Handleiding Risicomanagement

Vergelijkbare documenten
Handleiding Risicomanagement

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Hoe operationaliseer ik de BIC?

Verklaring van Toepasselijkheid

ISO27001:2013 Verklaring van toepasselijkheid

Verklaring van toepasselijkheid ISO 27001:2017 Absoluta Food and Facilities B.V Versie 2

20A. Verklaring van Toepasselijkheid ISO bosworx

Impl. Wet Contract Risico Onderbouwing uitsluiting

MBO toetsingskader Informatiebeveiliging Handboek MBOaudit

Johan Verklaring van Toepasselijkheid ISO27001:2013. Versie 1.1, dd

Normenkader Informatiebeveiliging MBO

VVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord

Handleiding Risico management

De maatregelen in de komende NEN Beer Franken

Certificaat Het managementsysteem van:

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen

Normenkader Informatiebeveiliging HO 2015

Normenkader Informatiebeveiliging MBO

Benchmark informatiebeveiliging

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Security Awareness Sessie FITZME, tbv de coaches

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid

Informatiebeveiliging: Hoe voorkomen we issues?

Resultaten SURFaudit benchmark 2015

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Informatiebeveiliging

Informatiebeveiligingsbeleid

De nieuwe NEN7510: 2017 een introductie Jan Willem Schoemaker, CISO/Business Continuity Manager Erasmus MC. Standards and Regulations 1

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm

Verklaring van toepasselijkheid ISO 27001

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Handboek mbo-audits: normenkader ib compliance kader privacy normenkader examineren normenkader digitaal ondertekenen

Verklaring van toepasselijkheid NEN7510:2017 bosworx 5 Januari 2018

Zorgspecifieke beheersmaatregel

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Beleid Informatiebeveiliging InfinitCare

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

Informatiebeveiligingsbeleid extern

Informatiebeveiligingsbeleid

In jouw schoenen. Een praktische invulling van informatiebeveiliging

Technische QuickScan (APK voor het MBO)

ISO 27001:2013 Informatiebeveiligingsbeleid extern

Een checklist voor informatiebeveiliging

HRM in GDPR. 06 feb 2017 Gent. Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo. V-ICT-OR Vlaamse ICT Organisatie

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

Checklist Beveiliging Persoonsgegevens

Beveiligingsbeleid Stichting Kennisnet

Gemeente Alphen aan den Rijn

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

Procedure datalekken NoorderBasis

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

0.1 Opzet Marijn van Schoote 4 januari 2016

Toetsingskader Informatiebeveiliging cluster 1 t/m 6 (versie 3.0, juli 2017)

Generieke systeemeisen

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Bedrijvenbijeenkomst informatiebeveiliging en privacy

Toetsingskader Informatiebeveiliging cluster 1 t/m 6

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Thema-audit Informatiebeveiliging bij lokale besturen

Saxion Data Security Beleid. Het data security beleid voor afvoer of hergebruik van gegevensdragers

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

Databeveiliging en Hosting Asperion

Scenario 1: risico s. competenties; 1. Onveilige configuraties op IT-systemen en IT-infrastructuur; 2. Gebrek aan netwerkscheiding;

E. Procedure datalekken

Beknopt overzicht van bedreigingen en maatregelen

VRAGENLIJST VOOR EEN DERDE PARTIJ DIE INFORMATIE VAN DE OPENBARE INSTELLING SOCIALE ZEKERHEID

Toetsingskader Privacy (Pluscluster 7)

BIJLAGE 2: VRAGENLIJST PASSENDE TECHNISCHE EN ORGANISATORISCHE MAATREGELEN

Benchmark informatiebeveiliging. mbo sector 2016 IBPDOC20

BIJLAGE 2: BEVEILIGINGSBIJLAGE

Informatiebeveiligings- en privacy beleid

#vvsg_gdpr Wat kunnen we leren uit de thema-audit informatiebeveiliging?

Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum

Informatiebeveiligingsbeleid Drukkerij van der Eems

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

BIJLAGE behorende bij ISO/IEC 27002: 2013 Grafimedia

IT General Controls en beheersmaatregelen met een IT-component. Handvat voor toepassing IT General Controls binnen Horizontaal Toezicht

Verantwoordingsdocument informatiebeveiliging en privacy (ibp) in het mbo.

Hartelijk welkom! DNV GL 2016 SAFER, SMARTER, GREENER

Quick scan Informatiebeveiliging gemeente Zoetermeer

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Informatiebeveiligings- en privacy beleid (IBP)

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Technische en organisatorische beveiligingsmaatregelen

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC

Transcriptie:

Handleiding Risicomanagemt IBPDOC29

Verantwoording Opdrachtgever Knisnet / sambo-ict Dit documt is geschrev voor IT managers, IT security officers, Information officers binn de mbo sector. Dit documt geeft e handleiding voor de inrichting uitvoering van risicomanagemt binn de mbo Sector handreiking voor de beoordeling van IT risico s. Het documt is gemaakt in navolging op de 5 daagse mbo masterclasses. In dit documt wordt allereerst ingegaan op de inrichting van de Governance omtrt risicomanagemt in het algeme. Vervolgs wordt de uitvoering van de risico- controlecyclus verder toegelicht. In het laatste hoofdstuk wordt e aanzet gegev tot het beoordel van de IT risico s binn de mbo sector. Auteurs Maurits Toet (Cerrix BV) Ludo Cuijpers (Leeuwborgh) Esther van der Hei (Nimeto Utrecht) Mei 2015 Sommige recht voorbehoud Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaard de auteur(s), redacteur(s) uitgever van Knisnet ge aansprakelijkheid voor evtuele fout of onvolkomhed. Creative commons Naamsvermelding 3.0 Nederland (CC BY 3.0) De gebruiker mag: Het werk kopiër, verspreid doorgev Remix afgeleide werk mak Onder de volgde voorwaarde: Naamsvermelding De gebruiker dit bij het werk de naam van Knisnet te vermeld (maar niet zodanig dat de indruk gewekt wordt dat zij daarmee instemt met uw werk of uw gebruik van het werk). IBPDOC29, versie 1.2 Pagina 2 van 25

Inhoudsopgave Verantwoording... 2 1. Risico s in de mbo sector... 4 1.1 Toelichting... 4 1.2 Aanpak taskforce... 4 1.3 Bevinding... 4 2. Praktische invulling... 6 2.1 Beperking in de aanpak... 6 2.2 Niet gebruikte norm uit ISO27002... 6 Bijlage 1 Overzicht risico s maatregel ISO27002/2013... 7 Bijlage 2 Vertaaltabel ISO 27002 naar mbo normkader... 20 Bijlage 3 Framework informatiebeveiliging privacy in het mbo... 25 IBPDOC29, versie 1.2 Pagina 3 van 25

1. Risico s in de mbo sector 1.1 Toelichting De Taskforce heeft er voor gekoz om ge uitputtde risicoanalyses uit te voer maar te werk vanuit het normkader met als basis ISO 270001 de checklist ISO 27002, de zogaamde Code voor Informatiebeveiliging. ISO 27001 is wereldwijd tot stand gekom door bij, vooral, multinationals te invtariser welke risico s boemd kond word op het gebied van informatiebeveiliging vervolgs zijn daar beheersmaatregel bij boemd zodat de risico s gemitigeerd kunn word. In feite zijn dan de risico s die samhang met informatiebeveiliging e groot deel van de privacy risico s afgedekt in. Dit betekt voor e mbo instelling dat de meest voorkomde risico s op het gebied van informatiebeveiliging voor e groot deel op het gebied van privacy zijn afgedekt indi de beheersmaatregel die voortvloei uit ISO27002 in voldode mate zijn toegepast. 1.2 Aanpak taskforce De risico onderbouwing is door de Taskforce in 4 stapp opgepakt: Stap 1: Er zijn 79 norm uit het ISO 27002 normkader overgom die de informatiebeveiliging e deel van de privacy risico s afdekk die binn de mbo sector relevant zijn (IBPDOC2A: Normkader Informatiebeveiliging mbo). Stap 2: Deze norm zijn vertaald in 85 statemts (e zestal norm zijn gesplitst in 2 statemts) waar vervolgs bewijslast (evidce) aan is toegevoegd (IBPDOC3: Toetsingskader Informatiebeveiliging). Stap 3: Tijds de masterclasses IBP hebb alle cursist 10 risico s boemd binn de groep: 1. ; 1.1. Informatiebeveiliging; 1.2. Privacy; 2. ; 3. ; 4. Examinering. Dit leverde dus 400 risico s op met veel overlap. In totaal leidde dit tot 78 unieke risico s. Als volgt onderverdeeld: 1. : 29 risico s 2. : 28 risico s 3. : 27 risico s 4. Examinering: 4 risico s (Zie bijlage 1: Overzicht risico s maatregel ISO27002/2013) Stap 4: De risico s zijn vervolgs geplot (gekoppeld) aan de ISO 27002 norm. (Zie bijlage 1: Overzicht risico s maatregel ISO27002/2013) Deze norm kunn, indi gewst, weer vertaald word naar het mbo norm toetsingskader. Als service is bij 1.3 e vertaaltabel toegevoegd. In bijlage 2 is e handleiding risicomanagemt toegevoegd. Weliswaar moet e ibp-manager in staat zijn om e risico analyse op ibp gebied uit te voer, maar het is niet zijn taak om alle mbo risico s in kaart te brg. 1.3 Bevinding Er zijn in totaal door de deelnemers aan de masterclasses informatiebeveiliging ruim 400 risico s boemd. Daaruit kom als belangrijkste risico s naar vor: 1. Toegangsbeveiliging; IBPDOC29, versie 1.2 Pagina 4 van 25

2. Examinering (toets constructie,toets afname toets registratie); 3. Onrechtmatig gebruik van studtgegevs (m.n. zorgdossiers); 4. Onrechtmatig gebruik van medewerkersgegevs (m.n. gesprekscyclus dossier) 5. Datalekk. Deze risico s word afdode verkleind d.m.v. de toetsingskaders Informatiebeveiliging, examiner privacy. IBPDOC29, versie 1.2 Pagina 5 van 25

2. Praktische invulling 2.1 Beperking in de aanpak Er is gekoz om het risicomanagemt, binn informatiebeveiliging privacy, op e evoudige manier aan te pakk. In de bijlage zijn ruim 70 risico s beschrev die voor e groot deel van toepassing zijn voor iedere mbo instelling. Indi vanuit het CvB, het managemt /of de accountant, de vraag wordt gesteld naar e mbo specifieke risicoanalyse dan kan er e keuze word gemaakt uit de risico s zoals vermeld in de bijlage evtueel aangevuld met instelling specifieke risico s. 2.2 Niet gebruikte norm uit ISO27002 De mbo sector maakt, in navolging van de ho sector, gebruik van 79 van de 114 norm uit het ISO27002 normkader. Clusterindeling Hoger Onderwijs Hoofdstukk ISO-27002 ISO-27002 1: Beleid 2: personeel 3: Ruimt 4: Continuïteit 5: Toegang 6: Controle Niet gebruikt 5. Informatiebeveiligingsbeleid 2 2 6. Organiser van informatiebeveiliging 7 4 0 3 7. Veilig personeel 6 3 3 8. Beheer van bedrijfsmiddel 10 2 1 7 9. Toegangsbeveiliging 14 1 9 1 3 10. Cryptografie 2 1 1 11. Fysieke beveiliging beveiliging van de omgeving 15 1 1 12 1 12. Beveiliging bedrijfsvoering 14 1 7 1 2 3 13. Communicatiebeveiliging 7 2 1 4 14. Acquisitie, ontwikkeling onderhoud van informatiesystem 13 1 1 1 3 7 15. Leveranciersrelaties 5 2 1 1 1 16. Beheer van informatiebeveiligingsincidt 7 2 1 2 1 1 17. Informatiebeveiligingsaspect van bedrijfscontinuïteitsbeheer 4 2 2 18. Naleving 8 2 2 4 114 19 7 14 13 16 10 35 Clustertotaal inclusief splitsing (85) 21 7 15 15 17 10 Met ander woord 35 norm word niet gebruikt. In de bijlage zijn ze wel boemd maar met ge verwijzing naar het mbo normkader (gehanteerde tekst: Ge mbo statemt). In 2017 is sambo-ict Knisnet voornems om ook deze norm te gaan hanter. IBPDOC29, versie 1.2 Pagina 6 van 25

Bijlage 1 Overzicht risico s maatregel ISO27002/2013 Nr Risicobeschrijving Categorie Mbo normkader (ISO 27002-2013) verwijzing Maatregel 1 Het risico dat medewerkers studt onvoldode bewust zijn van risico's met betrekking tot informatiebeveiliging door het niet beschikbaar zijn /of onvoldode communicatie van informatiebeveiligingsbeleid / procedures met als gevolg reputatieschade, operationele verstoring, financiële schade. 2 Het risico dat IT medewerkers onvoldode bekwaam zij door falde personeelsselectie /of onvoldode opleidingsmogelijkhed met als gevolg het niet kunn schakel bij verandering in IT omgeving van de instelling. 3 Het risico dat IT process niet juist/volledig/tijdig word uitgevoerd door onvoldode afstemming van verantwoordelijkhed voor IT werkzaamhed tuss afdeling/uitbestedingspartij met als gevolg operationele verstoring. 4 Het risico dat de instelling niet voldoet aan privacy wetgeving door onvoldode controle hierop met als gevolg rechtzak, claims, reputatieschade. 1.1 1.2 (ISO 5.1.1) Beleidsregels voor informatiebeveiliging. 1.3 (ISO 5.1.2) Beoordeling van het informatiebeveiligingsbeleid 1.6 3.1 (ISO 6.2.1) Beleid voor mobiele apparatuur 2.1 (ISO 7.1.2) Arbeidsvoorwaard Ge mbo statemt (ISO 7.2.1) Directieverantwoordelijkhed 2.2 (ISO 7.2.2) Bewustzijn, opleiding training 1.4 (ISO 6.1.1) Roll verantwoordelijkhed bij informatiebeveiliging 2.7 (ISO 7.1.1) Screing 2.2 (ISO 7.2.2) Bewustzijn, opleiding training. 1.4 (ISO 6.1.1) Roll verantwoordelijkhed bij informatiebeveiliging 1.21 (ISO 6.1.2) Scheiding van tak Ge mbo statemt (ISO 6.1.3) Contact met overheidsinstanties Ge mbo statemt (ISO 6.1.4) Contact met speciale belanggroep 1.5 (ISO 6.1.5) Verantwoordelijkhed Informatiebeveiliging in projectbeheer 1.1 1.2 (ISO 5.1.1) Beleidsregels voor informatiebeveiliging. 1.3 (ISO 5.1.2) Beoordeling van het informatiebeveiligingsbeleid Ge mbo statemt (ISO 18.1.1) Vaststell van toepasselijke wetgeving contractuele eis 1.19 (ISO 18.1.3) Bescherm van registraties 1.20 (ISO 18.1.4) Privacy bescherming van persoonsgegevs 1.1 1.2 (ISO 5.1.1) T behoeve van informatiebeveiliging behoort e reeks beleidsregels te word gedefinieerd, goedgekeurd door de directie, gepubliceerd gecommuniceerd aan medewerkers relevante externe partij. 1.3 (ISO 5.1.2) Het beleid voor informatiebeveiliging behoort met geplande tusspoz of als zich significante verandering voordo, te word beoordeeld om te waarborg dat het voortdurd passd, adequaat doeltreffd is. 1.6 3.1 (ISO 6.2.1) Beleid ondersteunde beveiligingsmaatregel behor te word vastgesteld om de risico s die het gebruik van mobiele apparatuur met zich meebrgt te beher. 2.1 (ISO 7.1.2) De contractuele overekomst met medewerkers contractant behoort hun verantwoordelijkhed voor informatiebeveiliging die van de organisatie te vermeld. Ge mbo statemt (ISO 7.2.1) De directie behoort van alle medewerkers contractant te eis dat ze informatiebeveiliging toepass in overestemming met de vastgestelde beleidsregels procedures van de organisatie. 2.2 (ISO 7.2.2) Alle studt/medewerkers van de organisatie, voor zover relevant, contractant behor e passde bewustzijnsopleiding -training te krijg regelmatige bijscholing van beleidsregels procedures van de organisatie, voor zover relevant voor hun functie. 1.4 (ISO 6.1.1) Alle verantwoordelijkhed bij informatiebeveiliging behor te word gedefinieerd toegewez. 2.7 (ISO 7.1.1) Verificatie van de achtergrond van alle kandidat voor e distverband behoort te word uitgevoerd in overestemming met relevante wet- regelgeving ethische overweging behoort in verhouding te staan tot de bedrijfseis, de classificatie van de informatie waartoe toegang wordt verled de vastgestelde risico s te zijn. 2.2 (ISO 7.2.2) Alle studt/medewerkers van de organisatie, voor zover relevant, contractant behor e passde bewustzijnsopleiding -training te krijg regelmatige bijscholing van beleidsregels procedures van de organisatie, voor zover relevant voor hun functie. 1.4 (ISO 6.1.1) Alle verantwoordelijkhed bij informatiebeveiliging behor te word gedefinieerd toegewez. 1.21 (ISO 6.1.2). Conflicterde tak verantwoordelijkhed behor te word gescheid om de kans op onbevoegd of onbedoeld wijzig of misbruik van de bedrijfsmiddel van de organisatie te verminder. Ge mbo statemt (ISO 6.1.3) Organisaties behor procedures te hebb die aangev wanneer door wie contact behoort te word opgom met overheidsinstanties (bijv. politie, regelgevde organ, toezichthouders) hoe geïdtificeerde informatiebeveiligingsincidt tijdig behor te word gerapporteerd (bijv. indi het vermoed bestaat dat mogelijk wetgeving is overtred). Ge mbo statemt (ISO 6.1.4) Er behor passde contact met speciale belanggroep of andere gespecialiseerde beveiligingsfora /of professionele organisaties te word onderhoud. 1.5 (ISO 6.1.5) Informatiebeveiliging behoort te word geïntegreerd in de projectbeheermethode(n) van de organisatie om ervoor te zorg dat informatiebeveiligingsrisico s word geïdtificeerd aangepakt als deel van e project. 1.1 1.2 (ISO 5.1.1) T behoeve van informatiebeveiliging behoort e reeks beleidsregels te word gedefinieerd, goedgekeurd door de directie, gepubliceerd gecommuniceerd aan medewerkers relevante externe partij. 1.3 (ISO 5.1.2) Het beleid voor informatiebeveiliging behoort met geplande tusspoz of als zich significante verandering voordo, te word beoordeeld om te waarborg dat het voortdurd passd, adequaat doeltreffd is. Ge mbo statemt (ISO 18.1.1) Alle relevante wettelijke statutaire, regelgevde, contractuele eis de aanpak van de organisatie om aan deze eis te voldo behor voor elk informatiesysteem de organisatie expliciet te word vastgesteld, gedocumteerd actueel gehoud. 1.19 (ISO 18.1.3) Registraties behor in overestemming met wettelijke, regelgevde, contractuele bedrijfseis te word beschermd teg verlies, vernietiging, vervalsing, onbevoegde toegang onbevoegde vrijgave. 1.20 (ISO 18.1.4) Privacy bescherming van persoonsgegevs behor, voor zover van toepassing, te word gewaarborgd in overestemming met relevante wet- regelgeving. IBPDOC29, versie 1.2 Pagina 7 van 25

Nr Risicobeschrijving Categorie Mbo normkader (ISO 27002-2013) verwijzing Maatregel 5 Het risico dat wijziging niet juist, volledig, tijdig word ontwikkeld door ontbrekde process met als gevolg foutieve wijziging operationele verstoring 6 Het risico dat changes / releases onvoldode getest word door onvoldode inrichting van OTAP omgeving met als gevolg operationele verstoring financiële schade. 7 Het risico dat inzicht op de samhang van system/applicaties op ontwerpbeslissing ontbreekt door ontbrekde/onvoldode IT beheerdocumtatie met als gevolg operationele verstoring bij het doorvoer van systeemwijziging. 8 Het risico op onvolledige distverling door leveranciers door e onvolledige/onjuiste SLA /of onvoldode monitoring met als gevolg operationele verstoring. 9 Het risico dat adhoc oplossing word toegepast doordat IT-beleid niet helder is met als gevolg financiële schade ontevredheid doordat aangeschafte middel niet pass binn de coöperatieve afsprak. 4,1 (ISO 12.1.2) Wijzigingsbeheer 4.2 (ISO 12.1.4) Scheiding van ontwikkel-, test- productieomgeving Ge mbo statemt (ISO 14.2.1) Beleid voor beveiligd ontwikkel Ge mbo statemt (ISO 14.2.2) Procedures voor wijzigingsbeheer met betrekking tot system Ge mbo statemt (ISO 14.2.3) Technische beoordeling van toepassing na wijziging besturingsplatform Ge mbo statemt (ISO 14.2.4) Beperking op wijziging aan softwarepakkett 4.10 (ISO 14.2.6) Beveiligde ontwikkelomgeving 6.4 (ISO 14.2.7) Uitbestede softwareontwikkeling 6.5 (ISO 14.2.8) Test van systeembeveiliging 6.6 (ISO 14.2.9) Systeemacceptatietests 4,1 (ISO 12.1.2) Wijzigingsbeheer 4.2 (ISO 12.1.4) Scheiding van ontwikkel-, test- productieomgeving Ge mbo statemt (ISO 12.1.1) Gedocumteerde bediingsprocedures 4,1 (ISO 12.1.2) Wijzigingsbeheer Ge mbo statemt (ISO 15.1.1) Informatiebeveiligingsbeleid voor leveranciersrelaties 1.15 (ISO 15.1.2) Opnem van beveiligingsaspect in leveranciersoverekomst 1.16 (ISO 15.1.3) Toeleveringsket van informatie- communicatietechnologie. 6.7 (ISO 15.2.1) Monitoring beoordeling van distverling van leveranciers 4.11 (ISO 15.2.2) Beheer van verandering in distverling van leveranciers 1.1 1.2 (ISO 5.1.1) Beleidsregels voor informatiebeveiliging. 1.3 (ISO 5.1.2) Beoordeling van het informatiebeveiligingsbeleid 1.6 3.1 (ISO 6.2.1) Beleid voor mobiele apparatuur 4,1 (ISO 12.1.2) Verandering in de organisatie, bedrijfsprocess, informatie verwerkde faciliteit system die van invloed zijn op de informatiebeveiliging behor te word beheerst. 4.2 (ISO 12.1.4) Ontwikkel-, test- productieomgeving behor te word gescheid om het risico van onbevoegde toegang tot of verandering aan de productieomgeving te verlag. Ge mbo statemt (ISO 14.2.1). Voor het ontwikkel van software system behor regels te word vastgesteld op ontwikkelactiviteit binn de organisatie te word toegepast. Ge mbo statemt (ISO 14.2.2) Wijziging aan system binn de levscyclus van de ontwikkeling behor te word beheerst door het gebruik van formele procedures voor wijzigingsbeheer. Ge mbo statemt (ISO 14.2.3) Als besturingsplatforms zijn veranderd, behor bedrijf kritische toepassing te word beoordeeld getest om te waarborg dat er ge nadelige impact is op de activiteit of de beveiliging van de organisatie. Ge mbo statemt (ISO 14.2.4) Wijziging aan softwarepakkett behor te word ontrad, beperkt tot noodzakelijke verandering alle verandering behor strikt te word gecontroleerd. 4.10 (ISO 14.2.6) Organisaties behor beveiligde ontwikkelomgeving vast te stell passd te beveilig voor verrichting op het gebied van systeemontwikkeling integratie, die betrekking hebb op de gehele levscyclus van de systeemontwikkeling. 6.4 (ISO 14.2.7) Uitbestede systeemontwikkeling behoort onder supervisie te staan van te word gemonitord door de organisatie. 6.5 (ISO 14.2.8) Tijds ontwikkelactiviteit behoort de beveiligingsfunctionaliteit te word getest. 6.6 (ISO 14.2.9) Voor nieuwe informatiesystem, upgrades nieuwe versies behor programma s voor het uitvoer van acceptatietests gerelateerde criteria te word vastgesteld. 4,1 (ISO 12.1.2) Verandering in de organisatie, bedrijfsprocess, informatie verwerkde faciliteit system die van invloed zijn op de informatiebeveiliging behor te word beheerst. 4.2 (ISO 12.1.4) Ontwikkel-, test- productieomgeving behor te word gescheid om het risico van onbevoegde toegang tot of verandering aan de productieomgeving te verlag. Ge mbo statemt (ISO 12.1.1) Bediingsprocedures behor te word gedocumteerd beschikbaar te word gesteld aan alle gebruikers die ze nodig hebb. 4,1 (ISO 12.1.2) Verandering in de organisatie, bedrijfsprocess, informatie verwerkde faciliteit system die van invloed zijn op de informatiebeveiliging behor te word beheerst. Ge mbo statemt (ISO 15.1.1) Met de leverancier behor de informatiebeveiligingseis om risico s te verlag die verband houd met de toegang van de leverancier tot de bedrijfsmiddel van de organisatie, te word overegekom gedocumteerd. 1.15 (ISO 15.1.2) Alle relevante informatiebeveiligingseis behor te word vastgesteld overegekom met elke leverancier die toegang heeft tot IT-infrastructuurelemt t behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt. 1.16 (ISO 15.1.3) Overekomst met leveranciers behor eis te bevatt die betrekking hebb op de informatiebeveiligingsrisico s in verband met de toeleveringsket van de dist product op het gebied van informatie- communicatietechnologie. 6.7 (ISO 15.2.1) Organisaties behor regelmatig de distverling van leveranciers te monitor, te beoordel te audit. 4.11 (ISO 15.2.2). Verandering in de distverling van leveranciers, met inbegrip van handhaving verbetering van bestaande beleidslijn, procedures beheersmaatregel voor informatiebeveiliging, behor te word, beheerd, reking houdd met de kritikaliteit van bedrijfsinformatie, betrokk system process herbeoordeling van risico s. 1.1 1.2 (ISO 5.1.1) T behoeve van informatiebeveiliging behoort e reeks beleidsregels te word gedefinieerd, goedgekeurd door de directie, gepubliceerd gecommuniceerd aan medewerkers relevante externe partij. 1.3 (ISO 5.1.2) Het beleid voor informatiebeveiliging behoort met geplande tusspoz of als zich significante verandering voordo, te word beoordeeld om te waarborg dat het voortdurd passd, adequaat doeltreffd is. 1.6 3.1 (ISO 6.2.1) Beleid ondersteunde beveiligingsmaatregel behor te word vastgesteld om de risico s die het gebruik van mobiele apparatuur met zich meebrgt te beher. IBPDOC29, versie 1.2 Pagina 8 van 25

Nr Risicobeschrijving Categorie Mbo normkader (ISO 27002-2013) verwijzing Maatregel 10 Het risico dat IT incidt niet juist, volledig tijdig word geregistreerd afgehandeld door ontbrek van procedures /of ge monitoring van opvolging met als gevolg operationele verstoring. 11 Het risico dat de geleverde IT dist niet aansluit bij de (beveiligings)behoefte beleid van de Business door gebrek aan regie alignemt met als gevolg hoge kost, inefficiëntie onvoldode uitvoering van het beleid 12 Het risico dat technische beveiligingsmaatregel door de IT beheerorganisatie op het verkeerde niveau met verkeerde prioriteit word behandeld door ontbrek van e adequate overlegstructuur op strategisch, tactisch operationeel niveau, met als gevolg onvoorspelbare blootstelling aan technische beveiligingsrisico's. 13 Het risico dat verstoring beveiligingsincidt word veroorzaakt door de IT beheerorganisatie zelf doordat onvoldode kwaliteitsnorm word gehanteerd, tak bevoegdhed verantwoordelijkhed procedures onvoldode zijn beschrev /of geïmplemteerd met als gevolg e instabiel dist beveiligingsniveau. 14 Het risico van organisatie-overhead door niet- of gebrekkig audit van procedures met als gevolg (gevolg) Verlies van kwaliteit efficiëntie 15 Het risico dat distniveaus niet voldo aan de verwachting van de business door het ontbrek van e Service level manager met als gevolg e ontevred organisatie. 16 Het risico van onvolledige impact analyses t.b.v. wijziging in de infrastructuur door het ontbrek van e Configuration manager met als gevolg onvoorzie gevolg van verandering in de infrastructuur. 1.17 (ISO 16.1.1) Verantwoordelijkhed procedures 1.18 (ISO 16.1.2) Rapportage van (informatiebeveiligings-) gebeurtiss 2.6 (ISO 16.1.3) Rapportage van zwakke plekk in de informatiebeveiliging 4.12 (ISO 16.1.4) Beoordeling van besluitvorming over (informatiebeveiligings-)gebeurtiss 4.13 (ISO 16.1.5) Respons op informatiebeveiligingsincidt Ge mbo statemt (ISO 16.1.6) Lering uit informatiebeveiligingsincidt 6.9 (ISO 18.2.2) Naleving van beveiligingsbeleid -norm 6.10 (ISO 18.2.3) Beoordeling van technische naleving 1.4 (ISO 6.1.1) Roll verantwoordelijkhed bij informatiebeveiliging 1.1 1.2 (ISO 5.1.1) Beleidsregels voor informatiebeveiliging. 1.3 (ISO 5.1.2) Beoordeling van het informatiebeveiligingsbeleid 1.4 (ISO 6.1.1) Roll verantwoordelijkhed bij informatiebeveiliging 1.6 3.1 (ISO 6.2.1) Beleid voor mobiele apparatuur 6.9 (ISO 18.2.2) Naleving van beveiligingsbeleid -norm 6.10 (ISO 18.2.3) Beoordeling van technische naleving Nvt Ge mbo statemt (ISO 8.1.1). Invtariser van bedrijfsmiddel 1.17 (ISO 16.1.1) Directieverantwoordelijkhed -procedures behor te word vastgesteld om e snelle, doeltreffde ordelijke respons op (informatiebeveiligings-)incidt te bewerkstellig. 1.18 (ISO 16.1.2) Informatiebeveiligingsgebeurtiss behor zo snel mogelijk via de juiste leidinggevde niveaus te word gerapporteerd. 2.6 (ISO 16.1.3) Van medewerkers contractant die gebruikmak van de informatiesystem -dist van de organisatie behoort te word geëist dat zij de in system of dist waargom of vermede zwakke plekk in de informatiebeveiliging registrer rapporter. 4.12 (ISO 16.1.4) Informatiebeveiligingsgebeurtiss behor te word beoordeeld er behoort te word geoordeeld of zij moet word geclassificeerd als informatiebeveiligingsincidt. 4.13 (ISO 16.1.5) Op informatiebeveiligingsincidt behoort te word gereageerd in overestemming met de gedocumteerde procedures. Ge mbo statemt (ISO 16.1.6) Knis die is verkreg door informatiebeveiligingsincidt te analyser op te loss behoort te word gebruikt om de waarschijnlijkheid of impact van toekomstige incidt te verklein. 6.9 (ISO 18.2.2) De directie behoort regelmatig de naleving van de informatieverwerking -procedures binn haar verantwoordelijkheidsgebied te beoordel aan de hand van de desbetreffde beleidsregels, norm andere eis betreffde beveiliging. 6.10 (ISO 18.2.3) Informatiesystem behor regelmatig te word beoordeeld op naleving van de beleidsregels norm van de organisatie voor informatiebeveiliging. 1.4 (ISO 6.1.1) Alle verantwoordelijkhed bij informatiebeveiliging behor te word gedefinieerd toegewez. 1.1 1.2 (ISO 5.1.1) T behoeve van informatiebeveiliging behoort e reeks beleidsregels te word gedefinieerd, goedgekeurd door de directie, gepubliceerd gecommuniceerd aan medewerkers relevante externe partij. 1.3 (ISO 5.1.2) Het beleid voor informatiebeveiliging behoort met geplande tusspoz of als zich significante verandering voordo, te word beoordeeld om te waarborg dat het voortdurd passd, adequaat doeltreffd is. 1.4 (ISO 6.1.1) Alle verantwoordelijkhed bij informatiebeveiliging behor te word gedefinieerd toegewez. 1.6 3.1 (ISO 6.2.1) Beleid ondersteunde beveiligingsmaatregel behor te word vastgesteld om de risico s die het gebruik van mobiele apparatuur met zich meebrgt te beher. 6.9 (ISO 18.2.2) De directie behoort regelmatig de naleving van de informatieverwerking -procedures binn haar verantwoordelijkheidsgebied te beoordel aan de hand van de desbetreffde beleidsregels, norm andere eis betreffde beveiliging. 6.10 (ISO 18.2.3) Informatiesystem behor regelmatig te word beoordeeld op naleving van de beleidsregels norm van de organisatie voor informatiebeveiliging. 1. Vastlegg tak verantwoordelijkhed Service Manager 2. Vastlegg, communicer implemter procedures omtrt invtariser, vastlegg vertal van business behoeft naar IT oplossing. Ge mbo statemt (ISO 8.1.1). Bedrijfsmiddel die samhang met informatie informatie verwerkde faciliteit behor te word geïdtificeerd, van deze bedrijfsmiddel behoort e invtaris te word opgesteld onderhoud (dus ook de relaties met andere bedrijfsmiddel). Aanvulld niet valld onder ISO27002: 1. Impactanalyses word uitgevoerd voorafgaand aan de infrastructuurwijziging. 2. Impact analyse rapport wordt besprok met goedgekeurd door verantwoordelijke. 3. Plan van Aanpak wordt opgesteld afgestemd met de verantwoordelijke. 4. Wijziging wordt gepland op tijdstip met minimale impact. IBPDOC29, versie 1.2 Pagina 9 van 25

Nr Risicobeschrijving Categorie Mbo normkader (ISO 27002-2013) verwijzing Maatregel 17 Het risico dat er ge inzicht is in het aantal incidt of het soort incidt door onvoldode registratie op de helpdesk met als gevolg dat de organisatie blijft hang in ad hoc reager op elk incidt uiteindelijk de ondersteuning van de klant niet optimaal is. 18 Het risico dat de e medewerker niet op de hoogte is van het werk dat de andere medewerker heeft gedaan door het ontbrek van onderlinge werkafsprak met als gevolg slechte distverling aan de klant. 19 Het risico van langdurige uitval van kernsystem door het ontbrek van continuiteitsbeheer met als gevolg financiële imago schade. 20 Het risico van het schd van de privacy van studt door het gebruik van e ander programma dan het voorgeschrev studtregistratiesysteem met als gevolg e klacht teg de school voor het schd van de privacy van studt. 21 Het risico van inconsistte/onvolledige door onvoldode geschoold personeel met als gevolg onvolledige informatievoorziing c.q. managemt informatie. 22 Het risico van lage procesvolwassheid onvoldode kwaliteitsbewustzijn door ontbrek procesmanagemt onvoldode kwaliteitscontrole met als gevolg dat belangrijke business doelstelling niet word behaald de informatiebeveiliging te ws overlaat. 23 Het risico dat ICT niet bijdraagt aan kwaliteit van het onderwijs doordat er ge geïmplemteerd beleid is, met als gevolg schade aan de kwaliteit van de opleiding. 24 Het risico van hoge IT kost door ontbrekde visie op de ontwikkeling toepassing van IT binn de organisatie /of ontbrekd IT beleidssplan /of e begroting voor IT ontbreekt met als gevolg discontinuïteit van de instelling. 1.17 (ISO 16.1.1) Verantwoordelijkhed procedures 1.18 (ISO 16.1.2) Rapportage van (informatiebeveiligings-) gebeurtiss 2.6 (ISO 16.1.3) Rapportage van zwakke plekk in de informatiebeveiliging 4.12 (ISO 16.1.4) Beoordeling van besluitvorming over (informatiebeveiligings-)gebeurtiss 4.13 (ISO 16.1.5) Respons op informatiebeveiligingsincidt Ge mbo statemt (ISO 16.1.6) Lering uit informatiebeveiligingsincidt Nvt Ge mbo statemt (ISO 17.1.1) Informatiebeveiligingscontinuïteit plann 4.14 (ISO 17.1.2) Informatiebeveiligingscontinuïteit implemter Ge mbo statemt (ISO 17.1.3) Informatiebeveiligingscontinuïteit verifiër, beoordel evaluer 4.15 (ISO 17.2.1) Beschikbaarheid van informatie verwerkde faciliteit 1.1 1.2 (ISO 5.1.1) Beleidsregels voor informatiebeveiliging. Ge mbo statemt (ISO 8.1.3) Aanvaardbaar gebruik van bedrijfsmiddel. nvt 1.1 1.2 (ISO 5.1.1) Beleidsregels voor informatiebeveiliging. 1.3 (ISO 5.1.2) Beoordeling van het informatiebeveiligingsbeleid 6.9 (ISO 18.2.2) Naleving van beveiligingsbeleid -norm 6.10 (ISO 18.2.3) Beoordeling van technische naleving nvt nvt 1.17 (ISO 16.1.1) Directieverantwoordelijkhed -procedures behor te word vastgesteld om e snelle, doeltreffde ordelijke respons op (informatiebeveiligings-)incidt te bewerkstellig. 1.18 (ISO 16.1.2) Informatiebeveiligingsgebeurtiss behor zo snel mogelijk via de juiste leidinggevde niveaus te word gerapporteerd. 2.6 (ISO 16.1.3) Van medewerkers contractant die gebruikmak van de informatiesystem -dist van de organisatie behoort te word geëist dat zij de in system of dist waargom of vermede zwakke plekk in de informatiebeveiliging registrer rapporter. 4.12 (ISO 16.1.4) Informatiebeveiligingsgebeurtiss behor te word beoordeeld er behoort te word geoordeeld of zij moet word geclassificeerd als informatiebeveiligingsincidt. 4.13 (ISO 16.1.5) Op informatiebeveiligingsincidt behoort te word gereageerd in overestemming met de gedocumteerde procedures. Ge mbo statemt (ISO 16.1.6) Knis die is verkreg door informatiebeveiligingsincidt te analyser op te loss behoort te word gebruikt om de waarschijnlijkheid of impact van toekomstige incidt te verklein. 1. Werkoverlegg (ook met gerelateerde afdeling) waarbij speciale aandacht is voor elkaar werkzaamhed. Ge mbo statemt (ISO 17.1.1) De organisatie behoort haar eis voor informatiebeveiliging voor de continuïteit van het informatiebeveiligingsbeheer in ongunstige situaties, bijv. e crisis of e ramp, vast te stell. 4.14 (ISO 17.1.2) De organisatie behoort process, procedures beheersmaatregel vast te stell, te documter, te implemter te handhav om het vereiste niveau van continuïteit voor informatiebeveiliging tijds e ongunstige situatie te waarborg. Ge mbo statemt (ISO 17.1.3). De organisatie behoort de t behoeve van informatiebeveiligingscontinuïteit vastgestelde geïmplemteerde beheersmaatregel regelmatig te verifiër om te waarborg dat ze deugdelijk doeltreffd zijn tijds ongunstige situaties. 4.15 (ISO 17.2.1) Informatie verwerkde faciliteit behor met voldode redundantie te word geïmplemteerd om aan beschikbaarheidseis te voldo. 1.1 1.2 (ISO 5.1.1) T behoeve van informatiebeveiliging behoort e reeks beleidsregels te word gedefinieerd, goedgekeurd door de directie, gepubliceerd gecommuniceerd aan medewerkers relevante externe partij. Ge mbo statemt (ISO 8.1.3). Voor het aanvaardbaar gebruik van informatie van bedrijfsmiddel die samhang met informatie informatie verwerkde faciliteit behor regels te word geïdtificeerd, gedocumteerd geïmplemteerd. 1. Opzett trainingsprogramma's gekoppeld aan het functieprofiel van de medewerker. 2. Invoer rapportagestandaard. 3. Kwaliteitscontrole (juistheid, volledigheid, tijdigheid) uitvoer voorafgaand aan verzding van managemtinformatie. 1.1 1.2 (ISO 5.1.1) T behoeve van informatiebeveiliging behoort e reeks beleidsregels te word gedefinieerd, goedgekeurd door de directie, gepubliceerd gecommuniceerd aan medewerkers relevante externe partij. 1.3 (ISO 5.1.2) Het beleid voor informatiebeveiliging behoort met geplande tusspoz of als zich significante verandering voordo, te word beoordeeld om te waarborg dat het voortdurd passd, adequaat doeltreffd is. 6.9 (ISO 18.2.2) De directie behoort regelmatig de naleving van de informatieverwerking -procedures binn haar verantwoordelijkheidsgebied te beoordel aan de hand van de desbetreffde beleidsregels, norm andere eis betreffde beveiliging. 6.10 (ISO 18.2.3) Informatiesystem behor regelmatig te word beoordeeld op naleving van de beleidsregels norm van de organisatie voor informatiebeveiliging. 1. Opstell periodiek beoordel van IT-beleid, IT jaarplan, BIA (Business Impact Analyses) door directie IT managers. 2. Jaarlijks opstell beoordel van IT budget o.b.v. jaarplan. 1. Opstell periodiek beoordel van IT-beleid, IT jaarplan, BIA (Business Impact Analyses) door directie IT managers. 2. Jaarlijks opstell beoordel van IT budget o.b.v. jaarplan. IBPDOC29, versie 1.2 Pagina 10 van 25

Nr Risicobeschrijving Categorie Mbo normkader (ISO 27002-2013) verwijzing Maatregel 25 Het risico van desinformatie doorzelf opgestelde overzicht in plaats van standaardrapportages uit kernsystem te gebruik met als gevolg foutieve informatievoorziing. nvt 1. Invtariser informatiebehoeft 2. Opzett warehouse reporting services. 26 Het risico dat system ge duidelijke eigaar hebb door onvoldode inrichting van IT governance met als gevolg hoge kost, beheer issues. 27 Het risico van onvoldode communicatie door HR over medewerkers die in e functie start / van functie verander / hun functie beëindig met als gevolg issues met autorisatiebeheer 28 Het risico dat persoonsgegevs onbeheerd op bureaus van medewerkers ligg door onvoldode bewustzijn van medewerkers inzake informatiebeveiliging met als gevolg mogelijke diefstal van gegevs /of reputatieschade. 29 Het risico dat informatiebeveiliging van de instelling niet voldoet aan de gestelde standaard als gevolg van onvoldode beoordeling door onafhankelijke auditors, directie met als gevolg mogelijke claims van toezichthouders 30 Het risico op fraude bij invoer/mutaties van cijfers in het cijferregistratiesysteem door onvoldode ingebouwde functiescheiding /of controles met als gevolg reputatieschade onjuiste beoordeling van studt. 31 Het risico dat digitale toets mislukk door onvoldode stabiele beschikbare apparatuur op de schoollocatie met als gevolg operationele verstoring reputatieschade. Examinering Examinering Ge mbo statemt (ISO 8.1.1) Invtariser van bedrijfsmiddel Ge mbo statemt (ISO 8.1.2) Eigdom van bedrijfsmiddel Ge mbo statemt (ISO 7.3.1) Beëindiging of wijziging van verantwoordelijkhed van het distverband 5.3 (ISO 9.2.1) Registratie afmeld van gebruikers 5.4 (ISO 9.2.2) Gebruikers toegang verl 1.1 1.2 (ISO 5.1.1) Beleidsregels voor informatiebeveiliging. 1.3 (ISO 5.1.2) Beoordeling van het informatiebeveiligingsbeleid 1.6 3.1 (ISO 6.2.1) Beleid voor mobiele apparatuur 2.1 (ISO 7.1.2) Arbeidsvoorwaard Ge mbo statemt (ISO 7.2.1) Directieverantwoordelijkhed 2.2 (ISO 7.2.2) Bewustzijn, opleiding training 2.4 (ISO 11.2.9) Clear desk - clear scre -beleid Ge mbo statemt (ISO 12.7.1) Beheersmaatregel betreffde audits van informatiesystem Ge mbo statemt (ISO 18.2.1) Onafhankelijke beoordeling van informatiebeveiliging 6.9 (ISO 18.2.2) Naleving van beveiligingsbeleid -norm 6.10 (ISO 18.2.3) Beoordeling van technische naleving 1.14 (ISO 14.1.1) Analyse specificatie van informatiebeveiligingseis. 4.15 (ISO 17.2.1) Beschikbaarheid van informatie verwerkde faciliteit. Ge mbo statemt (ISO 8.1.1) Bedrijfsmiddel die samhang met informatie informatie verwerkde faciliteit behor te word geïdtificeerd, van deze bedrijfsmiddel behoort e invtaris te word opgesteld onderhoud. Ge mbo statemt (ISO 8.1.2) Bedrijfsmiddel die in het invtarisoverzicht word bijgehoud, behor e eigaar te hebb. Ge mbo statemt (ISO 7.3.1) Verantwoordelijkhed tak met betrekking tot informatiebeveiliging die van kracht blijv na beëindiging of wijziging van het distverband behor te word gedefinieerd, gecommuniceerd aan de medewerker of contractant, t uitvoer gebracht. 5.3 (ISO 9.2.1) E formele registratie- afmeldingsprocedure behoort te word geïmplemteerd om toewijzing van toegangsrecht mogelijk te mak. 5.4 (ISO 9.2.2) E formele gebruikerstoegangsverlingsprocedure behoort te word geïmplemteerd om toegangsrecht voor alle typ gebruikers voor alle system dist toe te wijz of in te trekk. 1.1 1.2 (ISO 5.1.1) T behoeve van informatiebeveiliging behoort e reeks beleidsregels te word gedefinieerd, goedgekeurd door de directie, gepubliceerd gecommuniceerd aan medewerkers relevante externe partij. 1.3 (ISO 5.1.2) Het beleid voor informatiebeveiliging behoort met geplande tusspoz of als zich significante verandering voordo, te word beoordeeld om te waarborg dat het voortdurd passd, adequaat doeltreffd is. 1.6 3.1 (ISO 6.2.1) Beleid ondersteunde beveiligingsmaatregel behor te word vastgesteld om de risico s die het gebruik van mobiele apparatuur met zich meebrgt te beher. 2.1 (ISO 7.1.2) De contractuele overekomst met medewerkers contractant behoort hun verantwoordelijkhed voor informatiebeveiliging die van de organisatie te vermeld. Ge mbo statemt (ISO 7.2.1) De directie behoort van alle medewerkers contractant te eis dat ze informatiebeveiliging toepass in overestemming met de vastgestelde beleidsregels procedures van de organisatie. 2.2 (ISO 7.2.2) Alle studt/medewerkers van de organisatie, voor zover relevant, contractant behor e passde bewustzijnsopleiding -training te krijg regelmatige bijscholing van beleidsregels procedures van de organisatie, voor zover relevant voor hun functie. 2.4 (ISO 11.2.9) Er behoort e clear desk -beleid voor papier documt verwijderbare opslagmedia e clear scre -beleid voor informatie verwerkde faciliteit te word ingesteld. Ge mbo statemt (ISO 12.7.1) Auditeis -activiteit die verificatie van uitvoeringssystem met zich meebrg, behor zorgvuldig, te word gepland afgestemd om bedrijfsprocess zo min mogelijk te verstor. Ge mbo statemt (ISO 18.2.1) De aanpak van de organisatie t aanzi van het beheer van informatiebeveiliging de implemtatie ervan (bijv. beheersdoelstelling, beheersmaatregel, beleidsregels, process procedures voor informatiebeveiliging), behor onafhankelijk met geplande tusspoz of zodra zich belangrijke verandering voordo te word beoordeeld. 6.9 (ISO 18.2.2) De directie behoort regelmatig de naleving van de informatieverwerking -procedures binn haar verantwoordelijkheidsgebied te beoordel aan de hand van de desbetreffde beleidsregels, norm andere eis betreffde beveiliging. 6.10 (ISO 18.2.3) Informatiesystem behor regelmatig te word beoordeeld op naleving van de beleidsregels norm van de organisatie voor informatiebeveiliging. 1.14 (ISO 14.1.1) De eis die verband houd met informatiebeveiliging behor te word opgom in de eis voor nieuwe informatiesystem of voor uitbreiding van bestaande informatiesystem.. 4.15 (ISO 17.2.1) Informatie verwerkde faciliteit behor met voldode redundantie te word geïmplemteerd om aan beschikbaarheidseis te voldo. IBPDOC29, versie 1.2 Pagina 11 van 25

Nr Risicobeschrijving Categorie Mbo normkader (ISO 27002-2013) verwijzing Maatregel 32 Risico van ongeautoriseerde toegang tot KRD\cijferregistratie door onrechtmatig verkreg autorisaties met als gevolg examfraude Examinering 33 Risico dat mtor toegang hebb tot gegevs van niet eig studt door onvoldode scheiding van netwerkrecht met als gevolg slechte traceerbaarheid bij cijfer manipulatie. 34 Het risico van Ddos aanvall door studt / ex medewerkers / derd van de instelling met als gevolg operationele verstoring. 5.1 (ISO 9.1.1) Beleid voor toegangsbeveiliging 5.2 (ISO 9.1.2) Toegang tot netwerk netwerkdist. 5.3 (ISO 9.2.1) Registratie afmeld van gebruikers 5.4 (ISO 9.2.2). Gebruikers toegang verl 5.5 (ISO 9.2.3) Beheer van speciale toegangsrecht 5.6 (ISO 9.2.4) Beheer van geheime authticatie informatie van gebruikers 6.1 (ISO 9.2.5) Beoordeling van toegangsrecht van gebruikers 2.3 (ISO 9.2.6) Toegangsrecht intrekk of aanpass Examinering zie vorige zie vorige 5.13 (ISO 13.1.1) Beheersmaatregel voor netwerk 5.14 (ISO 13.1.2) Beveiliging van netwerkdist 5.15 (ISO 13.1.3) Scheiding in netwerk 5.1 (ISO 9.1.1) E beleid voor toegangsbeveiliging behoort te word vastgesteld, gedocumteerd beoordeeld op basis van bedrijfs- informatiebeveiligingseis. 5.2 (ISO 9.1.2) Gebruikers behor alle toegang te krijg tot het netwerk de netwerkdist waarvoor zij specifiek bevoegd zijn. 5.3 (ISO 9.2.1) E formele registratie- afmeldingsprocedure behoort te word geïmplemteerd om toewijzing van toegangsrecht mogelijk te mak. 5.4 (ISO 9.2.2). E formele gebruikerstoegangsverlingsprocedure behoort te word geïmplemteerd om toegangsrecht voor alle typ gebruikers voor alle system dist toe te wijz of in te trekk. 5.5 (ISO 9.2.3) Het toewijz gebruik van speciale toegangsrecht behor te word beperkt beheerst. 5.6 (ISO 9.2.4) Het toewijz van geheime authticatie-informatie behoort te word beheerst via e formeel beheersproces. 6.1 (ISO 9.2.5) Eigar van bedrijfsmiddel behor toegangsrecht van gebruikers regelmatig te beoordel. 2.3 (ISO 9.2.6) De toegangsrecht van alle medewerkers gebruikers voor informatie informatie verwerkde faciliteit behor bij beëindiging van hun distverband, contract of overekomst te word verwijderd, bij wijziging behor ze te word aangepast. 5.13 (ISO 13.1.1) Netwerk behor te word beheerd beheerst om informatie in system toepassing te bescherm. 5.14 (ISO 13.1.2) Beveiligingsmechanism, distverlingsniveaus beheerseis voor alle netwerkdist behor te word geïdtificeerd opgom in overekomst betreffde netwerkdist. Dit geldt zowel voor dist die intern word geleverd als voor uitbestede dist. 5.15 (ISO 13.1.3) Groep van informatiedist, -gebruikers -system behor in netwerk te word gescheid. 35 Het risico dat IT system niet voldo aan het gewste beveiligingsniveau door legacy /of toemde stroom van BYOD (smart phone, tablet, usb) met als gevolg reputatieschade, operationele verstoring, financiële schade. 36 Het risico van stel/vernieling van apparatuur door onvoldode fysieke toegangsbeveiliging met als gevolg financiele schade. 1.6 3.1 (ISO 6.2.1) Beleid voor mobiele apparatuur 5.13 (ISO 13.1.1) Beheersmaatregel voor netwerk 5.14 (ISO 13.1.2) Beveiliging van netwerkdist 5.15 (ISO 13.1.3) Scheiding in netwerk Ge mbo statemt (ISO 7.2.3) Disciplinaire procedure 3.3 (ISO 11.1.1) Fysieke beveiligingszone 3.4 (ISO 11.1.2) Fysieke toegangsbeveiliging 3.5 (ISO 11.1.3) Kantor, ruimte faciliteit beveilig 3.7 (ISO 11.1.5) Werk in beveiligde gebied 3.8 (ISO 11.1.6) Laad- loslocatie 3.9 (ISO 11.2.1) Plaatsing bescherming van apparatuur 3.13 (ISO 11.2.6) Beveiliging van apparatuur bedrijfsmiddel buit het terrein Overige maatregel buit ISO 27002: 1. Redundantie van webserver provider. Bij aanval op provider/webserver 1 kan webserver 1 provider 1 word afgeslot het verkeer via webserver 2 provider 2 met ander ip adres word gereroute. (Uitzondering geldt voor DDOS aanval op DNS, er is dan ge ) 2. Periodiek uitvoer van vulnerability scans uitvoer op de om in vroeg stadium zwakhed te ontdekk. 1.6 3.1 (ISO 6.2.1) Beleid ondersteunde beveiligingsmaatregel behor te word vastgesteld om de risico s die het gebruik van mobiele apparatuur met zich meebrgt te beher. 5.13 (ISO 13.1.1) Netwerk behor te word beheerd beheerst om informatie in system toepassing te bescherm. 5.14 (ISO 13.1.2) Beveiligingsmechanism, distverlingsniveaus beheerseis voor alle netwerkdist behor te word geïdtificeerd opgom in overekomst betreffde netwerkdist. Dit geldt zowel voor dist die intern word geleverd als voor uitbestede dist. 5.15 (ISO 13.1.3) Groep van informatiedist, -gebruikers -system behor in netwerk te word gescheid. Ge mbo statemt (ISO 7.2.3) Er behoort e formele gecommuniceerde disciplinaire procedure te zijn om actie te ondernem teg medewerkers die e inbreuk hebb gepleegd op de informatiebeveiliging. 3.3 (ISO 11.1.1) Beveiligingszones behor te word gedefinieerd gebruikt om gebied te bescherm die gevoelige of esstiële informatie informatie verwerkde faciliteit bevatt. 3.4 (ISO 11.1.2) Beveiligde gebied behor te word beschermd door passde toegangsbeveiliging om ervoor te zorg dat alle bevoegd personeel toegang krijgt. 3.5 (ISO 11.1.3) Voor kantor, ruimt faciliteit behoort fysieke beveiliging te word ontworp toegepast. 3.7 (ISO 11.1.5) Voor het werk in beveiligde gebied behor procedures te word ontwikkeld toegepast. 3.8 (ISO 11.1.6) Toegangspunt zoals laad- loslocaties andere punt waar onbevoegde person het terrein kunn betred, behor te word beheerst, zo mogelijk te word afgeschermd van informatie verwerkde faciliteit om onbevoegde toegang te vermijd. 3.9 (ISO 11.2.1) Apparatuur behoort zo te word geplaatst beschermd dat risico s van bedreiging gevar van buitaf, alsook de kans op onbevoegde toegang word verkleind. IBPDOC29, versie 1.2 Pagina 12 van 25

3.13 (ISO 11.2.6) Bedrijfsmiddel die zich buit het terrein bevind, behor te word beveiligd, waarbij reking behoort te word gehoud met de verschillde risico s van werk buit het terrein van de organisatie. IBPDOC29, versie 1.2 Pagina 13 van 25

Nr Risicobeschrijving Categorie Mbo normkader (ISO 27002-2013) verwijzing Maatregel 37 Het risico van e onbeheersbare IT omgeving door toemd gebruik van SaaS dist met als gevolg operationele verstoring 38 Het risico van telefonische onbereikbaarheid (IP-telefonie) door falde technische infrastructuur met als gevolg operationele verstoring. 39 Het risico van uitval van de IT-Infrastructuur door e gebrek aan redundante uitvoer met als gevolg operationele verstoring 40 Het risico van verlies door ontbrekde/onjuiste backups met als gevolg operationele verstoring 41 Het risico van verlies van personeelsgegevs door alle papier dossiers in simpele kast ge digitale backup met als gevolg operationele verstoring. 42 Het risico dat de communicatie tuss verschillde pakkett verstoord wordt door het aanpass van e bronsysteem zonder overleg met als gevolg dat de integriteit van de gegevs in gevaar komt. 43 Het risico dat de restore van e backup niet slaagt doordat er ge periodieke restore wordt uitgevoerd als test met als gevolg gegevsverlies. 44 Het risico dat de instelling illegale software gebruikt door e niet-optimaal lictiebeleid met als gevolg boetes. Ge mbo statemt (ISO 15.1.1) Informatiebeveiligingsbeleid voor leveranciersrelaties 1.15 (ISO 15.1.2) Opnem van beveiligingsaspect in leveranciersoverekomst 1.16 (ISO 15.1.3) Toeleveringsket van informatie- communicatietechnologie. 6.7 (ISO 15.2.1) Monitoring beoordeling van distverling van leveranciers 4.11 (ISO 15.2.2) Beheer van verandering in distverling van leveranciers 4.15 (ISO 17.2.1) Beschikbaarheid van informatie verwerkde faciliteit. 4.15 (ISO 17.2.1) Beschikbaarheid van informatie verwerkde faciliteit. Ge mbo statemt (ISO 15.1.1) Met de leverancier behor de informatiebeveiligingseis om risico s te verlag die verband houd met de toegang van de leverancier tot de bedrijfsmiddel van de organisatie, te word overegekom gedocumteerd. 1.15 (ISO 15.1.2) Alle relevante informatiebeveiligingseis behor te word vastgesteld overegekom met elke leverancier die toegang heeft tot IT-infrastructuurelemt t behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt. 1.16 (ISO 15.1.3) Overekomst met leveranciers behor eis te bevatt die betrekking hebb op de informatiebeveiligingsrisico s in verband met de toeleveringsket van de dist product op het gebied van informatie- communicatietechnologie. 6.7 (ISO 15.2.1) Organisaties behor regelmatig de distverling van leveranciers te monitor, te beoordel te audit. 4.11 (ISO 15.2.2). Verandering in de distverling van leveranciers, met inbegrip van handhaving verbetering van bestaande beleidslijn, procedures beheersmaatregel voor informatiebeveiliging, behor te word, beheerd, reking houdd met de kritikaliteit van bedrijfsinformatie, betrokk system process herbeoordeling van risico s. 4.15 (ISO 17.2.1) Informatie verwerkde faciliteit behor met voldode redundantie te word geïmplemteerd om aan beschikbaarheidseis te voldo. 4.15 (ISO 17.2.1) Informatie verwerkde faciliteit behor met voldode redundantie te word geïmplemteerd om aan beschikbaarheidseis te voldo. 4.5 4.6 (ISO 12.3.1) Back-up van informatie 4.5 4.6 (ISO 12.3.1) Regelmatig behor back-upkopieën van informatie, software systeemafbeelding te word gemaakt getest in overestemming met e overegekom back-upbeleid. 4.5 4.6 (ISO 12.3.1) Back-up van informatie 4.5 4.6 (ISO 12.3.1) Regelmatig behor back-upkopieën van informatie, software systeemafbeelding te word gemaakt getest in overestemming met e overegekom back-upbeleid. 4,1 (ISO 12.1.2) Wijzigingsbeheer 4.2 (ISO 12.1.4) Scheiding van ontwikkel-, test- productieomgeving Ge mbo statemt (ISO 14.2.1) Beleid voor beveiligd ontwikkel Ge mbo statemt (ISO 14.2.2) Procedures voor wijzigingsbeheer met betrekking tot system Ge mbo statemt (ISO 14.2.3) Technische beoordeling van toepassing na wijziging besturingsplatform Ge mbo statemt (ISO 14.2.4) Beperking op wijziging aan softwarepakkett 4.10 (ISO 14.2.6) Beveiligde ontwikkelomgeving 6.4 (ISO 14.2.7) Uitbestede softwareontwikkeling 6.5 (ISO 14.2.8) Test van systeembeveiliging 6.6 (ISO 14.2.9) Systeemacceptatietests 4,1 (ISO 12.1.2) Verandering in de organisatie, bedrijfsprocess, informatie verwerkde faciliteit system die van invloed zijn op de informatiebeveiliging behor te word beheerst. 4.2 (ISO 12.1.4) Ontwikkel-, test- productieomgeving behor te word gescheid om het risico van onbevoegde toegang tot of verandering aan de productieomgeving te verlag. Ge mbo statemt (ISO 14.2.1). Voor het ontwikkel van software system behor regels te word vastgesteld op ontwikkelactiviteit binn de organisatie te word toegepast. Ge mbo statemt (ISO 14.2.2) Wijziging aan system binn de levscyclus van de ontwikkeling behor te word beheerst door het gebruik van formele procedures voor wijzigingsbeheer. Ge mbo statemt (ISO 14.2.3) Als besturingsplatforms zijn veranderd, behor bedrijf kritische toepassing te word beoordeeld getest om te waarborg dat er ge nadelige impact is op de activiteit of de beveiliging van de organisatie. Ge mbo statemt (ISO 14.2.4) Wijziging aan softwarepakkett behor te word ontrad, beperkt tot noodzakelijke verandering alle verandering behor strikt te word gecontroleerd. 4.10 (ISO 14.2.6) Organisaties behor beveiligde ontwikkelomgeving vast te stell passd te beveilig voor verrichting op het gebied van systeemontwikkeling integratie, die betrekking hebb op de gehele levscyclus van de systeemontwikkeling. 6.4 (ISO 14.2.7) Uitbestede systeemontwikkeling behoort onder supervisie te staan van te word gemonitord door de organisatie. 6.5 (ISO 14.2.8) Tijds ontwikkelactiviteit behoort de beveiligingsfunctionaliteit te word getest. 6.6 (ISO 14.2.9) Voor nieuwe informatiesystem, upgrades nieuwe versies behor programma s voor het uitvoer van acceptatietests gerelateerde criteria te word vastgesteld. 4.5 4.6 (ISO 12.3.1) Back-up van informatie 4.5 4.6 (ISO 12.3.1) Regelmatig behor back-upkopieën van informatie, software systeemafbeelding te word gemaakt getest in overestemming met e overegekom back-upbeleid. 4.9 (ISO 12.6.2). Beperking voor het installer van software 4.9 (ISO 12.6.2) Voor het door gebruikers installer van software behor regels te word vastgesteld te word geïmplemteerd. IBPDOC29, versie 1.2 Pagina 14 van 25

Nr Risicobeschrijving Categorie Mbo normkader (ISO 27002-2013) verwijzing Maatregel 45 Het risico van te grote responstijd bij incidt door nalatig incidtmanagemt met als gevolg ontevredheid bij eindgebruikers wantrouw. 46 Het risico van niet-relevante ICT-inkoop door niet afstemm van vraag aanbod met als gevolg financieel verlies. 47 Het risico van onderbezetting servicedesk door toame omvang aantal applicaties met als gevolg teruglopd niveau van distverling ontevred gebruikers. 48 Het risico van versnippering van IT-beheer door applicatie georiënteerd beheer of lokaal georiënteerd beheer met als gevolg e overall IT-beheer met weinig samhang inefficiënt IT-beheer. 49 Het risico van bedrijfsschade door onvoldode knisborging bij de IT-beheerprocess met als gevolg dat idtieke (IT)verstoring van bedrijfsprocess zich steeds blijv herhal teg oplopde kost. 50 Het risico van backup-uitval door gebrek aan monitoring met als gevolg moeizame tot onmogelijke recovery. 51 Het risico van oververhitting van het cter door falde koeling gebrekkig monitor met als gevolg uitval van het cter. 52 Het risico dat uitgelede apparatuur niet ingeleverd wordt door onvoldode monitoring met als gevolg dat de apparatuur zoek raakt, dus kapitaal vernietigd wordt. 53 Het risico dat e leverancier/product failliet gaat door het ontbrek van escrow afsprak met als gevolg onderbrek continuïteit van de organisatie. 54 Risico van uitval van de SAN door leeftijd SAN opgezegd onderhoudscontract Dell met als gevolg continuïteit verlies verlies. 55 Het risico op instabiliteit van de ICT-infrastructuur door het niet op tijd vervang van verouderde ser-vers met als gevolg dat system niet beschikbaar zijn. 56 Het risico dat er te veel applicaties aan de kernsystem gekoppeld zijn door onvoldode ontwikkelmogelijkhed binn de kernsystem met als gevolg beheer issues 1.17 (ISO 16.1.1) Verantwoordelijkhed procedures 1.18 (ISO 16.1.2) Rapportage van (informatiebeveiligings-) gebeurtiss 2.6 (ISO 16.1.3) Rapportage van zwakke plekk in de informatiebeveiliging 4.12 (ISO 16.1.4) Beoordeling van besluitvorming over (informatiebeveiligings-)gebeurtiss 4.13 (ISO 16.1.5) Respons op informatiebeveiligingsincidt Ge mbo statemt (ISO 16.1.6) Lering uit informatiebeveiligingsincidt nvt nvt nvt nvt 1.17 (ISO 16.1.1) Directieverantwoordelijkhed -procedures behor te word vastgesteld om e snelle, doeltreffde ordelijke respons op (informatiebeveiligings-)incidt te bewerkstellig. 1.18 (ISO 16.1.2) Informatiebeveiligingsgebeurtiss behor zo snel mogelijk via de juiste leidinggevde niveaus te word gerapporteerd. 2.6 (ISO 16.1.3) Van medewerkers contractant die gebruikmak van de informatiesystem -dist van de organisatie behoort te word geëist dat zij de in system of dist waargom of vermede zwakke plekk in de informatiebeveiliging registrer rapporter. 4.12 (ISO 16.1.4) Informatiebeveiligingsgebeurtiss behor te word beoordeeld er behoort te word geoordeeld of zij moet word geclassificeerd als informatiebeveiligingsincidt. 4.13 (ISO 16.1.5) Op informatiebeveiligingsincidt behoort te word gereageerd in overestemming met de gedocumteerde procedures. Ge mbo statemt (ISO 16.1.6) Knis die is verkreg door informatiebeveiligingsincidt te analyser op te loss behoort te word gebruikt om de waarschijnlijkheid of impact van toekomstige incidt te verklein. 1. Vaststell functionele technische requiremts. 2. Opstell business case inclusief leveranciersanalyse. 3. Goedkeuring door manager ICT verantwoordelijk directielid voor aankoop op basis van businesscase. 1. Personeelsplanning. 2. Perdiodieke herbeoordeling applicatielandschap. 1. Beschrijv specifieke tak verantwoordelijkhed. 2. Periodieke herbeoordeling IT beheer aanpassing doorvoer waar nodig. 1. Opzett trainingsprogramma's gekoppeld aan het functieprofiel van de medewerkers. 2. Documter best-practice werkinstructies. 3. Kwaliteitscontrole (juistheid, volledigheid, tijdigheid) uitvoer voorafgaand aan communicatie van best-practice 4.5 4.6 (ISO 12.3.1) Back-up van informatie 4.5 4.6 (ISO 12.3.1) Regelmatig behor back-upkopieën van informatie, software systeemafbeelding te word gemaakt getest in overestemming met e overegekom back-upbeleid. 3.10 (ISO 11.2.2) Nutsvoorziing 3.12 (ISO 11.2.4) Onderhoud van apparatuur Ge mbo statemt (ISO 8.1.1) Invtariser van bedrijfsmiddel Ge mbo statemt (ISO 8.1.2) Eigdom van bedrijfsmiddel Ge mbo statemt (ISO 8.1.4) Teruggev van bedrijfsmiddel 6.7 (ISO 15.2.1) Monitoring beoordeling distverling van leveranciers 3.10 (ISO 11.2.2) Apparatuur behoort te word beschermd teg stroomuitval andere verstoring die word veroorzaakt door ontregeling in nutsvoorziing. 3.12 (ISO 11.2.4) Apparatuur behoort correct te word onderhoud om de continue beschikbaarheid integriteit ervan te waarborg. Ge mbo statemt (ISO 8.1.1). Bedrijfsmiddel die samhang met informatie informatie verwerkde faciliteit behor te word geïdtificeerd, van deze bedrijfsmiddel behoort e invtaris te word opgesteld onderhoud. Ge mbo statemt (ISO 8.1.2) Bedrijfsmiddel die in het invtarisoverzicht word bijgehoud, behor e eigaar te hebb. Ge mbo statemt (ISO 8.1.4) Alle medewerkers gebruikers behor alle bedrijfsmiddel van de organisatie die ze in hun bezit hebb bij beëindiging van hun distverband, contract of overekomst terug te gev. 6.7 (ISO 15.2.1) Organisaties behor regelmatig de distverling van leveranciers te monitor, te beoordel te audit. 3.12 (ISO 11.2.4) Onderhoud van apparatuur 3.12 (ISO 11.2.4) Apparatuur behoort correct te word onderhoud om de continue beschikbaarheid integriteit ervan te waarborg. 3.12 (ISO 11.2.4) Onderhoud van apparatuur 3.12 (ISO 11.2.4) Apparatuur behoort correct te word onderhoud om de continue beschikbaarheid integriteit ervan te waarborg. nvt 1.Functionele eis specificer in selectietraject. 2.Eis met betrekking tot interfacing opnem in selectie traject. 3. Servicecontract afsluit voor maatwerk ontwikkeling IBPDOC29, versie 1.2 Pagina 15 van 25

Nr Risicobeschrijving Categorie Mbo normkader (ISO 27002-2013) verwijzing Maatregel 57 Het risico dat de serverruimte niet brandveilig is door ontbrekde brandbeveiligingsmaatregel met als gevolg operationele verstoring 3.6 (ISO 11.1.4) Bedreiging van buitaf. 3.9 (ISO 11.2.1) Plaatsing bescherming van apparatuur 3.6 (ISO 11.1.4) Teg natuurramp, kwaadwillige aanvall of ongelukk behoort fysieke bescherming te word ontworp toegepast. 3.9 (ISO 11.2.1) Apparatuur behoort zo te word geplaatst beschermd dat risico s van bedreiging gevar van buitaf, alsook de kans op onbevoegde toegang word verkleind. 58 Het risico dat de internetverbinding aan zijn maximale capaciteit zit door onvoldode inzicht in verbruik /of onvoldode infrastructuur met als gevolg operationele verstoring. 59 Het risico van Cybercrime (Phising, SPAM, hacking) door onvoldode ingerichte beveiligingsmaatregel met als gevolg operationele verstoring, financiele schade reputatieschade. 60 Het risico dat onbevoegd toegang hebb tot ruimtes door versnipperde onvoldode procedurele afsprak met betrekking tot fysieke toegangsbeleid beveiliging met als gevolg dat informatie /of andere eigdomm gestol word. 61 Het risico dat bedrijfsgegevs gelekt word door grotere vraag naar business intelligce reporting met als gevolg reputatieschade. 62 Het risico dat wachtwoord van medewerkers studt bekd zijn bij onbevoegd door onvoldode risicobewustzijn van medewerkers / studt met als gevolg van fraude. Ge mbo statemt (ISO 12.1.3) Capaciteitsbeheer 4.3 4.4 (ISO 12.2.1) Beheersmaatregel teg malware 5.13 (ISO 13.1.1) Beheersmaatregel voor netwerk 5.14 (ISO 13.1.2) Beveiliging van netwerkdist 5.15 (ISO 13.1.3) Scheiding in netwerk 1.12 (ISO 13.2.1) Beleid procedures voor informatietransport 5.16 (ISO 13.2.3) Elektronische bericht Ge mbo statemt (ISO 7.2.3) Disciplinaire procedure 5.1 (ISO 9.1.1) Beleid voor toegangsbeveiliging 3.3 (ISO 11.1.1) Fysieke beveiligingszone 3.4 (ISO 11.1.2) Fysieke toegangsbeveiliging 3.5 (ISO 11.1.3) Kantor, ruimte faciliteit beveilig 3.7 (ISO 11.1.5) Werk in beveiligde gebied 3.8 (ISO 11.1.6) Laad- loslocatie 3.9 (ISO 11.2.1) Plaatsing bescherming van apparatuur 3.13 (ISO 11.2.6) Beveiliging van apparatuur bedrijfsmiddel buit het terrein 1.1 1.2 (ISO 5.1.1) Beleidsregels voor informatiebeveiliging. 1.7 (ISO 8.2.1) Classificatie van informatie 1.8 (ISO 8.2.2) Informatie label Ge mbo statemt (ISO 8.2.3) Behandel van bedrijfsmiddel 1.1 1.2 (ISO 5.1.1) Beleidsregels voor informatiebeveiliging. 1.3 (ISO 5.1.2) Beoordeling van het informatiebeveiligingsbeleid 1.6 3.1 (ISO 6.2.1) Beleid voor mobiele apparatuur 2.1 (ISO 7.1.2) Arbeidsvoorwaard Ge mbo statemt (ISO 7.2.1) Directieverantwoordelijkhed 2.2 (ISO 7.2.2) Bewustzijn, opleiding training Ge mbo statemt (ISO 12.1.3) Het gebruik van middel behoort te word gemonitord afgestemd, er behor verwachting te word opgesteld voor toekomstige capaciteitseis om de vereiste systeemprestaties te waarborg. 4.3 4.4 (ISO 12.2.1) Ter bescherming teg malware behor beheersmaatregel voor detectie, prevtie herstel te word geïmplemteerd, in combinatie met e passd bewustzijn van gebruikers. 5.13 (ISO 13.1.1) Netwerk behor te word beheerd beheerst om informatie in system toepassing te bescherm. 5.14 (ISO 13.1.2) Beveiligingsmechanism, distverlingsniveaus beheerseis voor alle netwerkdist behor te word geïdtificeerd opgom in overekomst betreffde netwerkdist. Dit geldt zowel voor dist die intern word geleverd als voor uitbestede dist. 5.15 (ISO 13.1.3) Groep van informatiedist, -gebruikers -system behor in netwerk te word gescheid. 1.12 (ISO 13.2.1) Ter bescherming van het informatietransport, dat via alle soort communicatiefaciliteit verloopt, behor formele beleidsregels, procedures beheersmaatregel voor transport van kracht te zijn. 5.16 (ISO 13.2.3) Informatie die is opgom in elektronische bericht behoort passd te zijn beschermd. Ge mbo statemt (ISO 7.2.3) Er behoort e formele gecommuniceerde disciplinaire procedure te zijn om actie te ondernem teg medewerkers die e inbreuk hebb gepleegd op de informatiebeveiliging. 5.1 (ISO 9.1.1) E beleid voor toegangsbeveiliging behoort te word vastgesteld, gedocumteerd beoordeeld op basis van bedrijfs- informatiebeveiligingseis. 3.3 (ISO 11.1.1) Beveiligingszones behor te word gedefinieerd gebruikt om gebied te bescherm die gevoelige of esstiële informatie informatie verwerkde faciliteit bevatt. 3.4 (ISO 11.1.2) Beveiligde gebied behor te word beschermd door passde toegangsbeveiliging om ervoor te zorg dat alle bevoegd personeel toegang krijgt. 3.5 (ISO 11.1.3) Voor kantor, ruimt faciliteit behoort fysieke beveiliging te word ontworp toegepast. 3.7 (ISO 11.1.5) Voor het werk in beveiligde gebied behor procedures te word ontwikkeld toegepast. 3.8 (ISO 11.1.6) Toegangspunt zoals laad- loslocaties andere punt waar onbevoegde person het terrein kunn betred, behor te word beheerst, zo mogelijk te word afgeschermd van informatie verwerkde faciliteit om onbevoegde toegang te vermijd. 3.9 (ISO 11.2.1) Apparatuur behoort zo te word geplaatst beschermd dat risico s van bedreiging gevar van buitaf, alsook de kans op onbevoegde toegang word verkleind. 3.13 (ISO 11.2.6) Bedrijfsmiddel die zich buit het terrein bevind, behor te word beveiligd, waarbij reking behoort te word gehoud met de verschillde risico s van werk buit het terrein van de organisatie. 1.1 1.2 (ISO 5.1.1) T behoeve van informatiebeveiliging behoort e reeks beleidsregels te word gedefinieerd, goedgekeurd door de directie, gepubliceerd gecommuniceerd aan medewerkers relevante externe partij. 1.7 (ISO 8.2.1) Informatie behoort te word geclassificeerd met betrekking tot wettelijke eis, waarde, belang gevoeligheid voor onbevoegde bekdmaking of wijziging. 1.8 (ISO 8.2.2) Om informatie te label behoort e passde reeks procedures te word ontwikkeld geïmplemteerd in overestemming met het informatieclassificatieschema dat is vastgesteld door de organisatie. Ge mbo statemt (ISO 8.2.3) Procedures voor het behandel van bedrijfsmiddel behor te word ontwikkeld geïmplemteerd in overestemming met het informatieclassificatieschema dat is vastgesteld door de organisatie. 1.1 1.2 (ISO 5.1.1) T behoeve van informatiebeveiliging behoort e reeks beleidsregels te word gedefinieerd, goedgekeurd door de directie, gepubliceerd gecommuniceerd aan medewerkers relevante externe partij. 1.3 (ISO 5.1.2) Het beleid voor informatiebeveiliging behoort met geplande tusspoz of als zich significante verandering voordo, te word beoordeeld om te waarborg dat het voortdurd passd, adequaat doeltreffd is. 1.6 3.1 (ISO 6.2.1) Beleid ondersteunde beveiligingsmaatregel behor te word vastgesteld om de risico s die het gebruik van mobiele apparatuur met zich meebrgt te beher. 2.1 (ISO 7.1.2) De contractuele overekomst met medewerkers contractant behoort hun verantwoordelijkhed voor informatiebeveiliging die van de organisatie te vermeld. Ge mbo statemt (ISO 7.2.1) De directie behoort van alle medewerkers contractant te eis dat ze informatiebeveiliging toepass in overestemming met de vastgestelde beleidsregels procedures van de organisatie. 2.2 (ISO 7.2.2) Alle studt/medewerkers van de organisatie, voor zover relevant, contractant behor e passde bewustzijnsopleiding -training te krijg regelmatige bijscholing van beleidsregels procedures van de organisatie, voor zover relevant voor hun functie. IBPDOC29, versie 1.2 Pagina 16 van 25

Nr Risicobeschrijving Categorie Mbo normkader (ISO 27002-2013) verwijzing Maatregel 63 Het risico dat bij SaaS leveranciers beschikbaar is voor onbevoegd door onvoldode beveiliging bij de SaaS leveranciers met als gevolg reputatieschade voor de instelling 64 Het risico op fraude of onrechtmatige invoer in het kernregistratiesysteem door onvoldode scheiding van recht over groep van person met als gevolg reputatieschade. 65 Het risico dat de AD niet op orde is doordat gegevs uit Topdesk niet match met AD met als gevolg dat verkeerde applicaties aan verkeerde person / werkstations gekoppeld word. 66 Het risico dat ongeautoriseerde person toegang krijg tot het Data Cter door het ontbrek van e periodieke controle op de autorisaties met als gevolg dat servers door ongeautoriseerde person baderd kunn word. 67 Het risico dat hackers makkelijk toegang krijg tot het netwerk doordat minimale wachtwoordvereist niet word afgedwong met als gevolg dat gevoelige informatie ontvreemd wordt. 68 Het risico dat er spookmedewerkers word aangemaakt door het ontbrek van functiescheiding binn Profit met als gevolg onterechte salarisuitbetaling. 69 Het risico dat er ongeoorloofde mutaties plaats vind doordat logging niet structureel gecontroleerd wordt met als gevolg e kans op fraude. Ge mbo statemt (ISO 15.1.1) Informatiebeveiligingsbeleid voor leveranciersrelaties 1.15 (ISO 15.1.2) Opnem van beveiligingsaspect in leveranciersoverekomst 1.16 (ISO 15.1.3) Toeleveringsket van informatie- communicatietechnologie. 6.7 (ISO 15.2.1) Monitoring beoordeling van distverling van leveranciers 4.11 (ISO 15.2.2) Beheer van verandering in distverling van leveranciers 5.1 (ISO 9.1.1) Beleid voor toegangsbeveiliging. 5.3 (ISO 9.2.1) Registratie afmeld van gebruikers. 5.4 (ISO 9.2.2) Gebruikers toegang verl 5.1 (ISO 9.1.1) Beleid voor toegangsbeveiliging. 5.3 (ISO 9.2.1) Registratie afmeld van gebruikers. 6.1 (ISO 9.2.5) Beoordeling van toegangsrecht van gebruikers. 5.4 (ISO 9.2.2) Gebruikers toegang verl 6.1 (ISO 9.2.5) Beoordeling van toegangsrecht van gebruikers. 5.1 (ISO 9.1.1) Beleid voor toegangsbeveiliging. 5.7 (ISO 9.3.1) Geheime authticatie-informatie gebruik. 5.14 (ISO 13.1.2) Beveiliging van netwerk. 5.1 (ISO 9.1.1) Beleid voor toegangsbeveiliging 6.1 (ISO 9.2.5) Beoordeling van toegangsrecht van gebruikers 6.2 (ISO 12.4.1) Gebeurtiss registrer 5.12 (ISO 12.4.2) Bescherm van informatie in logbestand 6.3 (ISO 12.4.3) Logbestand van beheerders operators 3.15 (ISO 12.4.4) Kloksynchrronisatie Ge mbo statemt (ISO 15.1.1) Met de leverancier behor de informatiebeveiligingseis om risico s te verlag die verband houd met de toegang van de leverancier tot de bedrijfsmiddel van de organisatie, te word overegekom gedocumteerd. 1.15 (ISO 15.1.2) Alle relevante informatiebeveiligingseis behor te word vastgesteld overegekom met elke leverancier die toegang heeft tot IT-infrastructuurelemt t behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt. 1.16 (ISO 15.1.3) Overekomst met leveranciers behor eis te bevatt die betrekking hebb op de informatiebeveiligingsrisico s in verband met de toeleveringsket van de dist product op het gebied van informatie- communicatietechnologie. 6.7 (ISO 15.2.1) Organisaties behor regelmatig de distverling van leveranciers te monitor, te beoordel te audit. 4.11 (ISO 15.2.2). Verandering in de distverling van leveranciers, met inbegrip van handhaving verbetering van bestaande beleidslijn, procedures beheersmaatregel voor informatiebeveiliging, behor te word, beheerd, reking houdd met de kritikaliteit van bedrijfsinformatie, betrokk system process herbeoordeling van risico s. 5.1 (ISO 9.1.1) E beleid voor toegangsbeveiliging behoort te word vastgesteld, gedocumteerd beoordeeld op basis van bedrijfs- informatiebeveiligingseis. 5.3 (ISO 9.2.1) E formele registratie- afmeldingsprocedure behoort te word geïmplemteerd om toewijzing van toegangsrecht mogelijk te mak. 5.4 (ISO 9.2.2) E formele gebruikerstoegangsverlingsprocedure behoort te word geïmplemteerd om toegangsrecht voor alle typ gebruikers voor alle system dist toe te wijz of in te trekk. 5.1 (ISO 9.1.1) E beleid voor toegangsbeveiliging behoort te word vastgesteld, gedocumteerd beoordeeld op basis van bedrijfs- informatiebeveiligingseis. 5.3 (ISO 9.2.1) E formele registratie- afmeldingsprocedure behoort te word geïmplemteerd om toewijzing van toegangsrecht mogelijk te mak. 6.1 (ISO 9.2.5) Eigar van bedrijfsmiddel behor toegangsrecht van gebruikers regelmatig te beoordel. 5.4 (ISO 9.2.2) E formele gebruikerstoegangsverlingsprocedure behoort te word geïmplemteerd om toegangsrecht voor alle typ gebruikers voor alle system dist toe te wijz of in te trekk. 6.1 (ISO 9.2.5) Eigar van bedrijfsmiddel behor toegangsrecht van gebruikers regelmatig te beoordel. 5.1 (ISO 9.1.1) E beleid voor toegangsbeveiliging behoort te word vastgesteld, gedocumteerd beoordeeld op basis van bedrijfs- informatiebeveiligingseis. 5.7 (ISO 9.3.1) Van gebruikers behoort te word verlangd dat zij zich bij het gebruik van geheime authticatie informatie houd aan de praktijk van de organisatie. 5.14 (ISO 13.1.2) Beveiligingsmechanism, distverlingsniveaus beheerseis voor alle netwerkdist behor te word geïdtificeerd opgom in overekomst betreffde netwerkdist. Dit geldt zowel voor dist die intern word geleverd als voor uitbestede dist. 5.1 (ISO 9.1.1) E beleid voor toegangsbeveiliging behoort te word vastgesteld, gedocumteerd beoordeeld op basis van bedrijfs- informatiebeveiligingseis. 6.1 (ISO 9.2.5) Eigar van bedrijfsmiddel behor toegangsrecht van gebruikers regelmatig te beoordel. Los van ISO27002: 1. Maandelijkse controle op salarisoverzicht (prevtief) 2. Functiescheiding in betalingsapplicaties (prevtief) 3. Maandelijkse controle op uitbetaalde salariss (reactief) 6.2 (ISO 12.4.1) Logbestand van gebeurtiss die gebruikersactiviteit, uitzondering informatiebeveiligingsgebeurtiss registrer, behor te word gemaakt, bewaard regelmatig te word beoordeeld. 5.12 (ISO 12.4.2) Logfaciliteit informatie in logbestand behor te word beschermd teg vervalsing onbevoegde toegang. 6.3 (ISO 12.4.3) Activiteit van systeembeheerders -operators behor te word vastgelegd de logbestand behor te word beschermd regelmatig te word beoordeeld. 3.15 (ISO 12.4.4) De klokk van alle relevante informatie verwerkde system binn e organisatie of beveiligingsdomein behor te word gesynchroniseerd met één refertietijdbron. IBPDOC29, versie 1.2 Pagina 17 van 25

Nr Risicobeschrijving Categorie Mbo normkader (ISO 27002-2013) verwijzing Maatregel 70 Het risico dat speciale recht van systeembeheerders ongepast word gebruikt, doordat e formele autorisatieprocedure, toegespitst op functies, roll tak in overestemming met het toegangsbeveiligingsbeleid ontbreekt, met als gevolg dat onbevoegd toegang wordt verkreg tot vertrouwelijke informatie. 5.1 (ISO 9.1.1) Beleid voor toegangsbeveiliging 5.5 (ISO 9.2.3) Beheer van speciale toegangsrecht 5.1 (ISO 9.1.1) E beleid voor toegangsbeveiliging behoort te word vastgesteld, gedocumteerd beoordeeld op basis van bedrijfs- informatiebeveiligingseis. 5.5 (ISO 9.2.3) Het toewijz gebruik van speciale toegangsrecht behor te word beperkt beheerst. 71 Het risico van virusaanvall door achterstallige updates van virusdefinities met als gevolg uitval van het cter verlies. 72 Uitval van applicaties door het ontbrek van lifecyclemanagemt met als gevolg schade voor het primair proces. 73 Het risico van onterecht bestaande gebruikersaccounts door niet afmelding medewerkers als ze uit dist gaan met als gevolg dat de active directory vervuild is er ge overzicht is van actieve gebruikers. 74 Het risico van geinfecteerde door viruss met als gevolg inconsisttie of totaal verlies 75 Het risico van onvoldode redundantie van gegevs door ontbrek van versiebeheer met als gevolg onduidelijkheid in statuss van documt, verschillde versies, inefficiënt beslag. 4.3 4.4 (ISO 12.2.1) Beheersmaatregel teg malware 4.7 (ISO 12.5.1) Software installer op operationele system 4.8 (ISO 12.6.1) Beheer van technische kwetsbaarhed Ge mbo statemt (ISO 14.2.2) Procedures voor wijzigingsbeheer met betrekking tot system Ge mbo statemt (ISO 14.2.2) Procedures voor wijzigingsbeheer met betrekking tot system Ge mbo statemt (ISO 7.3.1) Beëindiging of wijziging van verantwoordelijkhed van het distverband. 5.1 (ISO 9.1.1) Beleid voor toegangsbeveiliging 5.3 (ISO 9.2.1) Registratie afmeld van gebruikers Ge mbo statemt (ISO 12.1.1) Beheersmaatregel teg malware 1.7 (ISO 8.2.1) Classificatie van informatie 1.8 (ISO 8.2.2) Informatie label 4.3 4.4 (ISO 12.2.1) Ter bescherming teg malware behor beheersmaatregel voor detectie, prevtie herstel te word geïmplemteerd, in combinatie met e passd bewustzijn van gebruikers. 4.7 (ISO 12.5.1) Om het op operationele system installer van software te beheers behor procedures te word geïmplemteerd. 4.8 (ISO 12.6.1) Informatie over technische kwetsbaarhed van informatiesystem die word gebruikt behoort tijdig te word verkreg, de blootstelling van de organisatie aan dergelijke kwetsbaarhed te word geëvalueerd passde maatregel te word gom om het risico dat ermee samhangt aan te pakk. Ge mbo statemt (ISO 14.2.2) Wijziging aan system binn de levscyclus van de ontwikkeling behor te word beheerst door het gebruik van formele procedures voor wijzigingsbeheer. Ge mbo statemt (ISO 14.2.2) Wijziging aan system binn de levscyclus van de ontwikkeling behor te word beheerst door het gebruik van formele procedures voor wijzigingsbeheer. Ge mbo statemt (ISO 7.3.1) Verantwoordelijkhed tak met betrekking tot informatiebeveiliging die van kracht blijv na beëindiging of wijziging van het distverband behor te word gedefinieerd, gecommuniceerd aan de medewerker of contractant, t uitvoer gebracht. 5.1 (ISO 9.1.1) E beleid voor toegangsbeveiliging behoort te word vastgesteld, gedocumteerd beoordeeld op basis van bedrijfs- informatiebeveiligingseis. 5.3 (ISO 9.2.1) E formele registratie- afmeldingsprocedure behoort te word geïmplemteerd om toewijzing van toegangsrecht mogelijk te mak. 4.3 4.4 (ISO 12.2.1) Ter bescherming teg malware behor beheersmaatregel voor detectie, prevtie herstel te word geïmplemteerd, in combinatie met e passd bewustzijn van gebruikers. 1.7 (ISO 8.2.1) Informatie behoort te word geclassificeerd met betrekking tot wettelijke eis, waarde, belang gevoeligheid voor onbevoegde bekdmaking of wijziging. 1.8 (ISO 8.2.2) Om informatie te label behoort e passde reeks procedures te word ontwikkeld geïmplemteerd in overestemming met het informatieclassificatieschema dat is vastgesteld door de organisatie. IBPDOC29, versie 1.2 Pagina 18 van 25

Nr Risicobeschrijving Categorie Mbo normkader (ISO 27002-2013) verwijzing Maatregel 76 Het risico van ongewste authticatie door ontbrek van authticatieroll met als gevolg ongewste toegang tot vertrouwelijke gegevs het kunn muter/verwijder van deze gegevs. 77 Het risico van verlies van vertrouwelijke door onduidelijkheid over wie de eigaar van de applicatie met als gevolg imagoschade voor de school. 78 Het risico van fraude / ongeautoriseerde toegang tot system door ontbrekd wachtwoordbeleid procedures met als gevolg reputatie financiële schade. 5.1 (ISO 9.1.1) Beleid voor toegangsbeveiliging 5.2 (ISO 9.1.2) Toegang tot netwerk netwerkdist. 5.3 (ISO 9.2.1) Registratie afmeld van gebruikers 5.4 (ISO 9.2.2). Gebruikers toegang verl 5.5 (ISO 9.2.3) Beheer van speciale toegangsrecht 5.6 (ISO 9.2.4) Beheer van geheime authticatie informatie van gebruikers 6.1 (ISO 9.2.5) Beoordeling van toegangsrecht van gebruikers 2.3 (ISO 9.2.6) Toegangsrecht intrekk of aanpass. 5.7 (ISO 9.3.1) Geheime authticatie informatie gebruik 5.8 (ISO 9.4.1) Beperking toegang tot informatie 5.9 (ISO 9.4.2) Beveiligde inlogprocedures Ge mbo statemt (ISO 9.4.3) Systeem voor wachtwoordbeheer Ge mbo statemt (ISO 9.4.4) Speciale systeemhulpmiddel gebruik Ge mbo statemt (ISO 9.4.5) Toegangsbeveiliging op programmabroncode Ge mbo statemt (ISO 8.1.2) Eigdom van bedrijfsmiddel 5.1 (ISO 9.1.1) Beleid voor toegangsbeveiliging 5.2 (ISO 9.1.2) Toegang tot netwerk netwerkdist. 5.3 (ISO 9.2.1) Registratie afmeld van gebruikers 5.4 (ISO 9.2.2). Gebruikers toegang verl 5.5 (ISO 9.2.3) Beheer van speciale toegangsrecht 5.6 (ISO 9.2.4) Beheer van geheime authticatie informatie van gebruikers 6.1 (ISO 9.2.5) Beoordeling van toegangsrecht van gebruikers 2.3 (ISO 9.2.6) Toegangsrecht intrekk of aanpass. 5.7 (ISO 9.3.1) Geheime authticatie informatie gebruik 5.8 (ISO 9.4.1) Beperking toegang tot informatie 5.9 (ISO 9.4.2) Beveiligde inlogprocedures Ge mbo statemt (ISO 9.4.3) Systeem voor wachtwoordbeheer Ge mbo statemt (ISO 9.4.4) Speciale systeemhulpmiddel gebruik Ge mbo statemt (ISO 9.4.5) Toegangsbeveiliging op programmabroncode 5.1 (ISO 9.1.1) E beleid voor toegangsbeveiliging behoort te word vastgesteld, gedocumteerd beoordeeld op basis van bedrijfs- informatiebeveiligingseis. 5.2 (ISO 9.1.2) Gebruikers behor alle toegang te krijg tot het netwerk de netwerkdist waarvoor zij specifiek bevoegd zijn. 5.3 (ISO 9.2.1) E formele registratie- afmeldingsprocedure behoort te word geïmplemteerd om toewijzing van toegangsrecht mogelijk te mak. 5.4 (ISO 9.2.2). E formele gebruikerstoegangsverlingsprocedure behoort te word geïmplemteerd om toegangsrecht voor alle typ gebruikers voor alle system dist toe te wijz of in te trekk. 5.5 (ISO 9.2.3) Het toewijz gebruik van speciale toegangsrecht behor te word beperkt beheerst. 5.6 (ISO 9.2.4) Het toewijz van geheime authticatie-informatie behoort te word beheerst via e formeel beheersproces. 6.1 (ISO 9.2.5) Eigar van bedrijfsmiddel behor toegangsrecht van gebruikers regelmatig te beoordel. 2.3 (ISO 9.2.6) De toegangsrecht van alle medewerkers gebruikers voor informatie informatie verwerkde faciliteit behor bij beëindiging van hun distverband, contract of overekomst te word verwijderd, bij wijziging behor ze te word aangepast. 5.7 (ISO 9.3.1) Van gebruikers behoort te word verlangd dat zij zich bij het gebruik van geheime authticatie informatie houd aan de praktijk van de organisatie. 5.8 (ISO 9.4.1) Toegang tot informatie systeemfuncties van toepassing behoort te word beperkt in overestemming met het beleid voor toegangsbeveiliging. 5.9 (ISO 9.4.2) Indi het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot system toepassing te word beheerst door e beveiligde inlogprocedure. Ge mbo statemt (ISO 9.4.3) System voor wachtwoordbeheer behor interactief te zijn sterke wachtwoord te waarborg. Ge mbo statemt (ISO 9.4.4) Het gebruik van systeemhulpmiddel die in staat zijn om beheersmaatregel voor system toepassing te omzeil behoort te word beperkt nauwkeurig te word gecontroleerd. Ge mbo statemt (ISO 9.4.5) Toegang tot de programmabroncode behoort te word beperkt. Ge mbo statemt (ISO 8.1.2) Bedrijfsmiddel die in het invtarisoverzicht word bijgehoud, behor e eigaar te hebb. 5.1 (ISO 9.1.1) E beleid voor toegangsbeveiliging behoort te word vastgesteld, gedocumteerd beoordeeld op basis van bedrijfs- informatiebeveiligingseis. 5.2 (ISO 9.1.2) Gebruikers behor alle toegang te krijg tot het netwerk de netwerkdist waarvoor zij specifiek bevoegd zijn. 5.3 (ISO 9.2.1) E formele registratie- afmeldingsprocedure behoort te word geïmplemteerd om toewijzing van toegangsrecht mogelijk te mak. 5.4 (ISO 9.2.2). E formele gebruikerstoegangsverlingsprocedure behoort te word geïmplemteerd om toegangsrecht voor alle typ gebruikers voor alle system dist toe te wijz of in te trekk. 5.5 (ISO 9.2.3) Het toewijz gebruik van speciale toegangsrecht behor te word beperkt beheerst. 5.6 (ISO 9.2.4) Het toewijz van geheime authticatie-informatie behoort te word beheerst via e formeel beheersproces. 6.1 (ISO 9.2.5) Eigar van bedrijfsmiddel behor toegangsrecht van gebruikers regelmatig te beoordel. 2.3 (ISO 9.2.6) De toegangsrecht van alle medewerkers gebruikers voor informatie informatie verwerkde faciliteit behor bij beëindiging van hun distverband, contract of overekomst te word verwijderd, bij wijziging behor ze te word aangepast. 5.7 (ISO 9.3.1) Van gebruikers behoort te word verlangd dat zij zich bij het gebruik van geheime authticatie informatie houd aan de praktijk van de organisatie. 5.8 (ISO 9.4.1) Toegang tot informatie systeemfuncties van toepassing behoort te word beperkt in overestemming met het beleid voor toegangsbeveiliging. 5.9 (ISO 9.4.2) Indi het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot system toepassing te word beheerst door e beveiligde inlogprocedure. Ge mbo statemt (ISO 9.4.3) System voor wachtwoordbeheer behor interactief te zijn sterke wachtwoord te waarborg. Ge mbo statemt (ISO 9.4.4) Het gebruik van systeemhulpmiddel die in staat zijn om beheersmaatregel voor system toepassing te omzeil behoort te word beperkt nauwkeurig te word gecontroleerd. Ge mbo statemt (ISO 9.4.5) Toegang tot de programmabroncode behoort te word beperkt. IBPDOC29, versie 1.2 Pagina 19 van 25

Bijlage 2 Vertaaltabel ISO 27002 naar mbo normkader 5 Informatiebeveiligingsbeleid 5.1 Aansturing door de directie van de informatiebeveiliging 5.1.1 Beleidsregels voor informatiebeveiliging (1 van 2) 1.1 Beleidsregels voor informatiebeveiliging (2 van 2) 1.2 5.1.2 Beoordeling van het informatiebeveiligingsbeleid 1.3 6 Organiser van informatiebeveiliging 6.1 Interne organisatie 6.1.1 Roll verantwoordelijkhed bij informatiebeveiliging 1.4 6.1.2 Scheiding van tak 1.21 6.1.3 Contact met overheidsinstanties niet 1 6.1.4 Contact met speciale belanggroep niet 6.1.5 Informatiebeveiliging in projectbeheer 1.5 6.2 Mobiele apparatuur telewerk 6.2.1 Beleid voor mobiele apparatuur (1 van 2) 1.6 Beleid voor mobiele apparatuur (2 van 2) 3.1 6.2.2 Telewerk niet 7 Veilig personeel 7.1 Voorafgaand aan het distverband 7.1.1 Screing 2.7 7.1.2 Arbeidsvoorwaard 2.1 7.2 Tijds het distverband 7.2.1 Directieverantwoordelijkhed niet 7.2.2 Bewustzijn, opleiding training t aanzi van informatiebeveiliging 2.2 7.2.3 Disciplinaire procedure niet 7.3 Beëindiging wijziging van distverband 7.3.1 Beëindiging of wijziging van verantwoordelijkhed van het distverband niet 1 Deze norm uit ISO27002 wordt niet gebruikt in het mbo normkader het daarvan afgeleide mbo toetsingskader. IBPDOC29, versie 1.2 Pagina 20 van 25

8 Beheer van bedrijfsmiddel 8.1 Verantwoordelijkheid voor bedrijfsmiddel Handleiding Risicomanagemt 8.1.1 Invtariser van bedrijfsmiddel niet 8.1.2 Eigdom van bedrijfsmiddel niet 8.1.3 Aanvaardbaar gebruik van bedrijfsmiddel niet 8.1.4 Teruggev van bedrijfsmiddel niet 8.2 Informatieclassificatie 8.2.1 Classificatie van informatie 1.7 8.2.2 Informatie label 1.8 8.2.3 Behandel van bedrijfsmiddel niet 8.3 Behandel van media 8.3.1 Beheer van verwijderbare media niet 8.3.2 Verwijder van media 3.2 8.3.3 Media fysiek overdrag niet 9 Toegangsbeveiliging 9.1 Bedrijfseis voor toegangsbeveiliging 9.1.1 Beleid voor toegangsbeveiliging 5.1 9.1.2 Toegang tot netwerk netwerkdist 5.2 9.2 Beheer van toegangsrecht van gebruikers 9.2.1 Registratie afmeld van gebruikers 5.3 9.2.2 Gebruikers toegang verl 5.4 9.2.3 Beher van speciale toegangsrecht 5.5 9.2.4 Beheer van geheime authticatie-informatie van gebruikers 5.6 9.2.5 Beoordeling van toegangsrecht van gebruikers 6.1 9.2.6 Toegangsrecht intrekk of aanpass 2.3 9.3 Verantwoordelijkhed van gebruikers 9.3.1 Geheime authticatie-informatie gebruik 5.7 9.4 Toegangsbeveiliging van systeem toepassing 9.4.1 Beperking toegang tot informatie 5.8 9.4.2 Beveiligde inlogprocedures 5.9 9.4.3 Systeem voor wachtwoordbeheer niet 9.4.4 Speciale systeemhulpmiddel gebruik niet 9.4.5 Toegangsbeveiliging op programmabroncode niet 10 Cryptografie 10.1 Cryptografische beheersmaatregel 10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregel (1 van 2) 1.9 Beleid inzake het gebruik van cryptografische beheersmaatregel (2 van 2) 1.10 10.1.2 Sleutelbeheer (1 van 2) 5.10 Sleutelbeheer (2 van 2) 5.11 IBPDOC29, versie 1.2 Pagina 21 van 25

11 Fysieke beveiliging beveiliging van de omgeving 11.1 Beveiligde gebied Handleiding Risicomanagemt 11.1.1 Fysieke beveiligingszone 3.3 11.1.2 Fysieke toegangsbeveiliging 3.4 11.1.3 Kantor, ruimt faciliteit beveilig 3.5 11.1.4 Bescherm teg bedreiging van buitaf 3.6 11.1.5 Werk in beveiligde gebied 3.7 11.1.6 Laad- loslocatie 3.8 11.2 Apparatuur 11.2.1 Plaatsing bescherming van apparatuur 3.9 11.2.2 Nutsvoorziing 3.10 11.2.3 Beveiliging van bekabeling 3.11 11.2.4 Onderhoud van apparatuur 3.12 11.2.5 Verwijdering van bedrijfsmiddel 1.11 11.2.6 Beveiliging van apparatuur bedrijfsmiddel buit het terrein 3.13 11.2.7 Veilig verwijder of hergebruik van apparatuur 3.14 11.2.8 Onbeheerde gebruikersapparatuur niet 11.2.9 Clear desk - clear scre -beleid 2.4 12 Beveiliging bedrijfsvoering 12.1 Bediingsprocedures verantwoordelijkhed 12.1.1 Gedocumteerde bediingsprocedures niet 12.1.2 Wijzigingsbeheer 4.1 12.1.3 Capaciteitsbeheer niet 12.1.4 Scheiding van ontwikkel-, test- productieomgeving 4.2 12.2 Bescherming teg malware 12.2.1 Beheersmaatregel teg malware (1 van 2) 4.3 Beheersmaatregel teg malware (2 van 2) 4.4 12.3 Back-up 12.3.1 Back-up van informatie (1 van 2) 4.5 Back-up van informatie (2 van 2) 4.6 12.4 Verslaglegging monitor 12.4.1 Gebeurtiss registrer 6.2 12.4.2 Bescherm van informatie in logbestand 5.12 12.4.3 Logbestand van beheerders operators 6.3 12.4.4 Kloksynchronisatie 3.15 12.5 Beheersing van operationele software 12.5.1 Software installer op operationele system 4.7 12.6 Beheer van technische kwetsbaarhed 12.6.1 Beheer van technische kwetsbaarhed 4.8 12.6.2 Beperking voor het installer van software 4.9 12.7 Overweging betreffde audits van informatiesystem 12.7.1 Beheersmaatregel betreffde audits van informatiesystem niet IBPDOC29, versie 1.2 Pagina 22 van 25

13 Communicatiebeveiliging 13.1 Beheer van netwerkbeveiliging Handleiding Risicomanagemt 13.1.1 Beheersmaatregel voor netwerk 5.13 13.1.2 Beveiliging van netwerkdist 5.14 13.1.3 Scheiding in netwerk 5.15 13.2 Informatietransport 13.2.1 Beleid procedures voor informatietransport 1.12 13.2.2 Overekomst over informatietransport 1.13 13.2.3 Elektronische bericht 5.16 13.2.4 Vertrouwelijkheids- of geheimhoudingsoverekomst 2.5 14 Acquisitie, ontwikkeling onderhoud van informatiesystem 14.1 Beveiligingseis voor informatiesystem 14.1.1 Analyse specificatie van informatiebeveiligingseis 1.14 14.1.2 Toepassing op opbare netwerk beveilig niet 14.1.3 Transacties van toepassing bescherm 5.17 14.2 Beveiliging in ontwikkelings- ondersteunde process 14.2.1 Beleid voor beveiligd ontwikkel niet 14.2.2 Procedures voor wijzigingsbeheer met betrekking tot system niet 14.2.3 Technische beoordeling van toepassing na wijziging besturingsplatform niet 14.2.4 Beperking op wijziging aan softwarepakkett niet 14.2.5 Principes voor gineering van beveiligde system niet 14.2.6 Beveiligde ontwikkelomgeving 4.10 14.2.7 Uitbestede softwareontwikkeling 6.4 14.2.8 Test van systeembeveiliging 6.5 14.2.9 Systeemacceptatietest 6.6 14.3 Testgegevs 14.3.1 Bescherming van testgegevs niet 15 Leveranciersrelaties 15.1 Informatiebeveiliging in leveranciersrelaties 15.1.1 Informatiebeveiligingsbeleid voor leveranciersrelaties niet 15.1.2 Opnem van beveiligingsaspect in leveranciersoverekomst 1.15 15.1.3 Toeleveringsket van informatie- communicatietechnologie 1.16 15.2 Beheer van distverling van leveranciers 15.2.1 Monitoring beoordeling van distverling van leveranciers 6.7 15.2.2 Beheer van verandering in distverling van leveranciers 4.11 IBPDOC29, versie 1.2 Pagina 23 van 25

16 Beheer van informatiebeveiligingsincidt 16.1 Beheer van informatiebeveiligingsincidt -verbetering Handleiding Risicomanagemt 16.1.1 Verantwoordelijkhed procedures 1.17 16.1.2 Rapportage van informatiebeveiligingsgebeurtiss 1.18 16.1.3 Rapportage van zwakke plekk in de informatiebeveiliging 2.6 16.1.4 Beoordeling van besluitvorming over informatiebeveiligingsgebeurtiss 4.12 16.1.5 Respons op informatiebeveiligingsincidt 4.13 16.1.6 Lering uit informatiebeveiligingsincidt niet 16.1.7 Verzamel van bewijsmateriaal 6.8 17 Informatiebeveiligingsaspect van bedrijfscontinuïteitsbeheer 17.1 Informatiebeveiligingscontinuïteit 17.1.1 Informatiebeveiligingscontinuïteit plann niet 17.1.2 Informatiebeveiligingscontinuïteit implemter 4.14 17.1.3 Informatiebeveiligingscontinuïteit verifiër, beoordel evaluer niet 17.2 Redundante compont 17.2.1 Beschikbaarheid van informatie verwerkde faciliteit 4.15 18 Naleving 18.1 Naleving van wettelijke contractuele eis 18.1.1 Vaststell van toepasselijke wetgeving contractuele eis niet 18.1.2 Intellectuele-eigdomsrecht niet 18.1.3 Bescherm van registraties 1.19 18.1.4 Privacy bescherming van persoonsgegevs 1.20 18.1.5 Voorschrift voor het gebruik van cryptografische beheersmaatregel niet 18.2 Informatiebeveiligingsbeoordeling 18.2.1 Onafhankelijke beoordeling van informatiebeveiliging niet 18.2.2 Naleving van beveiligingsbeleid -norm 6.9 18.2.3 Beoordeling van technische naleving 6.10 IBPDOC29, versie 1.2 Pagina 24 van 25

Bijlage 3: Framework informatiebeveiliging privacy in het mbo IBPDOC29, versie 1.2 Pagina 25 van 25

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback