisnet diensten en de kantoorautomatiseringsomgeving van Kennisnet Onvoldoende beveiligingsmaatregelen kunnen ertoe leiden dat applicaties, systemen of diensten worden beschadigd, gestolen of een aansprakelijkheid opleveren voor Kennisnet. Kennisnet kan dan ook maatregelen nemen om dit soort gebeurtenissen tegen te gaan. Voorbeelden van dit soort maatregelen zijn het blokkeren van Internet toegang of het blokkeren van accounts. De CTO bepaalt welke maatregelen worden genomen in specifieke situaties. Beveiligingselementen Logische beveiliging Computersystemen en software moeten steeds worden voorzien van de meest recente, relevante software security patches. Het beveiligingsniveau moet voldoende zijn om bedreigingen terug te brengen tot het van tevoren bepaalde aanvaardbare risico. Computersystemen die direct gekoppeld zijn aan het Internet (vooral servers) dienen met extra zorg te worden behandeld. Tevens moeten voldoende authenticatie- en autorisatiemaatregelen worden geïmplementeerd. Niet alleen grote computersystemen en infrastructuren, maar ook kleinere computers en portable devices die gevoelige informatie kunnen bevatten (zoals laptops, blackberry s) moeten voldoende worden beveiligd.

08-08-2005 5/6 Fysieke beveiliging Er moeten voldoende beveiligingsmaatregelen worden geïmplementeerd om fysieke toegang tot informatie, applicaties en systemen te beperken. Het beveiligingsniveau moet voldoende zijn om bedreigingen terug te brengen tot het van tevoren bepaalde aanvaardbare risico. Deze maatregelen kunnen variëren van toegangsbeveiliging tot datacenter ruimtes tot password-protected screensavers. Vaststellen van het beveiligingsniveau De Kennisnet security policy bevat de benodigde maatregelen om een beveiligingsniveau te creëren waarmee bedreigingen terug te kunnen brengen tot een aanvaardbaar risico. De Security Officer is verantwoordelijk voor de security policy. Het aanvaardbare risico wordt bepaald door de CIA-classificatie (Confidentiality, Integrity, Availability) van het bedrijfsmiddel. De Eigenaar van het bedrijfsmiddel is verantwoordelijk voor het vaststellen van de CIA-classificatie. Binnen Kennisnet wordt een risicoanalyse methode gebruikt om deze CIA-classificatie vast te stellen. Privacy en vertrouwelijkheid Computersystemen en software die ingezet worden voor diensten moeten zodanig worden ontwikkeld en gebruikt dat de privacy en vertrouwelijkheid van gegevens, die door die software en computersystemen worden verwerkt, gewaarborgd is en voldoet aan relevante wet- en regelgeving en de Kennisnet security policy. Gebruikers die geautoriseerd zijn om gegevens te benaderen dienen ervoor te zorgen dat deze gegevens afdoende beschermd zijn en dat daarbij wordt voldaan aan relevante weten regelgeving en de Kennisnet security policy. Medewerkers die technisch beheer uitvoeren op Kennisnet systemen en daarvoor accounts hebben met speciale bevoegdheden, zijn niet bevoegd om gegevens, elektronische communicatie en daaraan gerelateerde transacties te bekijken of te doorzoeken, zonder dat daarvoor een wettelijke grondslag bestaat. Misbruik Kennisnet keurt verstorende of illegale activiteiten op het Internet, zoals het verspreiden van virussen en spam, af en neemt maatregelen om te voorkomen dat dergelijke activiteiten vanaf, of via de systemen van Kennisnet worden uitgevoerd. De volgende activiteiten zijn expliciet verboden: Het ondoelmatig gebruik en het verstoren van bedrijfsmiddelen Het bewust verspreiden van computervirussen, worms, trojan horses, of andere kwaadaardige software Onderzoeken van, pogingen ondernemen om toegang te krijgen tot, toegang krijgen tot of gebruiken van bedrijfsmiddelen waarvoor men niet geautoriseerd is Het bewust toegankelijk maken van bedrijfsmiddelen voor ongeautoriseerde gebruikers

08-08-2005 6/6 Het downloaden van gevoelige of vertrouwelijke gegevens naar computersystemen die niet afdoende zijn beveiligd tegen ongeautoriseerde toegang Het openbaar maken van gegevens waarvan men het recht niet heeft om deze gegevens openbaar te maken. Relevante wet- en regelgeving en security policy Alle bedrijfsmiddelen van Kennisnet, en alle werkzaamheden die aan of met behulp die bedrijfsmiddelen worden uitgevoerd, dienen in overeenstemming te zijn met de wet- en regelgeving. De volgende wetten en regelgeving is relevant voor Kennisnet: De Wet Bescherming Persoonsgegevens (WBP) Voorschrift Informatiebeveiliging Rijksoverheid (VIR) Het Handvest van Kennisnet Ondertekening De Directeur en CTO van Kennisnet verklaren dit Beveiligingsbeleid actief te ondersteunen en uit te voeren: Directeur Kennisnet CTO Kennisnet Plaats: Plaats: Datum: Datum: Naam: Naam: Handtekening: Handtekening:

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback