Saxion Data Security Beleid. Het data security beleid voor afvoer of hergebruik van gegevensdragers

Vergelijkbare documenten
Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

VEILIGE AFVOER VAN ICT- MIDDELEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Rekenen Groep 7-2e helft schooljaar.

Rekenen Groep 6-1e helft schooljaar.

Rekenen Groep 6-2e helft schooljaar.

Veilige afvoer van ICT-middelen

Brunelleschi. De Dom van Florence

Geen fabriekswerk. Roeien met de wind mee en de stroom tegen. Jac Willekens

Antwoorden Rekenen Groep 5-1e helft schooljaar

Rekenen Groep 4-1e helft schooljaar.

Rekenen Groep 4-2e helft schooljaar.

Rekenen Groep 4-2e helft schooljaar.

Routebestanden importeren. Korte handleiding voor het importeren van routebestanden in Garmin navigatie apparatuur

SURF-e-wastebeleid. Utrecht, januari 2015 Versienummer: DEF

Newway Service Level Agreement Structure

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Raamovereenkomst Print- en kopieerpapier. [Naam leverancier]

Certificate Policy Bedrijfstestomgeving ZOVAR

fysieke beveiliging onder controle Good Governance op het gebied van fysieke beveiliging Thimo Keizer

Verbeterplan Suwinet

Muziek in de renaissance en barok. Renaissance ( ) Belangstelling voor het hier en het nu

De bewerkersovereenkomst

Affecten, emoties en expressie

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

DATA ERASURE & RISK MANAGEMENT. Infradax Fortranweg 8, 3821 BK Amersfoort, the Netherlands + 31 (0)

CERTIFICERING DATASTORAGE ISO 27001:2013 EN NEN7510:2011

Energie management actieplan 2015

WBP Zelfevaluatie. Privacygedragscode (VPB)

Memo Regiegroep OSO Datum: 7 januari 2016 Marjan Frijns Onderwerp: Voorstel wijziging PKI infrastructuur OSO

Protocol Informatiebeveiliging en Datalekken (PID) Aloysius

er schilders katholiek en vervaardigen ze religieuze stukken. Ook is de rol van het hof niet te vergelijken met die van Frankrijk of Engeland.

CONCEPT KETENREGISSEUR VERSIE 1.0 d.d

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

Datum Oktober 2017 GASTEC QA ALGEMENE EISEN

Een checklist voor informatiebeveiliging

Dé IT-hardware dienstverlener voor Nederland

Privacybeleid Stichting BELhamels

Gebruikers Handleiding Tropaz app voor zelfmeetcliënten

Gemeente Alphen aan den Rijn

CO 2 Prestatieladder. Energie- / CO 2 -reductieplan. Van de Haar Groep. Wekerom,

Energie management actieplan 2014

VO2020- scan. Handleiding bestuursrapportage met bestuursambities. Versie 1.0, april 2015

Examenomschrijving Inspectie elektrische installaties in ATEX-gebieden. Bedrijfsexamen

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Service Level Agreement

Besluit van het college van burgemeester en wethouders van de gemeente Oegstgeest houdende regels voor Basisregistratie Personen Beheerregeling BRP

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds <Leverancier>

Sociale Verzekeringsbank Document Afspraken en Procedures (DAP) Bijlage N, behorend bij het Beschrijvend document

Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad

Aan welke eisen moet het beveiligingsplan voldoen?

Regeling Loket rechtsbescherming studenten

Regeling overcomplete electronische persoonlijke apparatuur (e waste regeling)

Uw tandartspraktijk. Een goudmijn voor internetcriminelen

Ondersteunende processen Organisatie Informatiebeveiliging Melding Datalek

Nederlandse vertaling KE 8. Februari 2018 Engelse versie. Keuringseis 8. Polyethyleen buizen voor het transporteren van gasvormige brandstoffen

DrayTek Vigor AP700 Advanced Settings

KE 10. Februari Keuringseis 10. Buizen van slagvast polyvinylchloride (slagvast PVC)

Basisnormen Beveiliging en Beheer ICT-infrastructuur

Perceptive Process. Installatie-instructies voor Patch 3.2.1

Stichting Inlichtingenbureau Privacy jaarverslag Versie 1.0

Portfolio

3. Ontwikkeling van de Amerikaanse Filmindustrie tot 1918 De Amerikaanse filmindustrie

KETENREGISSEUR VERSIE 1.2 d.d

Port Redirection NAT >> Port Redirection Enable.

USB Storage Hoe werkt USB storage

Bijlage 9. UNI REB GD. Releasebeleid

Examenomschrijving Elektrothermograaf. Bedrijfsexamen

Regeling Brandmeldinstallaties. Samenvatting

Business Impact Anlayses worden in de meeste organisaties eens per jaar of eens per halfjaar geactualiseerd en bevatten meestal beschrijvingen van:

Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013

Beschrijving maatregelen Informatie beveiliging centrale omgeving

Inleiding. Onderstaande vaardigheden worden behandeld: Het maken van een zorgplan. PlanCare educatief V Zorgplan

HANDLEIDING HUAWEI E-5331 POCKET MIFI ROUTER

Gebruikshandleiding X-frame 1.0

groep Computerprogramma woordenschat

MEDISCH SPOEDGEVAL INJECTIE LETSEL HYDRAULISCH HOGEDRUK. De feiten.

Security Assessment. Laat uw bedrijfsbeveiliging grondig testen

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

ons middelbaar onderwijs algemeen reglement Ons Middelbaar Onderwijs

Richtlijn 1 Gebruik ICT-faciliteiten Zorggroep Synchroon

Statistische controle Balgengasmeters en Ultrasone gasmeters

MKB Cloudpartner Informatie TPM & ISAE

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

Communicatieplan 2016

Norm 1.3 Beveiligingsplan

Informatiebeveiligingsbeleid extern

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF> Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen. Versie <versie/datum>

Deze PowerPoint is bedoeld voor het onderwijs. Alle informatie in deze Powerpoint, in welke vorm dan ook (teksten, afbeeldingen, animaties,

KOPPELVLAK BEZORGEN REISDOCUMENTEN

SSL VPN Smart-VPN app voor ios

Servicedocument Examenplan Facilitaire dienstverlening Facilitair leidinggevende Uitstroom : Facilitair leidinggevende Niveau : 4 Crebonr.

Basiscursus PC-gebruik

,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik

Handleiding uitvoering ICT-beveiligingsassessment

Transcriptie:

Saxion Data Security Beleid Het data security beleid voor afvoer of hergebruik van gegevensdragers Mei 2015

Documenteigenschappen Documentrevisies Saxion Alle rechten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of op enige andere manier, zonder voorafgaande schriftelijke toestemming van de uitgever.

Inhoudsopgave

1. Inleiding Binnen de Saxion organisatie wordt veel gebruik gemaakt van ICT-middelen met gegevensdragers. Hiermee bedoelen we bijvoorbeeld desktop computers met daarin een harde schijf. Deze gegevensdragers kunnen vertrouwelijke en/of privacy gevoelige informatie bevatten, hierna te noemen digitale gegevens. Wanneer de ICT-middelen met gegevensdragers buiten gebruik worden gesteld of voor hergebruik beschikbaar worden gesteld is het daarom van groot belang dat deze digitale gegevens permanent verwijderd worden. Daarbij moet betracht worden dat dit op een zorgvuldige en vooraf vastgestelde werkwijze wordt uitgevoerd en noodzakelijk dat daar goede afspraken en controlemaatregelen voor bestaan, afgedwongen en gecontroleerd kunnen worden. Het proces voor het onherroepelijk verwijderen van digitale gegevens staat bekend onder de naam Data Sanitization. Er wordt gebruik gemaakt van een softwaretool of apparaat dat er voor zorgt dat zelfs geavanceerde forensische tools geen digitale gegevens meer terug kunnen halen. Dit document heeft tot doel om het data beveiligingsbeleid te beschrijven om ICT-middelen met gegevensdragers veilig te schonen en af te voeren dan wel opnieuw te gebruiken. Hoe te handelen bij de afvoer dan wel hergebruik van losse gegevensdragers zal opgenomen worden in de Saxion ICT-gedragscode. 2. Scope Dit beleid geldt voor alle ICT-middelen met gegevensdragers. Het omvat (maar is niet gelimiteerd tot) het hele spectrum van servers, storage en netwerkapparatuur tot en met interne kantoorautomatiseringsapparatuur, mobiele apparatuur die eigendom zijn van Saxion. Het betreft ICTmiddelen die uitgegeven en ingenomen worden door IC of in opdracht van IC. Uitgesloten zijn hier de losse gegevensdragers (oa. externe harde schijf, geheugenkaarten en USBsticks), dat zal opgenomen worden in de Saxion ICT-gedragscode.. 3. Raakvlakken Dit beleidsdocument maakt onderdeel uit van het Informatiebeveiligingsbeleid en wordt daar ook als zodanig genoemd. Daarnaast heeft het raakvlakken met: ICT-Contracten die worden afgesloten Procedures aangaande ICT-beheer Service Level Agreements (SLA s) Bewerkersovereenkomsten 4. Uitgangspunten Voor de afvoer of hergebruik van ICT-middelen met gegevensdragers worden de volgende uitgangspunten gehanteerd: Alle gegevensdragers waarop zich digitale gegevens (kunnen) bevinden moeten via een standaard werkwijze worden afgevoerd; Alle gegevensdragers worden voorafgaand aan het definitief afvoeren of hergebruik geschoond van digitale gegevens; Verwijderen van digitale gegevens van de gegevensdrager geschiedt door middel van het herhaaldelijk overschrijven van de gegevensdrager met een willekeurig bitpatroon; Alle digitale gegevens worden gecertificeerd opgeschoond als het een dienst van een externe partij betreft;

Alle activiteiten met betrekking tot de afvoer van gegevensdragers en het opschonen van digitale gegevens dienen te worden geregistreerd; ICT-middelen met gegevensdragers dienen veilig te worden opgeslagen totdat het opschonen van digitale gegevens heeft plaatsgevonden; Indien het niet mogelijk is om digitale gegevens op te schonen dienen de gegevensdragers fysiek te worden vernietigd; Deze regels zijn ook van toepassing op gegevensdragers van derde partijen waar Saxion digitale gegevens zijn opgeslagen. 5. Uitvoering van het beleid Voor de uitvoering van het beleid wordt in dit beleidsdocument een aantal kaders beschreven dat procedureel in de uitvoering verder gebracht moet worden. 5.1 Activiteiten op hoofdlijnen Afvoer van ICT-middelen met gegevensdragers omvat op hoofdlijnen de volgende activiteiten: 1. Het verzamelen/innemen van ICT-middelen met gegevensdragers en de registratie ervan; 2. Het opschonen van de gegevensdrager(s) met betrekking tot de digitale gegevens; 3. Controle of de digitale gegevens ook daadwerkelijk definitief verwijderd zijn; 4. Het afvoeren van de ICT-middelen met gegevensdragers; 5. Vastleggen van bewijs (Certificaat) aangaande de opgeschoonde digitale gegevens in relatie tot gegevensdrager(s); 6. Dossiervorming aangaande de eerdergenoemde activiteiten; 7. Periodieke controle of de procedures om bovenstaande te bewerkstelligen ook worden nageleefd. Activiteit 1 t/m 7 valt onder de verantwoordelijkheid van de manager van het IC, ook daar waar het externe partijen betreft. Wat betreft de uitvoering kan activiteit 1 t/m 4 zowel door Saxion als ook door een goedgekeurde/gecertificeerde derde partij uitgevoerd worden, waarbij het opschonen van de digitale gegevens ook in opdracht van Saxion op locatie van derde kan plaatsvinden. De uitvoering van activiteit 5 t/m 7 is belegd bij de afdeling IC van Saxion. Daar waar het digitale gegevens betreft die opgeslagen zijn op gegevensdragers bij een derde partij (bijv. bij een SAAS oplossing), dienen bovengenoemde activiteiten 1 t/m 5 in SLA en bewerkersovereenkomst te zijn geborgd. Tenslotte kan er door Bureau Control op basis van een interne controle (quality assurance) of door een externe partij (accountant, CBP) op basis van een controleactiviteit een onafhankelijke controle plaatsvinden. 6. Data security Om risico s te vermijden worden alle digitale gegevens opgeschoond in een daarvoor geschikte en afgesloten ruimte bij Saxion dan wel bij de leverancier door middel van een afgesproken protocol dat onderdeel uitmaakt van het SLA (Incl. vastlegging en rapportage met auditrecht van Saxion). Voor elke gegevensdrager is een registratie met type en serienummer van de gegevensdragers, datum en gebruikte opschoonmethode vereist.

6.1 Vervoer De partij die het vervoer verzorgt, is verantwoordelijk voor de gegevensdragers tijdens het transport. Indien het verwijderen van de digitale gegevens bij de leveranciers plaatsvindt dienen er specifieke afspraken te worden gemaakt over het verzegelen van colli en/of het gebruik van gespecialiseerde transporteurs en dit alles dient in een overeenkomst te worden vastgelegd. 6.2 Controleren van verwijderen Na het schonen van de gegevensdragers wordt er altijd een controle uitgevoerd of de opschoning van digitale gegevens geslaagd is, daarbij wordt er steekproefsgewijze met een forensische methode gecontroleerd.. Deze controle wordt vermeld in de rapportage en opgenomen in het dossier. 6.3 Vernietigen van gegevensdragers Het vernietigen van gegevensdragers dient bij voorkeur door twee personen te gebeuren en na het vernietigen dient een proces-verbaal van vernietiging te worden opgemaakt waarop vermeld is wat er is vernietigd (omschrijving, serienummer) en hoe. Beide personen dienen dit proces-verbaal te tekenen en het proces-verbaal dient onderdeel uit te maken van het dossier. 6.4 Organisatie Het beleid en de uitvoering ervan wordt op de volgende manier binnen de organisatie geborgd: De Corporate Information Security Officer is verantwoordelijk voor het beleid en voor (het voorstellen van) aanpassingen en de borging van het beleid; Het CvB bekrachtigt het beleid; De Corporate Information Security Manager is ervoor verantwoordelijk dat de bijbehorende procedures/richtlijnen en formulieren worden opgesteld door de beheerorganisatie en dossiervorming plaatsvindt; De manager IC is verantwoordelijk voor de uitvoering van het beleid en de daarbij behorende procedures/richtlijnen. 6.5 Dossiervorming Van alle afgevoerde gegevensdragers en opgeschoonde digitale gegevens zal een digitaal dossier worden aangelegd door de organisatie als hierboven benoemd aangaande formulieren/certificaten inclusief de gemaakte afwegingen. 6.6 Rapportages Jaarlijks zal de manager van het IC een rapportage opstellen waarin in ieder geval de volgende aspecten naar voren komen: Overzicht van ICT-middelen met gegevensdragers welke het afgelopen kalenderjaar aangeboden zijn; Wat er met deze apparatuur is gebeurd; Of het beleid en procedures/richtlijnen zijn uitgevoerd zoals beschreven; Hoe afwijkingen van het beleid zijn behandeld; Of er aanpassingen in het beleid noodzakelijk zijn. Het jaarlijks overzicht wordt aan de Corporate Information Security Officer aangeboden om enerzijds als evidence te dienen en in de GRC 1 op te nemen in het kader van de ISO 27001 en SURF

normenkader en anderzijds onderdeel zal uitmaken van de jaarlijkse verantwoording aangaande informatiebeveiliging en privacy aan het CvB. 6.7 Kosten Aan zowel het vervoer en opschonen van gegevensdragers als ook het vernietigen zijn kosten verbonden en deze komen ten laste van de afdeling IC.

Bijlage 1: Schema Schema Externe partij? Ja Nee Gegevens verwijderd? Nee Ja Gegevens verwijderd? Nee Ja Hergebruik Saxion? Ja Nee

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback