BEWERKERSOVEREENKOMST Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
Colofon Naam document Bewerkersovereenkomst. Versienummer 1.0 Versiedatum Februari 2014 Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Copyright © 2014 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1.
KING wordt als bron vermeld;
2.
het document en de inhoud mogen commercieel niet geëxploiteerd worden;
3.
publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door de KING;
4.
ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling.
Rechten en vrijwaring KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. Met dank aan De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product. In samenwerking met De producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) worden vervaardigd in samenwerking met:
2
Voorwoord De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari 2013. Aanleiding voor de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid 2017. De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. De IBD heeft drie doelen: 1. het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 3. het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het ICT-Beveiligingsassessment DigiD is een voorbeeld van een dergelijk project. Hoe realiseert de IBD haar doelen? Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de community van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie „in control‟ is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische en Tactische Baseline te ondersteunen, zijn door de IBD in samenwerking met de Taskforce Bestuur en Informatieveiligheid Dienstverlening producten ontwikkeld op operationeel niveau. Dit heeft een productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten. Onderhavig product is er één van. Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld. Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website van de IBD. De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de regels. Hierbij geldt: -
Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: BRP, Wbp, SUWI, BAG en PUN, maar ook de archiefwet.
-
Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).
-
De gemeente stelt dit normenkader vast, waarbij er ruimte is in de naleving van dat kader voor afweging en prioritering op basis van het „pas toe of leg uit‟ principe.
3
Leeswijzer Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Doel Dit product bevat een standaard bewerkersovereenkomst en een voorbeeld bijlage met maatregelen voor de bewerker die de gemeente als verantwoordelijke kan gebruiken bij het laten bewerken van persoonsgegevens. Doelgroep Dit document is van belang als de gemeente persoonsgegevens laat beheren door een derde partij, bijvoorbeeld bij een SaaS oplossing. Doelgroep is personen die te maken hebben met het uitbesteden van diensten waar persoonsgegevens worden bewerkt, bijvoorbeeld inkopers, contractbeheerders en systeemeigenaren. Relatie met overige producten Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) o
Strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten
o
Tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten
Voorbeeld Informatiebeveiligingsbeleid van de gemeente, H2.4.1 Beveiligingseisen in inkoopvoorwaarden Uitbesteding ICT-diensten Voorbeeld Responsible Disclosure beleid gemeenten
Maatregelen tactische variant Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Maatregel 6.2.1.5 Afsluiten bewerkersovereenkomst Maatregel 6.2.1.6 Vastleggen beveiligingsmaatregelen in contracten Maatregel 6.2.1.7 Rapporteren over naleving van afspraken
4
Inhoud 1
Inleiding
6
2
Model bewerkersovereenkomst
8
2.1
8
3
Algemeen
Bijlage 1: Maatregelen op basis van de BIG behorende bij bewerkersovereenkomst
tussen gemeente
en bewerker
5
14
1
Inleiding
Bij het uitbesteden van de verwerking van persoonsgegevens worden door de Wet bescherming persoonsgegevens (Wbp) nadere eisen gesteld, zie Art. 14 Jo 12 en 13 Wbp. Uit deze artikelen volgt dat de verantwoordelijke1 (in dit geval de gemeente) een schriftelijke overeenkomst dient af te sluiten met de bewerker2 (in dit geval de derde partij), deze overeenkomst heet de bewerkersovereenkomst. De bewerker wordt door de Wbp gedefinieerd als „degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.‟ Het opstellen van een bewerkersovereenkomst dient ertoe te waarborgen dat de verplichtingen die vanuit de Wbp op de verantwoordelijke rusten, ook door de bewerker worden nageleefd. Daartoe dienen in de bewerkersovereenkomst afspraken en maatregelen te staan die de verantwoordelijke genomen wil hebben door de bewerker. Belangrijk is dat volgens de Wbp de verantwoordelijke aanspreekbaar blijft voor de gegevens die onder zijn verantwoordelijkheid door de bewerker worden verwerkt. Voorbeelden van bewerkers zijn: -
externe leveranciers, waaronder Cloud-dienst leveranciers
-
adviseurs
-
accountants
-
EDP-auditors
-
(salaris) administrateurs.
Hoewel het lijkt dat bijvoorbeeld een SaaS3 leverancier niet feitelijk de persoonsgegevens bewerkt, is deze toch volgens de Wbp de bewerker van persoonsgegevens als die op zijn / haar systemen staan. Relatie met andere overeenkomsten Het uitbesteden van werkzaamheden, de eigenlijke dienstverlening, wordt meestal in een aparte overeenkomst geregeld, hierna aangeduid met „hoofdovereenkomst‟. De bewerkersovereenkomst regelt alleen het zorgvuldig omgaan met de persoonsgegevens die noodzakelijkerwijze bij de uitvoering van de „hoofdovereenkomst‟ moeten worden verwerkt. Dat het beschermen van persoonsgegevens in een aparte overeenkomst moet worden geregeld, volgt uit de navolgende formulering de „Memorie van Toelichting‟ (Tweede Kamer, vergaderjaar 1997-1998, 25 892, nr. 3, p. 99): “De overeenkomst tussen de verantwoordelijke en de bewerker moet naar zijn aard betrekking hebben op de gegevensverwerking. Het contract mag geen betrekking hebben op een vorm van dienstverlening waar de gegevensverwerking slechts een uitvloeisel van is.” Het is wel mogelijk de bewerkersovereenkomst apart op te stellen en vervolgens als bijlage op de hoofdovereenkomst op te nemen, waarbij in de hoofdovereenkomst naar deze bijlage wordt verwezen.
1
De verantwoordelijke is volgens de Wet bescherming persoonsgegevens (Wbp) degene die het doel en de middelen voor de verwerking van persoonsgegevens bepaalt (Art. 1 sub d Wbp). 2 De Wbp definieert de bewerker als „degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen‟ (Art. 1 sub e Wbp). 3 Zie: het document van de IBD over Cloud Computing gemeenten 6
Als de verantwoordelijke een bewerker inschakelt dient er op basis van de Wbp een schriftelijke overeenkomst te zijn, of dienen er vergelijkbare schriftelijke afspraken te bestaan: de zogenaamde „bewerkersovereenkomst‟. De bewerkersovereenkomst kan zelfstandig worden gebruikt maar is meestal een onderdeel van een overeenkomst met een breder bereik.4 De aspecten die in een (bewerkers)overeenkomst moeten worden opgenomen en duidelijk moeten zijn: Wie de verantwoordelijke is en wie de bewerker is. Welke verwerkingen de bewerker precies moet doen. Hierbij kan ook geregeld worden wat de bewerker (in ieder geval) niet mag doen. De bewerker mag de persoonsgegevens uitsluitend bewerken in opdracht van de verantwoordelijke. De bewerker mag dus niet zelfstandig besluiten om, in afwijking van die opdracht, de persoonsgegevens op een bepaalde manier te verwerken. Tenzij een wettelijke verplichting dat vereist. Dat de bewerker zelfstandig aansprakelijk is voor schade die door de bewerker is veroorzaakt en hem kan worden toegerekend. En, eventueel, dat in geval de verantwoordelijke aansprakelijk gehouden wordt voor verwerkingen van de bewerker, de verantwoordelijke een regresrecht heeft (vrijwaringsbepaling). Dat de bewerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. De verantwoordelijke dient daartoe instructies te geven, en dient toe te zien op naleving van die maatregelen. Wanneer een bewerker buiten de EU gevestigd is, dient de verantwoordelijke ervoor zorg te dragen dat de bewerker het recht van het land van de verantwoordelijke nakomt (Art. 14 lid 4 Wbp). Dat de verantwoordelijke de mogelijkheden heeft om te controleren dat de bewerker zich (geheel) aan de overeenkomst houdt. Dit kan ook worden aangetoond met bijvoorbeeld een TPM, waarbij de verantwoordelijke de mogelijkheid van controle heeft. De verantwoordelijke dient duidelijk aan de bewerker aan te geven welke maatregelen hij vereist voor het beschermen van de persoonsgegevens5. Deze maatregelen zijn voornamelijk gericht op exclusiviteit (vertrouwelijkheid) en integriteit van de gegevens van de verantwoordelijke, de beschikbaarheidseisen worden doorgaans in de SLA opgenomen. Het College Bescherming Persoonsgegevens (CBP) biedt een aantal handreikingen ten behoeve van het opstellen van de bewerkersovereenkomst: Hoofdstuk 5 van de Handreiking verwerking persoonsgegevens: http://www.rijksoverheid.nl/onderwerpen/persoonsgegevens/documenten-enpublicaties/brochures/2006/07/13/handleiding-wet-bescherming-persoonsgegevens.html De Richtsnoeren beveiliging van persoonsgegevens, paragraaf 4.2 en paragraaf 4.3: http://www.cbpweb.nl/downloads_rs/rs_2013_richtsnoeren-beveiligingpersoonsgegevens.pdf Ook is er meer informatie te vinden over afspraken die gemaakt kunnen worden in het volgende document van Enisa, wat ook over Cloud Computing en serviceniveau‟s gaat. In de Annex en bijlage staan vragen die gesteld kunnen worden: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing/procure-secure-aguide-to-monitoring-of-security-service-levels-in-cloud-contracts 4 5
zie hiervoor het document Inkoop voorwaarden en beveiligingseisen van de IBD Zie bijvoorbeeld: De Richtsnoeren beveiliging van persoonsgegevens, paragraaf 4.2 en paragraaf 4.3 7
2
Model bewerkersovereenkomst
2.1 Algemeen Dit model is een voorbeeld van een bewerkersovereenkomst. Uiteraard is het niet het enige mogelijke model en is het denkbaar dat overeenkomsten meer of andere bepalingen bevatten die eveneens aan de Wbp voldoen. Deze modelovereenkomst bevat generieke bepalingen die betrekking hebben op het naleven van de Wbp door de bewerker en niet op het naleven van andere wet- en regelgeving met betrekking tot persoonsgegevens, zoals de BRP- en SUWI-wetgeving. Uit deze wetgeving kunnen specifieke eisen voortvloeien, die in dit model niet zijn meegenomen. Houd in gedachten dat verwerkingen die bijvoorbeeld vanwege de aard van de persoonsgegevens of de verwerkingen zelf met hogere waarborgen omkleed dienen te worden, niet in dit model vervat zijn. Deze bewerkersovereenkomst is gebaseerd op de BIG, en is tot stand gekomen op basis van voorbeelden van onder meer de gemeente Amsterdam. De bijlage bevat een selectie van BIG-maatregelen die onderwerp kunnen zijn van de bewerkersovereenkomst. De invulling en nadere specificatie is aan de gemeente zelf. Bij twijfel kan bijvoorbeeld ook een risicoanalyse worden uitgevoerd. De overeenkomst is nu generiek opgezet, echter er kunnen verschillende persoonsgegevens in verschillende systemen staan, waarmee de generiek eisen dus ook niet overal van toepassing hoeven te zijn. Bedenk wel dat de gemeenten uiteindelijk allemaal ergens aan elkaar hangen en dat sommige gegevens die uit ketens afkomstig zijn, minimaal beveiligd moeten worden met eenzelfde niveau aan maatregelen tegen de risico‟s die er zijn. Deze bewerkersovereenkomst is ook te gebruiken als algemeen model met afspraken tussen de gemeente en een leverancier.
8
De overeenkomst
Wet bescherming persoonsgegevens (Wbp) bewerkersovereenkomst van de gemeente met de (nader in te vullen) bewerker
De . van de gemeente , gevestigd te , verder te noemen de verantwoordelijke, ten deze rechtsgeldig vertegenwoordigd door de ., en , gevestigd te , verder te noemen de bewerker, ten deze rechtsgeldig vertegenwoordigd door de <de heer of mevrouw>, , , verklaren te zijn overeengekomen een bewerkersovereenkomst als bedoeld in artikel 14, tweede lid, van de Wbp, tussen de Dienst van de gemeente namens, nader te noemen de verantwoordelijke en , nader te benoemen de bewerker. Definities Artikel 1. 1.1 Bijlagen: aanhangsels bij deze overeenkomst, die na door beide partijen te zijn geparafeerd, deel uitmaken van deze overeenkomst. 1.2 Normen en standaarden: de door de verantwoordelijke vastgestelde normen en standaards ter zake van methoden, technieken, procedures, projecten, productiekenmerken en documentatievoorschriften welke bij de uitvoering van de werkzaamheden door de bewerker zullen worden gevolgd als vastgelegd in bijlage 2. 1.3 Verwerking van persoonsgegevens of het verwerken van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bewerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, evenals het afschermen, uitwissen of vernietigen van gegevens. 1.4 Bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen. 1.5 Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. 1.6 Bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. 1.7 Betrokkene: degene op wie een persoonsgegeven betrekking heeft. 1.8 Derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken. 1.9 Ontvanger: degene aan wie de persoonsgegevens worden verstrekt. 1.10 Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt. 1.11 Het College bescherming persoonsgegevens of het College: het College als bedoeld in artikel 51 van de Wbp. 9
1.12 1.13 1.14
Functionaris: de functionaris voor de gegevensbescherming als bedoeld in artikel 62 van de Wbp. Voorafgaand onderzoek: een onderzoek als bedoeld in artikel 31 van de Wbp. Verstrekken van persoonsgegevens:- het bekend maken of ter beschikking stellen van persoonsgegevens.
Ingangsdatum en duur Artikel 2. 2.1 Deze overeenkomst gaat in op het moment van ondertekening en duurt voort zolang de bewerker als bewerker van persoonsgegevens optreedt in het kader van de door de verantwoordelijke ter beschikking gestelde persoonsgegevens voor Onderwerp van deze overeenkomst Artikel 3. 3.1 De bewerker verwerkt persoonsgegevens in opdracht van de verantwoordelijke in het kader van de uitvoering van < contract, nummer>. 3.2 De bewerker verbindt zich om in het kader van die werkzaamheden de door de verantwoordelijke ter beschikking gestelde persoonsgegevens zorgvuldig te verwerken. 3.3 Dat de Wbp aan de verantwoordelijke de plicht oplegt om ervoor zorg te dragen dat de bewerker voldoende waarborgen biedt ten aanzien van de technische- en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. Naleving wet- en regelgeving Artikel 4. 4.1 Het College van Burgemeester en Wethouders van de gemeente is verantwoordelijke in de zin van de Wbp. 4.2 De Dienst / sector / cluster van de gemeente is namens de verantwoordelijke belast met het beheer van de binnen de Dienst / sector / cluster in beheer zijnde gegevensverwerkingen. 4.3 De bewerker verwerkt gegevens ten behoeve van de verantwoordelijke, in overeenstemming met diens instructies. 4.4 De bewerker heeft geen zeggenschap over de ter beschikking gestelde persoonsgegevens. Zo neemt hij geen beslissingen over ontvangst en gebruik van de gegevens, de verstrekking aan derden en de duur van de opslag van gegevens. De zeggenschap over de persoonsgegevens verstrekt onder deze overeenkomst komt nimmer bij de bewerker te berusten. 4.5 De bewerker zal bij de verwerking van persoonsgegevens in het kader van de in artikel 3 genoemde werkzaamheden, handelen in overeenstemming met de toepasselijke wet- en regelgeving betreffende de bescherming van persoonsgegevens. De bewerker verwerkt persoonsgegevens slechts in opdracht van de Dienst / sector / cluster en zal alle redelijke instructies van de Dienst / sector / cluster dienaangaande opvolgen, behoudens afwijkende wettelijke verplichtingen. 4.6 De bewerker zal onmiddellijk bij het ontdekken van beveiligingsinbreuken of datalekken deze melden aan de verantwoordelijke, al dan niet onder verbeurte van een boete in geval van niet-nakoming, conform artikel 9.3 van deze overeenkomst. 4.7 De bewerker zal te allen tijde op eerste verzoek van de Dienst <……>onmiddellijk alle van de Dienst <………> afkomstige persoonsgegevens met betrekking tot deze bewerkersovereenkomst ter hand stellen. 4.8 De bewerker zal alle van de verantwoordelijke afkomstige persoonsgegevens met betrekking tot deze bewerkersovereenkomst op een nader te bepalen wijze vernietigen op het moment van beëindigen van deze overeenkomst, dan wel op uitdrukkelijk verzoek van de verantwoordelijke de gegevens te vernietigen op een nader te bepalen wijze. 10
4.9
De bewerker stelt de verantwoordelijke te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de Wbp, meer in het bijzonder de rechten van betrokkenen, zoals, maar niet beperkt tot een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet.
Geheimhoudingsplicht Artikel 5. 5.1 Personen in dienst van, dan wel werkzaam ten behoeve van de bewerker, evenals de bewerker zelf, zijn verplicht tot geheimhouding met betrekking tot de persoonsgegevens waarvan zij kennis kunnen nemen, behoudens voor zover een bij, of krachtens de wet gegeven voorschrift tot verstrekking verplicht of zijn taak daartoe noodzaakt. De medewerkers van de bewerker tekenen hiertoe een geheimhoudingsverklaring. 5.2 Indien de bewerker op grond van een wettelijke verplichting gegevens dient te verstrekken, zal de bewerker de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal de bewerker de Dienst <…………>onmiddellijk, voorafgaand aan de verstrekking, ter zake informeren. Tenzij wettelijke bepalingen dit verbieden.
Beveiligingsmaatregelen Artikel 6. 6.1 De bewerker neemt alle passende technische en organisatorische maatregelen om de persoonsgegevens welke worden verwerkt ten dienste van de verantwoordelijke te beveiligen en beveiligd te houden tegen verlies of tegen enige vorm van onzorgvuldig, ondeskundig of ongeoorloofd gebruik. Tevens verklaart de bewerker zich te houden aan de normen en standaards van de verantwoordelijke, zoals beschreven in bijlage 1. 6.2 De verantwoordelijke is te allen tijde gerechtigd de verwerking van persoonsgegevens te doen controleren. De bewerker is verplicht de verantwoordelijke of controlerende instantie in opdracht van verantwoordelijke toe te laten en verplicht medewerking te verlenen zodat de controle daadwerkelijk uitgevoerd kan worden. 6.3 De verantwoordelijke zal de audit slechts (laten) uitvoeren na een voorafgaande schriftelijke melding aan de bewerker. 6.4 De bewerker verbindt zich om binnen een door de verantwoordelijke te bepalen termijn de verantwoordelijke, of de door de verantwoordelijke ingeschakelde derde, te voorzien van de verlangde informatie. Hierdoor kan de verantwoordelijke, of de door de verantwoordelijke ingeschakelde derde, zich een oordeel vormen over de naleving door de bewerker van deze overeenkomst. De verantwoordelijke, of de door de verantwoordelijke ingeschakelde derde, is gehouden alle informatie betreffende deze controles vertrouwelijk te behandelen. 6.5 Bewerker staat er voor in, de door de verantwoordelijke of ingeschakelde derde, aangegeven aanbevelingen ter verbetering binnen de daartoe door de verantwoordelijke te bepalen termijn uit te voeren. 6.6 De bewerker rapporteert jaarlijks over de opzet en werking van het stelsel van maatregelen en procedures, gericht op naleving van deze overeenkomst. Inschakeling derden Artikel 7. 7.1 De bewerker is slechts gerechtigd de uitvoering van de werkzaamheden geheel of ten dele uit te besteden aan derden na voorafgaande schriftelijke toestemming van de verantwoordelijke. 7.2 De verantwoordelijke kan aan de schriftelijke toestemming voorwaarden verbinden, op het gebied van geheimhouding en ter naleving van de verplichtingen uit deze bewerkersovereenkomst.
11
7.3
De bewerker blijft in deze gevallen te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze bewerkersovereenkomst.
Wijziging overeenkomst Artikel 8. 8.1 Wijziging van deze overeenkomst kan slechts schriftelijk plaatsvinden middels een door beide partijen geaccordeerd voorstel. 8.2 Zodra de samenwerking is beëindigd, vernietigt bewerker de persoonsgegevens die hij van de verantwoordelijke heeft ontvangen, in welke vorm dan ook en toont dit aan, tenzij partijen iets anders overeenkomen. Deze vernietiging moet, binnen nader overeen te komen termijn, uitgevoerd worden en hiervan wordt een verslag gemaakt. 8.3 Elk van de partijen is gerechtigd de overeenkomst met onmiddellijke ingang te beëindigen in geval van overmacht, waaronder mede begrepen een zodanige wijziging van wettelijke regels dat een verdere voortzetting van de overeenkomst niet kan worden verlangd. 8.4 Bij het beëindigen van de overeenkomst met onmiddellijke ingang, wordt in de brief aan de bewerker de reden van beëindiging vermeld. Aansprakelijkheid Artikel 9. 9.1 Indien de bewerker tekortschiet in de nakoming van de verplichting uit deze overeenkomst kan verantwoordelijke hem in gebreke stellen. Bewerker is echter onmiddellijk in gebreke als de nakoming van desbetreffende verplichting anders dan door overmacht binnen de overeengekomen termijn, reeds blijvend onmogelijk is. Ingebrekestelling geschiedt schriftelijk, waarbij aan de bewerker een redelijke termijn wordt gegund om alsnog haar verplichtingen na te komen. Deze termijn is een fatale termijn. Indien nakoming binnen deze termijn uitblijft, is bewerker in verzuim. 9.2 Bewerker is aansprakelijk voor alle schade of nadeel voortvloeiende uit het niet-nakomen van, of in strijd handelen met de bij of krachtens de Wbp gegeven voorschriften en/of het niet-nakomen van, of in strijd handelen met het in deze overeenkomst bepaalde. Onverminderd de aanspraken op grond van wettelijke regels. Bewerker is aansprakelijk voor schade of nadeel voor zover ontstaan door zijn werkzaamheid. Bewerker is tevens aansprakelijk voor alle schade of nadeel voortvloeiende uit de door zijn werkzaamheid ontstane inbreuken op de persoonlijke levenssfeer van betrokkenen. 9.3. OPTIONEEL: Indien bewerker enige in artikel <……>genoemde verplichting(en) niet tijdig nakomt, is bewerker een boete verschuldigd, groot <…..> per zonder dat hiervoor een aanmaning of een voorafgaande verklaring nodig is. Deze boete is niet vatbaar voor verrekening en opschorting en laat het recht van verantwoordelijke op nakoming en schadevergoeding onverlet. Toepasselijk recht Artikel 10. 10.1 Op deze overeenkomst en op alle geschillen die daaruit mogen voortvloeien of daarmee mogen samenhangen, is het Nederlands recht van toepassing. Citeertitel Artikel 11. 11.1 Deze overeenkomst kan worden aangehaald als „Bewerkersovereenkomst uitvoering <………>‟.
12
Aldus in tweevoud opgesteld en getekend de dato Namens de verantwoordelijke, de Dienst / Afdeling / cluster van de gemeente , de Namens de
13
3
Bijlage 1: Maatregelen op basis van de BIG behorende bij bewerkersovereenkomst tussen gemeente en bewerker
Deze bijlage is gevuld met een suggestie van gekozen maatregelen uit de BIG en kunnen ook worden uitgebreid of aangepast. Nadruk ligt op de integriteit en exclusiviteit van de gegevens, beschikbaarheidseisen horen bij voorkeur in een SLA thuis. Deze maatregelen zijn uit de BIG afkomstig en waar mogelijk specifiek gemaakt voor de bewerker. Deze maatregelen gaan uit van het niveau van de BIG. Als de gegevens van de verantwoordelijke hoger geclassificeerd zijn, een hogere risico inschatting hebben (bijzondere persoonsgegevens) of extra maatregelen nodig hebben uit specifieke wetgeving, dan dient deze bijlage te worden uitgebreid. BIG Nummer
titel
5.1.1.1
Beleidsdocume nt voor informatiebevei liging
5.1.2.1
6.1.4.1
Control
Een document met informatiebeveiligingsbeleid moet door de directie worden goedgekeurd en gepubliceerd en kenbaar worden gemaakt aan alle werknemers en relevante externe partijen. Beoordeling Het van het informatiebeveiligingsbeleid informatiebevei moet met geplande ligingsbeleid tussenpozen, of zodra zich belangrijke wijzigingen voordoen, worden beoordeeld om te bewerkstelligen dat het geschikt, toereikend en doeltreffend blijft. Goedkeuringsp Er moet een roces voor ITgoedkeuringsproces voor voorzieningen nieuwe IT-voorzieningen worden vastgesteld en geïmplementeerd.
BIG tekst / maatregel
Maatregel bewerker
[A] Er is beleid voor informatiebeveiliging door het College vastgesteld, gepubliceerd en beoordeeld op basis van inzicht in risico‟s, kritische bedrijfsprocessen en toewijzing van verantwoordelijkheden en prioriteiten.
De bewerker heeft een eigen vastgesteld en gepubliceerd informatie beveiligingsbeleid.
[A] Het informatiebeveiligingsbeleid wordt minimaal één keer per drie jaar, of zodra zich belangrijke wijzigingen voordoen, beoordeeld en zo nodig bijgesteld. Zie ook 6.1.8.1.
Het informatiebeveiligingsbeleid van de bewerker wordt minimaal één maal per drie jaar of zodra zich belangrijke wijzigingen voordoen, beoordeeld en zo nodig bijgesteld.
Er is een goedkeuringsproces voor nieuwe IT voorzieningen en wijzigingen in IT voorzieningen. (in ITIL termen: wijzigingsbeheer)
De bewerker heeft een goedkeuringsproces voor nieuwe ICT-voorzieningen en wijzigingen in ICT-voorzieningen.
14
BIG Nummer
titel
6.1.5.1
Geheimhouding Eisen voor vertrouwelijkheid of sovereenkomst geheimhoudingsovereenkomst die een weerslag vormen van de behoefte van de organisatie aan bescherming van informatie moeten worden vastgesteld en regelmatig worden beoordeeld.
6.1.7.1
6.1.8.2
6.2.1.1
Control
BIG tekst / maatregel
Maatregel bewerker
[A] De algemene geheimhoudingsplicht voor ambtenaren is geregeld in de Ambtenarenwet art. 125a, lid 3. Daarnaast dienen personen die te maken hebben met Bijzondere Informatie een geheimhoudingsverklaring te ondertekenen, daaronder valt ook vertrouwelijke informatie. Hierbij wordt tevens vastgelegd dat na beëindiging van de functie, de betreffende persoon gehouden blijft aan die geheimhouding. Contact met Er moeten geschikte contacten IB-specifieke informatie van relevante speciale met speciale belangengroepen expertisegroepen, leveranciers van belangengroep of andere specialistische hardware, software en diensten wordt en platforms voor beveiliging en gebruikt om de informatiebeveiliging te professionele organisaties verbeteren. worden onderhouden. Onafhankelijke De benadering van de [A] Periodieke beveiligingsaudits worden beoordeling organisatie voor het beheer uitgevoerd in opdracht van het van van informatiebeveiliging en lijnmanagement. informatiebevei de implementatie daarvan liging (d.w.z. beheerdoelstellingen, beheersmaatregelen, beleid, processen en procedures voor informatiebeveiliging) behoren onafhankelijk en met geplande tussenpozen te worden beoordeeld, of zodra zich wijzigingen voordoen in de implementatie van de beveiliging. Identificatie De risico's voor de informatie Informatiebeveiliging is aantoonbaar (op van risico's die en IT-voorzieningen van de basis van een risicoafweging) meegewogen betrekking organisatie vanuit bij het besluit een externe partij wel of niet hebben op bedrijfsprocessen waarbij in te schakelen. externe externe partijen betrokken partijen zijn, moeten worden geïdentificeerd en er moeten geschikte beheersmaatregelen 15
Medewerkers die te maken hebben met persoonsinformatie van de verantwoordelijke dienen een geheimhoudingsverklaring te ondertekenen. Hierbij wordt tevens vastgelegd dat na beëindiging van de functie, de betreffende persoon gehouden blijft aan die geheimhouding.
IB-specifieke informatie van relevante expertisegroepen, leveranciers van hardware, software en diensten wordt gebruikt om de informatiebeveiliging te verbeteren. Periodieke beveiligingsaudits (minimaal eens per twee jaar) worden uitgevoerd volgens afspraken met de verantwoordelijke.
Informatiebeveiliging is aantoonbaar (op basis van een risicoafweging) meegewogen bij het besluit een externe partij wel of niet in te schakelen.
BIG Nummer
titel
Control
BIG tekst / maatregel
Maatregel bewerker
Voorafgaand aan het afsluiten van een contract voor uitbesteding of externe inhuur is bepaald welke toegang (fysiek, netwerk of tot gegevens) de externe partij(en) moet(en) hebben om de in het contract overeen te komen opdracht uit te voeren en welke noodzakelijke beveiligingsmaatregelen hiervoor nodig zijn.
Voorafgaand aan het afsluiten van een contract voor uitbesteding of externe inhuur is bepaald welke toegang (fysiek, netwerk of tot gegevens) de externe partij(en) moet(en) hebben om de in het contract overeen te komen opdracht uit te voeren en welke noodzakelijke beveiligingsmaatregelen hiervoor nodig zijn.
Voorafgaand aan het afsluiten van een contract voor uitbesteding of externe inhuur is bepaald welke waarde en gevoeligheid de informatie (bijv. risicoklasse II van WBP of de vertrouwelijkheidklasse) heeft waarmee de derde partij in aanraking kan komen en of hierbij eventueel aanvullende beveiligingsmaatregelen nodig zijn.
Voorafgaand aan het afsluiten van een contract voor uitbesteding of externe inhuur is bepaald welke waarde en gevoeligheid de informatie (bijvoorbeeld risicoklasse II van Wbp of de vertrouwelijkheidklasse) heeft waarmee de derde partij in aanraking kan komen en of hierbij eventueel aanvullende beveiligingsmaatregelen nodig zijn.
Voorafgaand aan het afsluiten van een contract voor uitbesteding en externe inhuur is bepaald hoe geauthentiseerde en geautoriseerde toegang vastgesteld wordt.
Voorafgaand aan het afsluiten van een contract voor uitbesteding en externe inhuur is bepaald hoe geauthentiseerde en geautoriseerde toegang vastgesteld wordt.
worden geïmplementeerd voordat toegang wordt verleend.
6.2.1.2
Identificatie van risico's die betrekking hebben op externe partijen
6.2.1.3
Identificatie van risico's die betrekking hebben op externe partijen
6.2.1.4
Identificatie van risico's die betrekking hebben op externe partijen
De risico's voor de informatie en IT-voorzieningen van de organisatie vanuit bedrijfsprocessen waarbij externe partijen betrokken zijn, moeten worden geïdentificeerd en er moeten geschikte beheersmaatregelen worden geïmplementeerd voordat toegang wordt verleend. De risico's voor de informatie en IT-voorzieningen van de organisatie vanuit bedrijfsprocessen waarbij externe partijen betrokken zijn, moeten worden geïdentificeerd en er moeten geschikte beheersmaatregelen worden geïmplementeerd voordat toegang wordt verleend. De risico's voor de informatie en IT-voorzieningen van de organisatie vanuit bedrijfsprocessen waarbij externe partijen betrokken zijn, moeten worden geïdentificeerd en er moeten geschikte beheersmaatregelen worden geïmplementeerd voordat
16
BIG Nummer
titel
Control
BIG tekst / maatregel
Maatregel bewerker
[A] Indien externe partijen systemen beheren waarin persoonsgegevens verwerkt worden, wordt een bewerkersovereenkomst (conform WBP artikel 14) afgesloten.
Er is met de verantwoordelijke van de persoonsgegevens een bewerkersovereenkomst afgesloten.
Er is in contracten met externe partijen vastgelegd welke beveiligingsmaatregelen vereist zijn, dat deze door de externe partij zijn getroffen en worden nageleefd en dat beveiligingsincidenten onmiddellijk worden gerapporteerd. (zie ook 6.2.3.3). Ook wordt beschreven hoe die beveiligingsmaatregelen door de uitbestedende partij te controleren zijn (bijv. audits en penetratietests) en hoe het toezicht is geregeld. Over het naleven van de afspraken van de externe partij wordt jaarlijks gerapporteerd.
In de bewerkersovereenkomst is vastgelegd welke beveiligingsmaatregelen vereist zijn, dat deze door de bewerker zijn getroffen en worden nageleefd en dat beveiligingsincidenten onmiddellijk worden gerapporteerd. Ook is beschreven hoe die beveiligingsmaatregelen door de verantwoordelijke partij (de gemeente) te controleren zijn (bijvoorbeeld audits en penetratietests) en hoe het toezicht is geregeld. Over het naleven van de afspraken wordt jaarlijks gerapporteerd aan de verantwoordelijke.
toegang wordt verleend.
6.2.1.5
Identificatie van risico's die betrekking hebben op externe partijen
6.2.1.6
Identificatie van risico's die betrekking hebben op externe partijen
6.2.1.7
Identificatie van risico's die betrekking hebben op externe partijen
De risico's voor de informatie en IT-voorzieningen van de organisatie vanuit bedrijfsprocessen waarbij externe partijen betrokken zijn, moeten worden geïdentificeerd en er moeten geschikte beheersmaatregelen worden geïmplementeerd voordat toegang wordt verleend. De risico's voor de informatie en IT-voorzieningen van de organisatie vanuit bedrijfsprocessen waarbij externe partijen betrokken zijn, moeten worden geïdentificeerd en er moeten geschikte beheersmaatregelen worden geïmplementeerd voordat toegang wordt verleend. De risico's voor de informatie en IT-voorzieningen van de organisatie vanuit bedrijfsprocessen waarbij externe partijen betrokken zijn, moeten worden geïdentificeerd en er moeten geschikte beheersmaatregelen worden geïmplementeerd voordat
17
BIG Nummer
titel
Control
BIG tekst / maatregel
Maatregel bewerker
De maatregelen behorend bij 6.2.1 zijn voorafgaand aan het afsluiten van het contract gedefinieerd en geïmplementeerd.
Maatregelen uit de bewerkersovereenkomst zijn voorafgaand aan het afsluiten van het contract gedefinieerd en geïmplementeerd.
Uitbesteding (ontwikkelen en aanpassen) van software is geregeld volgens formele contracten waarin o.a. intellectueel eigendom, kwaliteitsaspecten, beveiligingsaspecten, aansprakelijkheid, Escrow en reviews geregeld worden.
Uitbesteding (ontwikkelen en aanpassen) van software is geregeld volgens formele contracten waarin onder andere intellectueel eigendom, kwaliteitsaspecten, beveiligingsaspecten, aansprakelijkheid, Escrow en reviews geregeld worden.
toegang wordt verleend.
6.2.3.1
6.2.3.2
Beveiliging behandelen in overeenkomste n met een derde partij
In overeenkomsten met derden waarbij toegang tot, het verwerken van, communicatie van of beheer van informatie of ITvoorzieningen van de organisatie, of toevoeging van producten of diensten aan Itvoorzieningen waarbij sprake is van toegang, moeten alle relevante beveiligingseisen zijn opgenomen. Beveiliging In overeenkomsten met behandelen in derden waarbij toegang tot, overeenkomste het verwerken van, n met een communicatie van of beheer derde partij van informatie of ITvoorzieningen van de organisatie, of toevoeging van producten of diensten aan ITvoorzieningen waarbij sprake is van toegang, moeten alle relevante beveiligingseisen zijn opgenomen.
18
BIG Nummer
titel
Control
BIG tekst / maatregel
Maatregel bewerker
7.1.1.1
Inventarisatie van bedrijfsmiddele n
Alle bedrijfsmiddelen moeten duidelijk zijn geïdentificeerd en er moet een inventaris van alle belangrijke bedrijfsmiddelen worden opgesteld en bijgehouden.
7.1.2.1
Eigendom van Alle informatie en bedrijfsmiddele bedrijfsmiddelen die verband n houden met IT- voorzieningen moeten een 'eigenaar' hebben in de vorm van een aangewezen deel van de organisatie. Aanvaardbaar Er moeten regels worden gebruik van vastgesteld, gedocumenteerd bedrijfsmiddele en geïmplementeerd voor n aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met ITvoorzieningen. Labeling en Er moeten geschikte, verwerking van samenhangende procedures informatie worden ontwikkeld en geïmplementeerd voor de labeling en verwerking van informatie in overeenstemming met het classificatiesysteem dat de organisatie heeft geïmplementeerd.
Er is een actuele registratie van bedrijfsmiddelen die voor de organisatie een belang vertegenwoordigen zoals informatie(verzamelingen), software, hardware, diensten, mensen en hun kennis/vaardigheden. Van elk middel is de waarde voor de organisatie, het vereiste beschermingsniveau en de verantwoordelijke lijnmanager bekend. Voor elk bedrijfsproces, applicatie, gegevensverzameling en ICT-faciliteit is een verantwoordelijke lijnmanager benoemd.
Er is een actuele registratie van bedrijfsmiddelen die voor de organisatie een belang vertegenwoordigen zoals informatie(verzamelingen), software, hardware, diensten, mensen en hun kennis/vaardigheden. Van elk middel is de waarde voor de organisatie, het vereiste beschermingsniveau en de verantwoordelijke lijnmanager bekend. Voor elk bedrijfsproces, applicatie, gegevensverzameling en ICT-faciliteit is een verantwoordelijke lijnmanager benoemd.
[A] Er zijn regels voor acceptabel gebruik van bedrijfsmiddelen (met name internet, e-mail en mobiele apparatuur). De CARUWO verplicht ambtenaren zich hieraan te houden. Voor extern personeel is dit in het contract vastgelegd.
Er zijn regels voor acceptabel gebruik van bedrijfsmiddelen (met name internet, e-mail en mobiele apparatuur).
[A] De lijnmanager heeft maatregelen getroffen om te voorkomen dat nietgeautoriseerden kennis kunnen nemen van gerubriceerde informatie.
De bewerker heeft maatregelen genomen zo dat niet geautoriseerden geen kennis kunnen nemen van persoonsgegevens.
7.1.3.1
7.2.2.1
19
BIG Nummer
titel
8.1.1.2
Rollen en De rollen en verantwoordelij verantwoordelijkheden van kheden werknemers, ingehuurd personeel en externe gebruikers ten aanzien van beveiliging moeten worden vastgesteld en gedocumenteerd in overeenstemming met het beleid voor informatiebeveiliging van de organisatie.
8.1.1.3
Rollen en De rollen en verantwoordelij verantwoordelijkheden van kheden werknemers, ingehuurd personeel en externe gebruikers ten aanzien van beveiliging moeten worden vastgesteld en gedocumenteerd in overeenstemming met het beleid voor informatiebeveiliging van de organisatie. Rollen en De rollen en verantwoordelij verantwoordelijkheden van kheden werknemers, ingehuurd personeel en externe gebruikers ten aanzien van beveiliging moeten worden vastgesteld en gedocumenteerd in overeenstemming met het beleid voor informatiebeveiliging van de organisatie.
8.1.1.4
Control
BIG tekst / maatregel
Maatregel bewerker
[A] Alle ambtenaren en ingehuurde medewerkers krijgen bij hun aanstelling hun verantwoordelijkheden ten aanzien van informatiebeveiliging ter inzage. De schriftelijk vastgestelde en voor hen geldende regelingen en instructies ten aanzien van informatiebeveiliging, welke zij bij de vervulling van hun dienst hebben na te leven, worden op een gemakkelijk toegankelijke plaats ter inzage gelegd. in overeenstemming met voorschriften maken deze deel uit van de contracten met externe partijen. Ook voor hen geldt de toegankelijkheid van geldende regelingen en instructies. [A] Indien een medewerker speciale verantwoordelijkheden heeft t.a.v. informatiebeveiliging dan is hem dat voor indiensttreding (of bij functiewijziging), bij voorkeur in de aanstellingsbrief of bij het afsluiten van het contract, aantoonbaar duidelijk gemaakt.
Het personeel van de bewerker of derden moeten kennis hebben van de verantwoordelijkheden ten aanzien van de bewerking van de persoonsgegevens voor de verantwoordelijke.
De algemene voorwaarden van het arbeidscontract van medewerkers bevatten de wederzijdse verantwoordelijkheden ten aanzien van beveiliging. Het is aantoonbaar dat medewerkers bekend zijn met hun verantwoordelijkheden op het gebied van beveiliging.
De algemene voorwaarden van het arbeidscontract van medewerkers bevatten de wederzijdse verantwoordelijkheden ten aanzien van beveiliging. Het is aantoonbaar dat medewerkers bekend zijn met hun verantwoordelijkheden op het gebied van beveiliging.
20
Indien een medewerker van de bewerker speciale verantwoordelijkheden heeft ten aanzien van informatiebeveiliging dan is hem dat voor indiensttreding (of bij functiewijziging), bij voorkeur in de aanstellingsbrief of bij het afsluiten van het contract, aantoonbaar duidelijk gemaakt.
BIG Nummer
titel
8.1.2.1
Screening
8.2.2.1
8.3.3.1
Control
Verificatie van de achtergrond van alle kandidaten voor een dienstverband, ingehuurd personeel en externe gebruikers moeten worden uitgevoerd in overeenstemming met relevante wetten, voorschriften en ethische overwegingen, en moeten evenredig zijn aan de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend, en de waargenomen risico's. Bewustzijn, Alle werknemers van de opleiding en organisatie en, voorzover van training ten toepassing, ingehuurd aanzien van personeel en externe informatiebevei gebruikers, moeten geschikte liging training en regelmatige bijscholing krijgen met betrekking tot beleid en procedures van de organisatie, voorzover relevant voor hun functie. Blokkering van De toegangsrechten van alle toegangsrechte werknemers, ingehuurd n personeel en externe gebruikers tot informatie en IT-voorzieningen moeten worden geblokkeerd bij beëindiging van het dienstverband, het contract of de overeenkomst, of moet na wijziging worden aangepast.
BIG tekst / maatregel
Maatregel bewerker
[A] Voor alle medewerkers (ambtenaren en externe medewerkers) is minimaal een recente Verklaring Omtrent het Gedrag (VOG) vereist. Indien het een vertrouwensfunctie betreft wordt ook een veiligheidsonderzoek (Verklaring van Geen Bezwaar) uitgevoerd.
Voor het bedrijf is minimaal een recente Verklaring Omtrent het Gedrag Rechtspersonen (VOG RP) vereist met punten die door de verantwoordelijke zijn aangedragen.
Alle medewerkers van de organisatie worden regelmatig attent gemaakt op het beveiligingsbeleid en de beveiligingsprocedures van de organisatie, voor zover relevant voor hun functie.
Alle medewerkers van de bewerker zijn regelmatig attent gemaakt op het beveiligingsbeleid en de beveiligingsprocedures van de bewerker, voor zover relevant voor hun functie.
Zie 8.3.1.3
Toegangsrechten van medewerkers van de bewerker worden direct geblokkeerd als geen toegang voor de bewerking van de persoonsgegevens noodzakelijk is.
21
BIG Nummer
titel
9.1.2.1
Fysieke Beveiligde zones moeten toegangsbeveili worden beschermd door ging geschikte toegangsbeveiliging, om te bewerkstelligen dat alleen bevoegd personeel wordt toegelaten. Beveiliging van Er moet fysieke beveiliging kantoren, van kantoren, ruimten en ruimten en faciliteiten worden ontworpen faciliteiten en toegepast.
9.1.3.1
9.1.5.1
9.2.4.1
9.2.6.1
9.2.7.1
Control
BIG tekst / maatregel
Maatregel bewerker
Toegang tot gebouwen of beveiligingszones Toegang tot beveiligde zones of gebouwen is alleen mogelijk na autorisatie daartoe. waar persoonsgegevens van de verantwoordelijke zich bevinden is alleen mogelijk na autorisatie daartoe. Papieren documenten en mobiele gegevensdragers die vertrouwelijke informatie bevatten worden beveiligd opgeslagen.
Papieren documenten en mobiele gegevensdragers die persoonsgegevens of andere vertrouwelijke gegevens van de verantwoordelijke bevatten worden beveiligd opgeslagen. Werken in Er moet fysieke bescherming Medewerkers die zelf niet geautoriseerd Medewerkers die zelf niet geautoriseerd zijn beveiligde en richtlijnen voor werken in zijn mogen alleen onder begeleiding van mogen alleen onder begeleiding van bevoegd ruimten beveiligde ruimten worden bevoegd personeel en als er een duidelijke personeel en als er een duidelijke noodzaak ontworpen en toegepast. noodzaak voor is toegang krijgen tot fysiek voor is toegang krijgen tot fysiek beveiligde beveiligde ruimten waarin IT voorzieningen ruimten waarin ICT-voorzieningen zijn zijn geplaatst of waarin met vertrouwelijke geplaatst of waarin met persoonsgegevens informatie wordt gewerkt. informatie wordt gewerkt. Onderhoud van Apparatuur moet op correcte [A] Reparatie en onderhoud van Reparatie en onderhoud van apparatuur apparatuur wijze worden onderhouden, apparatuur (hardware) vindt op locatie (hardware) vindt op locatie plaats door zodat deze voortdurend plaats door bevoegd personeel, tenzij er bevoegd personeel, tenzij er geen beschikbaar is en in goede geen data op het apparaat aanwezig of persoonsgegevens op het apparaat aanwezig staat verkeert. toegankelijk is. of toegankelijk zijn. Veilig Alle apparatuur die [A] Bij beëindiging van het gebruik of bij Bij beëindiging van het gebruik, of bij een verwijderen en opslagmedia bevat, moet een defect worden apparaten en defect, van apparaten en informatiedragers hergebruiken worden gecontroleerd om te informatiedragers bij de beheersorganisatie wordt zorggedragen voor een verantwoorde van apparatuur bewerkstelligen dat alle ingeleverd. De beheerorganisatie zorgt afvoer zodat er geen data op het apparaat gevoelige gegevens en in voor een verantwoorde afvoer zodat er aanwezig of toegankelijk is. Als dit niet kan licentie gebruikte geen data op het apparaat aanwezig of wordt het apparaat of de informatiedrager programmatuur zijn verwijderd toegankelijk is. Als dit niet kan wordt het fysiek vernietigd. Het afvoeren of vernietigen of veilig zijn overschreven apparaat of de informatiedrager fysiek van gegevensdragers met persoonsgegevens voordat de apparatuur wordt vernietigd. Het afvoeren of vernietigen van de verantwoordelijke wordt geregistreerd. verwijderd. wordt per bedrijfseenheid geregistreerd. Verwijdering Apparatuur, informatie en Apparatuur, informatie en programmatuur Apparatuur, informatie en programmatuur van programmatuur van de van de organisatie mogen niet zonder met persoonsgegevens van de bedrijfseigendo organisatie mogen niet zonder toestemming vooraf van de locatie worden verantwoordelijke mogen niet zonder mmen toestemming vooraf van de meegenomen. toestemming vooraf van de locatie van de locatie worden meegenomen. bewerker worden meegenomen. 22
BIG Nummer
titel
Control
BIG tekst / maatregel
Maatregel bewerker
10.1.1.1
Gedocumentee rde bedieningsproc edures
Bedieningsprocedures moeten worden gedocumenteerd, worden bijgehouden en beschikbaar worden gesteld aan alle gebruikers die deze nodig hebben.
Bedieningsprocedures bevatten informatie over opstarten, afsluiten, back-up- en herstelacties, afhandelen van fouten, beheer van logs, contactpersonen, noodprocedures en speciale maatregelen voor beveiliging.
10.1.2.1
Wijzigingsbehe er
Wijzigingen in ITvoorzieningen en informatiesystemen moeten worden beheerst.
Bedieningsprocedures ten behoeve van de bewerking van persoonsgegevens van de verantwoordelijke bevatten informatie over opstarten, afsluiten, back-up- en herstelacties, afhandelen van fouten, beheer van logs, contactpersonen, noodprocedures en speciale maatregelen voor beveiliging. In de procedure voor wijzigingenbeheer is minimaal aandacht besteed aan: • Het administreren van significante wijzigingen. • Impactanalyse van mogelijke gevolgen van de wijzigingen. • Goedkeuringsprocedure voor wijzigingen. Niemand van de bewerker mag op uitvoerend niveau rechten hebben om een gehele cyclus van handelingen in een kritisch informatiesysteem te beheersen. Dit in verband met het risico dat hij of zij zichzelf of anderen onrechtmatig bevoordeelt of de organisatie schade toe brengt. Dit geldt voor zowel informatieverwerking als beheeracties.
10.1.3.1
In de procedure voor wijzigingenbeheer is minimaal aandacht besteed aan: • Het administreren van significante wijzigingen. • Impactanalyse van mogelijke gevolgen van de wijzigingen. • Goedkeuringsprocedure voor wijzigingen. Functiescheidin Taken en Niemand in een organisatie of proces mag g verantwoordelijkheidsgebieden op uitvoerend niveau rechten hebben om moeten worden gescheiden om een gehele cyclus van handelingen in een gelegenheid voor onbevoegde kritisch informatiesysteem te beheersen. of onbedoelde wijziging of Dit in verband met het risico dat hij of zij misbruik van de zichzelf of anderen onrechtmatig bedrijfsmiddelen van de bevoordeelt of de organisatie schade toe organisatie te verminderen. brengt. Dit geldt voor zowel informatieverwerking als beheeracties.
23
BIG Nummer
titel
Control
BIG tekst / maatregel
Maatregel bewerker
10.3.1.1
Capaciteitsbeh eer
Het gebruik van middelen moet worden gecontroleerd en afgestemd en er moeten verwachtingen worden opgesteld voor toekomstige capaciteitseisen, om de vereiste systeemprestaties te bewerkstelligen.
De ICT-voorzieningen voldoen aan het voor de dienst overeengekomen niveau van beschikbaarheid. Er worden voorzieningen geïmplementeerd om de beschikbaarheid van componenten te bewaken (bijvoorbeeld de controle op aanwezigheid van een component en metingen die het gebruik van een component vaststellen). Op basis van voorspellingen van het gebruik wordt actie genomen om tijdig de benodigde uitbreiding van capaciteit te bewerkstelligen. Op basis van een risicoanalyse wordt bepaald wat de beschikbaarheidseis van een ICTvoorziening is en wat de impact bij uitval is. Afhankelijk daarvan worden maatregelen bepaald zoals automatisch werkende mechanismen om uitval van (fysieke) ICTvoorzieningen, waaronder verbindingen op te vangen.
10.3.2.1
Systeemaccept atie
10.4.1.1
Maatregelen tegen virussen
Er moeten aanvaardingscriteria worden vastgesteld voor nieuwe informatiesystemen, upgrades en nieuwe versies en er moet een geschikte test van het systeem of de systemen worden uitgevoerd tijdens ontwikkeling en voorafgaand aan de acceptatie. Er moeten maatregelen worden getroffen voor detectie, preventie en herstellen om te beschermen tegen virussen en er moeten geschikte procedures worden ingevoerd om het bewustzijn van de gebruikers te
[A] De ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid. Er worden voorzieningen geïmplementeerd om de beschikbaarheid van componenten te bewaken (bijvoorbeeld de controle op aanwezigheid van een component en metingen die het gebruik van een component vaststellen). Op basis van voorspellingen van het gebruik wordt actie genomen om tijdig de benodigde uitbreiding van capaciteit te bewerkstelligen. Op basis van een risicoanalyse wordt bepaald wat de beschikbaarheid eis van een ICT-voorziening is en wat de impact bij uitval is. Afhankelijk daarvan worden maatregelen bepaald zoals automatisch werkende mechanismen om uitval van (fysieke) ICT-voorzieningen, waaronder verbindingen op te vangen. [A] Van acceptatietesten wordt een log bijgehouden.
[A] Bij het openen van bestanden worden deze geautomatiseerd gecontroleerd op virussen, trojans en andere malware. De update voor de detectiedefinities vindt frequent, minimaal één keer per dag, automatisch plaats.
Bij het openen van bestanden worden deze geautomatiseerd gecontroleerd op virussen, trojans en andere malware. De update voor de detectiedefinities vindt frequent, minimaal één keer per dag, automatisch plaats.
24
Van acceptatietesten wordt een log bijgehouden.
BIG Nummer
titel
Control
BIG tekst / maatregel
Maatregel bewerker
Het netwerk wordt gemonitord en beheerd zodat aanvallen, storingen of fouten ontdekt en hersteld kunnen worden en de betrouwbaarheid van het netwerk niet onder het afgesproken minimum niveau komt.
Het netwerk wordt gemonitord en beheerd zodat aanvallen, storingen of fouten ontdekt en hersteld kunnen worden en de betrouwbaarheid van het netwerk en deze niet onder het afgesproken minimum niveau komt.
[A] Gegevensuitwisseling tussen vertrouwde en niet vertrouwde zones dient inhoudelijk geautomatiseerd gecontroleerd te worden op aanwezigheid van malware.
Gegevensuitwisseling tussen vertrouwde en niet vertrouwde zones dient inhoudelijk geautomatiseerd gecontroleerd te worden op aanwezigheid van malware.
[A] Bij transport van vertrouwelijke informatie over niet vertrouwde netwerken, zoals het internet, dient altijd geschikte encryptie te worden toegepast. Zie hiertoe 12.3.1.3.
Bij transport van vertrouwelijke informatie over niet vertrouwde netwerken tussen de bewerker en de verantwoordelijke, zoals over het internet, dient altijd geschikte encryptie te worden toegepast. Zie hiertoe 12.3.1.3.
vergroten.
10.6.1.1
10.6.1.2
10.6.1.3
Maatregelen Netwerken moeten adequaat voor netwerken worden beheerd en beheerst om ze te beschermen tegen bedreigingen en om beveiliging te handhaven voor de systemen en toepassingen die gebruikmaken van het netwerk, waaronder informatie die wordt getransporteerd. Maatregelen Netwerken moeten adequaat voor netwerken worden beheerd en beheerst om ze te beschermen tegen bedreigingen en om beveiliging te handhaven voor de systemen en toepassingen die gebruikmaken van het netwerk, waaronder informatie die wordt getransporteerd. Maatregelen Netwerken moeten adequaat voor netwerken worden beheerd en beheerst om ze te beschermen tegen bedreigingen en om beveiliging te handhaven voor de systemen en toepassingen die gebruikmaken van het netwerk, waaronder informatie die wordt getransporteerd.
25
BIG Nummer
titel
10.6.2.1
Beveiliging van Beveiligingskenmerken, netwerkdienste niveaus van dienstverlening en n beheerseisen voor alle netwerkdiensten moeten worden geïdentificeerd en opgenomen in elke overeenkomst voor netwerkdiensten, zowel voor diensten die intern worden geleverd als voor uitbestede diensten. Beheer van Er moeten procedures zijn verwijderbare vastgesteld voor het beheer media van verwijderbare media.
10.7.1.1
Control
10.7.1.2
Beheer van verwijderbare media
Er moeten procedures zijn vastgesteld voor het beheer van verwijderbare media.
10.7.2.1
Verwijdering van media
Media moeten op een veilige en beveiligde manier worden verwijderd als ze niet langer nodig zijn, in overeenstemming met formele procedures.
10.7.3.1
Procedures voor de behandeling van informatie
Er moeten procedures worden vastgesteld voor de behandeling en opslag van informatie om deze te beschermen tegen onbevoegde openbaarmaking of misbruik.
BIG tekst / maatregel
Maatregel bewerker
Beveiligingskenmerken, niveaus van dienstverlening en beheer eisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in elke overeenkomst voor netwerkdiensten, zowel voor diensten die intern worden geleverd als voor uitbestede diensten.
Beveiligingskenmerken, niveaus van dienstverlening en beheer eisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in elke overeenkomst voor netwerkdiensten, zowel voor diensten die intern worden geleverd als voor uitbestede diensten door een bewerker.
[A] Er zijn procedures opgesteld en geïmplementeerd voor opslag van vertrouwelijke informatie voor verwijderbare media. [A] Verwijderbare media met vertrouwelijke informatie mogen niet onbeheerd worden achtergelaten op plaatsen die toegankelijk zijn zonder toegangscontrole. [A] Er zijn procedures vastgesteld en in werking voor verwijderen van vertrouwelijke data en de vernietiging van verwijderbare media. Verwijderen van data wordt gedaan met een Secure Erase voor apparaten waar dit mogelijk is. In overige gevallen wordt de data twee keer overschreven met vaste data, één keer met random data en vervolgens wordt geverifieerd of het overschrijven is gelukt. Zie ook 9.2.6. Er behoren procedures te worden vastgesteld voor de behandeling en opslag van informatie om deze te beschermen tegen onbevoegde openbaarmaking of misbruik.
Er zijn procedures opgesteld en geïmplementeerd voor opslag van vertrouwelijke informatie voor verwijderbare media. De bewerker zal geen verwijderbare media met persoonsgegevens onbeheerd achterlaten op plaatsen die toegankelijk zijn zonder toegangscontrole.
26
Er zijn procedures vastgesteld en in werking, voor verwijderen van vertrouwelijke data en de vernietiging van verwijderbare media. Verwijderen van data wordt gedaan met een Secure Erase voor apparaten waar dit mogelijk is. In overige gevallen wordt de data twee keer overschreven met vaste data, één keer met random data en vervolgens wordt geverifieerd of het overschrijven is gelukt. De bewerker heeft maatregelen vastgesteld voor de behandeling en opslag van informatie om deze te beschermen tegen onbevoegde openbaarmaking of misbruik.
BIG Nummer
titel
Control
BIG tekst / maatregel
10.7.4.1
Beveiliging van systeemdocum entatie Beleid en procedures voor informatieuitwisseling
Systeemdocumentatie moet worden beschermd tegen onbevoegde toegang. Er moeten formeel beleid, formele procedures en formele beheersmaatregelen zijn vastgesteld om de uitwisseling van informatie via het gebruik van alle typen communicatiefaciliteiten te beschermen.
Systeemdocumentatie die vertrouwelijke informatie bevat is niet vrij toegankelijk.
10.8.1.4
Beleid en procedures voor informatieuitwisseling
10.8.2.1
Uitwisselingsov ereenkomsten
Er moeten formeel beleid, formele procedures en formele beheersmaatregelen zijn vastgesteld om de uitwisseling van informatie via het gebruik van alle typen communicatiefaciliteiten te beschermen. Er moeten overeenkomsten worden vastgesteld voor de uitwisseling van informatie en programmatuur tussen de organisatie en externe partijen.
10.8.2.2
Uitwisselingsov ereenkomsten
10.8.2.3
Uitwisselingsov ereenkomsten
10.8.1.3
Er moeten overeenkomsten worden vastgesteld voor de uitwisseling van informatie en programmatuur tussen de organisatie en externe partijen. Er moeten overeenkomsten worden vastgesteld voor de uitwisseling van informatie en programmatuur tussen de
Maatregel bewerker
Systeemdocumentatie van de bewerker die vertrouwelijke informatie bevat is niet vrij toegankelijk. Medewerkers zijn geïnstrueerd om zodanig Medewerkers van de bewerker zijn om te gaan met mobiele apparatuur en geïnstrueerd om zodanig om te gaan met verwijderbare media dat de kans op mobiele apparatuur en verwijderbare media uitlekken van vertrouwelijke informatie dat de kans op uitlekken van vertrouwelijke geminimaliseerd wordt. Hierbij wordt ten informatie van de verantwoordelijke minste aandacht besteed aan het risico van geminimaliseerd wordt. Hierbij wordt ten adreslijsten en opgeslagen boodschappen minste aandacht besteed aan het risico van in mobiele telefoons. adreslijsten en opgeslagen boodschappen in mobiele telefoons. Medewerkers zijn geïnstrueerd om geen Medewerkers van de bewerker zijn vertrouwelijke documenten bij de printer te geïnstrueerd om geen vertrouwelijke laten liggen. documenten met informatie van de verantwoordelijke bij de printer te laten liggen.
Er zijn afspraken gemaakt over de beveiliging van de uitwisseling van gegevens en software tussen organisaties waarin de maatregelen om betrouwbaarheid - waaronder traceerbaarheid en onweerlegbaarheid van gegevens te waarborgen zijn beschreven en getoetst.
De bewerker en de verantwoordelijke hebben afspraken gemaakt over de beveiliging van de uitwisseling van gegevens en software tussen de bewerker en de verantwoordelijke waarin de maatregelen om betrouwbaarheid waaronder traceerbaarheid en onweerlegbaarheid - van gegevens te waarborgen zijn beschreven en getoetst.
Verantwoordelijkheid en aansprakelijkheid in het geval van informatiebeveiligingsincidenten zijn beschreven, evenals procedures over melding van incidenten.
Verantwoordelijkheid en aansprakelijkheid in het geval van informatiebeveiligingsincidenten zijn beschreven, evenals procedures over melding van incidenten van de bewerker naar de verantwoordelijke.
Het eigenaarschap van gegevens en programmatuur en de verantwoordelijkheid voor de gegevensbescherming, auteursrechten, licenties van
Het eigenaarschap van gegevens en programmatuur en de verantwoordelijkheid voor de gegevensbescherming, auteursrechten en licenties van
27
BIG Nummer
titel
10.8.3.1
Fysieke media die worden getransporteer d
10.8.3.2
Fysieke media die worden getransporteer d
10.10.1.1
Aanmaken auditlogbestan den
Control
BIG tekst / maatregel
Maatregel bewerker
organisatie en externe partijen.
programmatuur zijn vastgelegd.
programmatuur zijn vastgelegd.
Media die informatie bevatten moeten worden beschermd tegen onbevoegde toegang, misbruik of corrumperen tijdens transport buiten de fysieke begrenzing van de organisatie.
Om vertrouwelijke informatie te beschermen worden maatregelen genomen, zoals: • versleuteling • bescherming door fysieke maatregelen, zoals afgesloten containers • gebruik van verpakkingsmateriaal waaraan te zien is of getracht is het te openen • persoonlijke aflevering • opsplitsing van zendingen in meerdere delen en eventueel verzending via verschillende routes
De bewerker neemt maatregelen om vertrouwelijke informatie te beschermen, zoals: • Versleuteling. • Bescherming door fysieke maatregelen, zoals afgesloten containers. • Gebruik van verpakkingsmateriaal waaraan te zien is of getracht is het te openen • Persoonlijke aflevering. • Opsplitsing van zendingen in meerdere delen en eventueel verzending via verschillende routes.
[A] Fysieke verzending van bijzondere informatie dient te geschieden met goedgekeurde middelen, waardoor de inhoud niet zichtbaar, niet kenbaar en inbreuk detecteerbaar is.
Fysieke verzending van persoonsgegevens tussen de bewerker en de verantwoordelijke dient te geschieden met goedgekeurde middelen, waardoor de inhoud niet zichtbaar, niet kenbaar en inbreuk detecteerbaar is.
Van logbestanden worden rapportages gemaakt die periodiek worden beoordeeld. Deze periode dient te worden gerelateerd aan de mogelijkheid van misbruik en de schade die kan optreden. De GBA logging kan bijvoorbeeld dagelijks nagelopen worden, evenals financiële systemen, controle van het Internet gebruik kan bijvoorbeeld per maand of kwartaal.
Door de bewerker worden rapportages van logbestanden gemaakt die periodiek worden beoordeeld. Deze periode dient te worden gerelateerd aan de mogelijkheid van misbruik en de schade die kan optreden.
Activiteiten van gebruikers, uitzonderingen en informatiebeveiligingsgebeurte nissen moeten worden vastgelegd in auditlogbestanden. Deze logbestanden moeten gedurende een overeengekomen periode worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole.
28
BIG Nummer
titel
Control
BIG tekst / maatregel
Maatregel bewerker
10.10.1.2
Aanmaken auditlogbestan den
Een logregel bevat minimaal: • een tot een natuurlijk persoon herleidbare gebruikersnaam of ID • de gebeurtenis (zie 10.10.2.1) • waar mogelijk de identiteit van het werkstation of de locatie • het object waarop de handeling werd uitgevoerd • het resultaat van de handeling • de datum en het tijdstip van de gebeurtenis
Een logregel bevat minimaal: • Een tot een natuurlijk persoon herleidbare gebruikersnaam of ID. • De gebeurtenis (zie 10.10.2.1). • Waar mogelijk de identiteit van het werkstation of de locatie. • Het object waarop de handeling werd uitgevoerd. • Het resultaat van de handeling. • De datum en het tijdstip van de gebeurtenis.
10.10.1.3
Aanmaken auditlogbestan den
[A] In een logregel worden in geen geval gevoelige gegevens opgenomen. Dit betreft onder meer gegevens waarmee de beveiliging doorbroken kan worden (zoals wachtwoorden, inbelnummers, enz.).
In een logregel wordt in geen geval gevoelige gegevens opgenomen. Dit betreft onder meer gegevens waarmee de beveiliging doorbroken kan worden (zoals wachtwoorden, inbelnummers, et cetera).
10.10.1.4
Aanmaken auditlogbestan den
Activiteiten van gebruikers, uitzonderingen en informatiebeveiligingsgebeurte nissen moeten worden vastgelegd in auditlogbestanden. Deze logbestanden moeten gedurende een overeengekomen periode worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. Activiteiten van gebruikers, uitzonderingen en informatiebeveiligingsgebeurte nissen moeten worden vastgelegd in auditlogbestanden. Deze logbestanden moeten gedurende een overeengekomen periode worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. Activiteiten van gebruikers, uitzonderingen en informatiebeveiligingsgebeurte nissen moeten worden vastgelegd in auditlogbestanden. Deze logbestanden moeten gedurende een overeengekomen periode worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole.
[A] Logberichten worden overzichtelijk samengevat. Daartoe zijn systemen die logberichten genereren bij voorkeur aangesloten op een Security Information and Event Management systeem (SIEM ) waarmee meldingen en alarmoproepen aan de beheerorganisatie gegeven worden. Er is vastgelegd bij welke drempelwaarden meldingen en alarmoproepen gegenereerd worden.
Logberichten worden overzichtelijk samengevat. Daartoe zijn systemen die logberichten genereren bij voorkeur aangesloten op een Security Information and Event Management systeem (SIEM), waarmee meldingen en alarmoproepen aan de beheerorganisatie gegeven worden. Er is vastgelegd bij welke drempelwaarden meldingen en alarmoproepen gegenereerd worden.
29
BIG Nummer
titel
Control
BIG tekst / maatregel
Maatregel bewerker
10.10.1.5
Aanmaken auditlogbestan den
Activiteiten van gebruikers, uitzonderingen en informatiebeveiligingsgebeurte nissen moeten worden vastgelegd in auditlogbestanden. Deze logbestanden moeten gedurende een overeengekomen periode worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole.
Controle op opslag van logging: het vollopen van het opslagmedium voor de logbestanden boven een bepaalde grens wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie. Dit geldt ook als het bewaren van loggegevens niet (meer) mogelijk is (bijv. een logserver die niet bereikbaar is).
Controle op opslag van logging: het vollopen van het opslagmedium voor de logbestanden boven een bepaalde grens wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie. Dit geldt ook als het bewaren van loggegevens niet (meer) mogelijk is (bijvoorbeeld een logserver die niet bereikbaar is).
30
BIG Nummer
titel
Control
BIG tekst / maatregel
Maatregel bewerker
10.10.2.1
Controle van systeemgebrui k
Er moeten procedures worden vastgesteld om het gebruik van IT - voorzieningen te controleren. Het resultaat van de controleactiviteiten moet regelmatig worden beoordeeld.
De volgende gebeurtenissen worden in ieder geval opgenomen in de logging: • Gebruik van technische beheerfuncties, zoals het wijzigingen van configuratie of instelling; uitvoeren van een systeemcommando, starten en stoppen, uitvoering van een back-up of restore. • Gebruik van functioneel beheerfuncties, zoals het wijzigingen van configuratie en instellingen, release van nieuwe functionaliteit, ingrepen in gegevenssets (waaronder databases) • Handelingen van beveiligingsbeheer, zoals het opvoeren en afvoeren gebruikers, toekennen en intrekken van rechten, wachtwoord reset, uitgifte en intrekken van cryptosleutels • Beveiligingsincidenten (zoals de aanwezigheid van malware, testen op vulnerabilities, foutieve inlogpogingen, overschrijding van autorisatiebevoegdheden, geweigerde pogingen om toegang te krijgen, het gebruik van niet operationele systeemservices, het starten en stoppen van security services) • Verstoringen in het productieproces (zoals het vollopen van queues, systeemfouten, afbreken tijdens executie van programmatuur, het niet beschikbaar zijn van aangeroepen programmaonderdelen of systemen) • Handelingen van gebruikers, zoals goede en foute inlogpogingen, systeemtoegang, gebruik van online transacties en toegang tot bestanden door systeembeheerders.
De volgende gebeurtenissen worden in ieder geval opgenomen in de logging: • Gebruik van technische beheerfuncties, zoals het wijzigingen van configuratie of instelling: uitvoeren van een systeemcommando, starten en stoppen, uitvoering van een back-up of restore. • Gebruik van functioneel beheerfuncties, zoals het wijzigingen van configuratie en instellingen, release van nieuwe functionaliteit, ingrepen in gegevenssets (waaronder databases). • Handelingen van beveiligingsbeheer, zoals het opvoeren en afvoeren gebruikers, toekennen en intrekken van rechten, wachtwoord reset, uitgifte en intrekken van cryptosleutels. • Beveiligingsincidenten (zoals de aanwezigheid van malware, testen op vulnerabilities, foutieve inlogpogingen, overschrijding van autorisatiebevoegdheden, geweigerde pogingen om toegang te krijgen, het gebruik van niet operationele systeemservices, het starten en stoppen van security services). • Verstoringen in het productieproces (zoals het vollopen van queues, systeemfouten, afbreken tijdens executie van programmatuur, het niet beschikbaar zijn van aangeroepen programmaonderdelen of systemen). • Handelingen van gebruikers, zoals goede en foute inlogpogingen, systeemtoegang, gebruik van online transacties en toegang tot bestanden door systeembeheerders.
31
BIG Nummer
titel
Control
BIG tekst / maatregel
Maatregel bewerker
10.10.3.1
Bescherming van informatie in logestanden
Het (automatisch) overschrijven of verwijderen van logbestanden wordt gelogd in de nieuw aangelegde log.
Het (automatisch) overschrijven of verwijderen van logbestanden wordt gelogd in de nieuw aangelegde log.
10.10.3.2
Bescherming van informatie in logestanden
[A] Het raadplegen van logbestanden is voorbehouden aan geautoriseerde gebruikers. Hierbij is de toegang beperkt tot leesrechten.
Het raadplegen van logbestanden is voorbehouden aan geautoriseerde gebruikers. Hierbij is de toegang beperkt tot leesrechten.
10.10.3.3
Bescherming van informatie in logestanden
Logbestanden worden zodanig beschermd dat deze niet aangepast of gemanipuleerd kunnen worden.
Logbestanden worden zodanig beschermd dat deze niet aangepast of gemanipuleerd kunnen worden.
10.10.3.4
Bescherming van informatie in logestanden
Logfaciliteiten en informatie in logbestanden moeten worden beschermd tegen inbreuk en onbevoegde toegang. Logfaciliteiten en informatie in logbestanden moeten worden beschermd tegen inbreuk en onbevoegde toegang. Logfaciliteiten en informatie in logbestanden moeten worden beschermd tegen inbreuk en onbevoegde toegang. Logfaciliteiten en informatie in logbestanden moeten worden beschermd tegen inbreuk en onbevoegde toegang.
10.10.3.5
Bescherming van informatie in logestanden
Logfaciliteiten en informatie in logbestanden moeten worden beschermd tegen inbreuk en onbevoegde toegang.
De instellingen van logmechanismen worden zodanig beschermd dat deze niet aangepast of gemanipuleerd kunnen worden. Indien de instellingen aangepast moeten worden zal daarbij altijd het vier ogen principe toegepast worden. [A] De beschikbaarheid van loginformatie is gewaarborgd binnen de termijn waarin loganalyse noodzakelijk wordt geacht, met een minimum van drie maanden, conform de wensen van de systeemeigenaar. Bij een (vermoed) informatiebeveiligingsincident is de bewaartermijn minimaal drie jaar.
De instellingen van logmechanismen worden zodanig beschermd dat deze niet aangepast of gemanipuleerd kunnen worden. Indien de instellingen aangepast moeten worden zal daarbij altijd het vier ogen principe toegepast worden. De beschikbaarheid van loginformatie is gewaarborgd binnen de termijn waarin loganalyse noodzakelijk wordt geacht, met een minimum van drie maanden, conform de wensen van de verantwoordelijke. Bij een (vermoed) informatiebeveiligingsincident is de bewaartermijn minimaal drie jaar.
10.10.3.6
Bescherming van informatie in logestanden
Logfaciliteiten en informatie in logbestanden moeten worden beschermd tegen inbreuk en onbevoegde toegang.
Controle op opslag van logging: het vollopen van het opslagmedium voor de logbestanden boven een bepaalde grens wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie. Dit geldt ook als het bewaren van loggegevens niet (meer) mogelijk is (bijv. een logserver die niet bereikbaar is).
Controle op opslag van logging: het vollopen van het opslagmedium voor de logbestanden boven een bepaalde grens wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie. Dit geldt ook als het bewaren van loggegevens niet (meer) mogelijk is (bijvoorbeeld een logserver die niet bereikbaar is).
32
BIG Nummer
titel
Control
BIG tekst / maatregel
Maatregel bewerker
10.10.4.1
Logbestanden van administrators en operators
Activiteiten van systeemadministrators en systeemoperators moeten in logbestanden worden vastgelegd.
Zie 10.10.1
In de logbestanden waar de activiteiten van de systeembeheerders van de bewerker worden gelogd worden minimaal de volgende activiteiten te worden vastgelegd als zij werkzaamheden verrichten voor de systemen waar de persoonsgegevens van de verantwoordelijke op worden bewerkt: - Het tijdstip van de gebeurtenis. - Proces / systeem informatie over de gebeurtenis. - Accountgegevens van de systeembeheerder. Deze logbestanden worden wekelijks beoordeeld en hiervan wordt verslag gemaakt.
10.10.5.1
10.10.6.1
11.1.1.1
Registratie van storingen
Storingen moeten in logbestanden worden vastgelegd en worden geanalyseerd en er moeten geschikte maatregelen worden genomen. Synchronisatie De klokken van alle relevante van informatiesystemen binnen systeemklokke een organisatie of n beveiligingsdomein moeten worden gesynchroniseerd met een overeengekomen nauwkeurige tijdsbron. Toegangsbeleid Er moet toegangsbeleid worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en beveiligingseisen voor toegang.
Zie 10.10.1
Systeemklokken worden zodanig gesynchroniseerd dat altijd een betrouwbare analyse van logbestanden mogelijk is.
Er behoort toegangsbeleid te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en beveiligingseisen voor toegang.
33
Storingen die optreden in systemen waarin de persoonsgegevens worden beheerd of verwerkt moeten in logbestanden worden vastgelegd en worden geanalyseerd, en er moeten geschikte maatregelen worden genomen om deze storingen te verhelpen. Er worden maatregelen genomen om er voor te zorgen dat de logbestanden die verzameld worden aan elkaar te relateren zijn, op basis van het tijdstip waarin ze zijn opgetreden.
Er behoort toegangsbeleid te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en beveiligingseisen voor toegang tot de persoonsgegevens en/of vertrouwelijke gegevens van de bewerker.
BIG Nummer
titel
Control
BIG tekst / maatregel
Maatregel bewerker
11.2.1.1
Registratie van gebruikers
Gebruikers worden vooraf geïdentificeerd en geautoriseerd. Van de registratie wordt een administratie bijgehouden.
Gebruikers van de bewerker worden vooraf geïdentificeerd en geautoriseerd. Van de registratie wordt een administratie bijgehouden.
11.2.1.3
Registratie van gebruikers
[A] Op basis van een risicoafweging wordt bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegeven.
Op basis van een risicoafweging wordt bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegeven.
11.2.2.1
Beheer van speciale bevoegdheden
11.2.2.2
Beheer van speciale bevoegdheden
Er moeten formele procedures voor het registreren en afmelden van gebruikers worden vastgesteld, voor het verlenen en intrekken van toegangsrechten tot alle informatiesystemen en diensten. Er moeten formele procedures voor het registreren en afmelden van gebruikers worden vastgesteld, voor het verlenen en intrekken van toegangsrechten tot alle informatiesystemen en diensten. De toewijzing en het gebruik van speciale bevoegdheden moet worden beperkt en gecontroleerd. De toewijzing en het gebruik van speciale bevoegdheden moet worden beperkt en gecontroleerd.
11.2.2.3
Beheer van speciale bevoegdheden
Gebruikers hebben toegang tot speciale bevoegdheden voorzover dat voor de uitoefening van hun taak noodzakelijk is (need to know, need to use). Systeemprocessen draaien onder een eigen gebruikersnaam (een functioneel account), voor zover deze processen handelingen verrichten voor andere systemen of gebruikers. Gebruikers krijgen slechts toegang tot een noodzakelijk geachte set van applicaties en commando‟s.
Gebruikers hebben toegang tot speciale bevoegdheden voor zover dat voor de uitoefening van hun taak noodzakelijk is (need to know, need to use). Systeemprocessen draaien onder een eigen gebruikersnaam (een functioneel account), voor zover deze processen handelingen verrichten voor andere systemen of gebruikers. Gebruikers krijgen slechts toegang tot een noodzakelijk geachte set van applicaties en commando‟s.
11.2.2.4
11.2.3.1
De toewijzing en het gebruik van speciale bevoegdheden moet worden beperkt en gecontroleerd. Beheer van De toewijzing en het gebruik speciale van speciale bevoegdheden bevoegdheden moet worden beperkt en gecontroleerd. Beheer van De toewijzing van gebruikerswach wachtwoorden moet worden twoorden beheerst aan de hand van een formeel proces.
Er is aandacht voor het wijzigen van Er is aandacht voor het wijzigen van bevoegdheden bij verandering van functie / bevoegdheden bij verandering van functie / afdeling. afdeling. Wachtwoorden worden nooit in originele vorm (plain text) opgeslagen of verstuurd, maar in plaats daarvan wordt bijvoorbeeld de hashwaarde van het wachtwoord gecombineerd met een salt opgeslagen. 34
Wachtwoorden worden nooit in originele vorm (plain text) opgeslagen of verstuurd, maar in plaats daarvan wordt bijvoorbeeld de hashwaarde van het wachtwoord gecombineerd met een salt opgeslagen.
BIG Nummer
titel
Control
BIG tekst / maatregel
Maatregel bewerker
11.2.4.1
Beoordeling van toegangsrechte n van gebruikers Gebruik van wachtwoorden
De directie moet de toegangsrechten van gebruikers regelmatig beoordelen in een formeel proces. Gebruikers moeten de goede beveiligingsgewoonten in acht nemen bij het kiezen en gebruiken van wachtwoorden.
Toegangsrechten van gebruikers worden periodiek, minimaal jaarlijks, geëvalueerd. Het interval is beschreven in het toegangsbeleid en is bepaald op basis van het risiconiveau. Aan de gebruikers is een set gedragsregels aangereikt met daarin minimaal het volgende: • Wachtwoorden worden niet opgeschreven. • Gebruikers delen hun wachtwoord nooit met anderen. • Wachtwoorden mogen niet opeenvolgend zijn • Een wachtwoord wordt onmiddellijk gewijzigd indien het vermoeden bestaat dat het bekend is geworden aan een derde. • Wachtwoorden worden niet gebruikt in automatische inlogprocedures (bijv. opgeslagen onder een functietoets of in een macro). De gebruiker vergrendelt de werkplek tijdens afwezigheid. (zie ook: 11.5.5)
Toegangsrechten van gebruikers worden periodiek, minimaal jaarlijks, geëvalueerd. Het interval is beschreven in het toegangsbeleid en is bepaald op basis van het risiconiveau.
11.3.1.1
11.3.2.1
11.3.3.1
11.3.3.2
Onbeheerde Gebruikers moeten gebruikersappa bewerkstelligen dat ratuur onbeheerde apparatuur afdoende is beschermd. „Clear desk‟- en Er moet een „clear desk‟-beleid „clear screen‟voor papier en verwijderbare beleid opslagmedia en een „clear screen‟-beleid voor ITvoorzieningen worden ingesteld.
In het clear desk beleid staat minimaal dat de gebruiker geen vertrouwelijke informatie op het bureau mag laten liggen. Deze informatie moet altijd worden opgeborgen in een afsluitbare opbergmogelijkheid (kast, locker, bureau of kamer). „Clear desk‟- en Er moet een „clear desk‟-beleid Bij afdrukken van gevoelige informatie „clear screen‟voor papier en verwijderbare wordt, wanneer mogelijk, gebruik gemaakt beleid opslagmedia en een „clear van de functie “beveiligd afdrukken” screen‟-beleid voor IT(pincode verificatie). voorzieningen worden ingesteld. 35
Aan de gebruikers is een set gedragsregels aangereikt met daarin minimaal het volgende: • Wachtwoorden worden niet opgeschreven. • Gebruikers delen hun wachtwoord nooit met anderen. • Wachtwoorden mogen niet opeenvolgend zijn. • Een wachtwoord wordt onmiddellijk gewijzigd indien het vermoeden bestaat dat het bekend is geworden aan een derde. • Wachtwoorden worden niet gebruikt in automatische inlogprocedures (bijvoordbeeld opgeslagen onder een functietoets of in een macro). De gebruiker van de bewerker vergrendelt de werkplek tijdens afwezigheid. In het 'clear desk' beleid staat minimaal dat de gebruiker geen vertrouwelijke informatie op het bureau mag laten liggen. Deze informatie moet altijd worden opgeborgen in een afsluitbare opbergmogelijkheid (kast, locker, bureau of kamer). Bij afdrukken van gevoelige informatie wordt, wanneer mogelijk, gebruik gemaakt van de functie 'beveiligd afdrukken' (pincode verificatie).
BIG Nummer
titel
Control
BIG tekst / maatregel
Maatregel bewerker
11.4.1.1
Beleid ten aanzien van het gebruik van netwerkdienste n
Gebruikers mogen alleen directe toegang krijgen tot die diensten waarvoor zij specifiek geautoriseerd zijn.
Er is een gedocumenteerd beleid met betrekking tot het gebruik van netwerken en netwerkdiensten. Gebruikers krijgen slechts toegang tot de netwerkdiensten die voor het werk noodzakelijk zijn. Zie ook 11.2.2.3.
11.4.2.1
Authenticatie van gebruikers bij externe verbindingen.
Er moeten geschikte Zie ook 11.6.1.3. authenticatiemethoden worden gebruikt om toegang van gebruikers op afstand te beheersen.
Er is een gedocumenteerd beleid met betrekking tot het gebruik van netwerken en netwerkdiensten. Gebruikers van de bewerker krijgen slechts toegang tot de netwerkdiensten die voor het werk aan systemen / gegevens van de verantwoordelijke noodzakelijk zijn. Als externe toegang nodig is tot de persoonsgegevens van de verantwoordelijke door eigen personeel, of personeel van de bewerker, dienen geschikte authenticatie methodes te worden gebruikt.
11.4.3.1
Identificatie van (netwerk)appar atuur
11.4.4.1
Bescherming op afstand van poorten voor diagnose en configuratie
Automatische identificatie van apparatuur moet worden overwogen als methode om verbindingen vanaf specifieke locaties en apparatuur te authenticeren. De fysieke en logische toegang tot poorten voor diagnose en configuratie moet worden beheerst.
[A] Alleen geïdentificeerde en geauthentiseerde apparatuur kan worden aangesloten op een vertrouwde zone. Eigen, geauthentiseerde, apparatuur (Bring Your Own Device) wordt alleen aangesloten op een niet vertrouwde zone. Poorten, diensten en soortgelijke voorzieningen op een netwerk of computer die niet vereist zijn voor de dienst dienen te worden afgesloten.
Alleen geïdentificeerde en geauthentiseerde apparatuur kan worden aangesloten op een vertrouwde zone. Eigen, geauthentiseerde, apparatuur (Bring Your Own Device) wordt alleen aangesloten op een niet vertrouwde zone. Poorten, diensten en soortgelijke voorzieningen op een netwerk of computer van de bewerker die niet vereist zijn voor de dienst dienen te worden afgesloten.
11.4.5.1
Scheiding van netwerken
[A] Werkstations worden zo ingericht dat routeren van verkeer tussen verschillende zones of netwerken niet mogelijk is.
11.4.5.2
Scheiding van netwerken
Groepen informatiediensten, gebruikers en informatiesystemen moeten op netwerken worden gescheiden. Groepen informatiediensten, gebruikers en informatiesystemen moeten op netwerken worden gescheiden.
Werkstations van de bewerker worden zo ingericht dat routeren van verkeer tussen verschillende zones of netwerken niet mogelijk is. De indeling van zones binnen de technische infrastructuur van de bewerker vindt plaats volgens een operationeel beleidsdocument waarin is vastgelegd welke uitgangspunten voor zonering worden gehanteerd. Van systemen wordt bijgehouden in welke zone ze staan. Er wordt periodiek, minimaal één keer per jaar, geëvalueerd of het systeem nog steeds in de optimale zone zit of verplaatst moet worden.
[A] De indeling van zones binnen de technische infrastructuur vindt plaats volgens een operationeel beleidsdocument waarin is vastgelegd welke uitgangspunten voor zonering worden gehanteerd. Van systemen wordt bijgehouden in welke zone ze staan. Er wordt periodiek, minimaal één keer per jaar, geëvalueerd of het systeem nog steeds in de optimale zone zit of verplaatst moet worden. 36
BIG Nummer
titel
Control
11.4.5.3
Scheiding van netwerken
Groepen informatiediensten, gebruikers en informatiesystemen moeten op netwerken worden gescheiden.
11.4.5.4
11.4.5.5
11.4.6.1
11.4.7.1
BIG tekst / maatregel
Maatregel bewerker
[A] Elke zone heeft een gedefinieerd beveiligingsniveau Zodat de filtering tussen zones is afgestemd op de doelstelling van de zones en het te overbruggen verschil in beveiligingsniveau. Hierbij vindt controle plaats op protocol, inhoud en richting van de communicatie. Scheiding van Groepen informatiediensten, [A] Beheer en audit van zones vindt plaats netwerken gebruikers en vanuit een minimaal logisch gescheiden, informatiesystemen moeten op separate zone. netwerken worden gescheiden. Scheiding van Groepen informatiediensten, Zonering wordt ingericht met netwerken gebruikers en voorzieningen waarvan de functionaliteit is informatiesystemen moeten op beperkt tot het strikt noodzakelijke netwerken worden gescheiden. (hardening van voorzieningen). Beheersmaatre Voor gemeenschappelijke Voor gemeenschappelijke netwerken, gelen voor netwerken, vooral waar deze vooral waar deze de grenzen van de netwerkverbind de grenzen organisatie overschrijden, behoren de ingen van de organisatie toegangsmogelijkheden voor gebruikers te overschrijden, moeten de worden beperkt, in overeenstemming met toegangsmogelijkheden voor het toegangsbeleid en de eisen van gebruikers worden beperkt, in bedrijfstoepassingen (zie 11.1). overeenstemming met het toegangsbeleid en de eisen van bedrijfstoepassingen (zie 11.1). Beheersmaatre Netwerken moeten zijn Netwerken zijn voorzien van gelen voor voorzien van beheersmaatregelen voor routering netwerkrouteri beheersmaatregelen voor gebaseerd op mechanismen ter verificatie ng netwerkroutering, om te van bron en bestemmingsadressen. bewerkstelligen dat computerverbindingen en informatiestromen niet in strijd zijn met het toegangsbeleid voor de desbetreffende bedrijfstoepassingen.
37
Elke zone heeft een gedefinieerd beveiligingsniveau. Zodat de filtering tussen zones is afgestemd op de doelstelling van de zones en het te overbruggen verschil in beveiligingsniveau. Hierbij vindt controle plaats op protocol, inhoud en richting van de communicatie. Beheer en audit van zones vindt plaats vanuit een minimaal logisch gescheiden, separate zone. Zonering wordt ingericht met voorzieningen waarvan de functionaliteit is beperkt tot het strikt noodzakelijke (hardening van voorzieningen). Voor gemeenschappelijke netwerken, vooral waar deze de grenzen van de organisatie overschrijden, behoren de toegangsmogelijkheden voor gebruikers te worden beperkt, in overeenstemming met het toegangsbeleid en de eisen van bedrijfstoepassingen (zie 11.1).
Netwerken zijn voorzien van beheersmaatregelen voor routering gebaseerd op mechanismen ter verificatie van bron en bestemmingsadressen.
BIG Nummer
titel
Control
BIG tekst / maatregel
Maatregel bewerker
11.5.1.1
Beveiligde inlogprocedure s Beveiligde inlogprocedure s
11.5.1.3
Beveiligde inlogprocedure s
11.5.1.4
Beveiligde inlogprocedure s
Toegang tot besturingssystemen moet worden beheerst met een beveiligde inlogprocedure.
11.5.1.5
Beveiligde inlogprocedure s
Toegang tot besturingssystemen moet worden beheerst met een beveiligde inlogprocedure.
[A] Toegang tot kritische toepassingen of toepassingen met een hoog belang wordt verleend op basis van twee-factor authenticatie. Het wachtwoord wordt niet getoond op het scherm tijdens het ingeven. Er wordt geen informatie getoond die herleidbaar is tot de authenticatiegegevens. Voorafgaand aan het aanmelden wordt aan de gebruiker een melding getoond dat alleen geautoriseerd gebruik is toegestaan voor expliciet door de organisatie vastgestelde doeleinden. Bij een succesvol loginproces wordt de datum en tijd van de voorgaande login of loginpoging getoond. Deze informatie kan de gebruiker enige informatie verschaffen over de authenticiteit en/of misbruik van het systeem. [A] Nadat voor een gebruikersnaam 3 keer een foutief wachtwoord gegeven is, wordt het account minimaal 10 minuten geblokkeerd. Indien er geen lock-out periode ingesteld kan worden, dan wordt het account geblokkeerd totdat de gebruiker verzoekt deze lock-out op te heffen of het wachtwoord te resetten.
Toegang tot de persoonsgegevens van de verantwoordelijke wordt verleend op basis van twee-factor authenticatie.
11.5.1.2
Toegang tot besturingssystemen moet worden beheerst met een beveiligde inlogprocedure. Toegang tot besturingssystemen moet worden beheerst met een beveiligde inlogprocedure. Toegang tot besturingssystemen moet worden beheerst met een beveiligde inlogprocedure.
11.5.2.1
Gebruikersiden tificatie en authenticatie
Elke gebruiker moet over een unieke identificatiecode beschikken (gebruikers-ID) voor persoonlijk gebruik, en er moet een geschikte authenticatietechniek worden gekozen om de geclaimde identiteit van de gebruiker te verifiëren.
Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit vastgesteld evenals het feit dat de gebruiker recht heeft op het authenticatiemiddel.
Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit vastgesteld, evenals het feit dat de gebruiker recht heeft op het authenticatiemiddel.
38
Het wachtwoord wordt niet getoond op het scherm tijdens het ingeven. Er wordt geen informatie getoond die herleidbaar is tot de authenticatiegegevens. Voorafgaand aan het aanmelden wordt aan de gebruiker een melding getoond dat alleen geautoriseerd gebruik is toegestaan voor expliciet door de organisatie vastgestelde doeleinden. Bij een succesvol loginproces wordt de datum en tijd van de voorgaande login of loginpoging getoond. Deze informatie kan de gebruiker enige informatie verschaffen over de authenticiteit en/of misbruik van het systeem. Nadat voor een gebruikersnaam 3 keer een foutief wachtwoord gegeven is, wordt het account minimaal 10 minuten geblokkeerd. Indien er geen lock-out periode ingesteld kan worden, dan wordt het account geblokkeerd totdat de gebruiker verzoekt deze lock-out op te heffen of het wachtwoord te resetten.
BIG Nummer
titel
Control
BIG tekst / maatregel
Maatregel bewerker
11.5.2.2
Gebruikersiden tificatie en authenticatie
Bij het intern gebruik van IT voorzieningen worden gebruikers minimaal geauthenticeerd op basis van wachtwoorden.
Bij het intern gebruik van ICT-voorzieningen worden gebruikers minimaal geauthentiseerd op basis van wachtwoorden.
11.5.2.3
Gebruikersiden tificatie en authenticatie
Systemen voor wachtwoordbe heer
[A] Applicaties mogen niet onnodig en niet langer dan noodzakelijk onder een systeemaccount (een privileged user zoals administrator of root) draaien. Direct na het uitvoeren van handelingen waar hogere rechten voor nodig zijn, wordt weer teruggeschakeld naar het niveau van een gewone gebruiker (een non-privileged user). Er wordt automatisch gecontroleerd op goed gebruik van wachtwoorden (o.a. voldoende sterke wachtwoorden, regelmatige wijziging, directe wijziging van initieel wachtwoord).
Applicaties mogen niet onnodig en niet langer dan noodzakelijk onder een systeemaccount (een privileged user, zoals administrator of root) draaien. Direct na het uitvoeren van handelingen waar hogere rechten voor nodig zijn, wordt weer teruggeschakeld naar het niveau van een gewone gebruiker (een nonprivileged user).
11.5.3.1
11.5.4.1
Gebruik van systeemhulpmi ddelen
Het gebruik van hulpprogrammatuur waarmee systeem- en toepassingsbeheersmaatregelen zouden kunnen worden gepasseerd behoort te worden beperkt en behoort strikt te worden beheerst.
Het gebruik van hulpprogrammatuur waarmee systeem- en toepassingsbeheersmaatregelen zouden kunnen worden gepasseerd behoort te worden beperkt en behoort strikt te worden beheerst.
11.5.5.1
Time-out van sessies
Elke gebruiker moet over een unieke identificatiecode beschikken (gebruikers-ID) voor persoonlijk gebruik, en er moet een geschikte authenticatietechniek worden gekozen om de geclaimde identiteit van de gebruiker te verifiëren. Elke gebruiker moet over een unieke identificatiecode beschikken (gebruikers-ID) voor persoonlijk gebruik, en er moet een geschikte authenticatietechniek worden gekozen om de geclaimde identiteit van de gebruiker te verifiëren. Systemen voor wachtwoordbeheer moeten interactief zijn en moeten bewerkstelligen dat wachtwoorden van geschikte kwaliteit worden gekozen. Het gebruik van hulpprogrammatuur waarmee systeem- en toepassingsbeheersmaatregele n zouden kunnen worden gepasseerd moet worden beperkt en moet strikt worden beheerst. Inactieve sessies moeten na een vastgestelde periode van inactiviteit worden uitgeschakeld.
[A] De periode van inactiviteit van een werkstation is vastgesteld op maximaal 15 minuten. Daarna wordt de PC vergrendeld. Bij remote desktop sessies geldt dat na maximaal 15 minuten inactiviteit de sessie verbroken wordt.
De periode van inactiviteit van een werkstation is vastgesteld op maximaal 15 minuten. Daarna wordt de PC vergrendeld. Bij remote desktop sessies geldt dat na maximaal 15 minuten inactiviteit de sessie verbroken wordt.
39
Er wordt automatisch gecontroleerd op goed gebruik van wachtwoorden (onder andere voldoende sterke wachtwoorden, regelmatige wijziging, directe wijziging van initieel wachtwoord).
BIG Nummer
titel
Control
BIG tekst / maatregel
Maatregel bewerker
11.5.6.1
Beperking van verbindingstijd
11.6.1.1
Beperking van toegang tot informatie
[A] De toegang voor onderhoud op afstand door een leverancier wordt alleen opengesteld op basis een wijzigingsverzoek of storingsmelding. Met 2-factor authenticatie en tunneling. In de soort toegangsregels wordt ten minste onderscheid gemaakt tussen leesen schrijfbevoegdheden.
De toegang voor onderhoud op afstand door een leverancier wordt alleen opengesteld op basis van een wijzigingsverzoek of storingsmelding, met 2-factor authenticatie en tunneling. In de soort toegangsregels wordt ten minste onderscheid gemaakt tussen lees- en schrijfbevoegdheden.
11.6.1.2
Beperking van toegang tot informatie
[A] Managementsoftware heeft de mogelijkheid gebruikerssessies af te sluiten.
Managementsoftware heeft de mogelijkheid gebruikerssessies af te sluiten.
11.6.1.3
Beperking van toegang tot informatie
[A] Bij extern gebruik vanuit een niet vertrouwde omgeving vindt sterke authenticatie (two-factor) van gebruikers plaats.
Bij extern gebruik vanuit een niet vertrouwde omgeving vindt sterke authenticatie (twofactor) van gebruikers plaats.
11.6.1.4
Beperking van toegang tot informatie
De verbindingstijd moet worden beperkt als aanvullende beveiliging voor toepassingen met een verhoogd risico. Toegang tot informatie en functies van toepassingssystemen door gebruikers en ondersteunend personeel moet worden beperkt in overeenstemming met het vastgestelde toegangsbeleid. Toegang tot informatie en functies van toepassingssystemen door gebruikers en ondersteunend personeel moet worden beperkt in overeenstemming met het vastgestelde toegangsbeleid. Toegang tot informatie en functies van toepassingssystemen door gebruikers en ondersteunend personeel moet worden beperkt in overeenstemming met het vastgestelde toegangsbeleid. Toegang tot informatie en functies van toepassingssystemen door gebruikers en ondersteunend personeel moet worden beperkt in overeenstemming met het vastgestelde toegangsbeleid.
[A] Een beheerder gebruikt two-factor authenticatie voor het beheer van kritische apparaten. B.v. een sleutel tot beveiligde ruimte en een password of een token en een password.
Een beheerder gebruikt two-factor authenticatie voor het beheer van kritische apparaten. Bijvoorbeeld, een sleutel tot beveiligde ruimte en een password, of een token en een password.
40
BIG Nummer
titel
Control
BIG tekst / maatregel
Maatregel bewerker
11.6.2.1
Isolatie van gevoelige systemen
Gevoelige systemen vereisen een eigen, vast toegewezen (geïsoleerde) computeromgeving.
11.7.1.1
Draagbare computers en communicatiev oorzieningen
Er moet formeel beleid zijn vastgesteld en er moeten geschikte beveiligingsmaatregelen zijn getroffen ter bescherming tegen risico's van het gebruik van draagbare computers en communicatiefaciliteiten.
[A] Gevoelige systemen (met hoge beschikbaarheid of grote vertrouwelijkheid) behoren een eigen vast toegewezen (geïsoleerde) computeromgeving te hebben. Isoleren kan worden bereikt door fysieke of logische methoden. [A] Het mobiele apparaat is waar mogelijk zo ingericht dat geen bedrijfsinformatie wordt opgeslagen (“zero footprint”). Voor het geval dat zero footprint (nog) niet realiseerbaar is, of functioneel onwenselijk is, geldt: een mobiel apparaat (zoals een handheld computer, tablet, smartphone, PDA) biedt de mogelijkheid om de toegang te beschermen d.m.v. een wachtwoord en versleuteling van die gegevens. Voor printen in niet vertrouwde omgevingen vindt een risicoafweging plaats
Gevoelige systemen (met hoge beschikbaarheid of grote vertrouwelijkheid) behoren een eigen vast toegewezen (geïsoleerde) computeromgeving te hebben. Isoleren kan worden bereikt door fysieke of logische methoden. Het is de bewerker niet toegestaan om mobiele apparaten te gebruiken voor het beheren van persoonsgegevens van de verantwoordelijke.
12.1.1.1
Analyse en specificatie van beveiligingseis en
In projecten worden een beveiligingsrisicoanalyse en maatregelbepaling opgenomen als onderdeel van het ontwerp. Ook bij wijzigingen worden de veiligheidsconsequenties meegenomen.
In projecten ten behoeve van systemen voor de verantwoordelijke wordt een beveiligingsrisicoanalyse en maatregelbepaling opgenomen als onderdeel van het ontwerp. Ook bij wijzigingen worden de veiligheidsconsequenties meegenomen.
Er is expliciet aandacht voor leveranciers accounts, hardcoded wachtwoorden en mogelijke “achterdeurtjes”.
Er is expliciet aandacht voor leveranciers accounts, hardcoded wachtwoorden en mogelijke 'achterdeurtjes'.
12.1.1.6
In bedrijfseisen voor nieuwe informatiesystemen of uitbreidingen van bestaande informatiesystemen moeten ook eisen voor beveiligingsmaatregelen worden opgenomen. Analyse en In bedrijfseisen voor nieuwe specificatie van informatiesystemen of beveiligingseis uitbreidingen van bestaande en informatiesystemen moeten ook eisen voor beveiligingsmaatregelen worden opgenomen.
41
BIG Nummer
titel
Control
BIG tekst / maatregel
Maatregel bewerker
12.2.1.1
Validatie van invoergegeven s
Gegevens die worden ingevoerd in toepassingen moeten worden gevalideerd om te bewerkstelligen dat deze gegevens juist en geschikt zijn.
12.2.2.1
Beheersing van interne gegevensverwe rking
Er moeten controles worden uitgevoerd op de invoer van gegevens. Daarbij wordt minimaal gecontroleerd op grenswaarden, ongeldige tekens, onvolledige gegevens, gegevens die niet aan het juiste format voldoen, toevoegen van parameters (SQLInjectie) en inconsistentie van gegevens. Er bestaan voldoende mogelijkheden om reeds ingevoerde gegevens te kunnen corrigeren door er gegevens aan te kunnen toevoegen.
Er moeten controles worden uitgevoerd op de invoer van gegevens. Daarbij wordt minimaal gecontroleerd op grenswaarden, ongeldige tekens, onvolledige gegevens, gegevens die niet aan het juiste format voldoen, toevoegen van parameters (SQL-Injectie) en inconsistentie van gegevens. Er bestaan voldoende mogelijkheden om reeds ingevoerde gegevens te kunnen corrigeren door er gegevens aan te kunnen toevoegen.
Er behoren eisen te worden vastgesteld, en geschikte beheersmaatregelen te worden vastgesteld en geïmplementeerd, voor het bewerkstelligen van authenticiteit en het beschermen van integriteit van berichten in toepassingen.
Er behoren eisen en geschikte beheersmaatregelen te worden vastgesteld en geïmplementeerd, voor het bewerkstelligen van authenticiteit en het beschermen van integriteit van berichten in toepassingen.
De uitvoerfuncties van programma's maken het mogelijk om de volledigheid en juistheid van de gegevens te kunnen vaststellen (bijv. door check-sums).
De uitvoerfuncties van programma's maken het mogelijk om de volledigheid en juistheid van de gegevens te kunnen vaststellen (bijvoorbeeld door check-sums).
De gebruikte cryptografische algoritmen voor versleuteling zijn als open standaard gedocumenteerd en zijn door onafhankelijke betrouwbare deskundigen getoetst.
De gebruikte cryptografische algoritmen voor versleuteling zijn als open standaard gedocumenteerd en zijn door onafhankelijke betrouwbare deskundigen getoetst.
12.2.3.1
12.2.4.1
12.3.1.1
Er moeten validatiecontroles worden opgenomen in toepassingen om eventueel corrumperen van informatie door verwerkingsfouten of opzettelijke handelingen te ontdekken. Integriteit van Er moeten eisen worden berichten vastgesteld, en geschikte beheersmaatregelen worden vastgesteld en geïmplementeerd, voor het bewerkstelligen van authenticiteit en het beschermen van integriteit van berichten in toepassingen. Validatie van Gegevensuitvoer uit een uitvoergegeven toepassing moet worden s gevalideerd, om te bewerkstelligen dat de verwerking van opgeslagen gegevens op de juiste manier plaatsvindt en geschikt is gezien de omstandigheden. Beleid voor het Er moet beleid worden gebruik van ontwikkeld en cryptografische geïmplementeerd voor het beheersmaatre gebruik van cryptografische gelen beheersmaatregelen voor de bescherming van informatie.
42
BIG Nummer
titel
12.3.2.1
Sleutelbeheer
12.4.1.1
12.5.1.1
12.5.2.1
12.5.4.1
12.5.4.2
Control
Er moet sleutelbeheer zijn vastgesteld ter ondersteuning van het gebruik van cryptografische technieken binnen de organisatie. Beheersing van Er moeten procedures zijn operationele vastgesteld om de installatie software van programmatuur op productiesystemen te beheersen. Procedures De implementatie van voor wijzigingen moet worden wijzigingsbehe beheerst door middel van er formele procedures voor wijzigingsbeheer. Technische Bij wijzigingen in beoordeling besturingssystemen moeten van bedrijfskritische toepassingen toepassingen worden beoordeeld en getest na wijzigingen om te bewerkstelligen dat er in het geen nadelige gevolgen zijn besturingssyste voor de activiteiten of em beveiliging van de organisatie. Uitlekken van Er behoort te worden informatie voorkomen dat zich gelegenheden voordoen om informatie te laten uitlekken. Uitlekken van Er behoort te worden informatie voorkomen dat zich gelegenheden voordoen om informatie te laten uitlekken.
BIG tekst / maatregel
Maatregel bewerker
In het sleutelbeheer is minimaal aandacht besteed aan het proces, de actoren en hun verantwoordelijkheden.
In het sleutelbeheer is minimaal aandacht besteed aan het proces, de actoren en hun verantwoordelijkheden.
Alleen geautoriseerd personeel kan functies Alleen geautoriseerd personeel kan functies en en software installeren of activeren. software installeren of activeren.
Er is aantoonbaar wijzigingsmanagement ingericht volgens gangbare best practices zoals ITIL en voor applicaties ASL.
Er is aantoonbaar wijzigingsmanagement ingericht volgens gangbare best practices, zoals ITIL en voor applicaties ASL.
Van aanpassingen (zoals updates) aan softwarematige componenten van de technische infrastructuur wordt vastgesteld dat deze de juiste werking van de technische componenten niet in gevaar brengen.
Van aanpassingen (zoals updates) aan softwarematige componenten van de technische infrastructuur wordt vastgesteld dat deze de juiste werking van de technische componenten niet in gevaar brengen en de beveiliging zoals afgesproken met de verantwoordelijke te niet doen.
Op het grensvlak van een vertrouwde en een niet vertrouwde omgeving vindt content-scanning plaats.
Op het grensvlak van een vertrouwde en een niet vertrouwde omgeving vindt contentscanning plaats.
Er dient een proces te zijn om te melden dat (persoons) informatie is uitgelekt. (zie 13.1.1)
Er dient een proces te zijn om aan de verantwoordelijke te melden dat (persoons) informatie is uitgelekt. (zie 13.1.1)
43
BIG Nummer
titel
12.6.1.1
Beheersing van technische kwetsbaarhede n
13.1.1.1
13.1.1.4
13.1.1.5
13.1.1.6
Control
BIG tekst / maatregel
Maatregel bewerker
Er moet tijdig informatie worden verkregen over technische kwetsbaarheden van de gebruikte informatiesystemen. De mate waarin de organisatie blootstaat aan dergelijke kwetsbaarheden moet worden geëvalueerd en er moeten geschikte maatregelen worden genomen voor behandeling van daarmee samenhangende risico's. Rapportage Informatiebeveiligingsgebeurte van nissen moeten zo snel informatiebevei mogelijk via de juiste ligingsgebeurte leidinggevende niveaus nissen worden gerapporteerd.
Er is een proces ingericht voor het beheer van technische kwetsbaarheden; dit omvat minimaal het melden van incidenten aan de IBD, periodieke penetratietests, risicoanalyses van kwetsbaarheden en patching.
Er is een proces ingericht voor het beheer van technische kwetsbaarheden. Dit omvat minimaal het melden van incidenten aan de verantwoordelijke, het uitvoeren van periodieke penetratietests, het uitvoeren van risicoanalyses van kwetsbaarheden en patching van systemen en hardware.
Er is een procedure voor het rapporteren van beveiligingsgebeurtenissen vastgesteld, in combinatie met een reactieen escalatieprocedure voor incidenten, waarin de handelingen worden vastgelegd die moeten worden genomen na het ontvangen van een rapport van een beveiligingsincident.
Er is een procedure voor het rapporteren van beveiligingsgebeurtenissen aan de verantwoordelijke vastgesteld, in combinatie met een reactie- en escalatieprocedure voor incidenten, waarin de handelingen worden vastgelegd die moeten worden genomen na het ontvangen van een rapport van een beveiligingsincident.
Rapportage van informatiebevei ligingsgebeurte nissen Rapportage van informatiebevei ligingsgebeurte nissen Rapportage van informatiebevei ligingsgebeurte nissen
Alle beveiligingsincidenten worden vastgelegd in een systeem en geëscaleerd aan de IBD.
Alle beveiligingsincidenten worden vastgelegd in een systeem en geëscaleerd aan de verantwoordelijke.
Vermissing of diefstal van apparatuur of media die gegevens van de gemeente kunnen bevatten wordt altijd ook aangemerkt als informatiebeveiligingsincident. Informatie over de beveiligingsrelevante handelingen, bijvoorbeeld loggegevens, foutieve inlogpogingen, van de gebruiker wordt regelmatig nagekeken. De CISO bekijkt periodiek – bij voorkeur maandelijks - een samenvatting van de informatie.
Vermissing of diefstal van apparatuur of media die gegevens van de verantwoordelijke kunnen bevatten wordt altijd ook aangemerkt als informatiebeveiligingsincident.
Informatiebeveiligingsgebeurte nissen moeten zo snel mogelijk via de juiste leidinggevende niveaus worden gerapporteerd. Informatiebeveiligingsgebeurte nissen moeten zo snel mogelijk via de juiste leidinggevende niveaus worden gerapporteerd. Informatiebeveiligingsgebeurte nissen moeten zo snel mogelijk via de juiste leidinggevende niveaus worden gerapporteerd.
44
Informatie over de beveiligingsrelevante handelingen, bijvoorbeeld loggegevens en foutieve inlogpogingen van de gebruiker worden regelmatig nagekeken.
BIG Nummer
titel
13.1.2.1
Rapportage van zwakke plekken in de beveiliging
13.2.1.1
13.2.2.1
13.2.3.1
Control
Van alle werknemers, ingehuurd personeel en externe gebruikers van informatiesystemen en diensten moet worden geëist dat zij alle waargenomen of verdachte zwakke plekken in systemen of diensten registreren en rapporteren. Verantwoordeli Er moeten leidinggevende jkheden en verantwoordelijkheden en procedures procedures worden vastgesteld om een snelle, doeltreffende en ordelijke reactie op informatiebeveiligingsincidente n te bewerkstelligen. Leren van Er moeten mechanismen zijn informatiebevei ingesteld waarmee de aard, ligingsincidente omvang en kosten van n informatiebeveiligingsincidente n kunnen worden gekwantificeerd en gecontroleerd. Verzamelen Waar een vervolgprocedure van tegen een persoon of bewijsmateriaa organisatie na een l informatiebeveiligingsincident juridische maatregelen omvat (civiel of strafrechtelijk), moet bewijsmateriaal worden verzameld, bewaard en gepresenteerd in overeenstemming met de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgelegd.
BIG tekst / maatregel
Maatregel bewerker
Er is een proces om eenvoudig en snel beveiligingsincidenten en zwakke plekken in de beveiliging te melden.
Er is een proces om eenvoudig en snel beveiligingsincidenten en zwakke plekken in de beveiliging te melden.
Er zijn procedures voor rapportage van gebeurtenissen en escalatie. Alle medewerkers behoren op de hoogte te zijn van deze procedures.
Er zijn procedures voor rapportage van gebeurtenissen en escalatie. Alle medewerkers behoren op de hoogte te zijn van deze procedures.
De informatie verkregen uit het beoordelen van beveiligingsmeldingen wordt geëvalueerd met als doel beheersmaatregelen te verbeteren. (PDCA Cyclus)
De informatie verkregen uit het beoordelen van beveiligingsmeldingen wordt geëvalueerd met als doel beheersmaatregelen te verbeteren. (PDCA-Cyclus)
Voor een vervolgprocedure naar aanleiding van een beveiligingsincident behoort bewijsmateriaal te worden verzameld, bewaard en gepresenteerd in overeenstemming met de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgelegd.
Voor een vervolgprocedure naar aanleiding van een beveiligingsincident behoort bewijsmateriaal te worden verzameld, bewaard en gepresenteerd in overeenstemming met de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgelegd.
45
BIG Nummer
titel
Control
BIG tekst / maatregel
Maatregel bewerker
14.1.1.1
Informatiebeve iliging opnemen in het proces van bedrijfscontinuï teitsbeheer
[A] Calamiteitenplannen worden gebruikt in de jaarlijkse bewustwording-, trainingen testactiviteiten.
Calamiteitenplannen worden gebruikt in de jaarlijkse bewustwording-, training- en testactiviteiten.
14.1.2.1
Bedrijfscontinuï teit en risicobeoordelin g
Er is een Business Impact Analyse (BIA) waarin de gebeurtenissen worden geïdentificeerd die kunnen leiden tot discontinuïteit in het bedrijfsproces. Aan de hand van een risicoanalyse zijn de waarschijnlijkheid en de gevolgen van de discontinuïteit in kaart gebracht in termen van tijd, schade en herstelperiode.
Er is een Business Impact Analyse (BIA) waarin de gebeurtenissen worden geïdentificeerd die kunnen leiden tot discontinuïteit in het bedrijfsproces. Aan de hand van een risicoanalyse zijn de waarschijnlijkheid en de gevolgen van de discontinuïteit in kaart gebracht in termen van tijd, schade en herstelperiode.
14.1.3.1
Continuïteitspla nnen ontwikkelen en implementeren waaronder informatiebevei liging
Er moet een beheerd proces voor bedrijfscontinuïteit in de gehele organisatie worden ontwikkeld en bijgehouden, voor de naleving van eisen voor informatiebeveiliging die nodig zijn voor de continuïteit van de bedrijfsvoering. Gebeurtenissen die tot onderbreking van bedrijfsprocessen kunnen leiden, moeten worden geïdentificeerd, tezamen met de waarschijnlijkheid en de gevolgen van dergelijke onderbrekingen en hun gevolgen voor informatiebeveiliging. Er moeten plannen worden ontwikkeld en geïmplementeerd om de bedrijfsactiviteiten te handhaven of te herstellen en om de beschikbaarheid van informatie op het vereiste niveau en in de vereiste tijdspanne te bewerkstelligen na onderbreking of uitval van kritische bedrijfsprocessen.
In de continuïteitsplannen wordt minimaal aandacht besteed aan: • Identificatie van essentiële procedures voor bedrijfscontinuïteit. • Wie het plan mag activeren en wanneer, maar ook wanneer er weer gecontroleerd teruggaan wordt. • Veilig te stellen informatie (aanvaardbaarheid van verlies van informatie). • Prioriteiten en volgorde van herstel en reconstructie. • Documentatie van systemen en processen. • Kennis en kundigheid van personeel om de processen weer op te starten.
In de continuïteitsplannen wordt minimaal aandacht besteed aan: • Identificatie van essentiële procedures voor bedrijfscontinuïteit. • Wie het plan mag activeren en wanneer, maar ook wanneer er weer gecontroleerd teruggaan wordt. • Veilig te stellen van informatie (aanvaardbaarheid van verlies van informatie). • Prioriteiten en volgorde van herstel en reconstructie. • Documentatie van systemen en processen. • Kennis en kundigheid van personeel om de processen weer op te starten.
46
BIG Nummer
titel
14.1.4.1
Kader voor de Er moet een enkelvoudig kader bedrijfscontinuï voor teitsplanning bedrijfscontinuïteitsplannen worden gehandhaafd om te bewerkstelligen dat alle plannen consistent zijn, om eisen voor informatiebeveiliging op consistente wijze te behandelen en om prioriteiten vast te stellen voor testen en onderhoud. Testen, Bedrijfscontinuïteitsplannen onderhoud en moeten regelmatig worden herbeoordelen getest en geüpdatet, om te van bewerkstelligen dat ze actueel continuïteitspla en doeltreffend blijven. nnen
14.1.5.1
15.1.1.1
15.1.3.1
Identificatie van toepasselijke wetgeving
Control
Alle relevante wettelijke en regelgevende eisen en contractuele verplichtingen en de benadering van de organisatie in de naleving van deze eisen, moeten expliciet worden vastgesteld, gedocumenteerd en actueel worden gehouden voor elk informatiesysteem en voor de organisatie. Bescherming Belangrijke registraties van moeten worden beschermd bedrijfsdocume tegen verlies, vernietiging en nten vervalsing, in overeenstemming met wettelijke en regelgevende eisen, contractuele verplichtingen en
BIG tekst / maatregel
Maatregel bewerker
Er behoort een enkelvoudig kader voor bedrijfscontinuïteitsplannen te worden gehandhaafd om te bewerkstelligen dat alle plannen consistent zijn, om eisen voor informatiebeveiliging op consistente wijze te behandelen en om prioriteiten vast te stellen voor testen en onderhoud.
Er behoort een enkelvoudig kader voor bedrijfscontinuïteitsplannen te worden gehandhaafd om te bewerkstelligen dat alle plannen consistent zijn, om eisen voor informatiebeveiliging op consistente wijze te behandelen en om prioriteiten vast te stellen voor testen en onderhoud.
[A] Er worden minimaal jaarlijks oefeningen en/of testen gehouden om de bedrijfscontinuïteitsplannen en mate van readiness van de organisatie te toetsen (opzet, bestaan en werking). Aan de hand van de resultaten worden de plannen bijgesteld en wordt de organisatie bijgeschoold. Er is vastgesteld welke wetten en wettelijke maatregelen van toepassing zijn op de organisatie of organisatieonderdelen. Deze lijst is in conceptvorm te vinden op: http://new.kinggemeenten.nl/sites/default/ files/document/gr_1891/20101126_Concep tlijst-aanvullende-inhoudInformatiebeveiliging-v040.pdf
Er worden minimaal jaarlijks oefeningen en/of testen gehouden om de bedrijfscontinuïteitsplannen en mate van readiness van de organisatie te toetsen (opzet, bestaan en werking). Aan de hand van de resultaten worden de plannen bijgesteld en wordt de organisatie bijgeschoold.
Belangrijke registraties behoren te worden beschermd tegen verlies, vernietiging en vervalsing, in overeenstemming met wettelijke en regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen.
De registraties van de verantwoordelijke behoren te worden beschermd tegen verlies, vernietiging en vervalsing, in overeenstemming met wettelijke en regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen.
47
Er is vastgesteld welke wetten en wettelijke maatregelen van toepassing zijn op de organisatie of organisatieonderdelen. Deze lijst is in conceptvorm te vinden op: http://new.kinggemeenten.nl/sites/default/file s/document/gr_1891/20101126_Conceptlijstaanvullende-inhoud-Informatiebeveiligingv040.pdf
BIG Nummer
titel
Control
BIG tekst / maatregel
Maatregel bewerker
De bescherming van gegevens en privacy behoort te worden bewerkstelligd in overeenstemming met relevante wetgeving, voorschriften en indien van toepassing contractuele bepalingen.
De bescherming van gegevens en privacy behoort te worden bewerkstelligd in overeenstemming met relevante wetgeving, voorschriften en indien van toepassing contractuele bepalingen.
bedrijfsmatige eisen.
15.1.4.1
Bescherming van gegevens en geheimhouding van persoonsgegev ens
15.1.5.1
Voorkoming van misbruik van ITvoorzieningen
15.1.6.1
15.2.1.1
De bescherming van gegevens en privacy moet worden bewerkstelligd in overeenstemming met relevante wetgeving, voorschriften en indien van toepassing contractuele bepalingen. Gebruikers moeten ervan worden weerhouden ITvoorzieningen te gebruiken voor onbevoegde doeleinden.
Er is een beleid met betrekking tot het gebruik van IT voorzieningen door gebruikers. Dit beleid is bekendgemaakt en op de goede werking ervan wordt toegezien Voorschriften Cryptografische Er is vastgesteld aan welke voor het beheersmaatregelen moeten in overeenkomsten, wetten en voorschriften gebruik van overeenstemming met alle de toepassing van cryptografische cryptografische relevante overeenkomsten, technieken moet voldoen. Zie ook 12.3. beheersmaatre wetten en voorschriften gelen worden gebruikt. Naleving van Managers moeten Het lijnmanagement is verantwoordelijk beveiligingsbel bewerkstelligen dat alle voor uitvoering en beveiligingsprocedures eid en -normen beveiligingsprocedures die en toetsing daarop (o.a. jaarlijkse in binnen hun control verklaring). Conform het BIG verantwoordelijkheid vallen (strategisch kader) zorgt de CISO, correct worden namens de Gemeente Secretaris, voor het uitgevoerd om naleving te toezicht op de uitvoering van het bereiken van beveiligingsbeleid. Daarbij behoren ook beveiligingsbeleid en -normen. periodieke beveiligingsaudits. Deze kunnen worden uitgevoerd door of vanwege de CISO dan wel door interne of externe auditteams.
48
Er is een beleid met betrekking tot het gebruik van ICT-voorzieningen door gebruikers. Dit beleid is bekendgemaakt en op de goede werking ervan wordt toegezien Er is vastgesteld aan welke overeenkomsten, wetten en voorschriften de toepassing van cryptografische technieken moet voldoen. Zie ook 12.3. De bewerker is verantwoordelijk voor uitvoering en beveiligingsprocedures en toetsing daarop (onder andere de jaarlijkse in control verklaring). Conform deze bewerkersovereenkomst en andere contractuele eisen zorgt de bewerker voor het toezicht op de uitvoering van het beveiligingsbeleid ten behoeve van de gegevens van de verantwoordelijke. Daarbij behoren ook periodieke beveiligingsaudits. Deze kunnen worden uitgevoerd door, of vanwege de verantwoordelijke.
BIG Nummer
titel
Control
BIG tekst / maatregel
Maatregel bewerker
15.2.2.1
Controle op technische naleving
Informatiesystemen moeten regelmatig worden gecontroleerd op naleving van implementatie van beveiligingsnormen.
Informatiesystemen worden regelmatig gecontroleerd op naleving van beveiligingsnormen. Dit kan door bijv. kwetsbaarheidsanalyses en penetratietesten. Zie ook 12.6.1.1.
Informatiesystemen van de bewerker ten behoeve van de verantwoordelijke worden regelmatig gecontroleerd op naleving van beveiligingsnormen. Dit kan door bijvoorbeeld kwetsbaarheidsanalyses en penetratietesten.
15.3.1.1
Beheersmaatre gelen voor audits van informatiesyste men
Eisen voor audits en andere activiteiten waarbij controles worden uitgevoerd op productiesystemen, behoren zorgvuldig te worden gepland en goedgekeurd om het risico van verstoring van bedrijfsprocessen tot een minimum te beperken.
Eisen voor audits en andere activiteiten waarbij controles worden uitgevoerd op productiesystemen, behoren zorgvuldig te worden gepland en goedgekeurd om het risico van verstoring van bedrijfsprocessen tot een minimum te beperken.
Toegang tot hulpmiddelen voor audits van informatiesystemen behoort te worden beschermd om mogelijk misbruik of compromittering te voorkomen.
Toegang tot hulpmiddelen voor audits van informatiesystemen behoort te worden beschermd om mogelijk misbruik of compromittering te voorkomen.
15.3.2.1
104.1.1.1
Eisen voor audits en andere activiteiten waarbij controles worden uitgevoerd op productiesystemen, moeten zorgvuldig worden gepland en goedgekeurd om het risico van verstoring van bedrijfsprocessen tot een minimum te beperken. Bescherming Toegang tot hulpmiddelen voor van audits van informatiesystemen hulpmiddelen moet worden beschermd om voor audits mogelijk misbruik of van compromittering te informatiesyste voorkomen. men Algemene De organisatie dient een vereisten gedocumenteerd ISMS te ontwikkelen, te onderhouden en constant te verbeteren, binnen het kader van de bedrijfsactiviteiten en risico van de organisatie. Ten behoeve van deze standaard wordt het onderliggende proces gebaseerd op het PDCA model (Plan, Do, Check, Act).
De organisatie dient een gedocumenteerd ISMS te ontwikkelen, te onderhouden en constant te verbeteren, binnen het kader van de bedrijfsactiviteiten en risico van de organisatie.
De bewerker is bij voorkeur ISO 27001 gecertificeerd of heeft een BIG certificaat/TPM waarmee aangetoond wordt dat een gedocumenteerd ISMS is ontwikkeld, wordt onderhouden en constant verbeterd wordt, binnen het kader van de bedrijfsactiviteiten en Ten behoeve van deze standaard wordt het risico van de organisatie. onderliggende proces gebaseerd op het PDCA model (Plan, Do, Check, Act). Ten behoeve van deze standaard wordt het onderliggende proces gebaseerd op het PDCA model (Plan, Do, Check, Act).
49
50