26 maart 2015 Jule Hintzbergen, IBD. De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en ENSIA

Vergelijkbare documenten
De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD

11 december 2014 Jule Hintzbergen, IBD. De Baseline Informatiebeveiliging en kleine gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

Innovatie in een veranderd risicolandschap

Welkom bij parallellijn 1 On the Move uur

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

Brief aan de leden T.a.v. het college en de raad. 21 maart ECIB/U Lbr. 17/017 (070)

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november Anita van Nieuwenborg

informatiecentrum tel. uw kenmerk bijlage(n) (070) Lbr. 14/086

ENSIA voor Informatieveiligheid. Informatie voor Auditors

ECIB/U Lbr. 17/010

TOELICHTING OP GAP-ANALYSE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging

BABVI/U Lbr. 13/057

Welkom bij parallellijn 1 On the Move uur. Stap 2 van de BIG Hoe kom ik tot een informatiebeveiligingsplan?

Youri. CISO BUCH-gemeenten. Even voorstellen. Stuurgroeplid. Lammerts van Bueren. Grip op informatieveiligheid met ENSIA

Ver V eniging eniging v an Nede rlandse meenten In deze sessie Wat vooraf ging Waarom vind ik ENSIA belangrijk? ENSIA the basics

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

ENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

o n k Ö A fia* V/ \ ^ * f

ons kenmerk ECIB/U Lbr. 16/046

Handreiking Implementatie Specifiek Suwinetnormenkader

BIO-Aanpak. Kees Hintzbergen, Senior adviseur IB IBD. Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe & Surfibo

HOE IMPLEMENTEER IK DE BIG? HANDLEIDING GERICHT OP KLEINE GEMEENTEN

Timeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy.

ENSIA voor informatieveiligheid

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015

ENSIA ROL- EN TAAKBESCHRIJVING VAN GEMEENTELIJKE STAKEHOLDERS

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

Gemeente Alphen aan den Rijn

STRATEGISCHE BASELINE INFORMATIEBEVEILIGING NEDERLANDSE GEMEENTEN

Regiobijeenkomst Aansluiten bij de IBD 2014

Een beetje beveiligen kan niet Op weg naar veiliger gemeenten Jaarplan 2015 en toekomst IBD Consulterend Overleg 22 september 2014 Boudien Glashouwer

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

HOE IMPLEMENTEER IK DE BIG? HANDLEIDING GERICHT OP KLEINE GEMEENTEN

INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop

Jaarverslag Informatiebeveiliging en Privacy

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

ENSIA door gemeenten. 31 oktober 2017 Edith van Ruijven

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal

November 2015 Peter van DIjk, IBD. ICT Beraad 13 november 2015

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Henk Wesseling

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe Leguit

Format presentatie Kick-off

Aantoonbaar in control op informatiebeveiliging

Bijeenkomst gemeenten zelfevaluaties 2016/2017. d.d. 31 januari te Utrecht

Tweede Kamer der Staten-Generaal

IB-Governance bij de Rijksdienst. Complex en goed geregeld

Een Information Security Management System: iedereen moet het, niemand doet het.

Introductie aanpak BIO

NORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013

Ministerie van BZK Kenmerk Uw kenmerk

RAAK-project Veilig Water Programma Informatieveiligheid. Marcel Spruit (HHS), Michiel Dirriwachter (UvW)

Voorstel Informatiebeveiliging beleid Twente

Informatieveiligheid & Privacy Hardinxveld- Giessendam Duiding ten behoeve van Gemeenteraad

Informatievoorziening voor Raadsleden

Introductie aanpak BIO

Introductiefilmpje Informatieveiligheid bestuurders

Het verveelvoudigen of openbaar maken van dit werk is, zonder de schriftelijke toestemming van ARANEA ISM, niet toegestaan. 1

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Learn and Share bijeenkomst Informatieveiligheid, Rheden

College Tour Informatieveiligheidbeleid. 11 oktober 2013 DEN HAAG

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

IMPLEMENTATIE BIG. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

ons kenmerk BB/U

Veilig gebruik van suwinet. Mariska ten Heuw Wethouder Sociale Zaken

STRATEGISCHE BASELINE INFORMATIEBEVEILIGING NEDERLANDSE GEMEENTEN

Welkom bij parallellijn 1 On the Move uur

FAQ s Baseline Informatiebeveiliging Overheid

Grip op Secure Software Development

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

iiiiiiiiiiiiiiiiiiiniiiiiiiiii

Informatieveiligheid. Youri Lammerts van Bueren Adviseur Informatiebeveiliging (CISO)

Proces verantwoorden ENSIA Toelichting en formats voor college en de raad

CERTIFICERING DATASTORAGE ISO 27001:2013 EN NEN7510:2011

INFORMATION SECURITY MANAGEMENT SYSTEM

Dit document is een presenteerbaar aanbod of bestelling voor doorontwikkelen van

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

Verklaring van Toepasselijkheid en Informatiebeveiligingsbeleid

Samen werken aan informatieveiligheid & Privacy. 9 november 2017 PvIB

BASELINETOETS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Informatiebeveiliging in Súdwest-Fryslân

Samenwerking in Uitvoering

Agenda. Peter Greve Strategisch Accountmanager bij UWV Gegevensdiensten

INFORMATION SECURITY MANAGEMENT SYSTEM

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]

Rapportage informatieveiligheid en privacy gemeente Delfzijl

Regiobijeenkomsten Aansluiten bij de IBD December 2013

Privacy & online. 9iC9I

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

i-l ;EP 20i Stuknummer: AI pagina 1 van 1 Inlichten instantie via * 'jaar DER

Kwaliteitsmanagement BGT LEF sessie 13 februari Arno de Ruijter, IenM

BABVI/U Lbr. 12/081

Transcriptie:

26 maart 2015 Jule Hintzbergen, IBD De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en ENSIA

Agenda De Informatiebeveiligingsdienst voor gemeenten (IBD) De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Eenduidige Normatiek Single Information Audit (ENSIA) Hoe kunnen gemeenten hier nu al op inspelen? 2

Wat is er aan de hand? 25 oktober 2012 3 3

Informatieveiligheid Het gaat om het vergroten van de weerbaarheid van gemeenten tegen ICT-verstoringen en dreigingen. Dat start bij vergroten van bewustzijn van en de sturing op informatiebeveiliging, ook bij bestuurders. Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): Strategische en Tactische variant van de BIG gereed op IBD-community en -website (Wat) Producten Operationele variant (Hoe) www.ibdgemeenten.nl

5 Doelen van de IBD

6 De IBD-dienstverlening strekt verder

De IBD-dienstverlening strekt verder Helpdesk van de IBD De IBD heeft een helpdesk, waar gemeenten al hun vragen over informatiebeveiliging kunnen stellen. Website en Community Een website en community waar gemeenten kennis en ervaring op informatiebeveiligingsvlak kunnen uitwisselen. Leveranciersonafhankelijk De IBD is leveranciersonafhankelijk en ondersteunt een level playing field voor leveranciers actief in het gemeentelijk domein 7

Beschikbare kennis, producten en diensten van de IBD Incidentdetectie en -coördinatie I.s.m het Nationaal Cyber Security Centrum (NCSC)- NRN I.s.m. leveranciers Bewustwording Regiobijeenkomsten Presentaties, workshops, congressen Projecten Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) ICT-Beveiligingsassessment DigiD Verlagen van de audit-last (Taskforce BID, project ENSIA) Ondersteunen projecten binnen KING Decentralisaties GEMeentelijke Model Architectuur (GEMMA) 8

Incident detectie en coördinatie Steeds meer gemeenten weten de IBD te vinden. Waar bellen gemeenten over? Advies BIG Incidenten Aansluiten IBD Advies ICT-vraagstukken DigiD Preventie Privacy Overige vragen 9

10 De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

BIG: Doel 1. Gemeenten op een vergelijkbare manier efficiënt laten werken met informatieveiligheid. 2. De BIG is een hulpmiddel voor gemeenten om aan alle eisen op het gebied van informatieveiligheid te kunnen voldoen. 3. De BIG vermindert de auditlast bij gemeenten. 4. Gemeenten zijn met de BIG een aantoonbaar betrouwbare partner. 11

BIG: Uitgangspunten Gekozen voor een optimale aansluiting bij de wereld van geaccepteerde standaarden: Bijvoorbeeld: ISO 27001:2005, ISO 27002:2007, VIR, VIR-BI en BIR. Basis beveiligingsniveau gebaseerd op normen en wetgeving: Inclusief mapping vanuit normen en wetgeving naar de maatregelen.

Strategische variant BIG Scope: Bedrijfsvoeringsprocessen en onderliggende informatiesystemen en informatie van de gemeente Uitgangspunten: B&W integraal verantwoordelijk Basisniveau Departementaal Vertrouwelijk Schengen-principe gehanteerd Gerichte risicoafweging voor afwijkende situaties of wanneer een hoger beveiligingsniveau nodig is Randvoorwaarden: Rol management Risicomanagement Bewustwording Integrale aanpak 13

Tactische variant BIG Indeling als internationale beveiligingsnorm ISO/IEC 27002:2007 Basisset aan maatregelen die voor alle gemeenten geldt Bevat maatregelen uit aansluitnormen van de basisregistraties: GBA / BRP PUN BAG SUWI wet WBP en laatste richtsnoeren Randvoorwaarden, stappenplan 14

Operationele variant BIG Opgebouwd uit aanvullend beleid, procedures, handreikingen, aanwijzingen en patronen Geven vooral antwoord op het hoe detaillering, invulling maatregelen Producten: Prioriteit: bepaald middels uitvraag Aantal: 50+ producten Kwaliteitsborging: review door gemeenten 15

Voordelen van de BIG Gemeenten hebben nu allemaal hetzelfde kader. Bewustwording neemt toe bij gemeenten en daarmee ook de vragen. Gemeenten zijn meer in control: gemeenten worden volwassen opdrachtgevers qua beveiliging, en dat dwingt leveranciers tot volwassen opdrachtnemerschap. Duidelijkheid voor leveranciers: geen verschillende beveiligingseisen van verschillende gemeenten. Onderscheidende factor voor leveranciers. Security by design 16

Hoofdstappen implementatie BIG Aanstellen IBF / CISO Prioriteren (volledige BIG of delen van de BIG) GAP-analyse (eventueel alleen essentiële systemen) Impactanalyse Selecteren maatregelen Informatiebeveiligingsplan Voortgangsrapportage Controle / audit Verantwoording 17

ENSIA Eenduidige Normatiek Single Information Audit Organisaties binnen de diverse overheidslagen zijn net als andere organisaties verplicht om jaarlijks audits uit te laten voeren. Doel van deze audits is het meten en/of controleren van de informatiebeveiliging. Een auditopgave vraagt veel van een gemeente; van extra inspanning tot aan logistieke en budgettaire problemen. Het doel van ENSIA is om te komen tot een vermindering van de verantwoordings- en auditinspanning bij de overheden, waaronder gemeenten. 18

ENSIA Waar komen we vandaan? Waar willen we naartoe? Coördinatie is een randvoorwaarde ENSIA is een eerste stap ENSIA 2015 19

Waar komen we vandaan? De huidige verschillende verantwoordingsverplichtingen zijn verzuild. Dit komt voort uit de tijd waarin de verantwoordingsverplichtingen zijn ingericht. Gemeenten werkten met verschillende systemen die los van elkaar functioneerden. Gemeenten zijn echter anders (slimmer) gaan werken. Informatie stroomt steeds meer door de hele organisatie (via bijvoorbeeld zaaksystemen). Met het omarmen van de BIG door het aannemen van de Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente, streven gemeenten naar een integrale aanpak van informatiebeveiliging. De verschillende verantwoordingsverplichtingen passen daarom niet meer bij de huidige manier van werken.

De huidige werkwijze heeft nadelen Effectiviteit: Door de verzuilde verantwoording, wordt een integrale aanpak van informatieveiligheid tegengewerkt. Gemeenten worden immers gestimuleerd dit thema verzuild op te pakken, terwijl een integrale aanpak nodig is om dit goed te doen. Dit komt informatieveiligheid bij gemeenten niet ten goede. Doelmatigheid: De verschillende verantwoordingsverplichtingen overlappen (deels), dit is inefficiënt. Gemeenten ervaren dit als een onnodig hoge last.

Verantwoordingen in GEMMA architectuur BAG SUWI DIGID BRP/PUN

Waar willen we naartoe? Het streven is om één integrale verantwoording over de informatievoorziening van gemeenten te doen. Het ideaalplaatje voor de toekomst zou een systeem moeten zijn dat rapporteert over het compliant zijn aan bedrijfsregels waartoe ook beveiligingsmaatregelen behoren. De eerste stap naar dit ideaalbeeld, is ENSIA: het integreren van alle verantwoordingsverplichtingen over informatiebeveiliging in één verantwoording vanuit de BIG.

Toetsen en verantwoorden Van Naar BIG BIG Heterogene verantwoording Homogene verantwoording

Dit vraagt om Bereidheid van gemeenten om verantwoording over informatieveiligheid in te richten: daadwerkelijke implementatie BIG; Ingericht proces van systematisch verantwoorden. Bereidheid van departementen om bestaande verantwoordingen kritisch te beschouwen: Is de bestaande methodiek relevant in het licht van de BIG? Is de gevraagde informatie relevant vanuit beleidsperspectief? Waar noodzakelijk en zinnig aanpassen wet- en regelgeving? Een groeipad: Met als eerste stap ENSIA informatieveiligheid.

Coördinatie is een randvoorwaarde Beleidsdepartementen Coördinatie BAG BPR PUN DIGID Raad Normatiek / A baselines SUWI Et cetera Auditing professionals

Coördinatie van: Gemeentelijk verantwoordingsproces: van informatieveiligheid, naar informatievoorziening. Inrichting van audits: Van extern toezicht/audit, Naar self-assessment met gedoseerd extern toezicht/audit. Gewenste horizontale verantwoording: Van bestaande gedetailleerde verantwoording (deels wettelijk), Naar beleidstoezicht op basis van verantwoording over gemeentelijke informatievoorziening.

Uiteindelijk ENSIA? Toezicht Specifiek B R P Horizontale verantwoording P U N B A G S U W I D I G I D BIG Generiek

De eerste stap ENSIA-systematiek Inrichting zowel horizontale als verticale verantwoording Horizontaal: Self-assessment, centraal beheerde vragenlijst In control statement P&C-cyclus Controle op verantwoording (nader te bepalen) Verticaal Steunt op horizontaal Informatiedeling van resultaten self-assessments voor zover van belang voor beleidstaken, peer review, etc. Beheer nader te bepalen Verdere verantwoording en specifieke uitvragen rond informatieveiligheid in overleg met BZK, stroomlijnen verantwoordingslast staat voorop 31

ENSIA-pilot 2014 Die pilot heeft zich gericht op het ondersteunen van het ICS (in control statement van het gemeentebestuur in het jaarverslag. De onderbouwing van dat ICS wordt gevormd door het assessment ENSIA. De pilot is uitgevoerd met de medewerking van negen gemeenten en de direct betrokken beleidsdepartementen. De pilot werd door de betrokken gemeenten positief beoordeeld. 32

33 ENSIA vervolg Project gaat door onder de vlag van BZK. De IBD blijft betrokken. Twee plannen Het eerste plan geeft richting aan de uitrol van ENSIA gericht op informatieveiligheid in het gemeentelijk domein daarbij voortbouwen op de pilot. Nog voor de zomer vindt besluitvorming hierover plaats. Het tweede plan richt zich op de mogelijke verbreding van de ENSIA-aanpak buiten de gemeentelijke informatieveiligheid. Verbreding van ENSIA-aanpak provincies en waterschappen. Andere thema s dan informatieveiligheid binnen de informatiehuishouding.

Hoe kunnen gemeenten hier nu al op inspelen? Inrichten verantwoording binnen de gemeente Horizontaal Verticaal Grote gemeenten Werken naar in control statement per afdeling, samenvatting gemeentebreed Kleine gemeenten In control statement gemeentebreed 34

Aandachtspunten: Hergebruik van maatregelen? Wat goed is, nu niet stukmaken Zijn de audits / zelfassessments doorstaan dan is het goed. Kopieer op termijn datgene wat er voor de GBA, PUN en SUWI al is binnen de gemeente, dus maak geschikte procedures en beleid algemeen. Haal de dubbelingen bij de processen weg zodat specifieke wettelijke eisen wel blijven bestaan en verantwoord worden. 35

BIG Toppers: ISMS Beleid Incidentmanagement Hardening Patchmanagement Changemanagement Continuïteit Back-up Voorbeeld prioriteiten om aan te pakken Logging en logging controle IAM accountmanagement en usermanagement centraal Processen / systemen: - Decentralisaties - Financiën - 3D-systemen - Financieel systeem - Dienstverlening zaaksysteem

Vragen? info@ibdgemeenten.nl Bezoek ook www.ibdgemeenten.nl 37

38 Aanvullingen als er tijd over is

BIG-instrumenten, een nadere uitleg Versie 1.5

Instrumenten 0-meting Impactanalyse Baselinetoets Diepgaande Risicoanalyse Privacy Impact Assessment (PIA) 40

Instrumenten: GAP-analyse en impactanalyse De GAP-analyse is bedoeld om te toetsen in hoeverre de gemeente of een proces/informatiesysteem voldoet aan de BIG. De Impactanalyse is bedoeld om de ontbrekende maatregelen ten opzichte van de BIG toe te delen en te plannen, dus ook richting leveranciers van informatiesystemen. Voorbeeld verantwoordelijken toegevoegd Biedt mogelijkheid om te plannen, bijvoorbeeld groepen maatregelen per jaar Output voor informatiebeveiligingsplan en verklaring van toepasselijkheid (in control statement) 41

Instrumenten: baselinetoets Zo eenvoudig mogelijk opgezet Toetsen door middel van BIV en P vragen Tweeledig doel: Een bestaand systeem te toetsen of de baseline voldoende beschermd Toetsen van een nieuw proces/informatiesysteem of de baseline voldoende is of dat er meer nodig is. Resultaat: BIG is voldoende BIG is niet voldoende, voer diepgaande risicoanalyse uit en voer eventueel een PIA uit Geeft inzicht in BIV+P ten opzichte van de BIG B = Beschikbaarheid I = Intergriteit V = Vertrouwelijkheid P = Privacy 42

Instrumenten: diepgaande risicoanalyse Vervolg op de baselinetoets Kan leiden tot aanvullende controls en maatregelen bovenop de BIG-controls en maatregelen Minimaal tijd benodigd van proceseigenaar, systeembeheerders et cetera In korte tijd te doen Mogelijk focus op BIV+P uit baselinetoets 43

Instrumenten: PIA Genoemd in de Privacy Richtsnoeren van Cbp Indien de P-vragen uit de baselinetoets aanleiding geven tot een PIA. Vragenlijst gericht op privacyvraagstukken. Eenvoudige rapportage. Leidt tot eventueel aanvullende beveiligings-/privacymaatregelen Toekomst mogelijk verplicht (NL en EU-wetgeving) Aantonen dat over privacy is nagedacht! 44

Stappenplan gemeenten 45

Versie 1.5 Enkele praatplaten

Samenhang producten 47

Informatiebeveiliging en Privacy in IV-projecten Verkennin g Definitie Baselintetoets Informatiebeveiliging en Privacy B 8 I 14 V 14 B > 8 I > 14 V > 14 P > 3 Diepgaande Risico Analyse en/of Privacy Impact Analyse Realisatief ase Maatregelen Baseline Maatregelen Baseline + Ontwerpen Functioneel Ontwerp Technisch Ontwerp Beheer en Governance Ontwerp Inkoop Programma van Eisen Contracten Leveranciers Convenant gebruikers SLA DAP Privacy Functionaris gegevensbeschermin g Transparantiedocume nt Bewerkersovereenko mst Projectaudits Testen Testplan Pentest Functioneel Technisch Werkinstructies Gebruikers Functioneel beheer Technisch/applicati e beheer

Overview Baselinetoets en Risicoanalyse Informatiebeveiliging Versie 1.5

Overzicht Baselinetoets STAP 1. Intakegesprek voeren 2. Analyseren proces 3. Vaststellen betrouwbaarheidseisen BIV-P SETTING Gesprek met opdrachtgever, meestal projectleider Afstemming met proceseigenaar Terugkoppeling aan opdrachtgever WERKWIJZE In kaart brengen scope, diepgang, planning, brondocumenten, respondenten etc. In kaart brengen procesomgeving, Samenhang, inhoud en eisen Consolideren van de eisen, bepalen vervolgstappen TOOLS Baselinetoets Generiek Procesmodel Waarderingstabellen Schema vervolgstappen RESULTAAT Plan van Aanpak / planning voorbereiding analyse Procesmodel en eerste beeld van de eisen Geconsolideerd beeld van de eisen Inzicht in de Vervolgstappen UREN INDICATIEF 1 uur opdrachtgever 10 uur voorbereiding en uitwerken 4 uur opdrachtgever 8 uur uitwerken (per proces) 1 uur opdrachtgever

Baselinetoets, tijd benodigd van de opdrachtgever Uitgangspunt: scope is één systeem Baselinetoets lijkt op A-analyse / BIA-aanpak Sessie/interview met proceseigenaar: 3 à 4 uur Terugkoppeling 1 uur Totaal dus zo'n 5 uur tijd benodigd van opdrachtgever Overige tijd is voorbereiding en uitwerking door analist 51

Overview diepgaande risicoanalyse Door eigenaar, niet in scope STAP 4. Analyseren Informatiesysteem 5. Analyseren bedreigingen 6. Vaststellen maatregeldoelstellingen 7. Opstellen Plan SETTING Gesprek met systeemeigenaar, meestal functioneel beheerder Gesprek met systeemeigenaar, meestal functioneel beheerder Uitwerking door Analist en terugkoppeling aan opdrachtgever Terugkoppeling aan opdrachtgever WERKWIJZE In kaart brengen informatiesysteem alsmede eisen Bepalen relevante bedreigingen i.r.t. gevolgen Formuleren maatregeldoelstellingen o.b.v. de eisen en relevante bedreigingen Opstellen implementatieplan per verantwoordelijke TOOLS MAPGOOD Invulformulier Waarderingstabellen Invulmatrix gevolgen & bedreigingen BIG Maatregel- Doelstellingen en eigen maatregeldoelstellingen Opzet implementatieplan RESULTAAT MAPGOOD formulier ingevuld en eerste beeld van de eisen Overzicht van de relevante bedreigingen Samenhangend pakket maatregeldoelstellingen Implementatieplan informatiebeveiliging UREN INDICATIEF 4 uur systeembeheer/ functioneelbeheer 8 uur voorbereiden en uitwerken 4 uur Gesprek(ken) met systeemeigenaar 20 uur voorbereiden en uitwerken 20 uur 20 uur samen met CISO en opdrachtgever

Diepgaande risicoanalyse, tijd benodigd van de opdrachtgever Uitgangspunt: één systeem Map goed als dat nog niet is gedaan: tot 4 uur met systeemeigenaar dreigingenanalyse 2 tot maximaal 3 dagdelen met systeemeigenaren maatregelen (op maatregel/doelstelling niveau) vaststellen, alleen de afstemming met proces/ systeemeigenaar 4 uur Overige tijd is voorbereiding en uitwerking door analist Leidt tot maatregeldoelstellingen die in stap 8 worden aangescherpt. De eigenaar voert dit plan zelf uit. 53

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback