Bijlage 11 Taakomschrijving rollen NEN informatiebeveiliging. 1. Doel



Vergelijkbare documenten
Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging. 1. Inleiding

Bureau organisatie van de CIHN alsmede locatiemanagers, CODA s en teamleider Nijmegen.

NEN 7510: een ergernis of een hulpmiddel?

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Informatiebeveiligingsbeleid SBG

Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum

Internet Beveiliging en Privacy (IBP) Beleid Aloysius

Informatiebeveiligings- en privacy beleid

Bijlage 1 UZI-passen en mandatering. 1. Inleiding

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Informatiebeveiligingsbeleid

Bijlage 10 Middelenmatrix veilige infrastructuur. 1. Doel

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Informatiebeveiligings- en privacy beleid (IBP)

Informatiebeveiliging- en privacy beleid (IBP)

2015; definitief Verslag van bevindingen

Beleidsplan Informatiebeveiliging en privacy

Informatiebeveiligings- en privacybeleid

Verbeterplan Suwinet

Informatiebeveiligingsplan Dentpoint Centrum voor Mondzorg

i\ r:.. ING. 1 8 FEB 2016

Praktijk Datum opgesteld/herzien Versie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

INFORMATIEBEVEILIGINGS- EN PRIVACYBELEID

1 Bijlage 8 Procedure bewaartermijnen

Besluit van het college van burgemeester en wethouders van de gemeente Oegstgeest houdende regels voor Basisregistratie Personen Beheerregeling BRP

Protocol Informatiebeveiliging en Datalekken (PID) Aloysius

Informatiebeveiliging en Privacy; beleid CHD

HRM in GDPR. 06 feb 2017 Gent. Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo. V-ICT-OR Vlaamse ICT Organisatie

Checklist Beveiliging Persoonsgegevens

Datum 17 februari 2016 Betreft Definitief verslag van bevindingen onderzoek Veilig gebruik Suwinet 2015

Protocol informatiebeveiligingsincidenten en datalekken

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

Hoe implementeer je de NEN7510?

Informatiebeveiligings- en privacy beleid. PC Basisschool De Morgenster

BEHEERSDEEL. Stuknummer: bl Administratieve organisatie en interne beheersing. Uitgangspunten administratieve organisatie en interne controle

Gemeente Alphen aan den Rijn

Security Health Check

Informatiebeveiliging heeft betrekking op het behoud van vertrouwelijkheid, integriteit en beschikbaarheid van (patiënten)informatie binnen de CIHN.

Informatiebeveiligings- en privacy beleid

Verklaring van Toepasselijkheid

Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017

Privacyverklaring voor opdrachtgevers

Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad

Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid

Privacy in Instituut Verbeeten

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm

Thema 2: aanschaf en gebruik van e-healthtoepassingen

Binnen deze privacy policy komen de volgende onderdelen aan bod:

Protocol informatiebeveiligingsincidenten en datalekken. Voila Leusden

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Datum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Thema-audit Informatiebeveiliging bij lokale besturen

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Stedelijk Gymnasium Leiden locatie Athena locatie Socrates

Toets uw eigen continuïteitsplan

Informatiebeveiligingsbeleid

Protocol informatiebeveiligingsincidenten en datalekken

BNG Compliance Charter

Medi-Office gebruikt verschillende categorieën van persoonsgegevens.

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Atrium MC te Heerlen op 10 juli

Ondersteunende processen Organisatie Informatiebeveiliging Melding Datalek

Procuratiereglement Stichting de Posten

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in Medisch Centrum Haaglanden te Den

Saxion Data Security Beleid. Het data security beleid voor afvoer of hergebruik van gegevensdragers

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

HUISREGELS COMPUTERGEBRUIK

Protocol informatiebeveiligingsincidenten en datalekken. Minkema College

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

rliiiiihihhiiiivi.ilhn

Stichting Primair Onderwijs Leudal en Thornerkwartier In de Neerakker JE Heythuysen. Protocol informatiebeveiligingsincidenten en datalekken

Protocol informatiebeveiligingsincidenten en datalekken. Stichting Christelijk Onderwijs Haaglanden

Het Letselhuis gebruikt verschillende categorieën van persoonsgegevens.

Beleid Informatiebeveiliging InfinitCare

Beknopt overzicht van bedreigingen en maatregelen

,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik

Bijlage A Governance

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Van Weel-Bethesda Ziekenhuis te

Hoe operationaliseer ik de BIC?

Bestuur & Organisatie: voortgang antifraude offensief versie 08 augustus 2017

In jouw schoenen. Een praktische invulling van informatiebeveiliging

#vvsg_gdpr Wat kunnen we leren uit de thema-audit informatiebeveiliging?

Privacyreglement Nederlandse Obesitas Kliniek

Informatiebeveiliging

Bestuur. scholengemeenschap voor vmbo havo atheneum gymnasium. school voor praktijkonderwijs. Bezoekadres: Stationslaan CA Stadskanaal

Datalek dichten en voorkomen. 21 april 2017

Functieprofiel: Teamleider Functiecode: 0203

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Functieprofiel Functioneel Beheerder Functieprofiel titel Functiecode 00

Samenvatting en Conclusie Revalidatiecentra

Overzicht van taken en competenties. Demandmanager-rol

KLACHTENREGELING VERSIE 2.2. Een goede afhandeling van klachten is een middel is om de tevredenheid van klanten te vergroten.

Transcriptie:

Bijlage 11 Taakomschrijving rollen NEN informatiebeveiliging 1. Doel In dit document leggen we vast hoe de taken en bevoegdheden ten aanzien van informatiebeveiliging verdeeld zijn over de diverse medewerkers. Tevens wordt aangegeven welke taken op regelmatige basis per medewerker terugkeren. Uiteraard dient het document aangepast worden aan de functies binnen uw organisatie. Voordeel van deze vorm is dat het een duidelijk inzicht geeft van de taakverdeling per functionaris. De functiebeschrijvingen hoeven dan ook in principe niet meer aan worden gepast. 2. Doelgroep Alle betrokkenen bij informatiebeveiliging. 3. Afkortingen EPD Elektronisch Patiënten Dossier AIOS Arts In Opleiding tot Specialist DA Doktersassistente CODA Coördinerend doktersassistente ANW Avond-, nacht- en weekendzorg RBS Relatie Beheer Systeem BSN Burger Service Nummer 4. Werkwijze 4.1 Toewijzing van taken en bevoegdheden 4.1.1 Bestuurlijke verankering De formele goedkeuring en herziening van het informatiebeveiligingsbeleid van de CIHN vindt plaats door het bestuur. Het informatiebeveiligingsbeleid is van toepassing op de CHN B.V., CIHN en OCE B.V.. Het bestuur delegeert de verantwoordelijkheid voor het opstellen, implementeren en handhaven van het beveiligingsbeleid aan de directeur CIHN. Deze heeft voor uitvoering en toezicht de taak gedelegeerd aan de kwaliteitsfunctionaris. Uitvoering, implementatie en controle op naleving van het beveiligingsbeleid worden uitgevoerd door de leidinggevenden binnen de CIHN. Zij communiceren de resultaten aan de kwaliteitsfunctionaris. Minimaal één maal per jaar vindt aan de hand van steekproeven een controle op naleving van het beveiligingsbeleid plaats. De resultaten hiervan worden door de directeur gecommuniceerd aan het bestuur, middels de directiebeoordeling. 4.1.2 Toewijzing en vastlegging van verantwoordelijkheid van informatiebeveiliging Iedere locatiemanager of leidinggevende is zelf verantwoordelijk voor een adequate beveiliging van de informatie binnen de locatie/afdeling. Hiertoe dienen de managers de maatregelen, zoals beschreven in dit Protocol op basis van CIHN Protocol Pagina 1 van 7

informatiebeveiligingsbeleid, te implementeren en controle uit te oefenen op naleving, onder andere door te rapporteren aan de kwaliteitsfunctionaris. De systeemeigenaren van patiëntregistratiesysteem en telefonie hebben de gedelegeerde verantwoordelijkheid om zorg te dragen voor de praktische implementatie van de beveiligingsmaatregelen ten aanzien van ICT-systemen. Tevens treden zij op als contactpersonen voor de kwaliteitsfunctionaris, daar waar het gaat om afstemming over beveiligingsmaatregelen. De leidinggevenden dragen zorg voor uitvoering van de beveiligingsmaatregelen ten aanzien van personeel, onder meer bij de aanname, uitdiensttreding en functiewijzigingen van personeelsleden. Zij worden hierin ondersteund door de P&O-adviseur. Iedere medewerker binnen de organisatie is verantwoordelijk voor alle aspecten van informatiebeveiliging binnen de eigen invloedssfeer. 4.2 Te onderscheiden functies en rollen binnen de CIHN Veel medewerkers binnen de CIHN werken met gevoelige informatie, zoals personeelsen patiëntgegevens. Daarnaast zijn veel beleidszaken en data op de financiële afdeling confidentieel. We onderscheiden het volgende type medewerkers in het secundaire proces: Directeur: toegang tot personeelsdossiers en financiële zaken. Medisch adviseur: toegang tot medische dossiers door middel van een persoonlijke UZI-pas. Ook toegang tot klachten en bandopnames die met toestemming zijn opgevraagd (geen rechtstreekse toegang). Financiële administratie: toegang tot financiële zaken, beperkte toegang tot patiëntenregistratie in verband met facturatie, toegang tot salarisgegevens van personeel. P&O-adviseur: toegang tot personeelsdossiers en personeelssysteem, toegang tot Arbo-site in verband met verzuimmeldingen. Beleidsmedewerker: betrokken bij beleid, geen toegang tot personeels- of patiëntgegevens. Kwaliteits- en klachtenfunctionaris: geen rechtstreekse toegang tot patiëntgegevens en bandgesprekken; alleen toegang via bevoegde medewerkers met UZI-pas tot vooraf aangevraagde en goedgekeurde bandgesprekken en tot inzien van patiëntcontacten uit Protopics met betrekking tot klachtenafhandeling of interne meldingen. Programmacoördinator OCE b.v.: alleen in het kader van de zorg van de OCE toegang tot patiëntgegevens die gedeeltelijk geanonimiseerd zijn in het kader van de DBC-zorg. Secretariaat: toegang tot diverse confidentiële zaken in het kader van ondersteuning van de directeur. Toegang tot patiëntregistratiesysteem met eigen UZI-pas in het kader van ICT-problemen, faxen van contacten, onderzoek bij klachten, verzoeken, et cetera. ICT-adviseur: toegang tot Protopics middels eigen UZI-pas op naam ten behoeve van controle van het systeem middels testpatiënten. Ook beheer van hard- en software van het systeem voor opname van bandgesprekken. Hiermee heeft de ICT-adviseur indirect de mogelijkheid gesprekken te beluisteren of patiëntencontacten in te zien. De UZI-pas blijft op de post op een beveiligde locatie. Protocol op basis van CIHN Protocol Pagina 2 van 7

ICT-medewerker: toegang tot Protopics in het kader van oplossen en testen technische applicatieproblemen, versturen van contacten, et cetera, middels UZIpas op naam. Locatiemanagers: toegang tot Protopics en het voor hen relevante deel van het personeelssysteem. Toegang tot Arbo-site voor verzuimbeheer eigen medewerkers. Mogelijkheid tot het opnemen van bandgesprekken in het kader van toetsing; voor klachten en interne meldingen alleen na aanvraag door kwaliteitsfunctionaris of medisch adviseur met goedkeuring van directeur. CODA s: toegang tot Protopics in het kader van ANW-zorg (persoonlijke UZI-pas), en tevens tot vooraf geselecteerde bandgesprekken van doktersassistenten ten aanzien van toetsing. Alle kantoormedewerkers: toegang tot RBS, met daarin contactgegevens, adresgegevens, BSN en verjaardagen van huisartsen, medewerkers, et cetera. In het primaire proces: Doktersassistenten: toegang tot patiëntregistratiesysteem inclusief EPD. Ze zijn hiertoe gemandateerd door de huisarts (collectief) met een persoonlijke UZIpas. Baliemedewerkers: toegang tot patiëntregistratiesysteem exclusief EPD, met persoonlijke UZI-pas. AIOS, waarnemers, startende DA zonder persoonlijke UZI-pas: toegang tot patiëntregistratiesysteem exclusief EPD. Huisartsen, AIOS en waarnemers met persoonlijke UZI-pas: toegang tot patiëntregistratiesysteem inclusief EPD. 4.3 Functies die een uitvoerende rol spelen in NEN 7510 Iedereen binnen de CIHN heeft te maken met informatiebeveiliging. Via instructies, reglementen, gedragscodes en informatiebijeenkomsten wordt men hier ook van bewust gemaakt. Echter, de verantwoordelijkheid voor de borging van het informatiebeveiligingsbeleid ligt bij een aantal medewerkers in het secundaire proces. Degenen die taken uitvoeren die van belang zijn in het kader van de certificering van de organisatie voor NEN 7510 zijn: - kwaliteitsfunctionaris - leidinggevenden (locatiemanagers, controller, directeur) - P&O-adviseur - ICT-adviseur - systeemeigenaren van Protopics en Telefonie - ICT-medewerker In de volgende paragrafen worden de taken en bevoegdheden per functie beschreven. Per functie zal in de bijlage een overzicht gegeven worden van de reguliere zaken die uitgevoerd moeten worden (per kwartaal, jaar, et cetera). 4.3.1 Kwaliteitsfunctionaris Evaluatie en actualisering Protocol op basis van CIHN Protocol Pagina 3 van 7

De gedelegeerde verantwoordelijkheid voor het periodiek evalueren en actualiseren van het informatiebeveiligingsbeleid is toegekend aan de kwaliteitsfunctionaris van de CIHN. De organisatie zal tenminste eens per jaar - onder verantwoordelijkheid van de kwaliteitsfunctionaris - een globale risicoanalyse uitvoeren om vast te stellen of voor specifieke gegevens of (nieuwe) informatiesystemen aanvullende maatregelen noodzakelijk zijn. De organisatie zal - onder verantwoordelijkheid van de kwaliteitsfunctionaris - het beleid tenminste eens per drie jaar evalueren en indien nodig actualiseren. De evaluatie zal zich richten op: Effectiviteit van het beveiligingsbeleid, gebaseerd op de geregistreerde beveiligingsincidenten; De kosten en het effect van de genomen beveiligingsmaatregelen; Het effect van veranderingen in de technologie. Overzicht van de middelen Inzicht in het overzicht van de relevante bedrijfsmiddelen (databestanden, programmatuur, apparatuur, diensten). De toegepaste methode voor risicoclassificatie zal bij de periodieke evaluatie en eventuele bijstelling van het informatiebeveiligingsbeleid (eens per drie jaar) worden geëvalueerd. Verantwoordelijkheden van de leiding Locatiemanagers, ICT-adviseur, P&O-adviseur en overige leidinggevenden binnen de organisatie zullen door de kwaliteitsfunctionaris worden ingelicht over: het informatiebeveiligingsbeleid, de hierbij behorende richtlijnen en gedragscodes en specifieke maatregelen of procedures die gelden voor informatiesystemen. De leidinggevende is vervolgens verantwoordelijk voor het kenbaar maken en uitdragen van deze informatie aan de (interne en externe) medewerkers. Het actualiseren en tijdig kenbaar maken van beveiligingsmaatregelen, richtlijnen, gedragscodes en procedures is een verantwoordelijkheid van de kwaliteitsfunctionaris. Voor de leidinggevenden moet duidelijk zijn waar de laatste versies van deze documenten zijn terug te vinden. Bij publicatie van deze documenten dient rekening gehouden te worden met de vertrouwelijkheid van bepaalde beveiligingsinformatie. Beleid ten aanzien van toegangsbeveiliging De kwaliteitsfunctionaris is in hoofdlijnen verantwoordelijk voor de inrichting van en controle op toegangsbeveiliging van de systemen die de organisatie gebruikt. Uitvoering hiervan is gedelegeerd aan de ICT-adviseur in samenwerking met de locatiemanagers. Controle op toegangsrechten Binnen de organisatie is sprake van twee systemen waar toegangsrechten aan kunnen worden toegekend, te weten: Toekennen van toegangsrechten met betrekking tot het patiëntregistratiesysteem is de verantwoordelijkheid van de locatiemanager. Toekennen van toegangsrechten met betrekking tot de archivering is de verantwoordelijkheid voor de directeur, die hierbij wordt ondersteund door de P&O-adviseur. Hiervoor wordt een formulier gebruikt t.a.v. het Protocol op basis van CIHN Protocol Pagina 4 van 7

toekennen van rechten tot de verschillende hoofdstukken van de archivering. Controle op de toegekende toegangsrechten vindt eenmaal per jaar steekproefsgewijs plaatst door de kwaliteitsfunctionaris. Controle op naleving van technische normen Er dient een jaarlijkse controle plaats te vinden op naleving van de technische beveiligingsnormen binnen operationele systemen en netwerken. Dit is in de contracten met de leveranciers aangepast en geborgd. De controles worden uitgevoerd door de kwaliteitsfunctionaris i.s.m. een inhoudelijk deskundige. Het rapporteren van beveiligingsincidenten en zwakke plekken in programmatuur Ieder beveiligingsincident in programmatuur wordt gemeld bij de locatiemanager. Die neemt dit op met de systeemeigenaar. De systeemeigenaar heeft regulier overleg met de systeemleverancier om meldingen te rapporteren. De systeemeigenaar brengt rapportage uit aan de kwaliteitsfunctionaris, waarbij acties bepaald worden. Incidenten worden besproken in het MT-overleg, waar ook de acties gekoppeld worden aan verantwoordelijken voor afhandeling. Ook dient terugkoppeling naar de melder verzorgd te worden. De kwaliteitsfunctionaris verzamelt gegevens over beveiligingsincidenten zodat de aard, omvang en de kosten van incidenten en storingen worden gekwantificeerd en bewaakt. Deze informatie wordt gebruikt om terugkerende of zeer ingrijpende incidenten of storingen vast te stellen. 4.3.2 Locatiemanagers Organisatie Iedere locatiemanager is zelf verantwoordelijk voor een adequate beveiliging van de informatie binnen haar locatie. Hiertoe dient zij de maatregelen zoals die beschreven zijn in het informatiebeveiligingsbeleid te implementeren en te controleren op naleving. Jaarlijkse controle op naleving van beleid (steekproeven, controle). Goedkeuring nieuwe ICT-middelen/wijzigingen (indien verantwoordelijk hiervoor; gebruik acceptatieprocedure, i.s.m. ICT-adviseur). Personeel (i.s.m. P&O) Uitvoeren beleid bij nieuw personeel (onderdeel inwerktraject). Werkwijze bij uitdiensttreding; men blijft verplicht tot geheimhouding. Jaarlijkse controle middels steekproef op toegangsrechten en laten vervallen van rechten van ex-medewerkers. Fysieke en omgevingsbeveiliging Calamiteitenplan opstellen en implementeren, inclusief regelmatig testen van de procedure (). Clear desk/clear screen policy: opstellen van beleid en regelmatig controle hierop. Controle door locatiemanagers op gedrag op de werkvloer. Protocol op basis van CIHN Protocol Pagina 5 van 7

4.3.3 ICT-adviseur Overzicht van de middelen Actueel houden van overzicht van de relevante bedrijfsmiddelen (databestanden, programmatuur, apparatuur, diensten). Volgen en bewaken contracten met derden De ICT-adviseur dient de contracten aan te passen in samenspraak met locatiemanagers (indien voor hen van toepassing). Ook moet hij ervoor zorgen dat de CHN in staat gesteld wordt de maatregelen te controleren. Deze controles zullen periodiek moeten worden uitgevoerd, middels leveranciersbeoordelingen. Beleid ten aanzien van toegangsbeveiliging De kwaliteitsfunctionaris is in hoofdlijnen verantwoordelijk voor de inrichting van en controle op toegangsbeveiliging van de systemen die de CHN gebruikt. Uitvoering hiervan is gedelegeerd aan ICT-adviseur in samenwerking met de locatiemanagers. 4.3.4 Systeemeigenaren Middelen Gegevens aanleveren voor middelenmatrix. Beheer ICT-voorzieningen/aanschaf en onderhoud ICTsystemen/Toegangsbeveiliging Overzicht over contracten met betreffende leverancier; inclusief service level agreements. Uitvoeren van leveranciersbeoordeling, inclusief voorstellen tot wijziging van contracten. Toezien op vertrouwelijke verwerking van gegevens door leveranciers (middels contracten en toezicht op gedrag). Wijzigings- en acceptatieprocedure voor werkplekken opstellen per locatie (met behulp van ICT-adviseur) Goedkeuring nieuwe ICT-middelen/wijzigingen. Bij nieuwe versies nagaan en beoordelen of aanvullende training voor medewerkers op het gebied van informatiebeveiliging nodig is. In de wijzigingsprocedure zijn duidelijke richtlijnen opgenomen voor een formele goedkeuringsprocedure voor voorgestelde wijzigingen en communicatie over de wijzigingen aan alle betrokkenen. De applicatiebeheerder zorgt voor communicatie van wijzigingen op de werkvloer. Hiervoor stelt hij een procedure op. De autorisatie (functiescheiding) goed vastleggen (zie Protocol mandatering); autorisatietabel met regels vastleggen. Protocol op basis van CIHN Protocol Pagina 6 van 7

Bijlage Periodieke taken per rol uitgezet in de tijd; daarnaast geldt voor alle functies een doorlopende aandacht voor informatiebeveiliging in allerlei opzichten. Onderstaand overzicht is gericht op activiteiten die periodiek terugkomen en opgenomen moeten worden in een jaarplanning. Kwaliteitsfunctionaris Uitvoeren globale risicoanalyse Evalueren van beleid, desgewenst actualiseren Toetsen of overzicht bedrijfsmiddelen nog actueel is Methode voor risicoclassificatie evalueren Informatiebeveiligingsbeleid evalueren Controle op uitvoering controles door locatiemanagers (bijv. toegangsrechten, uitvoeren leveranciersbeoordeling) 1x per 3 jaar 1x per 3 jaar 1x per 3 jaar Locatiemanagers Controle op uitvoering beleid Controle op toegangsrechten en het vervallen van rechten van uitdienst medewerkers Toetsen, testen en evalueren van calamiteitenplan Systeemeigenaar Bijdrage aan leveranciersbeoordeling 1 à 2 x per jaar of vaker indien nodig ICT-adviseur Volgen/bewaken contracten 1 à 2 x per jaar of vaker indien nodig Protocol op basis van CIHN Protocol Pagina 7 van 7

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback