14-1103 GAP-analyse 1.22 DEF.xlsx
Auteur
Informatiebeveiligingsdienst voor Gemeenten
Datum
3-nov-14
Versie
1.2.2
Relatie met
Toelichting op GAP-analyse
colofon
Implementatie BIG BIG maatregelen
Alle
Naam document
GAP-analyse
Doel van dit document
In te vullen matrix met alle BIG maatregelen voor het bepalen van de GAP-analyse om te komen tot een informatiebeveiligingsplan van in te voeren maatregelen.
Copyright
© 2014 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. KING wordt als bron vermeld. 2. het document en de inhoud mogen commercieel niet geëxploiteerd worden. 3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door de KING. 4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling.
Rechten en vrijwaring
KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan.
In samenwerking met
De producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) worden vervaardigd in samenwerking met:
Wijziging historie
Versie: 1.1 Datum: 17-06-2014 Enkele aanpassingen in de berekening op de resultaatsheet. Tekstuele aanpassingen in de kolom "vragen". Versie 1.2 Datum: 07-10-2014 Kolommen toegevoegd voor de GAP-analyse: soort maatregel, actiehouder, jaartal voor de planning. Met name bedoeld voor kleine gemeenten om de GAP analyse planmatig aan te pakken. De kolommen soort maatregel en actiehouder zijn als voorbeeld ingevuld, wat de gemeente zelf nog moet doen is het invullen van de kolom jaartal. Versie 1.2.1 Datum: 27-10-2014 Foute referentie links verwijderd, verder geen inhoudelijke wijziging Versie 1.2.2 Datum: 3-11-2014 Foute referentielink verwijderd.
Page 1 of 19
14-1103 GAP-analyse 1.22 DEF.xlsx
vragenlijst
GAP-analyse gemeenten op basis van de Baseline Informatiebeveiliging Nederlandse Gemeenten (versie 1.2.2)
Opsteller : Datum : Gemeentenaam: BIG Nummer
5.1.1.1
5.1.2.1 6.1.1.1
6.1.2.1
6.1.3.1
6.1.4.1 6.1.5.1 6.1.6.1
6.1.7.1
6.1.7.2 6.1.8.1 6.1.8.2
6.1.8.3
6.2.1.1
6.2.1.2
6.2.1.3
6.2.1.4
6.2.1.5
GMaatregel r o e[A] Er is een beleid voor informatiebeveiliging door het College van B eBurgemeester en Wethouders vastgesteld, gepubliceerd en beoordeeld op l basis van inzicht in risico’s, kritische bedrijfsprocessen en toewijzing van everantwoordelijkheden en prioriteiten. i d[A] Het informatiebeveiligingsbeleid wordt minimaal één keer per drie jaar, B eof zodra zich belangrijke wijzigingen voordoen, beoordeeld en zo nodig B[A] Het College van B&W waarborgt dat de einformatiebeveiligingsdoelstellingen worden vastgesteld, voldoen aan de tkaders zoals gesteld in dit document en zijn geïntegreerd in de relevante rprocessen. Dit gebeurt door één keer per jaar de opzet, het bestaan en de owerking van de Informatiebeveiligingsmaatregelen te bespreken in het koverleg van B&W en hiervan verslag te doen. k e C[A] De rollen van CISO (Chief Information Security Officer), en het olijnmanagement zijn beschreven. öa. De CISO rapporteert rechtstreeks aan de gemeentesecretaris. rb. De CISO bevordert en adviseert gevraagd en ongevraagd over de dbeveiliging van de gemeente, verzorgt rapportages over de status, i controleert of m.b.t. de beveiliging van de gemeente de maatregelen nworden nageleefd, evalueert de uitkomsten en doet voorstellen tot eimplementatie c.q. aanpassing van plannen op het gebied van de rinformatiebeveiliging van de gemeente. e n v V[A] Elke lijnmanager is verantwoordelijk voor de integrale beveiliging van ezijn of haar organisatieonderdeel. r a nEr is een goedkeuringsproces voor nieuwe IT voorzieningen en wijzigingen G oin IT voorzieningen. (in ITIL termen : wijzigingsbeheer) G[A] De algemene geheimhoudingsplicht voor ambtenaren is geregeld in de eAmbtenarenwet art. 125a, lid 3. C[A] Het lijnmanagement stelt vast in welke gevallen en door wie er ocontacten met autoriteiten (brandweer, toezichthouders, enz.) wordt nonderhouden. t CIB-specifieke informatie van relevante expertisegroepen, leveranciers van ohardware, software en diensten wordt gebruikt om de ninformatiebeveiliging te verbeteren. t a c t C[A] De CISO onderhoudt contact met de IBD en neemt ziƫng in het IBDooverleg. B[A] Het informatiebeveiligingsbeleid wordt minimaal één keer in de drie ejaar geëvalueerd (door een onafhankelijke deskundige) en desgewenst B[A] Periodieke beveiligingsaudits worden uitgevoerd in opdracht van het elijnmanagement. o o rOver het functioneren van de informatiebeveiliging wordt, conform de B eP&C-cyclus, jaarlijks gerapporteerd aan het lijnmanagement. o o I Informatiebeveiliging is aantoonbaar (op basis van een risicoafweging) dmeegewogen bij het besluit een externe partij wel of niet in te schakelen. e n ItVoorafgaand aan het afsluiten van een contract voor uitbesteding of dexterne inhuur is bepaald welke toegang (fysiek, netwerk of tot gegevens) ede externe partij(en) moet(en) hebben om de in het contract overeen te nkomen opdracht uit te voeren en welke noodzakelijke tbeveiligingsmaatregelen hiervoor nodig zijn. i fI Voorafgaand aan het afsluiten van een contract voor uitbesteding of dexterne inhuur is bepaald welke waarde en gevoeligheid de informatie e(bijv. risicoklasse II van WBP of de vertrouwelijkheidklasse) heeft waarmee nde derde partij in aanraking kan komen en of hierbij eventueel aanvullende tbeveiligingsmaatregelen nodig zijn. i f i I Voorafgaand aan het afsluiten van een contract voor uitbesteding en dexterne inhuur is bepaald hoe geauthentiseerde en geautoriseerde etoegang vastgesteld wordt. n It[A] Indien externe partijen systemen beheren waarin persoonsgegevens dverwerkt worden, wordt een bewerkerovereenkomst (conform WBP artikel e14) afgesloten. n t i f
DEEL 1 (GAP-Analyse) Vraag
Aanwezig Generiek/s PIOFAH pecifiek /wie
Is er een door de organisatie vastgesteld en gepubliceerd informatiebeveiligingsbeleid op basis van de BIG en zijn daarin verantwoordelijkheden op basis van de baseline benoemd?
Vindplaats / opmerking
DEEL 2 (ImpactAnalyse) Eigenaar
Status
scope
Generiek
IBF
2014 onbekend
Nog niet onderzocht
Is het informatiebeveiligingsbeleid in de afgelopen 3 jaar aangepast, zo Generiek nee was daar een goede reden voor? Is de opzet, het bestaan en de werking van maatregelen in het afgelopen Generiek jaar of jaren besproken binnen het college van B&W en is hier een verslag van?
IBF
onbekend
Nog niet onderzocht
IBF
onbekend
Nog niet onderzocht
Zijn de rollen van CISO of security Officer en het lijnmanagement beschreven met betrekking tot informatiebeveiliging en zijn de rapportages hierin opgenomen?
Generiek
IBF/P&O
onbekend
Nog niet onderzocht
Zijn de verantwoordelijkheden voor wat betreft integrale informatiebeveiliging van de lijnmanager beschreven?
Generiek
IBF/P&O
onbekend
Nog niet onderzocht
Is er een wijzigingsbeheer proces (bij ICT) dat ook daadwerkelijk gebruikt Generiek wordt, is er aandacht voor beveiliging binnen dit proces? Is er een beleid om de geheimhoudingsverklaring te tekenen Generiek (bijvoorbeeld in het informatiebeveiligingsbeleid document van de Is er een beleidsstuk waarin geregeld is wie er contacten onderhoud met Generiek de autoriteiten?
I&A
onbekend
Nog niet onderzocht
P&O
onbekend
Nog niet onderzocht
B&W
onbekend
Nog niet onderzocht
Is er een proactief proces waar informatiebeveiligings specifieke informatie wordt ontvangen en gebruikt, bijvoorbeeld overleg of informatie van de IBD (adviezen en dergelijke) of leveranciers van hard en software? Zijn er lidmaatschappen van verenigingen?
Generiek
IBF
onbekend
Nog niet onderzocht
Is er een CISO? Wie vervult deze rol en onderhoudt deze contacten met Generiek de IBD? Blijkt uit het gevonden IB beleid van de gemeente dat deze is geëvalueerd Generiek en bijgesteld? Is het opgenomen in de PDCA-cyclus? Worden er periodiek beveiliging audits uitgevoerd door de interne of Generiek externe audit afdeling in opdracht van het lijnmanagement?
IBF
onbekend
Nog niet onderzocht
IBF
onbekend
Nog niet onderzocht
IBF
onbekend
Nog niet onderzocht
IBF
onbekend
Nog niet onderzocht
I&A / afdelingshoofd
onbekend
Nog niet onderzocht
Zijn er externe dienstverleners voor gemeentelijke systemen die contact specifiek moeten hebben met systemen binnen de gemeente en zijn hierover afspraken gemaakt (vooraf), zijn de risico's in kaart gebracht en worden de procedures nageleefd?
I&A / afdelingshoofd
onbekend
Nog niet onderzocht
Zijn er externe dienstverleners voor gemeentelijke systemen, of inhuur contracten, waar men in aanraking kan komen met gevoelige persoonsgegevens of die contacten (inbellen) moeten hebben met systemen binnen de gemeente en zijn hierover afspraken gemaakt (vooraf) en worden de procedure nageleefd? bestaan er beveiligingsmaatregelen in de contracten?
specifiek
I&A / afdelingshoofd
onbekend
Nog niet onderzocht
Zie boven, zijn er in het geval dat toegang van "buiten" nodig is, afspraken gemaakt over systeem toegang en wordt dit nageleefd?
Generiek
IBF
onbekend
Nog niet onderzocht
afdelingshoofd
onbekend
Blijkt uit een beleidsstuk dat er gerapporteerd moet worden Generiek (bijvoorbeeld het informatiebeveiligingsbeleid of P&C-cyclus beleid) en blijkt tevens uit de interne rapportages dat er over informatiebeveiliging wordt gerapporteerd? Blijkt uit het gevonden IB beleid van de gemeente of de afdeling dat op specifiek basis van een risicoafweging is besloten een externe partij (leverancier) wel of niet in te schakelen?
Worden er systemen van de gemeente met persoonsgegevens extern specifiek gehost, en zo ja, is daar een inhoudelijke en getekende bewerkersovereenkomst van? Vul ook in als er bijvoorbeeld 5 systemen zijn die extern gehost worden en er maar voor 1 systeem een berwerkers overeenkomst is)
Page 2 of 18
aantal?
Nog niet onderzocht
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
14-1103 GAP-analyse 1.22 DEF.xlsx
BIG Nummer
6.2.1.6
GMaatregel r o IeEr is in contracten met externe partijen vastgelegd welke
6.2.1.7
dbeveiligingsmaatregelen vereist zijn, dat deze door de externe partij zijn egetroffen en worden nageleefd en dat beveiligingsincidenten onmiddellijk nworden gerapporteerd. (zie ook 6.2.3.3). Ook wordt beschreven hoe die tbeveiligingsmaatregelen door de uitbestedende partij te controleren zijn i (bijv. audits en penetratietests) en hoe het toezicht is geregeld. f i cI Over het naleven van de afspraken van de externe partij wordt jaarlijks
6.2.2.1
6.2.3.1
6.2.3.2
6.2.3.3
6.2.3.4
6.2.3.5
6.2.3.6
6.2.3.7
6.2.3.8
7.1.1.1
7.1.2.1
7.1.3.1
7.1.3.2
7.1.3.3
7.1.3.4
7.2.1.1
7.2.1.2
7.2.2.1
7.2.2.2
dgerapporteerd. e n tAlle noodzakelijke beveiligingseisen worden op basis van een B erisicoafweging vastgesteld en geïmplementeerd voordat aan gebruikers vtoegang tot informatie op bedrijfsmiddelen wordt verleend. e i De maatregelen behorend bij 6.2.1 zijn voorafgaand aan het afsluiten van B ehet contract gedefinieerd en geïmplementeerd. v e i Uitbesteding (ontwikkelen en aanpassen) van software is geregeld volgens B eformele contracten waarin o.a. intellectueel eigendom, kwaliteitsaspecten, vbeveiligingsaspecten, aansprakelijkheid, escrow en reviews geregeld eworden. i l In contracten met externe partijen is vastgelegd hoe men om dient te gaan B emet wijzigingen en hoe ervoor gezorgd wordt dat de beveiliging niet wordt vaangetast door de wijzigingen. eBIn contracten met externe partijen is vastgelegd hoe wordt omgegaan met egeheimhouding en de geheimhoudingsverklaring. v e i Er is een plan voor beëindiging van de ingehuurde diensten waarin B eaandacht wordt besteed aan beschikbaarheid, vertrouwelijkheid en vintegriteit. e i In contracten met externe partijen is vastgelegd hoe escalaties en B eaansprakelijkheid geregeld zijn. v e i Als er gebruikt gemaakt wordt van onderaannemers dan gelden daar B edezelfde beveiligingseisen voor als voor de contractant. De hoofdaannemer vis verantwoordelijk voor de borging bij de onderaannemer van de egemaakte afspraken. i De producten, diensten en daarbij geldende randvoorwaarden, rapporten B een registraties die door een derde partij worden geleverd, worden vbeoordeeld op het nakomen van de afspraken in de overeenkomst. eVerbeteracties worden geïnitieerd wanneer onder het afgesproken niveau i wordt gepresteerd. l Ii Er is een actuele registratie van bedrijfsmiddelen die voor de organisatie neen belang vertegenwoordigen, zoals informatie(verzamelingen), software, vhardware, diensten, mensen en hun kennis/vaardigheden. Van elk middel eis de waarde voor de organisatie, het vereiste beschermingsniveau en de nverantwoordelijke lijnmanager bekend. t a r EVoor elk bedrijfsproces, applicatie, gegevensverzameling en ICT-faciliteit is i een verantwoordelijke lijnmanager benoemd. g e n[A] Er zijn regels voor acceptabel gebruik van bedrijfsmiddelen (met name A ainternet, e-mail en mobiele apparatuur). De CAR-UWO verplicht nambtenaren zich hieraan te houden. Voor extern personeel is dit in het vcontract vastgelegd. a a AGebruikers hebben kennis van de regels. a n v aAApparatuur, informatie en programmatuur van de organisatie mogen niet azonder toestemming vooraf van de locatie worden meegenomen. De ntoestemming kan generiek geregeld worden in het kader van de vfunctieafspraken tussen manager en medewerker. a aA[A] Informatiedragers worden dusdanig gebruikt dat vertrouwelijke ainformatie niet beschikbaar kan komen voor onbevoegde personen. n v a[A] De organisatie heeft rubriceringrichtlijnen opgesteld. R i c h tIn overeenstemming met hetgeen in het WBP is vastgesteld, dient er een R i helder onderscheid te zijn in de herleidbare (artikel 16 WBP) en de niet cherleidbare persoonsgegevens. h Lt[A] De lijnmanager heeft maatregelen getroffen om te voorkomen dat nietageautoriseerden kennis kunnen nemen van gerubriceerde informatie. b e Ll [A] De opsteller van de informatie doet een voorstel tot rubricering en abrengt deze aan op de informatie. De vaststeller van de inhoud van de binformatie stelt tevens de rubricering vast. e l
vragenlijst
Vraag
Aanwezig Generiek/s PIOFAH pecifiek /wie
Vindplaats / opmerking
Eigenaar
Status
scope
Is in de contracten en/of bewerkersovereenkomsten vastgelegd welke beveiligingsmaatregelen vereist zijn (bijvoorbeeld de maatregelen uit deze baseline), of op basis van een gedegen risicoanalyse dat beveiligingsincidenten worden gerapporteerd, hoe de maatregelen worden gecontroleerd en hoe het toezicht geregeld is?
specifiek
afdelingshoofd
onbekend
Nog niet onderzocht
Zijn er jaarlijkse rapportages over het naleven van afspraken, gehouden audits en resultaten van externe partijen?
specifiek
Afdelingshoof d
onbekend
Nog niet onderzocht
Deze baseline is de basis waar van uit kan worden gegaan, is er voor bestaande systemen die er al zijn een risico afweging gedaan en vastgesteld?
specifiek
afdelingshoofd
onbekend
Nog niet onderzocht
De maatregelen die onder 6.2.1. staan, zijn vooraf aan het contract specifiek gedefinieerd en geïmplementeerd, dit blijkt bijvoorbeeld uit verslagen en audits.
afdelingshoofd
onbekend
Nog niet onderzocht
Er bestaan contracten met daarin de opgesomde issues die zijn benoemd generiek en afgesproken indien er uitbesteding van software ontwikkeling aan de orde is (dit geld ook voor SAAS / Cloud achtige constructies).
Inkoop
onbekend
Nog niet onderzocht
Dit aspect dient in de contracten te staan in het geval van uitbesteding (ontwikkeling en aanpassing van software) maar ook als deze software intern bij de gemeente draait.
generiek
afdelingshoofd
onbekend
Nog niet onderzocht
Controleer de gevonden contracten op dit onderdeel.
generiek
afdelingshoofd
onbekend
Nog niet onderzocht
Controleer de gevonden contracten op dit onderdeel.
generiek
afdelingshoofd
onbekend
Nog niet onderzocht
Controleer de gevonden contracten op dit onderdeel.
specifiek
afdelingshoofd
onbekend
Nog niet onderzocht
Controleer de gevonden contracten op dit onderdeel.
generiek
afdelingshoofd
onbekend
Nog niet onderzocht
Controleer de gevonden contracten op dit onderdeel.
generiek
afdelingshoofd
onbekend
Nog niet onderzocht
I&A
onbekend
Nog niet onderzocht
Is er een actuele registratie van bedrijfsmiddelen die voor de organisatie Generiek een belang vertegenwoordigen zoals, informatie(verzamelingen), software, hardware, diensten, mensen en hun kennis/vaardigheden? Van elk middel is de waarde voor de organisatie, het vereiste beschermingsniveau en de verantwoordelijke lijnmanager bekend.
Is er voor elk bedrijfsproces, applicatie, gegevensverzameling en ICTfaciliteit een verantwoordelijke lijnmanager benoemd?
Generiek
I&A
onbekend
Nog niet onderzocht
Zijn er regels voor acceptabel gebruik van bedrijfsmiddelen (met name internet, e-mail en mobiele apparatuur). Bijvoorbeeld vindbaar in het informatiebeveiligingsbeleid of aparte standaarden?
Generiek
I&A
onbekend
Nog niet onderzocht
Is er een bewustwording cursus die gevolgd moet worden, wordt de kennis van de regels getoetst en is dat vastgelegd?
Generiek
IBF
onbekend
Nog niet onderzocht
Is er beleid of andere afspraken waar geregeld is wie mag besluiten dat apparatuur of informatie of programmatuur van locatie mag worden meegenomen
Generiek
I&A/IBF
onbekend
Nog niet onderzocht
Als er gegevensdragers worden gebruikt voor vertrouwelijke informatie Generiek dan zijn er maatregelen genomen om de informatie erop tegen onbevoegd inzien te beschermen. (zoek naar beleid, ICT procedures etc.)
I&A
onbekend
Nog niet onderzocht
Er zijn rubriceringrichtlijnen binnen de gemeente? (Deze kunnen in het beveiligingsbeleid staan of in een apart rubriceringsbeleid document).
Generiek
IBF
onbekend
Nog niet onderzocht
Is er een helder onderscheid tussen herleidbare en niet herleidbare persoonsgegevens?
specifiek
afdelingshoofd
onbekend
Nog niet onderzocht
Denk bij deze maatregelen aan labeling, mandatory acces control, toegangsregeling gebouw / informatie, etc.
specifiek
Per afdeling / eigenaar
onbekend
Nog niet onderzocht
Bestaat er een rubricering procedure binnen de organisatie en wordt deze ook gebruikt.
Generiek
IBF
onbekend
Nog niet onderzocht
Page 3 of 18
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
14-1103 GAP-analyse 1.22 DEF.xlsx
BIG Nummer
8.1.1.1
8.1.1.2
8.1.1.3
8.1.1.4
8.1.2.1
8.1.2.2
8.1.2.3 8.1.3.1
8.2.1.1
8.2.1.2
8.2.2.1
8.2.2.2
8.2.3.1
8.3.1.1
8.3.1.2
8.3.1.3
8.3.2.1
vragenlijst
GMaatregel Vraag r Generiek/s PIOFAH o pecifiek /wie eDe taken en verantwoordelijkheden van een medewerker zijn opgenomen Zijn de functiebeschrijvingen binnen de gemeente vastgesteld en is in die Generiek R P&O oin de functiebeschrijving en worden onderhouden. In de functiebeschrijving functiebeschrijvingen aandacht voor de genoemde aspecten. l wordt minimaal aandacht besteed aan: l •uitvoering van het informaƟebeveiligingsbeleid e•bescherming van bedrijfsmiddelen n•rapportage van beveiligingsincidenten e•expliciete vermelding van de verantwoordelijkheden voor het beveiligen nvan persoonsgegevens v eR[A] Alle ambtenaren en ingehuurde medewerkers krijgen bij hun Bestaat er een "in dienst" procedure waar geregeld is dat alle oaanstelling hun verantwoordelijkheden ten aanzien van ambtenaren en ingehuurde medewerkers bij hun aanstelling hun l informatiebeveiliging ter inzage. De schriftelijk vastgestelde en voor hen verantwoordelijkheden, ten aanzien van informatiebeveiliging, ter inzage l geldende regelingen en instructies ten aanzien van informatiebeveiliging, krijgen? ewelke zij bij de vervulling van hun dienst hebben na te leven, worden op Overeenkomstige voorschriften maken deel uit van de contracten met neen gemakkelijk toegankelijke plaats ter inzage gelegd. Overeenkomstige externe partijen. Ook voor hen geldt de toegankelijkheid van geldende evoorschriften maken deel uit van de contracten met externe partijen. Ook regelingen en instructies. nvoor hen geldt de toegankelijkheid van geldende regelingen en instructies. v e r R[A] Indien een medewerker speciale verantwoordelijkheden heeft t.a.v. Is er op basis van de functiebeschrijving of werkzaamheden duidelijk oinformatiebeveiliging dan is hem dat voor indiensttreding (of bij gemaakt welke verantwoordelijkheden ten aanzien van l functiewijziging), bij voorkeur in de aanstellingsbrief of bij het afsluiten van informatiebeveiliging voor de medewerker gelden, bij voorkeur in een l het contract, aantoonbaar duidelijk gemaakt. aanstellingsbrief of contract? e n RDe algemene voorwaarden van het arbeidscontract van medewerkers Bevatten arbeidscontracten wederzijdse verantwoordelijkheden ten obevatten de wederzijdse verantwoordelijkheden ten aanzien van aanzien van beveiliging? l beveiliging. Het is aantoonbaar dat medewerkers bekend zijn met hun Zijn medewerkers hiermee bekend? l verantwoordelijkheden op het gebied van beveiliging. e n S[A] Voor alle medewerkers (ambtenaren en externe medewerkers) is Zijn er van alle medewerkers een recente VOG? Is er van cminimaal een recente Verklaring Omtrent het Gedrag (VOG) vereist. Indien rhet een vertrouwensfunctie betreft wordt ook een veiligheidsonderzoek e(Verklaring van Geen Bezwaar) uitgevoerd. e n Si Bij de aanstelling worden de gegevens die de medewerker heeft verstrekt cover zijn arbeidsverleden en scholing geverifieerd. r e Se[A] Het is noodzakelijk om de VOG of screening periodiek te herhalen cvolgens de voorschriften. r AAls onderdeel van hun contractuele verplichting behoren werknemers, ringehuurd personeel en externe gebruikers de algemene voorwaarden te baanvaarden en te ondertekenen van hun arbeidscontract, waarin hun everantwoordelijkheden en die van de organisatie ten aanzien van i informatiebeveiliging behoren te zijn vastgelegd. d s DHet lijnmanagement heeft een strategie ontwikkeld en geïmplementeerd i om blijvend over specialistische kennis en vaardigheden van rgemeenteambtenaren en ingehuurd personeel (onder andere die kritische ebedrijfsactiviteiten op het gebied van IB uitoefenen) te kunnen beschikken. c t DHet lijnmanagement bevordert dat gemeenteambtenaren, ingehuurd i personeel en (waar van toepassing) externe gebruikers van interne rsystemen algemene beveiligingsaspecten toepassen in hun gedrag en ehandelingen overeenkomstig vastgesteld beleid. c tbAlle medewerkers van de organisatie worden regelmatig attent gemaakt eop het beveiligingsbeleid en de beveiligingsprocedures van de organisatie, wvoor zover relevant voor hun functie. u s[A] Bespreek het onderwerp informatiebeveiliging in functionerings- en b ebeoordelingsgesprekken van medewerkers die risicovolle functies bekleden w u s[A] Er is een disciplinair proces vastgelegd voor medewerkers die inbreuk D i maken op het beveiligingsbeleid (zie ook: CAR/UWO art 16, disciplinaire sstraffen). c i Voor ambtenaren is in de ambtseed of belofte vastgelegd welke B everplichtingen ook na beëindiging van het dienstverband of bij ëfunctiewijziging nog van kracht blijven en voor hoe lang. Voor ingehuurd i personeel (zowel in dienst van een derde bedrijf als individueel) is dit ncontractueel vastgelegd. Indien nodig wordt een dgeheimhoudingsverklaring ondertekend. i gBHet lijnmanagement heeft een procedure vastgesteld voor beëindiging van
Aanwezig
Vindplaats / opmerking
Eigenaar
Status
scope onbekend
Nog niet onderzocht
Generiek
P&O
onbekend
Nog niet onderzocht
Generiek
P&O
onbekend
Nog niet onderzocht
Generiek
P&O
onbekend
Nog niet onderzocht
Generiek
P&O
onbekend
Nog niet onderzocht
Generiek
P&O
onbekend
Nog niet onderzocht
zie 8.1.2.1 en blijkt dit uit de gevonden administratie?
Generiek
P&O
onbekend
Nog niet onderzocht
controleer de arbeidscontracten op dit onderdeel
Generiek
P&O
onbekend
Nog niet onderzocht
Deze strategie kan bestaan uit: Beleid, opleidingsplannen, opleiding, cursus, inhuur etcetera.
Generiek
P&O
onbekend
Nog niet onderzocht
Dit bevorderen kan door budgetten, opleiding, bewustwording campagne, pen testen en mystery guests bezoeken (bijvoorbeeld).
Generiek
P&O
onbekend
Nog niet onderzocht
Dit bevorderen kan door budgetten te gebruiken voor, opleiding, bewustwording campagne, pen testen en mystery guests bezoeken (bijvoorbeeld).
Generiek
IBF
onbekend
Nog niet onderzocht
is er een aanwijzing of procedure waarin dit geregeld is en komen dan bijvoorbeeld ook incidenten aan de orde?
Generiek
P&O
onbekend
Nog niet onderzocht
Zie HR-beleid gemeente?
Generiek
P&O
onbekend
Nog niet onderzocht
Controleer of deze clausules bestaan
Generiek
P&O
onbekend
Nog niet onderzocht
P&O / lijnmanager
onbekend
Nog niet onderzocht
P&O / lijnmanager
onbekend
Nog niet onderzocht
P&O / lijnmanager
onbekend
Nog niet onderzocht
vertrouwensfuncties een VGB. Meestal is hier een aparte administratie voor.
Is in de aanstelling procedure de stap dat arbeidsverleden en scholing dienen te worden geverifieerd
Controleer of deze procedures en aandachtspunten bestaan. Generiek edienstverband, contract of overeenkomst waarin minimaal aandacht ëbesteed wordt aan het intrekken van toegangsrechten, innemen van i bedrijfsmiddelen en welke verplichtingen ook na beëindiging van het ndienstverband blijven gelden. d i BHet lijnmanagement heeft een procedure vastgesteld voor verandering van Controleer de functieverandering procedure naar deze aandachtspunten. Generiek efunctie binnen de organisatie, waarin minimaal aandacht besteed wordt ëaan het intrekken van toegangsrechten en innemen van bedrijfsmiddelen i die niet meer nodig zijn na het beëindigen van de oude functie. n d RZie 8.3.1.3 Generiek e t o u
Page 4 of 18
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
14-1103 GAP-analyse 1.22 DEF.xlsx
BIG Nummer
8.3.3.1
9.1.1.1
9.1.1.2
9.1.1.3
9.1.1.4
9.1.1.5
9.1.1.6
9.1.1.7
9.1.1.8
9.1.2.1
9.1.2.2
9.1.2.3
9.1.2.4 9.1.2.5
9.1.2.6
9.1.2.7
9.1.2.8
9.1.3.1
9.1.3.2
9.1.3.3
9.1.4.1
9.1.4.2
9.1.4.3
9.1.4.4
GMaatregel r o eZie 8.3.1.3 B l o k FkDe gemeente en haar omgeving worden ingedeeld in verschillende zones. yDeze zones bestaan uit: sa.Zone 0: de omgeving en het gebouw i b.Zone 1: de wachtruimten en de spreekkamers ec.Zone 2:de werkruimten kd.Zone 3: de ICT-ruimte / beveiligde ruimte voor bijvoorbeeld paspoort eopslag. b FVoor voorzieningen (binnen of buiten het gebouw) zijn duidelijke ybeveiligingsgrenzen bepaald. s i eFGebouwen bieden voldoende weerstand (bepaald op basis van een yrisicoafweging) bij gewelddadige aanvallen zoals inbraak en IT gericht svandalisme. i eF[A] Er zijn op verschillende plekken zogenaamde overval alarmknoppen ygeplaatst, dit is met name van belang voor de wachtruimten en de sspreekkamers en die ruimtes waar bezoekers in contact komen met i gemeente ambtenaren. eFEr is 24 uur, 7 dagen per week bewaking; een inbraakalarm gekoppeld aan yalarmcentrale is het minimum. s i eF[A] Van ingehuurde bewakingsdiensten is vooraf geverifieerd dat zij yvoldoen aan de wettelijke eisen gesteld in de Wet Particuliere sBeveiligingsorganisaties en Recherchebureaus. Deze verificatie wordt i minimaal jaarlijks herhaald. e kFIn gebouwen met serverruimtes houdt beveiligingspersoneel toezicht op yde toegang. Hiervan wordt een registratie bijhouden. s i Fe[A] Voor toegang tot speciale ruimten is een doelbinding vereist, dat wil yzeggen dat personen op grond van hun werkzaamheden toegang kan sworden verleend. (bijvoorbeeld Beheer, BHV etc.) i FeToegang tot gebouwen of beveiligingszones is alleen mogelijk na yautorisatie daartoe. s iF[A] De beveiligingszones en toegangsbeveiliging daarvan zijn ingericht yconform het gemeentelijk toegangsbeleid. s FIn gebouwen met beveiligde zones houdt beveiligingspersoneel toezicht op yde toegang. Hiervan wordt een registratie bijhouden. s i FeDe kwaliteit van toegangsmiddelen (deuren, sleutels, sloten, ytoegangspassen) is afgestemd op de zonering. s FDe uitgifte van toegangsmiddelen wordt geregistreerd. y s i FeNiet uitgegeven toegangsmiddelen worden opgeborgen in een beveiligd yopbergmiddel. s i FeApparatuur en bekabeling in kabelverdeelruimtes en patchruimtes voldoen yaan dezelfde eisen t.a.v. toegangbeveiliging zoals die worden gesteld aan scomputerruimtes. i Fe[A] Er vindt minimaal één keer per half jaar een periodieke ycontrole/evaluatie plaats op de autorisaties voor fysieke toegang. s i ePapieren documenten en mobiele gegevensdragers die vertrouwelijke B einformatie bevatten worden beveiligd opgeslagen. h e Se[A] Er is actief beheer van sloten en kluizen met procedures voor wijziging l van combinaties door middel van een sleutelplan, ten behoeve van opslag evan gerubriceerde informatie. u t[A] Serverruimtes, datacenters en daar aan gekoppelde bekabelingsystemen zijn ingericht in lijn met geldende best practices. Een goed voorbeeld van zo’n best practice is Telecommunication Infrastructure Standard for Data Centers (TIA-942). BBij maatregelen is rekening gehouden met specifieke bedreigingen van eaangrenzende panden of terreinen. s BReserve apparatuur en backups zijn op een zodanige afstand eondergebracht dat één en dezelfde calamiteit er niet voor kan zorgen dat szowel de hoofdlocatie als de backup/reserve locatie niet meer toegankelijk czijn. h[A] Beveiligde ruimten waarin zich bedrijfskritische apparatuur bevindt zijn B evoldoende beveiligd tegen wateroverlast. s c h B[A] Bij het betrekken van nieuwe gebouwen wordt een locatie gekozen ewaarbij rekening wordt gehouden met de kans op en de gevolgen van snatuurrampen en door mensen veroorzaakte rampen. c h
vragenlijst
Vraag
Aanwezig Generiek/s PIOFAH pecifiek /wie
Vindplaats / opmerking
Eigenaar
Status
scope
Generiek
P&O / lijnmanager
onbekend
Nog niet onderzocht
Controleer zoneringsbeleid van de gemeente.
Generiek
Huisvesting
onbekend
Nog niet onderzocht
Controleer of de beveiligingsgrenzen bepaald zijn.
Generiek
Huisvesting
onbekend
Nog niet onderzocht
Controleer of gebouwen voldoende weerstand bieden (bijvoorbeeld keurmerk, hang en sluitwerk etcetera).
Generiek
Huisvesting
onbekend
Nog niet onderzocht
Zijn er bij de publieksbalies of andere plaatsen waar publiek ontvangen wordt alarmknoppen geplaatst?
Generiek
Huisvesting
onbekend
Nog niet onderzocht
Controleer de afspraken en of dit zo is.
Generiek
Huisvesting
onbekend
Nog niet onderzocht
Controleer de contracten/procedures.
Generiek
Huisvesting
onbekend
Nog niet onderzocht
Zijn er serverruimtes ? Houdt beveiligingspersoneel toezicht op te toegang? Is hiervan een registratie en een procedure?
Generiek
Huisvesting / I&A
onbekend
Nog niet onderzocht
Wordt de doelbinding gecontroleerd bij het verlenen van toegangsrechten en blijkt dit uit de gevonden procedure?
Generiek
Huisvesting
onbekend
Nog niet onderzocht
Is de toegang tot gebouwen en beveiligingszones alleen mogelijk na autorisatie? Waar wordt dat vastgelegd? Is er gemeentelijk toegangsbeleid waarin de toegang tot beveiligingszones en toegangsbeveiliging geregeld is?
Generiek
Huisvesting
onbekend
Nog niet onderzocht
Generiek
Huisvesting
onbekend
Nog niet onderzocht
Zijn er beveiligde zones? Houdt beveiligingspersoneel toezicht op te toegang? Is hiervan een registratie en een procedure?
Generiek
Huisvesting
onbekend
Nog niet onderzocht
Volgens welke norm is de kwaliteit van de toegangsmiddelen afgestemd Generiek op de zonering?
Huisvesting
onbekend
Nog niet onderzocht
Is er een registratie van toegangsmiddelen uitgifte (passen en sleutels)?
Generiek
Huisvesting
onbekend
Nog niet onderzocht
Zijn niet uitgegeven toegangsmiddelen in een beveiligd opbergmiddel opgeborgen?
Generiek
Huisvesting
onbekend
Nog niet onderzocht
Zijn er kabelverdeelruimtes? Houdt beveiligingspersoneel toezicht op te toegang? Is hiervan een registratie en een procedure?
Generiek
I&A
onbekend
Nog niet onderzocht
Wordt de registratie van de autorisaties halfjaarlijks gecontroleerd? Is hier een verslag van?
Generiek
Huisvesting
onbekend
Nog niet onderzocht
Worden papieren documenten en mobiele gegevensdragers met vertrouwelijke informatie beveiligd opgeslagen?
specifiek
Per afdeling / eigenaar
onbekend
Nog niet onderzocht
Er is conform het beleid een procedure voor het beheren van sloten en Generiek kluizen voor wijziging van combinaties, met sleutelplan ten behoeve van gerubriceerde informatie
Huisvesting
onbekend
Nog niet onderzocht
Zijn serverruimtes, datacenters en bekabelingssystemen ingericht volgens best practices zoals TIA-942? Zijn er andere normen gebruikt?
I&A
onbekend
Nog niet onderzocht
Is er bij maatregelen rekening gehouden met specifieke bedreigingen van Generiek aangrenzende gebouwen of terreinen?
Huisvesting
onbekend
Nog niet onderzocht
Is er een backup procedure waarin ook geregeld is dat de backups off-site Generiek bewaard worden? Wordt deze procedure nageleefd?
I&A
onbekend
Nog niet onderzocht
Zijn ruimten met bedrijfskritische apparatuur voldoende beveiligd tegen Generiek wateroverlast? Denk aan overstromingsgevaar als het gebouw laag staat of als er bijvoorbeeld waterleidingen of rioleringen door ruimten loopt met bedrijfskritische apparatuur. Is bij het betrekken van gebouwen een locatie gekozen waarbij rekening Generiek is gehouden met de kans op gevolgen van natuurrampen en door mensen veroorzaakte rampen?
I&A
onbekend
Nog niet onderzocht
Huisvesting
onbekend
Nog niet onderzocht
Generiek
Page 5 of 18
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
14-1103 GAP-analyse 1.22 DEF.xlsx
BIG Nummer
9.1.4.5
9.1.4.6
9.1.5.1
9.1.5.2
GMaatregel Vraag r Generiek/s PIOFAH o pecifiek /wie eGevaarlijke of brandbare materialen zijn op een zodanige afstand van een Zijn er in en rond beveiligde ruimten brandbare of gevaarlijke materialen Generiek B Huisvesting ebeveiligde ruimte opgeslagen dat een calamiteit met deze materialen geen sinvloed heeft op de beveiligde ruimte. c h[A] Er is door de brandweer goedgekeurde en voor de situatie geschikte B ebrandblusapparatuur geplaatst en aangesloten. Dit wordt jaarlijks sgecontroleerd. c hMedewerkers die zelf niet geautoriseerd zijn mogen alleen onder W ebegeleiding van bevoegd personeel en als er een duidelijke noodzaak voor ris toegang krijgen tot fysiek beveiligde ruimten waarin IT voorzieningen zijn kgeplaatst of waarin met vertrouwelijke informatie wordt gewerkt. e n W Beveiligde ruimten (zoals een serverruimte of kluis) waarin zich geen
9.2.2.1
epersonen bevinden zijn afgesloten en worden regelmatig gecontroleerd. r k eZonder expliciete toestemming mogen binnen beveiligde ruimten geen W eopnames (foto, video of geluid) worden gemaakt. r k e[A] Er bestaat een procedure voor het omgaan met verdachte pakketten O pen brieven in postkamers en laad- en losruimten. e n bApparatuur wordt opgesteld en aangesloten conform de voorschriften van P l de leverancier. Dit geldt minimaal voor temperatuur en luchtvochtigheid, aaarding, spanningsstabiliteit en overspanningsbeveiliging. a t s i n gStandaard accounts in apparatuur worden gewijzigd en de bijbehorende P l standaard leveranciers wachtwoorden worden gewijzigd bij ingebruikname avan apparatuur. a tGebouwen zijn beveiligd tegen blikseminslag. P l a a tEten en drinken is verboden in computerruimtes. P l a a tEen informatiesysteem voldoet altijd aan de hoogste beveiligingseisen die P l voor kunnen komen bij het verwerken van informatie. Indien dit niet amogelijk is wordt een gescheiden systeem gebruikt voor de ainformatieverwerking waaraan hogere eisen gesteld worden. t sNApparatuur behoort te worden beschermd tegen stroomuitval en andere
9.2.3.1
ustoringen door onderbreking van nutsvoorzieningen. t sBVoedings- en telecommunicatiekabels die voor dataverkeer of
9.1.5.3
9.1.6.1
9.2.1.1
9.2.1.2
9.2.1.3
9.2.1.4
9.2.1.5
9.2.4.1
9.2.5.1
9.2.6.1
9.2.6.2
9.2.7.1
10.1.1.1
10.1.1.2
vragenlijst
eondersteunende informatiediensten worden gebruikt, behoren tegen vinterceptie of beschadiging te worden beschermd conform de norm NEN e1010. i [A] Reparatie en onderhoud van apparatuur (hardware) vindt op locatie O nplaats door bevoegd personeel, tenzij er geen data op het apparaat daanwezig of toegankelijk is. e rAlle apparatuur buiten de terreinen wordt beveiligd met fysieke B ebeveiligingsmaatregelen zoals bijvoorbeeld sloten en camera toezicht die vzijn vastgesteld op basis van een risicoafweging. e i [A] Bij beëindiging van het gebruik of bij een defect worden apparaten en V einformatiedragers bij de beheersorganisatie ingeleverd. De i beheerorganisatie zorgt voor een verantwoorde afvoer zodat er geen data l op het apparaat aanwezig of toegankelijk is. Als dit niet kan wordt het i apparaat of de informatiedrager fysiek vernietigd. Het afvoeren of gvernietigen wordt per bedrijfseenheid geregistreerd. v e rV[A] Hergebruik van apparatuur buiten de organisatie is slechts toegestaan
Vindplaats / opmerking
Eigenaar
Status
scope onbekend
Nog niet onderzocht
opgeslagen? Bijvoorbeeld verpakkingsmateriaal of gevaarlijke stoffen? Is er voor de situatie geschikte brandblus apparatuur? Wordt deze brandblus apparatuur jaarlijks gecontroleerd?
Generiek
Huisvesting
onbekend
Nog niet onderzocht
Is er op basis van het beleid een procedure voor toegang tot fysiek beveiligde ruimten voor niet geautoriseerde personen?
Generiek
Huisvesting
onbekend
Nog niet onderzocht
Beveiligde ruimten die afgesloten zijn waar geen mensen zijn worden regelmatig gecontroleerd, blijkt dit uit procedures? Blijkt dit uit ronde rapportages?
Generiek
Huisvesting
onbekend
Nog niet onderzocht
Is er beleid waarin geregeld is dat binnen beveiligde ruimtes geen opnames morgen worden gemaakt? Staat dit duidelijk aangegeven?
Generiek
Huisvesting
onbekend
Nog niet onderzocht
Is er een procedure voor omgaan met verdachte post/pakketten?
Generiek
Huisvesting
onbekend
Nog niet onderzocht
Controleer voor zover mogelijk of apparatuur conform voorschriften van Generiek de leverancier is opgesteld en aangesloten. - Temperatuur - luchtvochtigheid - aarding - spanningsstabiliteit - overspanningsbeveiliging
I&A
onbekend
Nog niet onderzocht
Controleer of er een procedure is voor het aanpassen van standaard leveranciers wachtwoorden. Controleer of er een log of registratie is van aangepaste wachtwoorden.
I&A/IBF
onbekend
Nog niet onderzocht
Zijn er maatregelen genomen tegen de gevolgen van blikseminslag, zo ja Generiek welke?
I&A
onbekend
Nog niet onderzocht
Bevat beleid en procedures van de computerruimten een verbod op eten Generiek en drinken? Wordt hier voor gewaarschuwd?
I&A
onbekend
Nog niet onderzocht
Indien aan de BIG wordt voldaan zijn de systemen in basis geschikt voor Generiek werken tot en met vertrouwelijk. Indien informatie verwerkt wordt van een hogere classificatie dienen hiervoor gescheiden systemen gebruikt te worden.
I&A
onbekend
Nog niet onderzocht
Worden in server en patchruimten ter bescherming van apparatuur UPS Generiek systemen ingezet tegen stroomuitval en piekstromen?
I&A
onbekend
Nog niet onderzocht
Zijn voedings- en communicatiekabels beschermd conform NEN 1010?
Generiek
I&A
onbekend
Nog niet onderzocht
Wordt onderhoud aan apparatuur met daarop data van de gemeente Generiek binnenshuis gedaan? Is er een procedure voor onderhoud aan apparatuur binnenshuis dan wel buitenshuis? een procedure voordehet verwijderen van data van apparatuur? Is er apparatuur buiten terreinen die op basis van risicoafweging Generiek fysieke beveiligingsmaatregelen nodig hebben? Zijn die maatregelen geïmplementeerd?
I&A
onbekend
Nog niet onderzocht
Huisvesting
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Worden informatiedragers bij beëindigen van gebruik of een defect ingeleverd bij de ICT organisatie? Is er een procedure voor verantwoorde afvoer van ICT middelen? Is er een procedure voor het verwijderen van data van apparatuur? Is er een registratie van afgevoerde / vernietigde apparatuur?
Is er een procedure voor het verwijderen van data van apparatuur waar eindien de informatie is verwijderd met een voldoende veilige methode. Een deze eis in verwerkt is? i veilige methode is Secure Erase voor apparaten die dit ondersteunen. In l overige gevallen wordt de data twee keer overschreven met vaste data, i één keer met random data en vervolgens wordt geverifieerd of het goverschrijven is gelukt. v eVApparatuur, informatie en programmatuur van de organisatie mogen niet Is er een procedure voor het meenemen van apparatuur, informatie of ezonder toestemming vooraf van de locatie worden meegenomen. programmatuur van de locatie. r Is daarin geregeld wie toestemming mag geven om apparatuur, w programmatuur of data mee te nemen? i Bedieningsprocedures bevatten informatie over opstarten, afsluiten, G Zijn er bedieningsprocedures over: ebackup- en herstelacties, afhandelen van fouten, beheer van logs, - opstarten dcontactpersonen, noodprocedures en speciale maatregelen voor - afsluiten - back-up en herstel obeveiliging. c - afhandelen van fouten u - beheer van logs m - contactpersonen e - noodprocedures en speciale maatregelen voor beveiliging? n tGEr zijn procedures voor de behandeling van digitale media die ingaan op Zijn er procedures voor de behandeling van digitale media die ingaan op eontvangst, opslag, rubricering, toegangsbeperkingen, verzending, dhergebruik en vernietiging. o c
Aanwezig
Generiek
ontvangst, opslag, rubricering, toegangsbeperkingen, verzending, hergebruik en vernietiging.
Page 6 of 18
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
14-1103 GAP-analyse 1.22 DEF.xlsx
BIG Nummer
vragenlijst
GMaatregel Vraag r o eIn de procedure voor wijzigingenbeheer is minimaal aandacht besteed aan: Is er een wijzigingsbeheer procedure? W
Aanwezig Generiek/s PIOFAH pecifiek /wie
Vindplaats / opmerking
Eigenaar
Status
scope
Generiek
I&A
onbekend
Nog niet onderzocht
Worden instellingen van informatiebeveiligingsfuncties (b.v. security software) op het koppelvlak tussen vertrouwde en onvertrouwde netwerken, automatisch op wijzigingen gecontroleerd?
Generiek
I&A
onbekend
Nog niet onderzocht
Is er een strikte scheiding tussen beheer van systemen en gebruik van systemen? Bijvoorbeeld: het aanpassen van subsidie bedragen of rekeningnummers van subsidie aanvragers is een andere taak dan het toekennen van een subsidie en dient bij voorkeur gescheiden te zijn. Ander voorbeeld, beheerders kunnen wel een backup maken of een database beheren, maar niet in de applicatie zelf.
Generiek
I&A
onbekend
Nog niet onderzocht
Is er een strikte scheiding tussen beheertaken en gebruikstaken, met gescheiden accounts?
Generiek
I&A
onbekend
Nog niet onderzocht
Wordt voor de verwerking van gegevens die de integriteit van kritieke informatie of kritieke informatie systemen kunnen aantasten een inspectie uitgevoerd door een tweede persoon? En wordt hiervan een log bijgehouden?
specifiek
I&A
onbekend
Nog niet onderzocht
Zijn de verantwoordelijkheden voor beheer, wijziging van gegevens en Generiek bijbehorende informatiesysteemfuncties eenduidig toegewezen aan één specifieke (beheerders)rol?
I&A
onbekend
Nog niet onderzocht
I&A
onbekend
Nog niet onderzocht
10.1.4.2
Gebruikers hebben gescheiden gebruiksprofielen voor Ontwikkeling, Test en/of Acceptatie en Productiesystemen om het risico van fouten te verminderen. Het moet duidelijk zichtbaar zijn in welk systeem gewerkt wordt.
Zijn er minimaal logisch gescheiden systemen voor Ontwikkeling, Test Generiek en/of Acceptatie en Productie (OTAP)? (De systemen en applicaties in deze zones beïnvloeden systemen en applicaties in andere zones niet.) Hebben gebruikers gescheiden gebruiksprofielen voor Ontwikkeling, Test Generiek en/of Acceptatie en Productiesystemen? Wordt in systemen weergegeven op / in het scherm in welk soort systeem gewerkt wordt?
I&A
onbekend
Nog niet onderzocht
10.1.4.3
Generiek [A] Indien er een experimenteer of laboratorium omgeving is, is deze fysiek Is er een experimenteer of laboratorium omgeving? gescheiden van de productieomgeving. Als er een experimenteer of laboratorium omgeving is, is deze dan fysiek gescheiden van de productie omgeving?
I&A
onbekend
Nog niet onderzocht
10.2.1.1
10.3.1.2
DDe uitbestedende partij blijft verantwoordelijk voor de betrouwbaarheid i van uitbestede diensten. e n DUitbesteding is goedgekeurd door de voor het informatiesysteem i verantwoordelijke lijnmanager. e n sEr worden afspraken gemaakt over de inhoud van rapportages, zoals over C ohet melden van incidenten en autorisatiebeheer. n t rDe in dienstverleningscontracten vastgelegde betrouwbaarheidseisen C oworden gemonitord. Dit kan bijvoorbeeld middels audits of rapportages en ngebeurt minimaal eens per jaar (voor ieder systeem). t r CEr zijn voor beide partijen eenduidige aanspreekpunten. o n t rZie 10.1.2 B e h e e r v a n C[A] De ICT-voorzieningen voldoen aan het voor de diensten aovereengekomen niveau van beschikbaarheid. Er worden voorzieningen pgeïmplementeerd om de beschikbaarheid van componenten te bewaken a(bijvoorbeeld de controle op aanwezigheid van een component en cmetingen die het gebruik van een component vaststellen). i Op basis van voorspellingen van het gebruik wordt actie genomen om t[A] tijdig benodigde uitbreiding van capaciteit te bewerkstelligen. C Erde worden beperkingen opgelegd aan gebruikers en systemen ten
10.3.1.3
aaanzien van het gebruik van gemeenschappelijke middelen, zodat een penkele gebruiker (of systeem) niet meer van deze middelen kan opeisen adan nodig is voor de uitvoering van zijn of haar taak en daarmee de cbeschikbaarheid van systemen voor andere gebruikers (of systemen) in i gevaar kan brengen. t eC[A] In koppelpunten met externe of onvertrouwde zones worden
10.1.2.1
10.1.2.2
10.1.3.1
10.1.3.2
10.1.3.3
10.1.3.4
10.1.4.1
10.2.1.2
10.2.2.1
10.2.2.2
10.2.2.3
10.2.3.1
10.3.1.1
10.3.2.1
i •het administreren van significante wijzigingen j •impactanalyse van mogelijke gevolgen van de wijzigingen z•goedkeuringsprocedure voor wijzigingen i g W [A] Instellingen van informatiebeveiligingsfuncties (b.v. security software) i op het koppelvlak tussen vertrouwde en onvertrouwde netwerken, worden j automatisch op wijzigingen gecontroleerd. z Fi Niemand in een organisatie of proces mag op uitvoerend niveau rechten uhebben om een gehele cyclus van handelingen in een kritisch ninformatiesysteem te beheersen. Dit in verband met het risico dat hij of zij czichzelf of anderen onrechtmatig bevoordeelt of de organisatie schade toe tbrengt. Dit geldt voor zowel informatieverwerking als beheeracties. i e s F[A] Er is een scheiding tussen beheertaken en overige gebruikstaken. uBeheerwerkzaamheden worden alleen uitgevoerd wanneer ingelogd als nbeheerder, normale gebruikstaken alleen wanneer ingelogd als gebruiker. c Ft[A] Vóór de verwerking van gegevens die de integriteit van kritieke uinformatie of kritieke informatie systemen kunnen aantasten worden deze ngegevens door een tweede persoon geïnspecteerd en geaccepteerd. Van cde acceptatie wordt een log bijgehouden. t iF[A] Verantwoordelijkheden voor beheer, wijziging van gegevens en ubijbehorende informatiesysteemfuncties moeten eenduidig toegewezen nzijn aan één specifieke (beheerders)rol. c tEr zijn minimaal logisch gescheiden systemen voor Ontwikkeling, Test en/of Acceptatie en Productie (OTAP). De systemen en applicaties in deze zones beïnvloeden systemen en applicaties in andere zones niet.
amaatregelen getroffen om DDOS (Denial of Service attacks) aanvallen te psignaleren en hierop te reageren. Het gaat hier om aanvallen die erop agericht zijn de verwerkingscapaciteit zodanig te laten vollopen, dat conbereikbaarheid of uitval van computers het gevolg is. i t S[A] Van acceptatietesten wordt een log bijgehouden. y s t
Wordt daarin aandacht besteed aan de genoemde drie punten?
Zijn er uitbestedingen van IT systemen? Is de verantwoordelijkheid van de uitbestedende partij vastgelegd?
Generiek
I&A
onbekend
Nog niet onderzocht
Heeft de verantwoordelijk manager de uitbesteding van het informatiesysteem goedgekeurd? Is hiervan een goedkeuring?
specifiek
I&A
onbekend
Nog niet onderzocht
Zijn er afspraken gemaakt over de inhoud van rapportages, zoals het melden van incidenten en autorisatiebeheer activiteiten?
Generiek
I&A
onbekend
Nog niet onderzocht
Is vastgelegd in dienstverleningscontracten dat vastgestelde specifiek betrouwbaarheidseisen jaarlijks worden gemonitord middels audits en / of rapportages? Zijn hier bewijzen voor in de vorm van rapportages/auditverslagen?
afdelingshoofd
onbekend
Nog niet onderzocht
Zijn de interne en externe aanspreekpunten/contacten bekend en is dit vastgelegd?
specifiek en generiek
afdelingshoofd / I&A
onbekend
Nog niet onderzocht
Bij uitbestede informatiesystemen: Is er een wijzigingsbeheer procedure? Wordt daarin aandacht besteed aan de genoemde drie punten: • het administreren van significante wijzigingen • impactanalyse van mogelijke gevolgen van de wijzigingen • goedkeuringsprocedure voor wijzigingen
Specifiek
afdelingshoofd
onbekend
Nog niet onderzocht
Voldoen de ICT voorzieningen aan het voor de diensten overeengekomen specifiek en niveau van beschikbaarheid? generiek Zijn de beschikbaarheids eisen vastgelegd? Is er een capaciteitsbeheer proces?
afdelingshoofd / I&A
onbekend
Nog niet onderzocht
Is er capaciteits beheer, met name voor virtuele omgevingen, waar gebruikers gemeenschappelijke middelen kunnen opeisen zodat de hele organisatie er last van heeft?
Generiek
I&A
onbekend
Nog niet onderzocht
Zijn er koppelpunten met onvertrouwde of externe zones ? Zijn daar maatregelen genomen om DDOS aanvallen te signaleren en hierop te reageren?
Generiek
I&A
onbekend
Nog niet onderzocht
Zijn er testverslagen van systeem acceptatie tests?
specifiek en generiek
afdelingshoofd / I&A
onbekend
Nog niet onderzocht
Page 7 of 18
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
14-1103 GAP-analyse 1.22 DEF.xlsx
BIG Nummer
10.3.2.2
10.4.1.1
10.4.1.2
10.4.1.3
10.4.1.4
10.4.1.5
10.4.1.6
10.4.2.1
10.4.2.2
10.5.1.1
10.5.1.2
10.5.1.3
10.5.1.4
10.5.1.5
10.6.1.1
10.6.1.2
10.6.1.3
10.6.1.4
10.6.2.1
10.7.1.1
10.7.1.2
10.7.1.3
10.7.1.4
vragenlijst
GMaatregel Vraag r Generiek/s PIOFAH o pecifiek /wie scope SeEr zijn acceptatiecriteria vastgesteld voor het testen van de beveiliging. Dit Zijn de beveiliging acceptatie criteria van systemen minimaal OWASP of specifiek en afdelingshoofd ybetreft minimaal OWASP of gelijkwaardig. s t e[A] Bij het openen van bestanden worden deze geautomatiseerd M agecontroleerd op virussen, trojans en andere malware. De update voor de adetectiedefinities vindt frequent, minimaal één keer per dag, automatisch tplaats. r M [A] Inkomende en uitgaande e-mails worden gecontroleerd op virussen, atrojans en andere malware. De update voor de detectiedefinities vindt afrequent, minimaal één keer per dag, (automatisch) plaats. t rIn verschillende schakels van een keten binnen de infrastructuur van een M aorganisatie wordt bij voorkeur antivirusprogrammatuur van verschillende aleveranciers toegepast. t r[A] Er zijn maatregelen om verspreiding van virussen tegen te gaan en M adaarmee schade te beperken (bijv. quarantaine en compartimentering). a t rEr zijn continuïteitsplannen voor herstel na aanvallen met virussen waarin M aminimaal maatregelen voor backups en herstel van gegevens en aprogrammatuur zijn beschreven. t rOp mobile devices wordt antivirus software toegepast, waarbij bij BYOD de M aeindgebruiker verplicht is deze zelf toe te passen. a t r eMobile code wordt uitgevoerd in een logisch geïsoleerde omgeving M a(sandbox) om de kans op aantasting van de integriteit van het systeem te averkleinen. De mobile code wordt altijd uitgevoerd met minimale rechten tzodat de integriteit van het host systeem niet aangetast wordt. r eM Een gebruiker moet geen extra rechten kunnen toekennen aan aprogramma’s (bijv. internet browsers) die mobiele code uitvoeren. a t rEr zijn (geteste) procedures voor back-up en recovery van informatie voor R eherinrichting en foutherstel van verwerkingen. s e rBack-upstrategieën zijn vastgesteld op basis van het soort gegevens R e(bestanden, databases, enz.), de maximaal toegestane periode waarover sgegevens verloren mogen raken, en de maximaal toelaatbare back-up- en ehersteltijd. rVan back-upactiviteiten en de verblijfplaats van de media wordt een R eregistratie bijgehouden, met een kopie op een andere locatie. De andere slocatie is zodanig gekozen dat een incident/calamiteit op de eoorspronkelijke locatie niet leidt tot schade aan of toegang tot de kopie van rdie registratie. v eRBackups worden bewaard op een locatie die zodanig is gekozen dat een eincident op de oorspronkelijke locatie niet leidt tot schade aan de back-up. s e rRDe fysieke en logische toegang tot de backups, zowel van systeemschijven eals van data, is zodanig geregeld dat alleen geautoriseerde personen zich stoegang kunnen verschaffen tot deze backups. e rM Het netwerk wordt gemonitord en beheerd zodat aanvallen, storingen of afouten ontdekt en hersteld kunnen worden en de betrouwbaarheid van het anetwerk niet onder het afgesproken minimum niveau komt. t rM [A] Gegevensuitwisseling tussen vertrouwde en onvertrouwde zones dient ainhoudelijk geautomatiseerd gecontroleerd te worden op aanwezigheid avan malware. t rM [A] Bij transport van vertrouwelijke informatie over onvertrouwde anetwerken, zoals het internet, dient altijd geschikte encryptie te worden atoegepast. Zie hiertoe 12.3.1.3. t rM Er zijn procedures voor beheer van apparatuur op afstand. a a t rBeveiligingskenmerken, niveaus van dienstverlening en beheerseisen voor B ealle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in velke overeenkomst voor netwerkdiensten, zowel voor diensten die intern eworden geleverd als voor uitbestede diensten. i lB[A] Er zijn procedures opgesteld en geïmplementeerd voor opslag van evertrouwelijke informatie voor verwijderbare media. h e e[A] Verwijderbare media met vertrouwelijke informatie mogen niet B eonbeheerd worden achtergelaten op plaatsen die toegankelijk zijn zonder htoegangscontrole. e eIn het geval dat media een kortere verwachte levensduur hebben dan de B egegevens die ze bevatten, worden de gegevens gekopieerd wanneer 75% hvan de levensduur van het medium is verstreken. e eGegevensdragers worden behandeld volgens de voorschriften van de B efabrikant. h e
Aanwezig
Vindplaats / opmerking
Eigenaar
Status
onbekend
Nog niet onderzocht
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Wordt er in verschillende schakels van de infrastructuur verschillende antivirus programmatuur gebruikt?
Generiek
I&A
onbekend
Nog niet onderzocht
Zijn er maatregelen om verspreiding van virussen tegen te gaan genomen? Indien ja, welke maatregelen?
Generiek
I&A
onbekend
Nog niet onderzocht
Zijn er continuïteitsplannen voor herstel na aanvallen met virussen? Zijn daarin maatregelen voor backups en herstel van gegevens en programmatuur beschreven.
Generiek
I&A
onbekend
Nog niet onderzocht
Zijn er mobiele devices in gebruik? Is er antivirus software voor deze mobiele devices? Is BYOD toegestaan binnen de gemeente? Is er beleid dat eindgebruikers verplicht worden antivirus software te gebruiken? Wordt er gebruik gemaakt van logisch geïsoleerde omgevingen om mobiele code uit te voeren?
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Is het toekennen van extra rechten aan programma's die mobiele code uitvoeren geblokkeerd door bijvoorbeeld een policy?
Generiek
I&A
onbekend
Nog niet onderzocht
Zijn er backup en recovery procedures voor herinrichting of herstel van informatie en/of verwerkingen? Zijn deze procedures ook getest?
specifiek en generiek
afdelingshoofd / I&A
onbekend
Nog niet onderzocht
Zijn er per gegevenssoort back-up strategieën vastgesteld? En rekening gehouden met de punten hiernaast?
Generiek
I&A
onbekend
Nog niet onderzocht
Is er een logging dan wel registratie van uitgevoerde backups en zijn er Generiek verschillende kopieën op verschillende locaties rekening houdend met de maximale periode van hierboven?
I&A
onbekend
Nog niet onderzocht
Zijn de back-up bewaarlocaties voldoende ver verwijderd van de oorspronkelijke locatie?
Generiek
I&A
onbekend
Nog niet onderzocht
Is er voor gezorgd dat de toegang tot de backups alleen mogelijk is voor geautoriseerde personen?
Generiek
I&A
onbekend
Nog niet onderzocht
Wordt er gebruik gemaakt van netwerkmonitoring zodat fouten vroegtijdig ontdekt worden en hersteld?
Generiek
I&A
onbekend
Nog niet onderzocht
Wordt er gebruik gemaakt van malware detectie op de koppelvlakken (vertrouwde en onvertrouwde zones)?
Generiek
I&A
onbekend
Nog niet onderzocht
Wordt er gebruik gemaakt van encryptie als vertrouwde informatie over Generiek onvertrouwde netwerken getransporteerd word?
I&A
onbekend
Nog niet onderzocht
Wordt er beheer op afstand toegepast en zijn daar procedures voor?
Generiek
I&A
onbekend
Nog niet onderzocht
Zijn de beveiligingskenmerken, niveaus van dienstverlening en beheereisen voor interne en externe netwerkdiensten vastgelegd. Ook als het uitbesteed is?
Generiek
I&A
onbekend
Nog niet onderzocht
Zijn er procedures voor de opslag van vertrouwelijke informatie op verwijderbare media zoals diskettes, usb-sticks?
Generiek
I&A
onbekend
Nog niet onderzocht
Zijn er procedures voor het NIET onbeheerd achterlaten van verwijderbare media op onvertrouwde plaatsen?
Generiek
I&A
onbekend
Nog niet onderzocht
Wordt er bijgehouden wanneer een medium in gebruik genomen is en is Generiek er een procedure die er voor zorgt dat ze tijdig vervangen worden (als de levensduur van het medium op 75% is) (schijven, tapes, sticks)
I&A
onbekend
Nog niet onderzocht
Worden alle gegevensdragers behandeld conform de voorschriften van de fabrikant?
I&A
onbekend
Nog niet onderzocht
gelijkwaardig? Blijkt dat deze acceptatie criteria gebruikt worden uit bijvoorbeeld test documentatie van systemen? Zijn er op systemen anti virus scanners geïnstalleerd die bestanden controleert bij openen? Vindt het updaten van detectiedefinities dagelijks plaats?
generiek
/ I&A
Generiek
Zijn er op mail systemen anti virus scanners geïnstalleerd die bestanden controleert bij openen? Vindt het updaten van detectiedefinities dagelijks plaats?
Generiek
Page 8 of 18
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
14-1103 GAP-analyse 1.22 DEF.xlsx
BIG Nummer
10.7.2.1
10.7.3.1
10.7.4.1
10.7.4.2
10.8.1.1
10.8.1.2
10.8.1.3
10.8.1.4
10.8.1.5
10.8.2.1
10.8.2.2
10.8.2.3
10.8.2.4
10.8.3.1
10.8.3.2
10.8.4.1
10.8.4.2
10.8.5.1
10.9.1.1
GMaatregel r o e[A] Er zijn procedures vastgesteld en in werking voor verwijderen van V evertrouwelijke data en de vernietiging van verwijderbare media. rVerwijderen van data wordt gedaan met een Secure Erase voor apparaten wwaar dit mogelijk is. In overige gevallen wordt de data twee keer i overschreven met vaste data, één keer met random data en vervolgens j wordt geverifieerd of het overschrijven is gelukt. Zie ook 9.2.6. d e PEr behoren procedures te worden vastgesteld voor de behandeling en ropslag van informatie om deze te beschermen tegen onbevoegde oopenbaarmaking of misbruik. c eSysteemdocumentatie die vertrouwelijke informatie bevat is niet vrij B etoegankelijk. v e i [A] Wanneer de eigenaar er expliciet voor kiest om gerubriceerde B esysteemdocumentatie buiten de gemeente te brengen, doet hij dat niet vzonder risicoafweging. e i [A] Het meenemen van Departementaal Vertrouwelijke of vergelijkbaar B egeclassificeerde informatie, of hogere, buiten de gemeente vindt l uitsluitend plaats indien dit voor de uitoefening van de functie noodzakelijk eis. i Medewerkers zijn geïnstrueerd om zodanig om te gaan met B e(telefoon)gesprekken, e-mail, faxen ingesproken berichten op l antwoordapparaten en het gebruik van de diverse digitale eberichtendiensten dat de kans op uitlekken van vertrouwelijke informatie i geminimaliseerd wordt. d BMedewerkers zijn geïnstrueerd om zodanig om te gaan met mobiele eapparatuur en verwijderbare media dat de kans op uitlekken van l vertrouwelijke informatie geminimaliseerd wordt. Hierbij wordt ten minste eaandacht besteed aan het risico van adreslijsten en opgeslagen i boodschappen in mobiele telefoons. d eBMedewerkers zijn geïnstrueerd om geen vertrouwelijke documenten bij de
vragenlijst
Vraag
Aanwezig Generiek/s PIOFAH pecifiek /wie
Vindplaats / opmerking
Eigenaar
Status
scope
Zijn er procedures voor het verwijderen van vertrouwelijke data van verwijderbare media? Welke norm wordt daarbij gehanteerd?
Generiek
I&A
onbekend
Nog niet onderzocht
Zijn er procedures vastgesteld die ervoor zorgen dat informatie niet in handen kan komen van onbevoegde personen en die ervoor zorgen dan de informatie niet misbruikt kan worden of openbaargemaakt?
Generiek
I&A
onbekend
Nog niet onderzocht
Wordt systeemdocumentatie die vertrouwelijke informatie bevat juist behandeld?
Generiek
I&A
onbekend
Nog niet onderzocht
Wordt systeemdocumentatie die gerubriceerde informatie bevat niet zonder risico afweging buiten de gemeente gebracht? Indien ja, waar blijkt dat uit?
Specifiek
Eigenaar
onbekend
Nog niet onderzocht
Wordt vertrouwelijke informatie niet anders buiten de gemeente gebracht indien dit voor het uitoefenen van de functie noodzakelijk is? Waar blijkt dat uit?
Specifiek
Eigenaar
onbekend
Nog niet onderzocht
Zijn er procedures en zijn ze bekend bij de medewerkers waarin de omgang met vertrouwelijke informatie geregeld is?
Generiek
P&O
onbekend
Nog niet onderzocht
Zijn er procedures en zijn ze bekend bij de medewerkers waarin de omgang met mobiele apparatuur en verwijderbare media geregeld is? Gaat dit ook over adreslijsten en opgeslagen boodschappen op een mobiele telefoon?
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
specifiek
Per afdeling / eigenaar
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
Huisvesting
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
IBF
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Is er een printer procedure voor vertrouwelijke documenten of is er pulleprinter te laten liggen. print? l e i Er zijn maatregelen getroffen om het automatisch doorsturen van interne e-Wordt er gemonitord op het automatisch doorzenden van mail naar B email berichten naar externe e-mail adressen te voorkomen. externe mailadressen en is er een verbod op het doorzenden van mail? l e i Er zijn afspraken gemaakt over de beveiliging van de uitwisseling van U Zijn er procedures dan wel werkafspraken of mechanismes die de i gegevens en software tussen organisaties waarin de maatregelen om traceerbaarheid en onweerlegbaarheid van gegevens waarborgen en zijn tbetrouwbaarheid - waaronder traceerbaarheid en onweerlegbaarheid deze getoetst? wvan gegevens te waarborgen zijn beschreven en getoetst. i sUVerantwoordelijkheid en aansprakelijkheid in het geval van Is er een incidentmanagement proces en is deze in werking? i informatiebeveiligingsincidenten zijn beschreven, alsmede procedures over tmelding van incidenten. w iUHet eigenaarschap van gegevens en programmatuur en de Is er vastgelegd wie eigenaar van gegevens en programmatuur is? i verantwoordelijkheid voor de gegevensbescherming, auteursrechten, tlicenties van programmatuur zijn vastgelegd. w iU[A] Indien mogelijk wordt binnenkomende programmatuur (zowel op Is er een controle mechanisme voor binnenkomende programmatuur? i fysieke media als gedownload) gecontroleerd op ongeautoriseerde twijzigingen aan de hand van een door de leverancier via een gescheiden wkanaal geleverde checksum of certificaat. i sFOm vertrouwelijke informatie te beschermen worden maatregelen Zijn er maatregelen genomen om vertrouwde informatie te beschermen? ygenomen, zoals: (zie hiernaast voor voorbeelden) s•versleuteling i •bescherming door fysieke maatregelen, zoals afgesloten containers e•gebruik van verpakkingsmateriaal waaraan te zien is of getracht is het te kopenen e•persoonlijke aflevering m •opsplitsing van zendingen in meerdere delen en eventueel verzending via everschillende routes d i F[A] Fysieke verzending van bijzondere informatie dient te geschieden met Zijn er procedures voor fysieke verzending van bijzondere informatie? ygoedgekeurde middelen, waardoor de inhoud niet zichtbaar, niet kenbaar sen inbreuk detecteerbaar is. i Ee[A] Digitale documenten binnen de gemeente waar eindgebruikers Wordt er gebruik gemaakt van certificaten als eindgebruikers rechten l rechten aan kunnen ontlenen maken gebruik van PKI Overheid certificaten kunnen ontlenen aan digitale documenten? evoor tekenen en/of encryptie. k EtEr is een (spam) filter geactiveerd voor e-mail berichten. Is er een spamfilter voor e-mail? l e k StEr zijn richtlijnen met betrekking tot het bepalen van de risico's die het Zijn er richtlijnen waarin aandacht besteed wordt zoals hiernaast ygebruik van gemeentelijk informatie in kantoorapplicaties met zich benoemd bij het gebruik en de bepaling van de beveiliging van kantoor smeebrengen en richtlijnen voor de bepaling van de beveiliging van deze applicaties? tinformatie binnen deze kantoorapplicaties. Hierin is minimaal aandacht ebesteed aan de toegang tot de interne informatievoorziening, m toegankelijkheid van agenda's, afscherming van documenten, privacy, ebeschikbaarheid, backup en in voorkomend geval Cloud diensten. n v o E[A] Conform verplichting worden authentieke basisregistraties van de Worden er alleen authentieke basisregistraties van de overheid gebruikt? -overheid gebruikt (b.v. GBA). (eenmalige vastlegging, meervoudig gebruik) c o m
Page 9 of 18
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
14-1103 GAP-analyse 1.22 DEF.xlsx
BIG Nummer
10.9.2.1
10.9.2.2
10.9.3.1
10.10.1.1
10.10.1.2
10.10.1.3
vragenlijst
GMaatregel Vraag r o eEen transactie wordt bevestigd (geautoriseerd) door een (gekwalificeerde) Worden transacties bevestigd met een elektronische handtekening of O nelektronische handtekening of een andere wilsuiting (bijv. een TAN code) l van de gebruiker. i nEen transactie is versleuteld, de partijen zijn geauthentiseerd en de privacy O nvan betrokken partijen is gewaarborgd. l i nEr zijn procedures die waarborgen dat gepubliceerde informatie is O paangeleverd door daartoe geautoriseerde medewerkers. e n LbVan logbestanden worden rapportages gemaakt die periodiek worden obeoordeeld. Deze periode dient te worden gerelateerd aan de mogelijkheid gvan misbruik en de schade die kan optreden. De GBA logging kan gbijvoorbeeld dagelijks nagelopen worden, evenals financiële systemen, i controle van het Internet gebruik kan bijvoorbeeld per maand of kwartaal. n g e LEen logregel bevat minimaal: o•een tot een natuurlijk persoon herleidbare gebruikersnaam of ID g•de gebeurtenis (zie 10.10.2.1) g•waar mogelijk de idenƟteit van het werkstaƟon of de locaƟe i •het object waarop de handeling werd uitgevoerd n•het resultaat van de handeling g•de datum en het ƟjdsƟp van de gebeurtenis e n cL[A] In een logregel worden in geen geval gevoelige gegevens opgenomen.
10.10.3.2
10.10.3.3
10.10.3.4
10.10.3.5
10.10.5.1
o g g Li Zie 10.10.1 o g g i
scope onbekend
Nog niet onderzocht
Worden transacties versleuteld en de partijen geauthentiseerd en is de privacy gewaarborgd?
Generiek
I&A
onbekend
Nog niet onderzocht
Zijn er procedures dat alleen geautoriseerde medewerkers informatie kunnen publiceren?
Generiek
communicatie
onbekend
Nog niet onderzocht
Zijn er logging rapportages?
specifiek
afdelingshoofd
onbekend
Nog niet onderzocht
Is vastgelegd wat er in een logregel moet staan (zie hiernaast)?
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
10.10.4.1
10.10.3.1
Status
I&A
ode logbestanden boven een bepaalde grens wordt gelogd en leidt tot gautomatische alarmering van de beheerorganisatie. Dit geldt ook als het gbewaren van loggegevens niet (meer) mogelijk is (bijv. een logserver die i niet bereikbaar is). n gLZie 10.10.1
10.10.2.1
Eigenaar
Generiek
10.10.3.6
10.10.1.5
Vindplaats / opmerking
een andere wilsuiting?
Bevat een logregel geen gevoelige gegevens zoals wachtwoorden? oDit betreft onder meer gegevens waarmee de beveiliging doorbroken kan gworden (zoals wachtwoorden, inbelnummers, enz.). g Li [A] Logberichten worden overzichtelijk samengevat. Daartoe zijn systemen Worden logberichten overzichtelijk samengevat? odie logberichten genereren bij voorkeur aangesloten op een Security gInformation and Event Management systeem (SIEM ) waarmee meldingen gen alarmoproepen aan de beheerorganisatie gegeven worden. Er is i vastgelegd bij welke drempelwaarden meldingen en alarmoproepen ngegenereerd worden. g e LControle op opslag van logging: het vollopen van het opslagmedium voor Is er controle op het vollopen van het opslagmedium voor logging? ode logbestanden boven een bepaalde grens wordt gelogd en leidt tot gautomatische alarmering van de beheerorganisatie. Dit geldt ook als het gbewaren van loggegevens niet (meer) mogelijk is (bijv. een logserver die i niet bereikbaar is). n gLDe volgende gebeurtenissen worden in ieder geval opgenomen in de Worden de gebeurtenissen zoals hiernaast genoemd opgenomen in de ologging: logging? g•gebruik van technische beheerfuncƟes, zoals het wijzigingen van gconfiguratie of instelling; uitvoeren van een systeemcommando, starten en i stoppen, uitvoering van een back-up of restore n•gebruik van funcƟoneel beheerfuncƟes, zoals het wijzigingen van gconfiguratie en instellingen, release van nieuwe functionaliteit, ingrepen in egegevenssets (waaronder databases) n•handelingen van beveiligingsbeheer, zoals het opvoeren en afvoeren cgebruikers, toekennen en intrekken van rechten, wachtwoordreset, uitgifte oen intrekken van cryptosleutels •beveiligingsincidenten (zoals deof aanwezigheid testen op LnHet (automatisch) overschrijven verwijderen van malware, logbestanden wordt Wordt het overschrijven, verwijderen dan wel verplaatsen van logging ogelogd in de nieuw aangelegde log. vastgelegd in logging? g g Li [A] Het raadplegen van logbestanden is voorbehouden aan geautoriseerde Is logging read-only en alleen voor geautoriseerde gebruikers ogebruikers. Hierbij is de toegang beperkt tot leesrechten. beschikbaar? g g Li Logbestanden worden zodanig beschermd dat deze niet aangepast of Wordt manipulatie en aanpassing van logging voorkomen? ogemanipuleerd kunnen worden. g g Li De instellingen van logmechanismen worden zodanig beschermd dat deze Worden de logginginstellingen beschermd? oniet aangepast of gemanipuleerd kunnen worden. Indien de instellingen gaangepast moeten worden zal daarbij altijd het vier ogen principe gtoegepast worden. i n L[A] De beschikbaarheid van loginformatie is gewaarborgd binnen de Is er een minimale logtermijn van 3 maanden en als er een incident otermijn waarin loganalyse noodzakelijk wordt geacht, met een minimum vermoed wordt minimaal 3 jaar? gvan drie maanden, conform de wensen van de systeemeigenaar. Bij een g(vermoed) informatiebeveiligingsincident is de bewaartermijn minimaal i drie jaar. n gLControle op opslag van logging: het vollopen van het opslagmedium voor Is er alarmering op de logging?
10.10.1.4
Aanwezig Generiek/s PIOFAH pecifiek /wie
Page 10 of 18
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
14-1103 GAP-analyse 1.22 DEF.xlsx
BIG Nummer
10.10.6.1
11.1.1.1
11.2.1.1
11.2.1.2
11.2.1.3
11.2.2.1
11.2.2.2
11.2.2.3
11.2.2.4
11.2.3.1
11.2.3.2
11.2.4.1
11.3.1.1
11.3.2.1
11.3.3.1
11.3.3.2
11.3.3.3
11.3.3.4
11.4.1.1
11.4.2.1
GMaatregel r o LeSysteemklokken worden zodanig gesynchroniseerd dat altijd een obetrouwbare analyse van logbestanden mogelijk is. g g Ti Er behoort toegangsbeleid te worden vastgesteld, gedocumenteerd en obeoordeeld op basis van bedrijfseisen en beveiligingseisen voor toegang. e g aGebruikers worden vooraf geïdentificeerd en geautoriseerd. Van de R eregistratie wordt een administratie bijgehouden. g i s[A] Authenticatiegegevens worden bijgehouden in één bronbestand zodat R econsistentie is gegarandeerd. g i s[A] Op basis van een risicoafweging wordt bepaald waar en op welke wijze R efunctiescheiding wordt toegepast en welke toegangsrechten worden ggegeven. i sGebruikers hebben toegang tot speciale bevoegdheden voorzover dat voor B ede uitoefening van hun taak noodzakelijk is (need to know, need to use). h e eSysteemprocessen draaien onder een eigen gebruikersnaam (een B efunctioneel account), voor zover deze processen handelingen verrichten hvoor andere systemen of gebruikers. e eGebruikers krijgen slechts toegang tot een noodzakelijk geachte set van B eapplicaties en commando’s. h e eEr is aandacht voor het wijzigen van bevoegdheden bij verandering van B efunctie / afdeling. h e eBWachtwoorden worden nooit in originele vorm (plaintext) opgeslagen of everstuurd, maar in plaats daarvan wordt bijvoorbeeld de hashwaarde van hhet wachtwoord gecombineerd met een salt opgeslagen. e eBTen aanzien van wachtwoorden geldt: e•Wachtwoorden worden op een veilige manier uitgegeven (controle hidentiteit van de gebruiker). e•Tijdelijke wachtwoorden of wachtwoorden die standaard in soŌware of ehardware worden meegegeven worden bij eerste gebruik vervangen door reen persoonlijk wachtwoord. v•Gebruikers bevesƟgen de ontvangst van een wachtwoord. a•Wachtwoorden zijn alleen bij de gebruiker bekend. n•Wachtwoorden bestaan uit minimaal 8 karakters, waarvan tenminste 1 ghoofdletter, 1 cijfer en 1 vreemd teken. e•Wachtwoorden zijn maximaal 60 dagen geldig en mogen niet binnen 6 bkeer herhaald worden. r BToegangsrechten van gebruikers worden periodiek, minimaal jaarlijks, egeëvalueerd. Het interval is beschreven in het toegangsbeleid en is bepaald oop basis van het risiconiveau. o rAan de gebruikers is een set gedragsregels aangereikt met daarin minimaal G ehet volgende: b•Wachtwoorden worden niet opgeschreven. r•Gebruikers delen hun wachtwoord nooit met anderen. u•Wachtwoorden mogen niet opeenvolgend zijn i •Een wachtwoord wordt onmiddellijk gewijzigd indien het vermoeden kbestaat dat het bekend is geworden aan een derde.•Wachtwoorden vworden niet gebruikt in automatische inlogprocedures (bijv. opgeslagen aonder een functietoets of in een macro). n w a ODe gebruiker vergrendelt de werkplek tijdens afwezigheid. (zie ook : n11.5.5) b e hIn het clear desk beleid staat minimaal dat de gebruiker geen C l vertrouwelijke informatie op het bureau mag laten liggen. Deze informatie emoet altijd worden opgeborgen in een afsluitbare opbergmogelijkheid a(kast, locker, bureau of kamer). r d CBij afdrukken van gevoelige informatie wordt, wanneer mogelijk, gebruik l gemaakt van de functie “beveiligd afdrukken” (pincode verificatie). e a rC[A] Schermbeveiligingsprogrammatuur (een screensaver) maakt na een l periode van inactiviteit van maximaal 15 minuten alle informatie op het ebeeldscherm onleesbaar en ontoegankelijk. a rC[A] Toegangsbeveiliging lock wordt automatisch geactiveerd bij het l verwijderen van een token (indien aanwezig). e a rBEr is een gedocumenteerd beleid met betrekking tot het gebruik van enetwerken en netwerkdiensten. Gebruikers krijgen slechts toegang tot de l netwerkdiensten die voor het werk noodzakelijk zijn. Zie ook 11.2.2.3. e iAZie ook 11.6.1.3. u t h e
vragenlijst
Vraag
Aanwezig Generiek/s PIOFAH pecifiek /wie
Vindplaats / opmerking
Eigenaar
Status
scope
Lopen alle systeemklokken gelijk?
Generiek
I&A
onbekend
Nog niet onderzocht
Is er toegangsbeleid?
Generiek
I&A
onbekend
Nog niet onderzocht
Is er een procedure voor nieuwe gebruikers?
specifiek en generiek
afdelingshoofd / I&A
onbekend
Nog niet onderzocht
Worden authenticatiegegevens in 1 bronbestand bij elkaar gehouden?
Generiek
I&A
onbekend
Nog niet onderzocht
Is er een risicoafweging bij de bepaling van toegangsrechten en is er functiescheiding?
specifiek en generiek
afdelingshoofd / I&A
onbekend
Nog niet onderzocht
Worden speciale bevoegdheden alleen gebruikt als ze nodig zijn?
Generiek
I&A
onbekend
Nog niet onderzocht
Draaien systeemprocessen onder een eigen account?
Generiek
I&A
onbekend
Nog niet onderzocht
Krijgen gebruikers alleen die toegang die ze nodig hebben?
Generiek
I&A
onbekend
Nog niet onderzocht
Is er een beleid bij werkverandering i.v.m. het wijzigen van bevoegdheden?
specifiek en generiek
afdelingshoofd
onbekend
Nog niet onderzocht
Worden wachtwoorden voldoende beschermd opgeslagen of verstuurd (hash + SALT)
Generiek
I&A
onbekend
Nog niet onderzocht
Is er een wachtwoord procedure of is er toegangsbeleid waarin tenminste de hiernaast genoemde aspecten verwoord is?
Generiek
I&A
onbekend
Nog niet onderzocht
Worden de toegangsrechten minimaal jaarlijks geëvalueerd?
Generiek
I&A
onbekend
Nog niet onderzocht
Zijn gebruikers in het bezit van gedragsregels?
Generiek
IBF
onbekend
Nog niet onderzocht
Is er een clear desk en clear screen policy?
Generiek
IBF
onbekend
Nog niet onderzocht
En staat daar het volgende in: Generiek Dat de gebruiker geen vertrouwelijke informatie op het bureau mag laten liggen. Deze informatie moet altijd worden opgeborgen in een afsluitbare opbergmogelijkheid (kast, locker, bureau of kamer).
IBF
onbekend
Nog niet onderzocht
Is er een functie voor beveiligd afdrukken van gevoelige informatie?
Generiek
IBF
onbekend
Nog niet onderzocht
Is er een screensaver die automatisch in werking gaat na maximaal 15 minuten inactiviteit?
Generiek
I&A
onbekend
Nog niet onderzocht
Is er een screenlock/saver die automatisch in werking gaat als een token Generiek verwijderd wordt? Indien aanwezig!
I&A
onbekend
Nog niet onderzocht
Is er netwerkgebruik beleid?
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Page 11 of 18
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
14-1103 GAP-analyse 1.22 DEF.xlsx
BIG Nummer
11.4.3.1
11.4.4.1
11.4.5.1
11.4.5.2
11.4.5.3
11.4.5.4
11.4.5.5
11.4.6.1
11.4.7.1
11.5.1.1
11.5.1.2
11.5.1.3
11.5.1.4
11.5.1.5
11.5.2.1
11.5.2.2
11.5.2.3
11.5.3.1
11.5.3.2
11.5.3.3
GMaatregel r o Ie[A] Alleen geïdentificeerde en geauthentiseerde apparatuur kan worden
vragenlijst
Vraag
Is geregeld dat alleen geauthentiseerde apparatuur kan worden daangesloten op een vertrouwde zone. Eigen, geauthentiseerde, apparatuur aangesloten op een vertrouwede zone? e(Bring Your Own Device) wordt alleen aangesloten op een onvertrouwde nzone. t iBPoorten, diensten en soortgelijke voorzieningen op een netwerk of Is er patch en poort management? ecomputer die niet vereist zijn voor de dienst dienen te worden afgesloten. s c Sh[A] Werkstations worden zo ingericht dat routeren van verkeer tussen Is verkeer tussen verschillende netwerk zones niet mogelijk? cverschillende zones of netwerken niet mogelijk is. h e Si [A] De indeling van zones binnen de technische infrastructuur vindt plaats Is er beleid over zonering en wordt deze geëvalueerd? cvolgens een operationeel beleidsdocument waarin is vastgelegd welke huitgangspunten voor zonering worden gehanteerd. Van systemen wordt ebijgehouden in welke zone ze staan. Er wordt periodiek, minimaal één keer i per jaar, geëvalueerd of het systeem nog steeds in de optimale zone zit of dverplaatst moet worden. i n g S[A] Elke zone heeft een gedefinieerd beveiligingsniveau Zodat de filtering Hebben zones gedefinieerde beveiligingsniveaus? ctussen zones is afgestemd op de doelstelling van de zones en het te hoverbruggen verschil in beveiligingsniveau. Hierbij vindt controle plaats op eprotocol, inhoud en richting van de communicatie. i d S[A] Beheer en audit van zones vindt plaats vanuit een minimaal logisch Is er voor beheer en audit een logische gescheiden zone? cgescheiden, separate zone. h e Si Zonering wordt ingericht met voorzieningen waarvan de functionaliteit is Is er hardening? cbeperkt tot het strikt noodzakelijke (hardening van voorzieningen). h e i Voor gemeenschappelijke netwerken, vooral waar deze de grenzen van de Is er toegangsbeleid bij zone overschrijdende gemeenschappelijke B eorganisatie overschrijden, behoren de toegangsmogelijkheden voor netwerken? hgebruikers te worden beperkt, overeenkomstig het toegangsbeleid en de eeisen van bedrijfstoepassingen (zie 11.1). e r BNetwerken zijn voorzien van beheersmaatregelen voor routering Zijn er beheersmaatregelen voor routering en verificatie van bron en egebaseerd op mechanismen ter verificatie van bron en bestemming? hbestemmingsadressen. e e[A] Toegang tot kritische toepassingen of toepassingen met een hoog B Wordt er gebruik gemaakt van two-factor bij kritische of hoog belang ebelang wordt verleend op basis van twee-factor authenticatie. toepassingen? v e BHet wachtwoord wordt niet getoond op het scherm tijdens het ingeven. Er Is een wachtwoord bij invoer onleesbaar? ewordt geen informatie getoond die herleidbaar is tot de vauthenticatiegegevens. e i Voorafgaand aan het aanmelden wordt aan de gebruiker een melding B Is er een melding over geautoriseerd gebruik bij inloggen? egetoond dat alleen geautoriseerd gebruik is toegestaan voor expliciet door vde organisatie vastgestelde doeleinden. e i Bij een succesvol loginproces wordt de datum en tijd van de voorgaande B Is er bij een succesvolle login een melding van de voorgaande login? elogin of loginpoging getoond. Deze informatie kan de gebruiker enige vinformatie verschaffen over de authenticiteit en/of misbruik van het esysteem. i B[A] Nadat voor een gebruikersnaam 3 keer een foutief wachtwoord Is er een lockoutperiode? egegeven is, wordt het account minimaal 10 minuten geblokkeerd. Indien er vgeen lock-out periode ingesteld kan worden, dan wordt het account egeblokkeerd totdat de gebruiker verzoekt deze lock-out op te heffen of het i wachtwoord te resetten. l GBij uitgifte van authenticatiemiddelen wordt minimaal de identiteit Is er controle op de uitgifte van authenticatiemiddelen? evastgesteld evenals het feit dat de gebruiker recht heeft op het bauthenticatiemiddel. r u GBij het intern gebruik van IT voorzieningen worden gebruikers minimaal Is er minimaal een wachtwoord nodig bij authenticatie van gebruikers egeauthentiseerd op basis van wachtwoorden. (intern)? b r u G[A] Applicaties mogen niet onnodig en niet langer dan noodzakelijk onder Hebben applicaties niet meer rechten dan nodig? eeen systeemaccount (een privileged user zoals administrator of root) bdraaien. Direct na het uitvoeren van handelingen waar hogere rechten rvoor nodig zijn, wordt weer teruggeschakeld naar het niveau van een ugewone gebruiker (een unprivileged user). i SkEr wordt automatisch gecontroleerd op goed gebruik van wachtwoorden Wordt er automatisch gecontroleerd op het gebruik van wachtwoorden, y(o.a. voldoende sterke wachtwoorden , regelmatige wijziging, directe bijvoorbeeld door een policy setting in de systemen of in de applicatie? swijziging van initieel wachtwoord). t Se[A] Wachtwoorden hebben een geldigheidsduur zoals beschreven bij Is de geldigheidsduur van wachtwoorden in te stellen en wordt dit y11.2.3 . Daarbinnen dient het wachtwoord te worden gewijzigd. Wanneer afgedwongen, bijvoorbeeld door een policy setting in de systemen of in shet wachtwoord verlopen is, wordt het account geblokkeerd. de applicatie? t Se[A] Wachtwoorden die gereset zijn en initiële wachtwoorden hebben een Is een verstrekt tijdelijk wachtwoord beperkt in geldigheidsduur, en is er yzeer beperkte geldigheidsduur en moeten bij het eerste gebruik worden een regel/policy die afdwingt dat dit wachtwoord bij eerste gebruik dient sgewijzigd. te worden gewijzigd? t e
Aanwezig Generiek/s PIOFAH pecifiek /wie
Vindplaats / opmerking
Eigenaar
Status
scope
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
specifiek en generiek
afdelingshoofd / I&A
onbekend
Nog niet onderzocht
specifiek en generiek
afdelingshoofd / I&A
onbekend
Nog niet onderzocht
specifiek en generiek
afdelingshoofd / I&A
onbekend
Nog niet onderzocht
specifiek en generiek
afdelingshoofd / I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Page 12 of 18
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
14-1103 GAP-analyse 1.22 DEF.xlsx
BIG Nummer
11.5.3.4
11.5.4.1
11.5.5.1
11.5.6.1
11.6.1.1
11.6.1.2
11.6.1.3
11.6.1.4
11.6.2.1
11.7.1.1
11.7.1.2
11.7.1.3
11.7.2.1
11.7.2.2
11.7.2.3
12.1.1.1
12.1.1.2
12.1.1.3
12.1.1.4
vragenlijst
GMaatregel Vraag r Generiek/s PIOFAH o pecifiek /wie scope SeDe gebruikers hebben de mogelijkheid hun eigen wachtwoord te kiezen en Hebben de gebruikers de mogelijkheid hun eigen wachtwoord te kiezen specifiek en afdelingshoofd yte wijzigen. Hierbij geldt het volgende: s• voordat een gebruiker zijn wachtwoord kan wijzigen, wordt de gebruiker topnieuw geauthentiseerd. e• ter voorkoming van typefouten in het nieuw gekozen wachtwoord is er een bevestigingsprocedure. m e n GHet gebruik van hulpprogrammatuur waarmee systeem- en etoepassingsbeheersmaatregelen zouden kunnen worden gepasseerd bbehoort te worden beperkt en behoort strikt te worden beheerst. r Tu[A] De periode van inactiviteit van een werkstation is vastgesteld op i maximaal 15 minuten. Daarna wordt de PC vergrendeld. Bij remote m desktop sessies geldt dat na maximaal 15 minuten inactiviteit de sessie everbroken wordt. o[A] De toegang voor onderhoud op afstand door een leverancier wordt B ealleen opengesteld op basis een wijzigingsverzoek of storingsmelding. Met p2-factor authenticatie en tunneling. e r BIn de soort toegangsregels wordt ten minste onderscheid gemaakt tussen elees- en schrijfbevoegdheden. p e r[A] Managementsoftware heeft de mogelijkheid gebruikerssessies af te B esluiten. p e r[A] Bij extern gebruik vanuit een onvertrouwde omgeving vindt sterke B eauthenticatie (two-factor) van gebruikers plaats. p e r[A] Een beheerder gebruikt two-factor authenticatie voor het beheer van B ekritische apparaten. B.v. een sleutel tot beveiligde ruimte en een password pof een token en een password. e Ir[A] Gevoelige systemen (met hoge beschikbaarheid of grote svertrouwelijkheid) behoren een eigen vast toegewezen (geïsoleerde) ocomputeromgeving te hebben. Isoleren kan worden bereikt door fysieke of l logische methoden. e D[A] Het mobiele apparaat is waar mogelijk zo ingericht dat geen rbedrijfsinformatie wordt opgeslagen (“zero footprint”). Voor het geval dat azero footprint (nog) niet realiseerbaar is, of functioneel onwenselijk is, ageldt: geen mobiel apparaat (zoals een handheld computer, tablet, smartphone, bPDA) biedt de mogelijkheid om de toegang te beschermen d.m.v. een awachtwoord en versleuteling van die gegevens. rVoor printen in onvertrouwde omgevingen vindt een risicoafweging plaats e c o D[A] Er zijn, waar mogelijk, voorzieningen om de actualiteit van antirmalware programmatuur op mobiele apparaten te garanderen. a a g[A] Bij melding van verlies of diefstal wordt de communicatiemogelijkheid D rmet de centrale applicaties afgesloten. a a TgEr wordt een beleid met gedragsregels en een geschikte implementatie van ede techniek opgesteld t.a.v. telewerken. l e TwEr wordt beleid vastgesteld met daarin de uitwerking welke systemen niet een welke systemen wel vanuit de thuiswerkplek of andere l telewerkvoorzieningen mogen worden geraadpleegd. Dit beleid wordt bij evoorkeur ondersteund door een MDM-oplossing (mobile device wmanagement). e Tr[A] De telewerkvoorzieningen zijn waar mogelijk zo ingericht dat op de ewerkplek (thuis of op een andere locatie) geen bedrijfsinformatie wordt l opgeslagen (“zero footprint”) en mogelijke malware vanaf de werkplek niet ein het vertrouwde deel terecht kan komen. wVoor printen in onvertrouwde omgevingen vindt een risicoafweging plaats. e r kAIn projecten worden een beveiligingsrisicoanalyse en maatregelbepaling nopgenomen als onderdeel van het ontwerp. Ook bij wijzigingen worden de aveiligheidsconsequenties meegenomen. l yIn standaarden voor analyse, ontwikkeling en testen van A ninformatiesystemen wordt structureel aandacht besteed aan abeveiligingsaspecten. Waar mogelijk wordt gebruikt gemaakt van l bestaande richtlijnen (bijv. secure coding guidelines ). y sABij aanschaf van producten wordt een proces gevolgd waarbij beveiliging neen onderdeel is van de specificatie. a l yWaar het gaat om beveiligingsrelevante producten wordt de keuze voor A neen bepaald product verantwoord onderbouwd. a l y
Aanwezig
Vindplaats / opmerking
Eigenaar
Status
onbekend
Nog niet onderzocht
I&A
onbekend
Nog niet onderzocht
generiek
I&A
onbekend
Nog niet onderzocht
generiek
I&A
onbekend
Nog niet onderzocht
generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Vind bij toegang vanuit een onvertrouwde omgeving 2 factor authenticatie plaats?
specifiek en generiek
afdelingshoofd / I&A
onbekend
Nog niet onderzocht
Wordt voor beheer van systemen gebruik gemaakt van 2 factor authenticatie, zoals in het voorbeeld genoemd?
Generiek
I&A
onbekend
Nog niet onderzocht
Zijn gevoelige systemen geïsoleerd van andere systemen?
Generiek
I&A
onbekend
Nog niet onderzocht
Worden er mobiele apparaten binnen de gemeente toegestaan voor toegang tot bedrijfsinformatie?
Generiek
I&A
onbekend
Nog niet onderzocht
Op mobiele apparaten van de gemeente wordt anti malware software gebruikt welke regelmatig wordt geupdate.
Generiek
I&A
onbekend
Nog niet onderzocht
Wordt bij melding van verlies of diefstal de communicatiemogelijkheid met centrale applicaties afgesloten?
Generiek
I&A
onbekend
Nog niet onderzocht
Is er telewerk beleid binnen de gemeente (indien van toepassing?)
Generiek
P&O
onbekend
Nog niet onderzocht
Is er in dit telewerk beleid vastgesteld welke systemen wel en welke systemen niet mogen worden geraadpleegd? Is hiervoor aparte software die dit ondersteund?
Generiek
P&O
onbekend
Nog niet onderzocht
Is de telewerk voorziening zo ingericht dat op de telewerk werkplek geen Generiek data lokaal kan worden opgeslagen? En dat eventuele malware niet in het vertrouwde deel terecht kan komen?
P&O
onbekend
Nog niet onderzocht
Is er een procedure die nageleefd wordt dat bij projecten een risicoanalyse en maatregelbepaling onderdeel is van het ontwerp? Wordt dit ook gedaan in de wijzigingsbeheer procedure?
Generiek
IBF
onbekend
Nog niet onderzocht
Wordt bij analyse, ontwikkelen en testen van informatiesystemen aandacht besteed aan het testen van beveiligingsaspecten?
Generiek
I&A
onbekend
Nog niet onderzocht
Wordt bij aanbesteding van producten beveiliging meegenomen als onderdeel van de specificatie?
specifiek en generiek
afdelingshoofd / I&A
onbekend
Nog niet onderzocht
Zijn er voor beveiligingsrelevante producten die gebruikt worden verantwoorde onderbouwingen?
Generiek
I&A
onbekend
Nog niet onderzocht
en te wijzigen? generiek Hierbij geldt het volgende: • voordat een gebruiker zijn wachtwoord kan wijzigen, wordt de gebruiker opnieuw geauthentiseerd. • ter voorkoming van typefouten in het nieuw gekozen wachtwoord is er een bevestigingsprocedure.
/ I&A
is het gebruik van hulpprogrammatuur waarmee systeem en toepassingsbeheersmaatregelen zouden kunnen worden gepasseerd, beperkt tot beheerders?
Generiek
Is er een time out ingesteld van 15 minuten of korter voor het werkstation? Is dit ook voor remote sessies zo ingesteld?
Worden er systemen onderhouden door derden die daar vanaf afstand bij mogen, waarbij alleen op basis van een wijzigingsverzoek of storingsmelding toegang wordt verleend door middel van 2 factor authenticering en tunneling?
Is daarvoor zero footprint software in gebruik of een wachtwoord (pincode) en versleuteling van gegevens?
Page 13 of 18
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
14-1103 GAP-analyse 1.22 DEF.xlsx
BIG Nummer
12.1.1.5
12.1.1.6
12.2.1.1
12.2.2.1
12.2.2.2
12.2.2.3
12.2.2.4
12.2.3.1
12.2.4.1
12.2.4.2
12.2.4.3
12.3.1.1
12.3.1.2
12.3.1.3
12.3.2.1
12.3.2.2
12.3.2.3
12.3.2.4
12.3.2.5
12.4.1.1
12.4.1.2
12.4.1.3
12.4.1.4
vragenlijst
GMaatregel Vraag r o eVoor beveiliging worden componenten gebruikt die aantoonbaar voldoen voldoen voor beveiliging gebruikte componenten aantoonbaar aan A naan geaccepteerde beveiligingscriteria zoals NBV goedkeuring of acertificering volgens ISO/IEC 15408 (common criteria) . l y AEr is expliciet aandacht voor leveranciers accounts, hardcoded nwachtwoorden en mogelijke “achterdeurtjes”. a l yEr moeten controles worden uitgevoerd op de invoer van gegevens. V aDaarbij wordt minimaal gecontroleerd op grenswaarden, ongeldige tekens, l onvolledige gegevens, gegevens die niet aan het juiste format voldoen, i toevoegen van parameters (SQL-Injection) en inconsistentie van gegevens. d a BEr bestaan voldoende mogelijkheden om reeds ingevoerde gegevens te ekunnen corrigeren door er gegevens aan te kunnen toevoegen. h e eHet informatiesysteem moet functies bevatten waarmee vastgesteld kan B eworden of gegevens correct verwerkt zijn. Hiermee wordt een hgeautomatiseerde controle bedoeld waarmee (duidelijke) transactie- en everwerkingsfouten kunnen worden gedetecteerd. e rBStapelen van fouten wordt voorkomen door toepassing van “noodstop” emechanismen. h e eVerwerkingen zijn bij voorkeur herstelbaar zodat bij het optreden van B efouten en/of wegraken van informatie dit hersteld kan worden door het hopnieuw verwerken van de informatie. e IeEr behoren eisen te worden vastgesteld, en geschikte beheersmaatregelen nte worden vastgesteld en geïmplementeerd, voor het bewerkstelligen van tauthenticiteit en het beschermen van integriteit van berichten in etoepassingen. g rVDe uitvoerfuncties van programma's maken het mogelijk om de avolledigheid en juistheid van de gegevens te kunnen vaststellen (bijv. door l checksums). i dBij uitvoer van gegevens wordt gegarandeerd dat deze met het juiste V aniveau van vertrouwelijkheid beschikbaar gesteld worden (bijv. beveiligd l printen). i dAlleen gegevens die noodzakelijk zijn voor de doeleinden van de gebruiker V aworden uitgevoerd (need to know). l i dDe gebruikte cryptografische algoritmen voor versleuteling zijn als open B estandaard gedocumenteerd en zijn door onafhankelijke betrouwbare l deskundigen getoetst. e i Bij de inzet van cryptografische producten volgt een afweging van de B erisico’s aangaande locaties, processen en behandelende partijen. l e i [A] De cryptografische beveiligingsvoorzieningen en componenten voldoen B eaan algemeen gangbare beveiligingscriteria (zoals FIPS 140-2 en waar l mogelijk NBV). e Si In het sleutelbeheer is minimaal aandacht besteed aan het proces, de l actoren en hun verantwoordelijkheden. e u StDe geldigheidsduur van cryptografische sleutels wordt bepaald aan de l hand van de beoogde toepassing en is vastgelegd in het cryptografisch ebeleid. u StDe vertrouwelijkheid van cryptografische sleutels dient te zijn gewaarborgd l tijdens generatie, gebruik, transport en opslag van de sleutels. e u StEr is een procedure vastgesteld waarin is bepaald hoe wordt omgegaan l met gecompromitteerde sleutels. e u St[A] Bij voorkeur is sleutelmanagement ingericht volgens PKI Overheid l e u tAlleen geautoriseerd personeel kan functies en software installeren of B eactiveren. h e eProgrammatuur behoort pas te worden geïnstalleerd op een B eproductieomgeving na een succesvolle test en acceptatie. h e eGeïnstalleerde programmatuur, configuraties en documentatie worden B ebijgehouden in een configuratiedatabase. h e eEr worden alleen door de leverancier onderhouden (versies van) software B egebruikt. h e e
Aanwezig Generiek/s PIOFAH pecifiek /wie
Vindplaats / opmerking
Eigenaar
Status
scope
Generiek
I&A
onbekend
Nog niet onderzocht
Controleer of er een procedure is voor het aanpassen van standaard leveranciers wachtwoorden. Controleer of er een log of registratie is van aangepaste wachtwoorden.
Generiek
I&A
onbekend
Nog niet onderzocht
Controleer of bij applicaties aandacht is voor het controleren van de invoer van gegevens. Met name aandacht hebben voor web applicaties, hanteer hierbij NCSC of OWASP richtlijnen.
specifiek en generiek
afdelingshoofd / I&A
onbekend
Nog niet onderzocht
Zijn er voldoende mogelijkheden om reeds ingevoerde gegevens aan te vullen.
specifiek
afdelingshoofd
onbekend
Nog niet onderzocht
Worden transactie en/of verwerkingsfouten gedetecteerd door middel van een automatische controle gevolgd door een melding / controle mogelijkheid welke nagelopen wordt?
specifiek
afdelingshoofd
onbekend
Nog niet onderzocht
Zijn er noodstop mechanismen die er voor zorgen dat stapeling van fouten wordt voorkomen?
specifiek en generiek
afdelingshoofd / I&A
onbekend
Nog niet onderzocht
Zijn verwerkingen herstelbaar in het geval van fouten? (bijvoorbeeld verwerken batchjobs, berichtenverwerking etcetera).
specifiek en generiek
afdelingshoofd / I&A
onbekend
Nog niet onderzocht
Zijn er voorzieningen en beheersmaatregelen geïmplementeerd voor het specifiek en bewerkstelligen van authenticiteit en beschermen van integriteit van generiek berichten in toepassingen. (denk aan afzender controle, encryptie, apparaat authenticatie etcetera).
afdelingshoofd / I&A
onbekend
Nog niet onderzocht
Zijn er programma's met uitvoerfuncties waarbij de volledigheid en juistheid van de gegevens kan worden vastgesteld.
specifiek en generiek
afdelingshoofd / I&A
onbekend
Nog niet onderzocht
Worden gegevens die uitgevoerd worden met het juiste niveau van vertrouwelijkheid beschikbaar gesteld (behorend bij de classificatie?)
specifiek en generiek
afdelingshoofd / I&A
onbekend
Nog niet onderzocht
Wordt gebruik gemaakt van het need to know principe, zodat alleen gegevens die noodzakelijk zijn voor de gebruiker worden uitgevoerd?
specifiek en generiek
afdelingshoofd / I&A
onbekend
Nog niet onderzocht
Worden er alleen cryptografische algoritmen gebruikt die als open Generiek standaard zijn gedefinieerd en door onafhankelijke deskundige getoetst? (bijvoorbeeld AES)
I&A
onbekend
Nog niet onderzocht
Is er beleid voor het inzetten van cryptografische producten waarbij de afweging gemaakt is aangaande locaties, processen en behandelende partijen?
Generiek
I&A
onbekend
Nog niet onderzocht
Voldoen de cryptografische beveiligingsvoorzieningen aan de algemeen gangbare beveiligingscriteria?
Generiek
I&A
onbekend
Nog niet onderzocht
Is, als er gebruik gemaakt wordt van cryptografie een sleutelbeheer proces met aandacht voor actoren en verantwoordelijkheden?
Generiek
I&A
onbekend
Nog niet onderzocht
Is in het cryptografisch beleid vastgelegd welke geldigheidsduur voor sleutels geldt in relatie tot de toepassing?
Generiek
I&A
onbekend
Nog niet onderzocht
Is binnen het sleutelbeheerproces waarborg dat de vertrouwelijkheid van Generiek sleutels is gegarandeerd tijdens generatie, gebruik, transport en opslag?
I&A
onbekend
Nog niet onderzocht
Is er een procedure vastgesteld waarin is bepaald hoe wordt omgegaan met gecompromitteerde sleutels?
Generiek
I&A
onbekend
Nog niet onderzocht
Is sleutelmanagement bij voorkeur ingericht volgens PKI overheid?
Generiek
I&A
onbekend
Nog niet onderzocht
Kan alleen geautoriseerd personeel functies en software installeren of activeren?
Generiek
I&A
onbekend
Nog niet onderzocht
Wordt programmatuur geïnstalleerd op de productieomgeving na een succesvolle test en acceptatie?
Generiek
I&A
onbekend
Nog niet onderzocht
Worden geïnstalleerde programmatuur, configuraties en documentatie bijgehouden in een configuratiedatabase?
Generiek
I&A
onbekend
Nog niet onderzocht
Worden er alleen door de leverancier onderhouden (versies van) software gebruikt?
Generiek
I&A
onbekend
Nog niet onderzocht
beveiligingscriteria van het NBV of volgens ISO/IEC 15408?
Page 14 of 18
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
14-1103 GAP-analyse 1.22 DEF.xlsx
BIG Nummer
12.4.1.5
12.4.1.6
12.4.2.1
12.4.3.1
12.4.3.2
12.5.1.1
12.5.2.1
12.5.3.1
12.5.4.1
12.5.4.2
12.5.5.1
12.6.1.1
12.6.1.2
12.6.1.3
12.6.1.4
12.6.1.5
13.1.1.1
13.1.1.2
13.1.1.3
13.1.1.4
GMaatregel r o eVan updates wordt een log bijgehouden. B e h e eEr is een rollbackstrategie. B e h e eHet gebruik van kopieën van operationele databases voor testgegevens B ewordt vermeden. Indien toch noodzakelijk, worden de gegevens zoveel smogelijk geanonimiseerd en na de test zorgvuldig verwijderd. c ThDe toegang tot broncode wordt zoveel mogelijk beperkt om de code tegen oonbedoelde wijzigingen te beschermen. Alleen geautoriseerde personen ehebben toegang. g TaBroncode staat op aparte (logische) systemen. o e g aEr is aantoonbaar wijzigingsmanagement ingericht volgens gangbare best P rpractices zoals ITIL en voor applicaties ASL. o c TeVan aanpassingen (zoals updates) aan softwarematige componenten van ede technische infrastructuur wordt vastgesteld dat deze de juiste werking cvan de technische componenten niet in gevaar brengen. h n iRBij het instellen van besturingsprogrammatuur en programmapakketten ewordt uitgegaan van de aanwijzingen van de leverancier. s t rOp het grensvlak van een vertrouwde en een onvertrouwde omgeving U i vindt content-scanning plaats. t l eEr dient een proces te zijn om te melden dat (persoons) informatie is U i uitgelekt. (zie 13.1.1) t l eUitbestede ontwikkeling van programmatuur komt tot stand onder U i supervisie en verantwoordelijkheid van de uitbestedende organisatie. Er tworden maatregelen getroffen om de kwaliteit en vertrouwelijkheid te bborgen (bijv. stellen van veiligheidseisen, regelen van beschikbaarheid en eeigendomsrecht van de code, certificatie, kwaliteitsaudits, testen en saansprakelijkheidsregelingen). t e d BEr is een proces ingericht voor het beheer van technische kwetsbaarheden; edit omvat minimaal het melden van incidenten aan de IBD, periodieke hpenetratietests, risicoanalyses van kwetsbaarheden en patching. e e BVan softwarematige voorzieningen van de technische infrastructuur kan e(bij voorkeur geautomatiseerd) gecontroleerd worden of de laatste hupdates (patches) in zijn doorgevoerd. Het doorvoeren van een update evindt niet geautomatiseerd plaats, tenzij hier speciale afspraken over zijn emet de leverancier. r sBIndien een patch beschikbaar is, dienen de risico's verbonden met de
vragenlijst
Vraag
Aanwezig Generiek/s PIOFAH pecifiek /wie
Is er een bijgehouden log van programmatuur updates?
Vindplaats / opmerking
Eigenaar
Status
scope
Generiek
I&A
onbekend
Nog niet onderzocht
Is er voor de uitrol van nieuwe of gewijzigde versies programmatuur een Generiek rollbackstrategie per uitrol / change / release?
I&A
onbekend
Nog niet onderzocht
Wordt het gebruik van operationele database vermeden voor testen? En Generiek indien dit niet mogelijk is, wordt er dan gebruik gemaakt van geanonimiseerde data welke na test zorgvuldig wordt verwijderd?
I&A
onbekend
Nog niet onderzocht
Wordt de toegang tot broncode zoveel mogelijk beperkt tot alleen Generiek geautoriseerden personen, om de code tegen onbedoelde wijzigingen te beschermen?
I&A
onbekend
Nog niet onderzocht
Staat broncode op aparte (logische) systemen. (O-omgeving) ?
Generiek
I&A
onbekend
Nog niet onderzocht
Is er aantoonbaar wijzigingsmanagement ingericht volgens gangbare best practices zoals ITIL en voor applicaties ASL?
Generiek
I&A
onbekend
Nog niet onderzocht
Wordt van aanpassingen (zoals updates) aan softwarematige componenten van de technische infrastructuur vastgesteld dat deze de juiste werking van de technische componenten niet in gevaar brengen door middel van testen?
Generiek
I&A
onbekend
Nog niet onderzocht
Wordt bij het instellen van besturingsprogrammatuur en Generiek programmapakketten uitgegaan van de aanwijzingen van de leverancier?
I&A
onbekend
Nog niet onderzocht
Vindt op het grensvlak van een vertrouwde en een onvertrouwde omgeving content-scanning plaats met als doel het uitlekken van informatie tegen te gaan?
Generiek
IBF
onbekend
Nog niet onderzocht
Is er een proces ingericht om te melden dat (persoons) informatie is uitgelekt? (zie 13.1.1)
Generiek
IBF
onbekend
Nog niet onderzocht
Wordt onder supervisie en verantwoordelijkheid van de uitbestedende Generiek organisatie de uitbestede ontwikkeling van programmatuur uitgevoerd? Worden er maatregelen getroffen om de kwaliteit en vertrouwelijkheid te borgen (bijv. stellen van veiligheidseisen, regelen van beschikbaarheid en eigendomsrecht van de code, certificatie, kwaliteitsaudits, testen en aansprakelijkheidsregelingen)?
IBF
onbekend
Nog niet onderzocht
Er is een proces ingericht voor het beheer van technische Generiek kwetsbaarheden; dit omvat minimaal het melden van incidenten aan de IBD, periodieke penetratietests, risicoanalyses van kwetsbaarheden en patching.
IBF
onbekend
Nog niet onderzocht
Wordt van softwarematige voorzieningen van de technische infrastructuur kan (bij voorkeur geautomatiseerd) gecontroleerd of de laatste updates (patches) in zijn doorgevoerd?
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Generiek
IBF
onbekend
Nog niet onderzocht
Generiek
IBF
onbekend
Nog niet onderzocht
Generiek
Gemeente Secretaris
onbekend
Nog niet onderzocht
Generiek
I&A
onbekend
Nog niet onderzocht
Is er een vorm van patchmanagement waarbij indien een patch einstallatie van de patch te worden geëvalueerd (de risico's verbonden met beschikbaar is, de risico's verbonden met de installatie van de patch hde kwetsbaarheid dienen vergeleken te worden met de risico's van het worden geëvalueerd? einstalleren van de patch). e rB[A] Updates/patches voor kwetsbaarheden waarvan de kans op misbruik Worden kritische patches zo spoedig mogelijk, binnen een week, na ehoog is en waarvan de schade hoog is worden zo spoedig mogelijk testen, geïmplementeerd? hdoorgevoerd, echter minimaal binnen één week. Minder kritische ebeveiliging-updates/patches moeten worden ingepland bij de eerst evolgende onderhoudsronde. r s BIndien nog geen patch beschikbaar is dient gehandeld te worden volgens Is er een proces waar het advies van het NCSC of een andere CERT wordt ehet advies van de IBD of een andere CERT zoals bijvoorbeeld het NCSC. meegenomen om met kwetsbaarheden om te gaan. h e eEr is een procedure voor het rapporteren van beveiligingsgebeurtenissen Is er een incidentmanagement procedure en is deze in werking? R avastgesteld, in combinatie met een reactie- en escalatieprocedure voor pincidenten, waarin de handelingen worden vastgelegd die moeten worden pgenomen na het ontvangen van een rapport van een beveiligingsincident. o r tREr is een procedure voor communicatie met de IBD. Is er een procedure voor communicatie met de IBD? a p p o R[A] Er is een contactpersoon (DSC) aangewezen voor het rapporteren van Is er binnen de gemeente een ACIB en/of VCIB aangewezen? abeveiligingsincidenten. Voor integriteitsschendingen is ook een Is er ook een vertrouwenspersoon binnen de gemeente voor pvertrouwenspersoon aangewezen die meldingen in ontvangst neemt. integriteitsschendingen? p o RAlle beveiligingsincidenten worden vastgelegd in een systeem en Worden beveiligingsincidenten vastgelegd in een systeem en vind escalatie naar de IBD plaats? ageëscaleerd aan de IBD. p p o
Page 15 of 18
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
14-1103 GAP-analyse 1.22 DEF.xlsx
BIG Nummer
13.1.1.5
13.1.1.6
13.1.2.1
13.2.1.1
13.2.2.1
13.2.3.1
14.1.1.1
14.1.2.1
14.1.3.1
14.1.4.1
14.1.5.1
15.1.1.1
15.1.2.1
15.1.3.1
15.1.4.1
15.1.5.1
15.1.6.1
15.2.1.1
GMaatregel r o eVermissing of diefstal van apparatuur of media die gegevens van de R agemeente kunnen bevatten wordt altijd ook aangemerkt als pinformatiebeveiligingsincident. p oInformatie over de beveiligingsrelevante handelingen, bijvoorbeeld R aloggegevens, foutieve inlogpogingen, van de gebruiker wordt regelmatig pnagekeken. De CISO bekijkt periodiek – bij voorkeur maandelijks - een psamenvatting van de informatie. o rREr is een proces om eenvoudig en snel beveiligingsincidenten en zwakke aplekken in de beveiliging te melden. p p oEr zijn procedures voor rapportage van gebeurtenissen en escalatie. Alle V emedewerkers behoren op de hoogte te zijn van deze procedures. r a LnDe informatie verkregen uit het beoordelen van beveiligingsmeldingen ewordt geëvalueerd met als doel beheersmaatregelen te verbeteren. (PDCA rCyclus) e nVoor een vervolgprocedure naar aanleiding van een beveiligingsincident V ebehoort bewijsmateriaal te worden verzameld, bewaard en gepresenteerd rovereenkomstig de voorschriften voor bewijs die voor het relevante zrechtsgebied zijn vastgelegd. a m I [A] Calamiteitenplannen worden gebruikt in de jaarlijkse bewustwording-, ntraining- en testactiviteiten. f o rEr is een Business Impact Analyse (BIA) waarin de gebeurtenissen worden B egeïdentificeerd die kunnen leiden tot discontinuïteit in het bedrijfsproces. dAan de hand van een risicoanalyse zijn de waarschijnlijkheid en de rgevolgen van de discontinuïteit in kaart gebracht in termen van tijd, schade i en herstelperiode. j f CIn de continuïteitsplannen wordt minimaal aandacht besteed aan: o•IdenƟficaƟe van essenƟële procedures voor bedrijfsconƟnuïteit. n•Wie het plan mag acƟveren en wanneer, maar ook wanneer er weer tgecontroleerd teruggaan wordt. i •Veilig te stellen informaƟe (aanvaardbaarheid van verlies van informaƟe). n•Prioriteiten en volgorde van herstel en reconstrucƟe. u•DocumentaƟe van systemen en processen. ï •Kennis en kundigheid van personeel om de processen weer op te starten. t e i t s KEr behoort een enkelvoudig kader voor bedrijfscontinuïteitsplannen te aworden gehandhaafd om te bewerkstelligen dat alle plannen consistent dzijn, om eisen voor informatiebeveiliging op consistente wijze te ebehandelen en om prioriteiten vast te stellen voor testen en onderhoud. r v [A] Er worden minimaal jaarlijks oefeningen en/of testen gehouden om de bedrijfscontinuïteitsplannen en mate van readiness van de organisatie te toetsen (opzet, bestaan en werking). Aan de hand van de resultaten worden de plannen bijgesteld en wordt de organisatie bijgeschoold.
I Er is vastgesteld welke wetten en wettelijke maatregelen van toepassing dzijn op de organisatie of organisatieonderdelen. eDeze lijst is in conceptvorm te vinden op: nhttps://www.ibdgemeenten.nl/wptcontent/uploads/2014/04/20101126_Conceptlijst-aanvullende-inhoudi Informatiebeveiliging-v040.pdf f iI Er is toezicht op het naleven van wettelijke verplichtingen m.b.t. nintellectueel eigendom, auteursrechten en gebruiksrechten. t e l Belangrijke registraties behoren te worden beschermd tegen verlies, B evernietiging en vervalsing, overeenkomstig wettelijke en regelgevende seisen, contractuele verplichtingen en bedrijfsmatige eisen. c hDe bescherming van gegevens en privacy behoort te worden B ebewerkstelligd overeenkomstig relevante wetgeving, voorschriften en sindien van toepassing contractuele bepalingen. c hEr is een beleid met betrekking tot het gebruik van IT voorzieningen door V ogebruikers. Dit beleid is bekendgemaakt en op de goede werking ervan owordt toegezien r kEr is vastgesteld aan welke overeenkomsten, wetten en voorschriften de V otoepassing van cryptografische technieken moet voldoen. Zie ook 12.3. o r sHet lijnmanagement is verantwoordelijk voor uitvoering en N abeveiligingsprocedures en toetsing daarop (o.a. jaarlijkse in control l verklaring). Conform het BIG (strategisch kader) zorgt de CISO, namens de eGemeente Secretaris, voor het toezicht op de uitvoering van het vbeveiligingsbeleid. Daarbij behoren ook periodieke beveiligingsaudits. Deze i kunnen worden uitgevoerd door of vanwege de CISO dan wel door interne nof externe auditteams. g v
vragenlijst
Vraag
Aanwezig Generiek/s PIOFAH pecifiek /wie
Vindplaats / opmerking
Eigenaar
Status
scope
Wordt vermissing of diefstal van apparatuur of media die gegevens bevatten of kunnen bevatten aangemerkt als informatiebeveiligingsincident?
Generiek
IBF
onbekend
Nog niet onderzocht
Wordt informatie over beveiligingsrelevante handelingen periodiek nagekeken door bijvoorbeeld een beheerder. Kijkt de CISO periodiek naar een samenvatting van de informatie (bij voorkeur maandelijks)?
Generiek
I&A
onbekend
Nog niet onderzocht
Is er een proces om eenvoudig en snel beveiligingsincidenten en zwakke Generiek plekken in de beveiliging te melden?
I&A
onbekend
Nog niet onderzocht
Zijn er procedures voor rapportage van gebeurtenissen en escalatie? Zijn de medewerkers op de hoogte van deze procedures?
Generiek
I&A
onbekend
Nog niet onderzocht
Wordt de informatie verkregen uit het beoordelen van beveiligingsmeldingen wordt geëvalueerd met als doel beheersmaatregelen te verbeteren?
Generiek
IBF
onbekend
Nog niet onderzocht
Is er een proces/aanpak voor het verzamelen, bewaren en presenteren van bewijsmateriaal naar aanleiding van een beveiligingsincidenmateriaal (overeenkomstig de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgelegd) ?
Generiek
IBF
onbekend
Nog niet onderzocht
Worden calamiteitenplannen gebruikt in de jaarlijkse bewustwording-, training- en testactiviteiten? Waar blijkt dat uit?
Generiek
I&A
onbekend
Nog niet onderzocht
Is er een Business Impact Analyse (BIA) waarin de gebeurtenissen worden Generiek geïdentificeerd die kunnen leiden tot discontinuïteit in het bedrijfsproces? Is hierbij in kaart gebracht de waarschijnlijkheid en de gevolgen van de discontinuïteit in termen van tijd, schade en herstelperiode?
IBF
onbekend
Nog niet onderzocht
Zijn er continuïteitsplannen? waar minimaal aandacht wordt besteed aan: • idenƟficaƟe van essenƟële procedures voor bedrijfsconƟnuïteit. • wie het plan mag acƟveren en wanneer, maar ook wanneer er weer gecontroleerd teruggaan wordt. • veilig te stellen informaƟe (aanvaardbaarheid van verlies van informatie). • prioriteiten en volgorde van herstel en reconstrucƟe. • documentaƟe van systemen en processen. • kennis en kundigheid van personeel om de processen weer op te starten.
Generiek
IBF
onbekend
Nog niet onderzocht
Wordt er een enkelvoudig kader voor bedrijfscontinuïteitsplannen gehandhaafd om te bewerkstelligen dat alle plannen consistent zijn, om eisen voor informatiebeveiliging op consistente wijze te behandelen en om prioriteiten vast te stellen voor testen en onderhoud?
Generiek
IBF
onbekend
Nog niet onderzocht
[A] Er worden minimaal jaarlijks oefeningen en/of testen gehouden om Generiek de bedrijfscontinuïteitsplannen en mate van readiness van de organisatie te toetsen (opzet, bestaan en werking). Aan de hand van de resultaten worden de plannen bijgesteld en wordt de organisatie bijgeschoold.
IBF
onbekend
Nog niet onderzocht
Er is een overzicht aanwezig waarin is vastgelegd welke wetten en/of wettelijke maatregelen van toepassing zijn op de organisatie (onderdelen)? Zo ja waar ligt deze en is deze actueel?
Generiek
IBF
onbekend
Nog niet onderzocht
Is er toezicht op het naleven van wettelijke verplichtingen m.b.t. intellectueel eigendom, auteursrechten en gebruiksrechten?
Generiek
Inkoop
onbekend
Nog niet onderzocht
Worden belangrijke registraties behoren te worden beschermd tegen specifiek en verlies, vernietiging en vervalsing, overeenkomstig wettelijke en generiek regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen?
afdelingshoofd / I&A
onbekend
Nog niet onderzocht
Wordt de bescherming van gegevens en privacy bewerkstelligd overeenkomstig relevante wetgeving, voorschriften en indien van toepassing contractuele bepalingen?
afdelingshoofd / I&A
onbekend
Nog niet onderzocht
I&A
onbekend
Nog niet onderzocht
I&A
onbekend
Nog niet onderzocht
IBF
onbekend
Nog niet onderzocht
specifiek en generiek
Is er een beleid met betrekking tot het gebruik van IT voorzieningen door Generiek gebruikers? Dit beleid is bekendgemaakt en op de goede werking ervan wordt toegezien Is bekend welke overeenkomsten, wetten en voorschriften het gebruik Generiek van cryptografie verplicht stellen en aan welke eisen moet worden voldaan? Is er een audit venster en zijn daar de periode beveiligingsaudits in Generiek meegenomen. Deze audits kunnen externe en interne audits zijn. Wordt daarover gerapporteerd?
Page 16 of 18
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
14-1103 GAP-analyse 1.22 DEF.xlsx
BIG Nummer
15.2.1.2
15.2.2.1
15.3.1.1
15.3.2.1
104.1.1.1
GMaatregel r o e[A] In de P&C cyclus wordt gerapporteerd over informatiebeveiliging aan N ade hand van het in control statement. l e vInformatiesystemen worden regelmatig gecontroleerd op naleving van C obeveiligingsnormen. Dit kan door bijv. kwetsbaarheidsanalyses en npenetratietesten. Zie ook 12.6.1.1. t rEisen voor audits en andere activiteiten waarbij controles worden B euitgevoerd op productiesystemen, behoren zorgvuldig te worden gepland hen goedgekeurd om het risico van verstoring van bedrijfsprocessen tot een eminimum te beperken. eToegang tot hulpmiddelen voor audits van informatiesystemen behoort te B eworden beschermd om mogelijk misbruik of compromittering te svoorkomen. c IhDe organisatie dient een gedocumenteerd ISMS te ontwikkelen, te Sonderhouden en constant te verbeteren, binnen het kader van de M bedrijfsactiviteiten en risico van de organisatie. S Ten behoeve van deze standaard wordt het onderliggende proces gebaseerd op het PDCA model (Plan, Do, Check, Act). zie ook 5.1.1.1 en 6.1.8.1 en 13.2.2.1 en de strategische baseline
vragenlijst
Vraag
Aanwezig Generiek/s PIOFAH pecifiek /wie
Vindplaats / opmerking
Eigenaar
Status
scope
Wordt in de P&C cyclus gerapporteerd over informatiebeveiliging aan de specifiek en hand van het in control statement? generiek
afdelingshoofd / I&A
onbekend
Nog niet onderzocht
Worden informatiesystemen regelmatig gecontroleerd op naleving van beveiligingsnormen? Bijvoorbeeld door kwetsbaarheidsanalyses en penetratietesten
specifiek en generiek
afdelingshoofd / I&A
onbekend
Nog niet onderzocht
Worden audits en andere activiteiten waarbij controles worden specifiek en uitgevoerd op productiesystemen, zorgvuldig gepland en goedgekeurd generiek om het risico van verstoring van bedrijfsprocessen tot een minimum te beperken? Wordt de toegang tot hulpmiddelen voor audits van informatiesystemen Generiek behoort beschermd om mogelijk misbruik of compromittering te voorkomen?
afdelingshoofd / I&A
onbekend
Nog niet onderzocht
I&A
onbekend
Nog niet onderzocht
Is er een gedocumenteerd ISMS? Wordt dit ISMS onderhouden en verbeterd? Deze maatregel is geen oorspronkelijke BIG maatregel maar een samenvoeriging van de strategische baseline en de links genoemde maatregelen. Beantwoord met JA als aan alle punten voldaan is.
IBF
onbekend
Nog niet onderzocht
Generiek
Page 17 of 18
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
14-1103 GAP-analyse 1.22 DEF.xlsx
14-1103 GAP-analyse 1.22 DEF.xlsx
Status informatiebeveiliging op basis van de BIG van de gemeente 3-nov-14
1.2.2
Status GAP analyse gemeente (GAP-analyse)
Resultaat GAP-analyse Row Labels 5. Beveiligingsbeleid
Punten 0/
Maximum
Score 2=
5. Beveiligingsbeleid
0%
6. Organisatie van informatiebeveiliging 7. Beheer van bedrijfsmiddelen 8. Personele beveiliging 9. Fysieke beveiliging
0/ 0/ 0 / 0/
27 10 18 41
= = = =
0% 0% 0% 0%
10. Beheer van communicatie en bedienprocessen
0/
81 =
0%
11. Toegangsbeveiliging 12. Verwerving, onderhoud en ontwikkeling 13. Beheer van incidenten
0/ 0/ 0/
54 = 43 = 10 =
0% 0% 0%
14. Bedrijfscontinuiteitsbeheer
0/
5=
0%
15. Naleving 104. ISMS
0/ 0/
11 = 1=
0% 0%
Grand Total
0
6. Organisatie van informatiebeveiliging
104. ISMS
15. Naleving
7. Beheer van bedrijfsmiddelen
0% 0% 0% 0% 0% 14. Bedrijfscontinuiteitsbeheer
0%
0%
8. Personele beveiliging
0% 0% 0% 0% 0%
13. Beheer van incidenten
9. Fysieke beveiliging
303
(om de grafiek te tekenen, selecteer een cel in de tabel hierboven met een rechtermuisklik, kies dan refresh)
12. Verwerving, onderhoud en ontwikkeling
10. Beheer van communicatie en bedienprocessen 11. Toegangsbeveiliging
Status na update en management besluiten 5. Beveiligingsbeleid 6. Organisatie van informatiebeveiliging
104. ISMS
IMPACT-analyse, resultaat na besluit, incl 0-meting (hoe ver in control) Row Labels 5. Beveiligingsbeleid 6. Organisatie van informatiebeveiliging 7. Beheer van bedrijfsmiddelen 8. Personele beveiliging 9. Fysieke beveiliging 10. Beheer van communicatie en bedienprocessen 11. Toegangsbeveiliging 12. Verwerving, onderhoud en ontwikkeling 13. Beheer van incidenten 14. Bedrijfscontinuiteitsbeheer 15. Naleving 104. ISMS Grand Total
Punten 0 0 0 0 0 0 0 0 0 0 0 0 0
Maximum / / / / / / / / / / / /
4 54 20 36 82 162 108 86 20 10 22 2 606
Score = = = = = = = = = = = =
0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0%
15. Naleving
14. Bedrijfscontinuiteitsbeheer
7. Beheer van bedrijfsmiddelen
0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0%
13. Beheer van incidenten
8. Personele beveiliging
9. Fysieke beveiliging
(om de grafiek te tekenen, selecteer een cel in de tabel hierboven met een rechtermuisklik, kies dan refresh)
12. Verwerving, onderhoud en ontwikkeling
10. Beheer van communicatie en bedienprocessen 11. Toegangsbeveiliging
Page 18 of 19