opmerking Eigenaar Status Actiehouder Wanneer gereed? Geaccepteerd risico?

GAP-analyse gemeenten op basis van de Baseline Informatiebeveiliging Nederlandse Gemeenten (versie 1.1)

Opsteller : Datum : Gemeentenaam:

DEEL 1 (GAP-Analyse)

BIG Nummer Hoofdgroep

Groep

Maatregel

5.1.1.1

5. Beveiligingsbeleid

Beleidsdocumenten voor informatiebeveiliging

[A] Er is een beleid voor informatiebeveiliging door het College van Is er een door de organisatie vastgesteld en gepubliceerd Burgemeester en Wethouders vastgesteld, gepubliceerd en beoordeeld informatiebeveiligingsbeleid op basis van de BIG en zijn daarin op basis van inzicht in risico’s, kritische bedrijfsprocessen en toewijzing verantwoordelijkheden op basis van de baseline benoemd? van verantwoordelijkheden en prioriteiten.

onbekend

Nog niet onderzocht

5.1.2.1

5. Beveiligingsbeleid

Beoordeling van het informatiebeveiligingsbeleid

[A] Het informatiebeveiligingsbeleid wordt minimaal één keer per drie jaar, of zodra zich belangrijke wijzigingen voordoen, beoordeeld en zo nodig bijgesteld. Zie ook 6.1.8.1.

Is het informatiebeveiligingsbeleid in de afgelopen 3 jaar aangepast, zo nee was daar een goede reden voor?

onbekend

Nog niet onderzocht

6.1.1.1

6. Organisatie van informatiebeveiliging

Betrokkenheid van het College van B&W bij beveiliging

[A] Het College van B&W waarborgt dat de informatiebeveiligingsdoelstellingen worden vastgesteld, voldoen aan de kaders zoals gesteld in dit document en zijn geïntegreerd in de relevante processen. Dit gebeurt door één keer per jaar de opzet, het bestaan en de werking van de Informatiebeveiligingsmaatregelen te bespreken in het overleg van B&W en hiervan verslag te doen.

Is de opzet, het bestaan en de werking van maatregelen in het afgelopen jaar of jaren besproken binnen het college van B&W en is hier een verslag van?

onbekend

Nog niet onderzocht

6.1.2.1


Coördineren van beveiliging

[A] De rollen van CISO (Chief Information Security Officer), en het lijnmanagement zijn beschreven. a. De CISO rapporteert rechtstreeks aan de gemeentesecretaris. b. De CISO bevordert en adviseert gevraagd en ongevraagd over de beveiliging van de gemeente, verzorgt rapportages over de status, controleert of m.b.t. de beveiliging van de gemeente de maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de informatiebeveiliging van de gemeente.

Zijn de rollen van CISO of security Officer en het lijnmanagement beschreven met betrekking tot informatiebeveiliging en zijn de rapportages hierin opgenomen?

onbekend

Nog niet onderzocht

6.1.3.1


Verantwoordelijkheden

[A] Elke lijnmanager is verantwoordelijk voor de integrale beveiliging van zijn of haar organisatieonderdeel.

Zijn de verantwoordelijkheden voor wat betreft integrale informatiebeveiliging van de lijnmanager beschreven?

onbekend

Nog niet onderzocht

6.1.4.1


Goedkeuringsproces voor ICTvoorzieningen

Er is een goedkeuringsproces voor nieuwe IT voorzieningen en wijzigingen in IT voorzieningen. (in ITIL termen : wijzigingsbeheer)

Is er een wijzigingsbeheer proces (bij ICT) dat ook daadwerkelijk gebruikt wordt, is er aandacht voor beveiliging binnen dit proces?

onbekend

Nog niet onderzocht

6.1.5.1


Geheimhoudingsovereenkomst

[A] De algemene geheimhoudingsplicht voor ambtenaren is geregeld in de Ambtenarenwet art. 125a, lid 3. Daarnaast dienen personen die te maken hebben met Bijzondere Informatie een geheimhoudingsverklaring te ondertekenen, daaronder valt ook vertrouwelijke informatie. Hierbij wordt tevens vastgelegd dat na beëindiging van de functie, de betreffende persoon gehouden blijft aan die geheimhouding.

Is er een beleid om de geheimhoudingsverklaring te tekenen (bijvoorbeeld in het informatiebeveiligingsbeleid document van de organisatie, of in HR documentatie) en gebeurt dit ook (toets op aanwezigheid geheimhoudingsverklaringen)

onbekend

Nog niet onderzocht

6.1.6.1


Contact met overheidsinstanties

[A] Het lijnmanagement stelt vast in welke gevallen en door wie er contacten met autoriteiten (brandweer, toezichthouders, enz.) wordt onderhouden.

Is er een beleidsstuk waarin geregeld is wie er contacten onderhoud met de autoriteiten?

onbekend

Nog niet onderzocht

6.1.7.1


Contact met speciale belangengroepen

IB-specifieke informatie van relevante expertisegroepen, leveranciers van hardware, software en diensten wordt gebruikt om de informatiebeveiliging te verbeteren.

Is er een proactief proces waar informatiebeveiligings specifieke informatie wordt ontvangen en gebruikt, bijvoorbeeld overleg of informatie van de IBD (adviezen en dergelijke) of leveranciers van hard en software? Zijn er lidmaatschappen van verenigingen?

onbekend

Nog niet onderzocht

6.1.7.2


Contact met speciale belangengroepen

[A] De CISO onderhoudt contact met de IBD en neemt ziƫng in het IBD-overleg.

Is er een CISO? Wie vervult deze rol en onderhoudt deze contacten met de IBD?

onbekend

Nog niet onderzocht

6.1.8.1



[A] Het informatiebeveiligingsbeleid wordt minimaal één keer in de drie Blijkt uit het gevonden IB beleid van de gemeente dat deze is jaar geëvalueerd (door een onafhankelijke deskundige) en desgewenst geëvalueerd en bijgesteld? Is het opgenomen in de PDCA-cyclus? bijgesteld. Zie ook 5.1.2.

onbekend

Nog niet onderzocht

6.1.8.2



[A] Periodieke beveiligingsaudits worden uitgevoerd in opdracht van het lijnmanagement.

Worden er periodiek beveiliging audits uitgevoerd door de interne of onbekend externe audit afdeling in opdracht van het lijnmanagement?

Nog niet onderzocht

6.1.8.3



6.2.1.1


6.2.1.2


6.2.1.3


Printdatum: 18-6-2014

Vraag

Over het functioneren van de informatiebeveiliging wordt, conform de P&C-cyclus, jaarlijks gerapporteerd aan het lijnmanagement. Blijkt uit een beleidsstuk dat er gerapporteerd moet worden (bijvoorbeeld het informatiebeveiligingsbeleid of P&C-cyclus beleid) en blijkt tevens uit de interne rapportages dat er over informatiebeveiliging wordt gerapporteerd? Identificatie van risico's die betrekking Informatiebeveiliging is aantoonbaar (op basis van een risicoafweging) Blijkt uit het gevonden IB beleid van de gemeente dat op basis van hebben op externe partijen meegewogen bij het besluit een externe partij wel of niet in te een risicoafweging is besloten een externe partij (leverancier) wel of schakelen. niet in te schakelen?

Aanwezig

Vindplaats / opmerking

DEEL 2 (ImpactAnalyse) Eigenaar

Status

onbekend

Nog niet onderzocht

onbekend

Nog niet onderzocht

Identificatie van risico's die betrekking Voorafgaand aan het afsluiten van een contract voor uitbesteding of hebben op externe partijen externe inhuur is bepaald welke toegang (fysiek, netwerk of tot gegevens) de externe partij(en) moet(en) hebben om de in het contract overeen te komen opdracht uit te voeren en welke noodzakelijke beveiligingsmaatregelen hiervoor nodig zijn.

Zijn er externe dienstverleners voor gemeentelijke systemen die onbekend contact moeten hebben met systemen binnen de gemeente en zijn hierover afspraken gemaakt (vooraf), zijn de risico's in kaart gebracht en worden de procedures nageleefd?

Nog niet onderzocht

Identificatie van risico's die betrekking Voorafgaand aan het afsluiten van een contract voor uitbesteding of hebben op externe partijen externe inhuur is bepaald welke waarde en gevoeligheid de informatie (bijv. risicoklasse II van WBP of de vertrouwelijkheidklasse) heeft waarmee de derde partij in aanraking kan komen en of hierbij eventueel aanvullende beveiligingsmaatregelen nodig zijn.

Zijn er externe dienstverleners voor gemeentelijke systemen, of inhuur contracten, waar men in aanraking kan komen met gevoelige persoonsgegevens of die contacten (inbellen) moeten hebben met systemen binnen de gemeente en zijn hierover afspraken gemaakt (vooraf) en worden de procedure nageleefd? bestaan er beveiligingsmaatregelen in de contracten?

Nog niet onderzocht

onbekend

Actiehouder

Wanneer gereed?

Geaccepteerd risico?

Blad 1 van 15 bladen


Groep

Maatregel

Vraag

Aanwezig

Zie boven, zijn er in het geval dat toegang van "buiten" nodig is, afspraken gemaakt over systeem toegang en wordt dit nageleefd?

onbekend

6.2.1.4


Identificatie van risico's die betrekking Voorafgaand aan het afsluiten van een contract voor uitbesteding en hebben op externe partijen externe inhuur is bepaald hoe geauthentiseerde en geautoriseerde toegang vastgesteld wordt.

6.2.1.5


Identificatie van risico's die betrekking [A] Indien externe partijen systemen beheren waarin persoonsgegevens Worden er systemen van de gemeente met persoonsgegevens extern onbekend hebben op externe partijen verwerkt worden, wordt een bewerkerovereenkomst (conform WBP gehost, en zo ja, is daar een inhoudelijke en getekende artikel 14) afgesloten. bewerkersovereenkomst van? Vul ook in als er bijvoorbeeld 5 systemen zijn die extern gehost worden en er maar voor 1 systeem een berwerkers overeenkomst is)

6.2.1.6


Identificatie van risico's die betrekking Er is in contracten met externe partijen vastgelegd welke hebben op externe partijen beveiligingsmaatregelen vereist zijn, dat deze door de externe partij zijn getroffen en worden nageleefd en dat beveiligingsincidenten onmiddellijk worden gerapporteerd. (zie ook 6.2.3.3). Ook wordt beschreven hoe die beveiligingsmaatregelen door de uitbestedende partij te controleren zijn (bijv. audits en penetratietests) en hoe het toezicht is geregeld.

6.2.1.7


Identificatie van risico's die betrekking Over het naleven van de afspraken van de externe partij wordt jaarlijks Zijn er jaarlijkse rapportages over het naleven van afspraken, hebben op externe partijen gerapporteerd. gehouden audits en resultaten van externe partijen?

onbekend

Nog niet onderzocht

6.2.2.1


Beveiliging beoordelen in de omgang Alle noodzakelijke beveiligingseisen worden op basis van een Deze baseline is de basis waar van uit kan worden gegaan, is er voor met klanten risicoafweging vastgesteld en geïmplementeerd voordat aan gebruikers bestaande systemen die er al zijn een risico afweging gedaan en toegang tot informatie op bedrijfsmiddelen wordt verleend. vastgesteld?

onbekend

Nog niet onderzocht

6.2.3.1


Beveiliging behandelen in De maatregelen behorend bij 6.2.1 zijn voorafgaand aan het afsluiten overeenkomsten met een derde partij van het contract gedefinieerd en geïmplementeerd.

De maatregelen die onder 6.2.1. staan, zijn vooraf aan het contract onbekend gedefinieerd en geïmplementeerd, dit blijkt bijvoorbeeld uit verslagen en audits.

Nog niet onderzocht

6.2.3.2


Beveiliging behandelen in Uitbesteding (ontwikkelen en aanpassen) van software is geregeld overeenkomsten met een derde partij volgens formele contracten waarin o.a. intellectueel eigendom, kwaliteitsaspecten, beveiligingsaspecten, aansprakelijkheid, escrow en reviews geregeld worden.

Er bestaan contracten met daarin de opgesomde issues die zijn benoemd en afgesproken indien er uitbesteding van software ontwikkeling aan de orde is (dit geld ook voor SAAS / Cloud achtige constructies).

onbekend

Nog niet onderzocht

6.2.3.3


Beveiliging behandelen in In contracten met externe partijen is vastgelegd hoe men om dient te overeenkomsten met een derde partij gaan met wijzigingen en hoe ervoor gezorgd wordt dat de beveiliging niet wordt aangetast door de wijzigingen.

Dit aspect dient in de contracten te staan in het geval van uitbesteding onbekend (ontwikkeling en aanpassing van software) maar ook als deze software intern bij de gemeente draait.

Nog niet onderzocht

6.2.3.4


Beveiliging behandelen in In contracten met externe partijen is vastgelegd hoe wordt omgegaan overeenkomsten met een derde partij met geheimhouding en de geheimhoudingsverklaring.

Controleer de gevonden contracten op dit onderdeel.

onbekend

Nog niet onderzocht

6.2.3.5


Beveiliging behandelen in Er is een plan voor beëindiging van de ingehuurde diensten waarin overeenkomsten met een derde partij aandacht wordt besteed aan beschikbaarheid, vertrouwelijkheid en integriteit.


onbekend

Nog niet onderzocht

6.2.3.6


Beveiliging behandelen in In contracten met externe partijen is vastgelegd hoe escalaties en overeenkomsten met een derde partij aansprakelijkheid geregeld zijn.


onbekend

Nog niet onderzocht

6.2.3.7



onbekend

Nog niet onderzocht

6.2.3.8


Beveiliging behandelen in Als er gebruikt gemaakt wordt van onderaannemers dan gelden daar overeenkomsten met een derde partij dezelfde beveiligingseisen voor als voor de contractant. De hoofdaannemer is verantwoordelijk voor de borging bij de onderaannemer van de gemaakte afspraken. Beveiliging behandelen in De producten, diensten en daarbij geldende randvoorwaarden, overeenkomsten met een derde partij rapporten en registraties die door een derde partij worden geleverd, worden beoordeeld op het nakomen van de afspraken in de overeenkomst. Verbeteracties worden geïnitieerd wanneer onder het afgesproken niveau wordt gepresteerd.


onbekend

Nog niet onderzocht

7.1.1.1

7. Beheer van bedrijfsmiddelen

Inventarisatie van bedrijfsmiddelen

Er is een actuele registratie van bedrijfsmiddelen die voor de organisatie een belang vertegenwoordigen, zoals informatie(verzamelingen), software, hardware, diensten, mensen en hun kennis/vaardigheden. Van elk middel is de waarde voor de organisatie, het vereiste beschermingsniveau en de verantwoordelijke lijnmanager bekend.

Is er een actuele registratie van bedrijfsmiddelen die voor de onbekend organisatie een belang vertegenwoordigen zoals, informatie(verzamelingen), software, hardware, diensten, mensen en hun kennis/vaardigheden?

Nog niet onderzocht

Is er voor elk bedrijfsproces, applicatie, gegevensverzameling en ICTfaciliteit een verantwoordelijke lijnmanager benoemd?

Is in de contracten en/of bewerkersovereenkomsten vastgelegd welke onbekend beveiligingsmaatregelen vereist zijn (bijvoorbeeld de maatregelen uit deze baseline), of op basis van een gedegen risicoanalyse dat beveiligingsincidenten worden gerapporteerd, hoe de maatregelen worden gecontroleerd en hoe het toezicht geregeld is?


Eigenaar

Status

Wanneer gereed?


Nog niet onderzocht

aantal?

Nog niet onderzocht

Nog niet onderzocht

Van elk middel is de waarde voor de organisatie, het vereiste beschermingsniveau en de verantwoordelijke lijnmanager bekend.

7.1.2.1


Eigendom van bedrijfsmiddelen

Voor elk bedrijfsproces, applicatie, gegevensverzameling en ICTfaciliteit is een verantwoordelijke lijnmanager benoemd.

onbekend

Nog niet onderzocht

7.1.3.1


Aanvaardbaar gebruik van bedrijfsmiddelen

[A] Er zijn regels voor acceptabel gebruik van bedrijfsmiddelen (met Zijn er regels voor acceptabel gebruik van bedrijfsmiddelen (met onbekend name internet, e-mail en mobiele apparatuur). De CAR-UWO verplicht name internet, e-mail en mobiele apparatuur). Bijvoorbeeld vindbaar ambtenaren zich hieraan te houden. Voor extern personeel is dit in het in het informatiebeveiligingsbeleid of aparte standaarden? contract vastgelegd.

Nog niet onderzocht

7.1.3.2



Gebruikers hebben kennis van de regels.

Is er een bewustwording cursus die gevolgd moet worden, wordt de kennis van de regels getoetst en is dat vastgelegd?

onbekend

Nog niet onderzocht

7.1.3.3



Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming vooraf van de locatie worden meegenomen. De toestemming kan generiek geregeld worden in het kader van de functieafspraken tussen manager en medewerker.

Is er beleid of andere afspraken waar geregeld is wie mag besluiten dat apparatuur of informatie of programmatuur van locatie mag worden meegenomen

onbekend

Nog niet onderzocht

7.1.3.4



[A] Informatiedragers worden dusdanig gebruikt dat vertrouwelijke informatie niet beschikbaar kan komen voor onbevoegde personen.

onbekend

Nog niet onderzocht

7.2.1.1


Richtlijnen voor classificatie van informatie

[A] De organisatie heeft rubriceringrichtlijnen opgesteld.

Als er gegevensdragers worden gebruikt voor vertrouwelijke informatie dan zijn er maatregelen genomen om de informatie erop tegen onbevoegd inzien te beschermen. (zoek naar beleid, ICT procedures etc.) Er zijn rubriceringrichtlijnen binnen de gemeente? (Deze kunnen in het beveiligingsbeleid staan of in een apart rubriceringsbeleid document).

onbekend

Nog niet onderzocht

7.2.1.2


Richtlijnen voor classificatie van informatie

In overeenstemming met hetgeen in het WBP is vastgesteld, dient er Is er een helder onderscheid tussen herleidbare en niet herleidbare een helder onderscheid te zijn in de herleidbare (artikel 16 WBP) en de persoonsgegevens? niet herleidbare persoonsgegevens.

onbekend

Nog niet onderzocht


Actiehouder



Groep

7.2.2.1


7.2.2.2

Vraag

Aanwezig

Labeling en verwerking van informatie [A] De lijnmanager heeft maatregelen getroffen om te voorkomen dat niet-geautoriseerden kennis kunnen nemen van gerubriceerde informatie.

Denk bij deze maatregelen aan labeling, mandatory acces control, toegangsregeling gebouw / informatie, etc.

onbekend

Nog niet onderzocht


Labeling en verwerking van informatie [A] De opsteller van de informatie doet een voorstel tot rubricering en brengt deze aan op de informatie. De vaststeller van de inhoud van de informatie stelt tevens de rubricering vast.

Bestaat er een rubricering procedure binnen de organisatie en wordt onbekend deze ook gebruikt.

Nog niet onderzocht

8.1.1.1

8. Personele beveiliging

Rollen en verantwoordelijkheden

De taken en verantwoordelijkheden van een medewerker zijn opgenomen in de functiebeschrijving en worden onderhouden. In de functiebeschrijving wordt minimaal aandacht besteed aan: •uitvoering van het informaƟebeveiligingsbeleid •bescherming van bedrijfsmiddelen •rapportage van beveiligingsincidenten •expliciete vermelding van de verantwoordelijkheden voor het beveiligen van persoonsgegevens

Zijn de functiebeschrijvingen binnen de gemeente vastgesteld en is in onbekend die functiebeschrijvingen aandacht voor de genoemde aspecten.

Nog niet onderzocht

8.1.1.2



[A] Alle ambtenaren en ingehuurde medewerkers krijgen bij hun aanstelling hun verantwoordelijkheden ten aanzien van informatiebeveiliging ter inzage. De schriftelijk vastgestelde en voor hen geldende regelingen en instructies ten aanzien van informatiebeveiliging, welke zij bij de vervulling van hun dienst hebben na te leven, worden op een gemakkelijk toegankelijke plaats ter inzage gelegd. Overeenkomstige voorschriften maken deel uit van de contracten met externe partijen. Ook voor hen geldt de toegankelijkheid van geldende regelingen en instructies.

Bestaat er een "in dienst" procedure waar geregeld is dat alle onbekend ambtenaren en ingehuurde medewerkers bij hun aanstelling hun verantwoordelijkheden, ten aanzien van informatiebeveiliging, ter inzage krijgen? Overeenkomstige voorschriften maken deel uit van de contracten met externe partijen. Ook voor hen geldt de toegankelijkheid van geldende regelingen en instructies.

Nog niet onderzocht

8.1.1.3



[A] Indien een medewerker speciale verantwoordelijkheden heeft t.a.v. informatiebeveiliging dan is hem dat voor indiensttreding (of bij functiewijziging), bij voorkeur in de aanstellingsbrief of bij het afsluiten van het contract, aantoonbaar duidelijk gemaakt.

Is er op basis van de functiebeschrijving of werkzaamheden duidelijk onbekend gemaakt welke verantwoordelijkheden ten aanzien van informatiebeveiliging voor de medewerker gelden, bij voorkeur in een aanstellingsbrief of contract?

Nog niet onderzocht

8.1.1.4



De algemene voorwaarden van het arbeidscontract van medewerkers bevatten de wederzijdse verantwoordelijkheden ten aanzien van beveiliging. Het is aantoonbaar dat medewerkers bekend zijn met hun verantwoordelijkheden op het gebied van beveiliging.

Bevatten arbeidscontracten wederzijdse verantwoordelijkheden ten aanzien van beveiliging? Zijn medewerkers hiermee bekend?

onbekend

Nog niet onderzocht

8.1.2.1


Screening

[A] Voor alle medewerkers (ambtenaren en externe medewerkers) is minimaal een recente Verklaring Omtrent het Gedrag (VOG) vereist. Indien het een vertrouwensfunctie betreft wordt ook een veiligheidsonderzoek (Verklaring van Geen Bezwaar) uitgevoerd.

Zijn er van alle medewerkers een recente VOG? Is er van vertrouwensfuncties een VGB. Meestal is hier een aparte administratie voor.

onbekend

Nog niet onderzocht

8.1.2.2


Screening

Bij de aanstelling worden de gegevens die de medewerker heeft verstrekt over zijn arbeidsverleden en scholing geverifieerd.

Is in de aanstelling procedure de stap dat arbeidsverleden en scholing onbekend dienen te worden geverifieerd

Nog niet onderzocht

8.1.2.3


Screening

[A] Het is noodzakelijk om de VOG of screening periodiek te herhalen volgens de voorschriften.

zie 8.1.2.1 en blijkt dit uit de gevonden administratie?

onbekend

Nog niet onderzocht

8.1.3.1


Arbeidsvoorwaarden

Als onderdeel van hun contractuele verplichting behoren werknemers, controleer de arbeidscontracten op dit onderdeel ingehuurd personeel en externe gebruikers de algemene voorwaarden te aanvaarden en te ondertekenen van hun arbeidscontract, waarin hun verantwoordelijkheden en die van de organisatie ten aanzien van informatiebeveiliging behoren te zijn vastgelegd.

onbekend

Nog niet onderzocht

8.2.1.1


Directieverantwoordelijkheid

Het lijnmanagement heeft een strategie ontwikkeld en geïmplementeerd om blijvend over specialistische kennis en vaardigheden van gemeenteambtenaren en ingehuurd personeel (onder andere die kritische bedrijfsactiviteiten op het gebied van IB uitoefenen) te kunnen beschikken.

Deze strategie kan bestaan uit: Beleid, opleidingsplannen, opleiding, cursus, inhuur etcetera.

onbekend

Nog niet onderzocht

8.2.1.2


Directieverantwoordelijkheid

Het lijnmanagement bevordert dat gemeenteambtenaren, ingehuurd personeel en (waar van toepassing) externe gebruikers van interne systemen algemene beveiligingsaspecten toepassen in hun gedrag en handelingen overeenkomstig vastgesteld beleid.

Dit bevorderen kan door budgetten, opleiding, bewustwording campagne, pen testen en mystery guests bezoeken (bijvoorbeeld).

onbekend

Nog niet onderzocht

8.2.2.1


bewustwording

Alle medewerkers van de organisatie worden regelmatig attent Dit bevorderen kan door budgetten te gebruiken voor, opleiding, gemaakt op het beveiligingsbeleid en de beveiligingsprocedures van de bewustwording campagne, pen testen en mystery guests bezoeken organisatie, voor zover relevant voor hun functie. (bijvoorbeeld).

onbekend

Nog niet onderzocht

8.2.2.2


bewustwording

[A] Bespreek het onderwerp informatiebeveiliging in functionerings- en is er een aanwijzing of procedure waarin dit geregeld is en komen dan onbekend beoordelingsgesprekken van medewerkers die risicovolle functies bijvoorbeeld ook incidenten aan de orde? bekleden

Nog niet onderzocht

8.2.3.1


Disciplinaire maatregelen

[A] Er is een disciplinair proces vastgelegd voor medewerkers die inbreuk maken op het beveiligingsbeleid (zie ook: CAR/UWO art 16, disciplinaire straffen).

Zie HR-beleid gemeente?

onbekend

Nog niet onderzocht

8.3.1.1


Beëindiging van verantwoordelijkheden

Voor ambtenaren is in de ambtseed of belofte vastgelegd welke verplichtingen ook na beëindiging van het dienstverband of bij functiewijziging nog van kracht blijven en voor hoe lang. Voor ingehuurd personeel (zowel in dienst van een derde bedrijf als individueel) is dit contractueel vastgelegd. Indien nodig wordt een geheimhoudingsverklaring ondertekend.

Controleer of deze clausules bestaan

onbekend

Nog niet onderzocht

8.3.1.2



Het lijnmanagement heeft een procedure vastgesteld voor beëindiging Controleer of deze procedures en aandachtspunten bestaan. van dienstverband, contract of overeenkomst waarin minimaal aandacht besteed wordt aan het intrekken van toegangsrechten, innemen van bedrijfsmiddelen en welke verplichtingen ook na beëindiging van het dienstverband blijven gelden.

onbekend

Nog niet onderzocht

8.3.1.3



Het lijnmanagement heeft een procedure vastgesteld voor verandering Controleer de functieverandering procedure naar deze van functie binnen de organisatie, waarin minimaal aandacht besteed aandachtspunten. wordt aan het intrekken van toegangsrechten en innemen van bedrijfsmiddelen die niet meer nodig zijn na het beëindigen van de oude functie.

onbekend

Nog niet onderzocht


Maatregel


Eigenaar

Status

Actiehouder

Wanneer gereed?




Groep

Maatregel

Vraag

Aanwezig


Eigenaar

Status

8.3.2.1


Retournering van bedrijfsmiddelen

Zie 8.3.1.3

onbekend

Nog niet onderzocht

8.3.3.1


Blokkering van toegangsrechten

Zie 8.3.1.3

onbekend

Nog niet onderzocht

9.1.1.1

9. Fysieke beveiliging

Fysieke beveiliging van de omgeving

De gemeente en haar omgeving worden ingedeeld in verschillende zones. Deze zones bestaan uit: a.Zone 0: de omgeving en het gebouw b.Zone 1: de wachtruimten en de spreekkamers c.Zone 2:de werkruimten d.Zone 3: de ICT-ruimte / beveiligde ruimte voor bijvoorbeeld paspoort opslag.

Controleer zoneringsbeleid van de gemeente.

onbekend

Nog niet onderzocht

9.1.1.2



Voor voorzieningen (binnen of buiten het gebouw) zijn duidelijke beveiligingsgrenzen bepaald.

Controleer of de beveiligingsgrenzen bepaald zijn.

onbekend

Nog niet onderzocht

9.1.1.3



Gebouwen bieden voldoende weerstand (bepaald op basis van een risicoafweging) bij gewelddadige aanvallen zoals inbraak en IT gericht vandalisme.

Controleer of gebouwen voldoende weerstand bieden (bijvoorbeeld keurmerk, hang en sluitwerk etcetera).

onbekend

Nog niet onderzocht

9.1.1.4



onbekend

Nog niet onderzocht

9.1.1.5



[A] Er zijn op verschillende plekken zogenaamde overval alarmknoppen Zijn er bij de publieksbalies of andere plaatsen waar publiek geplaatst, dit is met name van belang voor de wachtruimten en de ontvangen wordt alarmknoppen geplaatst? spreekkamers en die ruimtes waar bezoekers in contact komen met gemeente ambtenaren. Er is 24 uur, 7 dagen per week bewaking; een inbraakalarm gekoppeld Controleer de afspraken en of dit zo is. aan alarmcentrale is het minimum.

onbekend

Nog niet onderzocht

9.1.1.6



[A] Van ingehuurde bewakingsdiensten is vooraf geverifieerd dat zij voldoen aan de wettelijke eisen gesteld in de Wet Particuliere Beveiligingsorganisaties en Recherchebureaus. Deze verificatie wordt minimaal jaarlijks herhaald.

Controleer de contracten/procedures.

onbekend

Nog niet onderzocht

9.1.1.7



In gebouwen met serverruimtes houdt beveiligingspersoneel toezicht op de toegang. Hiervan wordt een registratie bijhouden.

Zijn er serverruimtes ? Houdt beveiligingspersoneel toezicht op te toegang? Is hiervan een registratie en een procedure?

onbekend

Nog niet onderzocht

9.1.1.8



[A] Voor toegang tot speciale ruimten is een doelbinding vereist, dat wil Wordt de doelbinding gecontroleerd bij het verlenen van zeggen dat personen op grond van hun werkzaamheden toegang kan toegangsrechten en blijkt dit uit de gevonden procedure? worden verleend. (bijvoorbeeld Beheer, BHV etc.)

onbekend

Nog niet onderzocht

9.1.2.1


Fysieke toegangsbeveiliging

Toegang tot gebouwen of beveiligingszones is alleen mogelijk na autorisatie daartoe.

onbekend

Nog niet onderzocht

9.1.2.2



[A] De beveiligingszones en toegangsbeveiliging daarvan zijn ingericht conform het gemeentelijk toegangsbeleid.

Is de toegang tot gebouwen en beveiligingszones alleen mogelijk na autorisatie? Waar wordt dat vastgelegd? Is er gemeentelijk toegangsbeleid waarin de toegang tot beveiligingszones en toegangsbeveiliging geregeld is?

onbekend

Nog niet onderzocht

9.1.2.3



In gebouwen met beveiligde zones houdt beveiligingspersoneel toezicht op de toegang. Hiervan wordt een registratie bijhouden.

Zijn er beveiligde zones? Houdt beveiligingspersoneel toezicht op te toegang? Is hiervan een registratie en een procedure?

onbekend

Nog niet onderzocht

9.1.2.4



De kwaliteit van toegangsmiddelen (deuren, sleutels, sloten, toegangspassen) is afgestemd op de zonering.

Volgens welke norm is de kwaliteit van de toegangsmiddelen afgestemd op de zonering?

onbekend

Nog niet onderzocht

9.1.2.5



De uitgifte van toegangsmiddelen wordt geregistreerd.

Is er een registratie van toegangsmiddelen uitgifte (passen en sleutels)?

onbekend

Nog niet onderzocht

9.1.2.6



Niet uitgegeven toegangsmiddelen worden opgeborgen in een beveiligd opbergmiddel.

Zijn niet uitgegeven toegangsmiddelen in een beveiligd opbergmiddel onbekend opgeborgen?

Nog niet onderzocht

9.1.2.7



Apparatuur en bekabeling in kabelverdeelruimtes en patchruimtes voldoen aan dezelfde eisen t.a.v. toegangbeveiliging zoals die worden gesteld aan computerruimtes.

Zijn er kabelverdeelruimtes? Houdt beveiligingspersoneel toezicht op te toegang? Is hiervan een registratie en een procedure?

onbekend

Nog niet onderzocht

9.1.2.8



[A] Er vindt minimaal één keer per half jaar een periodieke controle/evaluatie plaats op de autorisaties voor fysieke toegang.

Wordt de registratie van de autorisaties halfjaarlijks gecontroleerd? Is hier een verslag van?

onbekend

Nog niet onderzocht

9.1.3.1


#N/A

Papieren documenten en mobiele gegevensdragers die vertrouwelijke informatie bevatten worden beveiligd opgeslagen.

Worden papieren documenten en mobiele gegevensdragers met vertrouwelijke informatie beveiligd opgeslagen?

onbekend

Nog niet onderzocht

9.1.3.2


Sleutelbeheer

[A] Er is actief beheer van sloten en kluizen met procedures voor wijziging van combinaties door middel van een sleutelplan, ten behoeve van opslag van gerubriceerde informatie.

Er is conform het beleid een procedure voor het beheren van sloten en kluizen voor wijziging van combinaties, met sleutelplan ten behoeve van gerubriceerde informatie

onbekend

Nog niet onderzocht

9.1.3.3


#N/A

[A] Serverruimtes, datacenters en daar aan gekoppelde bekabelingsystemen zijn ingericht in lijn met geldende best practices. Een goed voorbeeld van zo’n best practice is Telecommunication Infrastructure Standard for Data Centers (TIA-942).

Zijn serverruimtes, datacenters en bekabelingssystemen ingericht volgens best practices zoals TIA-942? Zijn er andere normen gebruikt?

onbekend

Nog niet onderzocht

9.1.4.1


Bescherming tegen bedreigingen van Bij maatregelen is rekening gehouden met specifieke bedreigingen van Is er bij maatregelen rekening gehouden met specifieke bedreigingen onbekend buitenaf aangrenzende panden of terreinen. van aangrenzende gebouwen of terreinen?

Nog niet onderzocht

9.1.4.2


Is er een backup procedure waarin ook geregeld is dat de backups off- onbekend site bewaard worden? Wordt deze procedure nageleefd?

Nog niet onderzocht

9.1.4.3


Bescherming tegen bedreigingen van Reserve apparatuur en backups zijn op een zodanige afstand buitenaf ondergebracht dat één en dezelfde calamiteit er niet voor kan zorgen dat zowel de hoofdlocatie als de backup/reserve locatie niet meer toegankelijk zijn. Bescherming tegen bedreigingen van [A] Beveiligde ruimten waarin zich bedrijfskritische apparatuur bevindt buitenaf zijn voldoende beveiligd tegen wateroverlast.

Zijn ruimten met bedrijfskritische apparatuur voldoende beveiligd tegen wateroverlast? Denk aan overstromingsgevaar als het gebouw laag staat of als er bijvoorbeeld waterleidingen of rioleringen door ruimten loopt met bedrijfskritische apparatuur.

Nog niet onderzocht


onbekend

Actiehouder

Wanneer gereed?




Groep

9.1.4.4


Bescherming tegen bedreigingen van [A] Bij het betrekken van nieuwe gebouwen wordt een locatie gekozen Is bij het betrekken van gebouwen een locatie gekozen waarbij onbekend buitenaf waarbij rekening wordt gehouden met de kans op en de gevolgen van rekening is gehouden met de kans op gevolgen van natuurrampen en natuurrampen en door mensen veroorzaakte rampen. door mensen veroorzaakte rampen?

Nog niet onderzocht

9.1.4.5


Bescherming tegen bedreigingen van Gevaarlijke of brandbare materialen zijn op een zodanige afstand van buitenaf een beveiligde ruimte opgeslagen dat een calamiteit met deze materialen geen invloed heeft op de beveiligde ruimte.

onbekend

Nog niet onderzocht

9.1.4.6


Bescherming tegen bedreigingen van [A] Er is door de brandweer goedgekeurde en voor de situatie geschikte Is er voor de situatie geschikte brandblus apparatuur? brandblusapparatuur geplaatst en aangesloten. Dit wordt jaarlijks buitenaf Wordt deze brandblus apparatuur jaarlijks gecontroleerd? gecontroleerd.

onbekend

Nog niet onderzocht

9.1.5.1


Werken in beveiligde ruimten

Medewerkers die zelf niet geautoriseerd zijn mogen alleen onder begeleiding van bevoegd personeel en als er een duidelijke noodzaak voor is toegang krijgen tot fysiek beveiligde ruimten waarin IT voorzieningen zijn geplaatst of waarin met vertrouwelijke informatie wordt gewerkt.

Is er op basis van het beleid een procedure voor toegang tot fysiek beveiligde ruimten voor niet geautoriseerde personen?

onbekend

Nog niet onderzocht

9.1.5.2



Beveiligde ruimten (zoals een serverruimte of kluis) waarin zich geen personen bevinden zijn afgesloten en worden regelmatig gecontroleerd.

Beveiligde ruimten die afgesloten zijn waar geen mensen zijn worden onbekend regelmatig gecontroleerd, blijkt dit uit procedures? Blijkt dit uit ronde rapportages?

Nog niet onderzocht

9.1.5.3



Zonder expliciete toestemming mogen binnen beveiligde ruimten geen Is er beleid waarin geregeld is dat binnen beveiligde ruimtes geen opnames (foto, video of geluid) worden gemaakt. opnames morgen worden gemaakt? Staat dit duidelijk aangegeven?

onbekend

Nog niet onderzocht

9.1.6.1


Openbare toegang en gebieden voor laden en lossen

[A] Er bestaat een procedure voor het omgaan met verdachte pakketten en brieven in postkamers en laad- en losruimten.

Is er een procedure voor omgaan met verdachte post/pakketten?

onbekend

Nog niet onderzocht

9.2.1.1


Plaatsing en bescherming van apparatuur

Apparatuur wordt opgesteld en aangesloten conform de voorschriften van de leverancier. Dit geldt minimaal voor temperatuur en luchtvochtigheid, aarding, spanningsstabiliteit en overspanningsbeveiliging.

Controleer voor zover mogelijk of apparatuur conform voorschriften van de leverancier is opgesteld en aangesloten. - Temperatuur - luchtvochtigheid - aarding - spanningsstabiliteit - overspanningsbeveiliging

onbekend

Nog niet onderzocht

9.2.1.2



Nog niet onderzocht

9.2.1.3



Standaard accounts in apparatuur worden gewijzigd en de Controleer of er een procedure is voor het aanpassen van standaard onbekend bijbehorende standaard leveranciers wachtwoorden worden gewijzigd leveranciers wachtwoorden. bij ingebruikname van apparatuur. Controleer of er een log of registratie is van aangepaste wachtwoorden. Gebouwen zijn beveiligd tegen blikseminslag. Zijn er maatregelen genomen tegen de gevolgen van blikseminslag, zo onbekend ja welke?

9.2.1.4



Eten en drinken is verboden in computerruimtes.

Bevat beleid en procedures van de computerruimten een verbod op eten en drinken? Wordt hier voor gewaarschuwd?

onbekend

Nog niet onderzocht

9.2.1.5



Een informatiesysteem voldoet altijd aan de hoogste beveiligingseisen die voor kunnen komen bij het verwerken van informatie. Indien dit niet mogelijk is wordt een gescheiden systeem gebruikt voor de informatieverwerking waaraan hogere eisen gesteld worden.

Indien aan de BIG wordt voldaan zijn de systemen in basis geschikt voor werken tot en met vertrouwelijk. Indien informatie verwerkt wordt van een hogere classificatie dienen hiervoor gescheiden systemen gebruikt te worden.

onbekend

Nog niet onderzocht

9.2.2.1


Nutsvoorzieningen

Apparatuur behoort te worden beschermd tegen stroomuitval en andere storingen door onderbreking van nutsvoorzieningen.

Worden in server en patchruimten ter bescherming van apparatuur UPS systemen ingezet tegen stroomuitval en piekstromen?

onbekend

Nog niet onderzocht

9.2.3.1


Beveiliging van kabels

Zijn voedings- en communicatiekabels beschermd conform NEN 1010? onbekend

Nog niet onderzocht

9.2.4.1


Onderhoud van apparatuur

Voedings- en telecommunicatiekabels die voor dataverkeer of ondersteunende informatiediensten worden gebruikt, behoren tegen interceptie of beschadiging te worden beschermd conform de norm NEN 1010. [A] Reparatie en onderhoud van apparatuur (hardware) vindt op locatie plaats door bevoegd personeel, tenzij er geen data op het apparaat aanwezig of toegankelijk is.

Nog niet onderzocht

9.2.5.1


Beveiliging van apparatuur buiten het Alle apparatuur buiten de terreinen wordt beveiligd met fysieke terrein beveiligingsmaatregelen zoals bijvoorbeeld sloten en camera toezicht die zijn vastgesteld op basis van een risicoafweging.

Wordt onderhoud aan apparatuur met daarop data van de gemeente onbekend binnenshuis gedaan? Is er een procedure voor onderhoud aan apparatuur binnenshuis dan wel buitenshuis? Is er een procedure voordehet verwijderen van datavan vanrisicoafweging apparatuur? apparatuur buiten terreinen die op basis onbekend fysieke beveiligingsmaatregelen nodig hebben? Zijn die maatregelen geïmplementeerd?

9.2.6.1


Veilig verwijderen of hergebruiken van apparatuur

[A] Bij beëindiging van het gebruik of bij een defect worden apparaten en informatiedragers bij de beheersorganisatie ingeleverd. De beheerorganisatie zorgt voor een verantwoorde afvoer zodat er geen data op het apparaat aanwezig of toegankelijk is. Als dit niet kan wordt het apparaat of de informatiedrager fysiek vernietigd. Het afvoeren of vernietigen wordt per bedrijfseenheid geregistreerd.

Worden informatiedragers bij beëindigen van gebruik of een defect ingeleverd bij de ICT organisatie? Is er een procedure voor verantwoorde afvoer van ICT middelen? Is er een procedure voor het verwijderen van data van apparatuur? Is er een registratie van afgevoerde / vernietigde apparatuur?

onbekend

Nog niet onderzocht

9.2.6.2


Veilig verwijderen of hergebruiken van apparatuur

[A] Hergebruik van apparatuur buiten de organisatie is slechts Is er een procedure voor het verwijderen van data van apparatuur toegestaan indien de informatie is verwijderd met een voldoende waar deze eis in verwerkt is? veilige methode. Een veilige methode is Secure Erase voor apparaten die dit ondersteunen. In overige gevallen wordt de data twee keer overschreven met vaste data, één keer met random data en vervolgens wordt geverifieerd of het overschrijven is gelukt.

onbekend

Nog niet onderzocht

9.2.7.1


Verwijdering van bedrijfseigendommen

Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming vooraf van de locatie worden meegenomen.

onbekend

Nog niet onderzocht

10.1.1.1

10. Beheer van communicatie en bedienprocessen

Gedocumenteerde bedieningsprocedures

Bedieningsprocedures bevatten informatie over opstarten, afsluiten, backup- en herstelacties, afhandelen van fouten, beheer van logs, contactpersonen, noodprocedures en speciale maatregelen voor beveiliging.

onbekend

Nog niet onderzocht


Maatregel

Vraag

Zijn er in en rond beveiligde ruimten brandbare of gevaarlijke materialen opgeslagen? Bijvoorbeeld verpakkingsmateriaal of gevaarlijke stoffen?

Is er een procedure voor het meenemen van apparatuur, informatie of programmatuur van de locatie. Is daarin geregeld wie toestemming mag geven om apparatuur, programmatuur of data mee te nemen? Zijn er bedieningsprocedures over: - opstarten - afsluiten - back-up en herstel - afhandelen van fouten - beheer van logs - contactpersonen - noodprocedures en speciale maatregelen voor beveiliging?

Aanwezig


Eigenaar

Status

Actiehouder

Wanneer gereed?


Nog niet onderzocht

Nog niet onderzocht



Groep

Maatregel

10.1.1.2


Gedocumenteerde bedieningsprocedures

Er zijn procedures voor de behandeling van digitale media die ingaan op Zijn er procedures voor de behandeling van digitale media die ingaan onbekend ontvangst, opslag, rubricering, toegangsbeperkingen, verzending, op ontvangst, opslag, rubricering, toegangsbeperkingen, verzending, hergebruik en vernietiging. hergebruik en vernietiging.

10.1.2.1


Wijzigingsbeheer

In de procedure voor wijzigingenbeheer is minimaal aandacht besteed aan: •het administreren van significante wijzigingen •impactanalyse van mogelijke gevolgen van de wijzigingen •goedkeuringsprocedure voor wijzigingen

Is er een wijzigingsbeheer procedure? Wordt daarin aandacht besteed aan de genoemde drie punten?

onbekend

Nog niet onderzocht

10.1.2.2


Wijzigingsbeheer

[A] Instellingen van informatiebeveiligingsfuncties (b.v. security software) op het koppelvlak tussen vertrouwde en onvertrouwde netwerken, worden automatisch op wijzigingen gecontroleerd.

Worden instellingen van informatiebeveiligingsfuncties (b.v. security software) op het koppelvlak tussen vertrouwde en onvertrouwde netwerken, automatisch op wijzigingen gecontroleerd?

onbekend

Nog niet onderzocht

10.1.3.1


Functiescheiding

Niemand in een organisatie of proces mag op uitvoerend niveau rechten hebben om een gehele cyclus van handelingen in een kritisch informatiesysteem te beheersen. Dit in verband met het risico dat hij of zij zichzelf of anderen onrechtmatig bevoordeelt of de organisatie schade toe brengt. Dit geldt voor zowel informatieverwerking als beheeracties.

Is er een strikte scheiding tussen beheer van systemen en gebruik van onbekend systemen? Bijvoorbeeld: het aanpassen van subsidie bedragen of rekeningnummers van subsidie aanvragers is een andere taak dan het toekennen van een subsidie en dient bij voorkeur gescheiden te zijn. Ander voorbeeld, beheerders kunnen wel een backup maken of een database beheren, maar niet in de applicatie zelf.

Nog niet onderzocht

10.1.3.2


Functiescheiding

Is er een strikte scheiding tussen beheertaken en gebruikstaken, met gescheiden accounts?

onbekend

Nog niet onderzocht

10.1.3.3


Functiescheiding

[A] Er is een scheiding tussen beheertaken en overige gebruikstaken. Beheerwerkzaamheden worden alleen uitgevoerd wanneer ingelogd als beheerder, normale gebruikstaken alleen wanneer ingelogd als gebruiker. [A] Vóór de verwerking van gegevens die de integriteit van kritieke informatie of kritieke informatie systemen kunnen aantasten worden deze gegevens door een tweede persoon geïnspecteerd en geaccepteerd. Van de acceptatie wordt een log bijgehouden.

Wordt voor de verwerking van gegevens die de integriteit van kritieke onbekend informatie of kritieke informatie systemen kunnen aantasten een inspectie uitgevoerd door een tweede persoon? En wordt hiervan een log bijgehouden?

Nog niet onderzocht

10.1.3.4


Functiescheiding

[A] Verantwoordelijkheden voor beheer, wijziging van gegevens en bijbehorende informatiesysteemfuncties moeten eenduidig toegewezen zijn aan één specifieke (beheerders)rol.

Zijn de verantwoordelijkheden voor beheer, wijziging van gegevens en onbekend bijbehorende informatiesysteemfuncties eenduidig toegewezen aan één specifieke (beheerders)rol?

Nog niet onderzocht

10.1.4.1


#N/A

Er zijn minimaal logisch gescheiden systemen voor Ontwikkeling, Test en/of Acceptatie en Productie (OTAP). De systemen en applicaties in deze zones beïnvloeden systemen en applicaties in andere zones niet.

Nog niet onderzocht

10.1.4.2


#N/A

Zijn er minimaal logisch gescheiden systemen voor Ontwikkeling, Test onbekend en/of Acceptatie en Productie (OTAP)? (De systemen en applicaties in deze zones beïnvloeden systemen en applicaties in andere zones niet.) Gebruikers hebben gescheiden gebruiksprofielen voor Ontwikkeling, Hebben gebruikers gescheiden gebruiksprofielen voor Ontwikkeling, onbekend Test en/of Acceptatie en Productiesystemen om het risico van fouten te Test en/of Acceptatie en Productiesystemen? verminderen. Het moet duidelijk zichtbaar zijn in welk systeem gewerkt Wordt in systemen weergegeven op / in het scherm in welk soort wordt. systeem gewerkt wordt?

10.1.4.3


#N/A

[A] Indien er een experimenteer of laboratorium omgeving is, is deze fysiek gescheiden van de productieomgeving.

Is er een experimenteer of laboratorium omgeving? Als er een experimenteer of laboratorium omgeving is, is deze dan fysiek gescheiden van de productie omgeving?

onbekend

Nog niet onderzocht

10.2.1.1


Dienstverlening

De uitbestedende partij blijft verantwoordelijk voor de betrouwbaarheid van uitbestede diensten.

Zijn er uitbestedingen van IT systemen? Is de verantwoordelijkheid van de uitbestedende partij vastgelegd?

onbekend

Nog niet onderzocht

10.2.1.2


Dienstverlening

Uitbesteding is goedgekeurd door de voor het informatiesysteem verantwoordelijke lijnmanager.

Heeft de verantwoordelijk manager de uitbesteding van het informatiesysteem goedgekeurd? Is hiervan een goedkeuring?

onbekend

Nog niet onderzocht

10.2.2.1


Controle en beoordeling van Er worden afspraken gemaakt over de inhoud van rapportages, zoals dienstverlening door een derde partij over het melden van incidenten en autorisatiebeheer.

Zijn er afspraken gemaakt over de inhoud van rapportages, zoals het melden van incidenten en autorisatiebeheer activiteiten?

onbekend

Nog niet onderzocht

10.2.2.2


Controle en beoordeling van De in dienstverleningscontracten vastgelegde betrouwbaarheidseisen Is vastgelegd in dienstverleningscontracten dat vastgestelde dienstverlening door een derde partij worden gemonitord. Dit kan bijvoorbeeld middels audits of rapportages betrouwbaarheidseisen jaarlijks worden gemonitord middels audits en gebeurt minimaal eens per jaar (voor ieder systeem). en / of rapportages? Zijn hier bewijzen voor in de vorm van rapportages/auditverslagen?

onbekend

Nog niet onderzocht

10.2.2.3


Controle en beoordeling van Er zijn voor beide partijen eenduidige aanspreekpunten. dienstverlening door een derde partij

Zijn de interne en externe aanspreekpunten/contacten bekend en is dit vastgelegd?

onbekend

Nog niet onderzocht

10.2.3.1


Beheer van wijzigingen in Zie 10.1.2 dienstverlening door een derde partij

Bij uitbestede informatiesystemen: Is er een wijzigingsbeheer procedure? Wordt daarin aandacht besteed aan de genoemde drie punten: • het administreren van significante wijzigingen • impactanalyse van mogelijke gevolgen van de wijzigingen • goedkeuringsprocedure voor wijzigingen

onbekend

Nog niet onderzocht

10.3.1.1


Capaciteitsbeheer

Voldoen de ICT voorzieningen aan het voor de diensten overeengekomen niveau van beschikbaarheid? Zijn de beschikbaarheids eisen vastgelegd? Is er een capaciteitsbeheer proces?

onbekend

Nog niet onderzocht

10.3.1.2


Capaciteitsbeheer

Is er capaciteits beheer, met name voor virtuele omgevingen, waar aanzien van het gebruik van gemeenschappelijke middelen, zodat een gebruikers gemeenschappelijke middelen kunnen opeisen zodat de enkele gebruiker (of systeem) niet meer van deze middelen kan opeisen hele organisatie er last van heeft? dan nodig is voor de uitvoering van zijn of haar taak en daarmee de beschikbaarheid van systemen voor andere gebruikers (of systemen) in gevaar kan brengen.

onbekend

Nog niet onderzocht

10.3.1.3


Capaciteitsbeheer

[A] In koppelpunten met externe of onvertrouwde zones worden Zijn er koppelpunten met onvertrouwde of externe zones ? maatregelen getroffen om DDOS (Denial of Service attacks) aanvallen te Zijn daar maatregelen genomen om DDOS aanvallen te signaleren en signaleren en hierop te reageren. Het gaat hier om aanvallen die erop hierop te reageren? gericht zijn de verwerkingscapaciteit zodanig te laten vollopen, dat onbereikbaarheid of uitval van computers het gevolg is.

onbekend

Nog niet onderzocht

10.3.2.1


Systeem acceptatie

[A] Van acceptatietesten wordt een log bijgehouden.

onbekend

Nog niet onderzocht


[A] De ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid. Er worden voorzieningen geïmplementeerd om de beschikbaarheid van componenten te bewaken (bijvoorbeeld de controle op aanwezigheid van een component en metingen die het gebruik van een component vaststellen). Op van voorspellingen van het gebruik wordt actie genomenten om [A] basis Er worden beperkingen opgelegd aan gebruikers en systemen

Vraag

Zijn er testverslagen van systeem acceptatie tests?

Aanwezig


Eigenaar

Status

Actiehouder

Wanneer gereed?


Nog niet onderzocht

Nog niet onderzocht



Groep

Maatregel

10.3.2.2


Systeem acceptatie

10.4.1.1


Maatregelen tegen virussen

Er zijn acceptatiecriteria vastgesteld voor het testen van de beveiliging. Zijn de beveiliging acceptatie criteria van systemen minimaal OWASP onbekend Dit betreft minimaal OWASP of gelijkwaardig. of gelijkwaardig? Blijkt dat deze acceptatie criteria gebruikt worden uit bijvoorbeeld test documentatie van systemen? [A] Bij het openen van bestanden worden deze geautomatiseerd Zijn er op systemen anti virus scanners geïnstalleerd die bestanden onbekend gecontroleerd op virussen, trojans en andere malware. De update voor controleert bij openen? de detectiedefinities vindt frequent, minimaal één keer per dag, Vindt het updaten van detectiedefinities dagelijks plaats? automatisch plaats.

10.4.1.2



[A] Inkomende en uitgaande e-mails worden gecontroleerd op virussen, Zijn er op mail systemen anti virus scanners geïnstalleerd die trojans en andere malware. De update voor de detectiedefinities vindt bestanden controleert bij openen? frequent, minimaal één keer per dag, (automatisch) plaats. Vindt het updaten van detectiedefinities dagelijks plaats?

10.4.1.3



In verschillende schakels van een keten binnen de infrastructuur van een organisatie wordt bij voorkeur antivirusprogrammatuur van verschillende leveranciers toegepast.

10.4.1.4



[A] Er zijn maatregelen om verspreiding van virussen tegen te gaan en Zijn er maatregelen om verspreiding van virussen tegen te gaan daarmee schade te beperken (bijv. quarantaine en compartimentering). genomen? Indien ja, welke maatregelen?

onbekend

Nog niet onderzocht

10.4.1.5



Er zijn continuïteitsplannen voor herstel na aanvallen met virussen Zijn er continuïteitsplannen voor herstel na aanvallen met virussen? waarin minimaal maatregelen voor backups en herstel van gegevens en Zijn daarin maatregelen voor backups en herstel van gegevens en programmatuur zijn beschreven. programmatuur beschreven.

onbekend

Nog niet onderzocht

10.4.1.6



Nog niet onderzocht

10.4.2.1


Maatregelen tegen ‘mobile code’

Op mobile devices wordt antivirus software toegepast, waarbij bij BYOD Zijn er mobiele devices in gebruik? onbekend de eindgebruiker verplicht is deze zelf toe te passen. Is er antivirus software voor deze mobiele devices? Is BYOD toegestaan binnen de gemeente? Is er beleid dat eindgebruikers verplicht worden antivirus software te gebruiken? Mobile code wordt uitgevoerd in een logisch geïsoleerde omgeving Wordt er gebruik gemaakt van logisch geïsoleerde omgevingen om onbekend (sandbox) om de kans op aantasting van de integriteit van het systeem mobiele code uit te voeren? te verkleinen. De mobile code wordt altijd uitgevoerd met minimale rechten zodat de integriteit van het host systeem niet aangetast wordt.

10.4.2.2


Maatregelen tegen ‘mobile code’

Een gebruiker moet geen extra rechten kunnen toekennen aan programma’s (bijv. internet browsers) die mobiele code uitvoeren.

Is het toekennen van extra rechten aan programma's die mobiele code uitvoeren geblokkeerd door bijvoorbeeld een policy?

onbekend

Nog niet onderzocht

10.5.1.1


Reservekopieën maken (backups)

Er zijn (geteste) procedures voor back-up en recovery van informatie voor herinrichting en foutherstel van verwerkingen.

Zijn er backup en recovery procedures voor herinrichting of herstel van informatie en/of verwerkingen? Zijn deze procedures ook getest?

onbekend

Nog niet onderzocht

10.5.1.2



Zijn er per gegevenssoort back-up strategieën vastgesteld? En rekening gehouden met de punten hiernaast?

onbekend

Nog niet onderzocht

10.5.1.3



Back-upstrategieën zijn vastgesteld op basis van het soort gegevens (bestanden, databases, enz.), de maximaal toegestane periode waarover gegevens verloren mogen raken, en de maximaal toelaatbare back-up- en hersteltijd. Van back-upactiviteiten en de verblijfplaats van de media wordt een registratie bijgehouden, met een kopie op een andere locatie. De andere locatie is zodanig gekozen dat een incident/calamiteit op de oorspronkelijke locatie niet leidt tot schade aan of toegang tot de kopie van die registratie.

Is er een logging dan wel registratie van uitgevoerde backups en zijn er verschillende kopieën op verschillende locaties rekening houdend met de maximale periode van hierboven?

onbekend

Nog niet onderzocht

10.5.1.4



Backups worden bewaard op een locatie die zodanig is gekozen dat een Zijn de back-up bewaarlocaties voldoende ver verwijderd van de incident op de oorspronkelijke locatie niet leidt tot schade aan de back- oorspronkelijke locatie? up.

onbekend

Nog niet onderzocht

10.5.1.5



Is er voor gezorgd dat de toegang tot de backups alleen mogelijk is voor geautoriseerde personen?

onbekend

Nog niet onderzocht

10.6.1.1


Maatregelen voor netwerken

De fysieke en logische toegang tot de backups, zowel van systeemschijven als van data, is zodanig geregeld dat alleen geautoriseerde personen zich toegang kunnen verschaffen tot deze backups. Het netwerk wordt gemonitord en beheerd zodat aanvallen, storingen of fouten ontdekt en hersteld kunnen worden en de betrouwbaarheid van het netwerk niet onder het afgesproken minimum niveau komt.

Wordt er gebruik gemaakt van netwerkmonitoring zodat fouten vroegtijdig ontdekt worden en hersteld?

onbekend

Nog niet onderzocht

10.6.1.2



[A] Gegevensuitwisseling tussen vertrouwde en onvertrouwde zones dient inhoudelijk geautomatiseerd gecontroleerd te worden op aanwezigheid van malware.

Wordt er gebruik gemaakt van malware detectie op de koppelvlakken onbekend (vertrouwde en onvertrouwde zones)?

Nog niet onderzocht

10.6.1.3



[A] Bij transport van vertrouwelijke informatie over onvertrouwde netwerken, zoals het internet, dient altijd geschikte encryptie te worden toegepast. Zie hiertoe 12.3.1.3.

Wordt er gebruik gemaakt van encryptie als vertrouwde informatie over onvertrouwde netwerken getransporteerd word?

onbekend

Nog niet onderzocht

10.6.1.4



Er zijn procedures voor beheer van apparatuur op afstand.

Wordt er beheer op afstand toegepast en zijn daar procedures voor?

onbekend

Nog niet onderzocht

10.6.2.1


Beveiliging van netwerkdiensten

Beveiligingskenmerken, niveaus van dienstverlening en beheerseisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in elke overeenkomst voor netwerkdiensten, zowel voor diensten die intern worden geleverd als voor uitbestede diensten.

Zijn de beveiligingskenmerken, niveaus van dienstverlening en beheereisen voor interne en externe netwerkdiensten vastgelegd. Ook als het uitbesteed is?

onbekend

Nog niet onderzocht

10.7.1.1


Beheer van verwijderbare media

[A] Er zijn procedures opgesteld en geïmplementeerd voor opslag van vertrouwelijke informatie voor verwijderbare media.

Zijn er procedures voor de opslag van vertrouwelijke informatie op verwijderbare media zoals diskettes, usb-sticks?

onbekend

Nog niet onderzocht

10.7.1.2



[A] Verwijderbare media met vertrouwelijke informatie mogen niet onbeheerd worden achtergelaten op plaatsen die toegankelijk zijn zonder toegangscontrole.

Zijn er procedures voor het NIET onbeheerd achterlaten van verwijderbare media op onvertrouwde plaatsen?

onbekend

Nog niet onderzocht

10.7.1.3



In het geval dat media een kortere verwachte levensduur hebben dan Wordt er bijgehouden wanneer een medium in gebruik genomen is en onbekend de gegevens die ze bevatten, worden de gegevens gekopieerd wanneer is er een procedure die er voor zorgt dat ze tijdig vervangen worden 75% van de levensduur van het medium is verstreken. (als de levensduur van het medium op 75% is) (schijven, tapes, sticks)

Nog niet onderzocht

10.7.1.4



Gegevensdragers worden behandeld volgens de voorschriften van de fabrikant.

Nog niet onderzocht


Vraag

Aanwezig


Eigenaar

Status


Nog niet onderzocht

Nog niet onderzocht

Wordt er in verschillende schakels van de infrastructuur verschillende onbekend antivirus programmatuur gebruikt?

Nog niet onderzocht

onbekend

Wanneer gereed?

Nog niet onderzocht

onbekend

Worden alle gegevensdragers behandeld conform de voorschriften van de fabrikant?

Actiehouder

Nog niet onderzocht



Groep

Maatregel

Vraag

10.7.2.1


Verwijdering van media

[A] Er zijn procedures vastgesteld en in werking voor verwijderen van Zijn er procedures voor het verwijderen van vertrouwelijke data van vertrouwelijke data en de vernietiging van verwijderbare media. verwijderbare media? Welke norm wordt daarbij gehanteerd? Verwijderen van data wordt gedaan met een Secure Erase voor apparaten waar dit mogelijk is. In overige gevallen wordt de data twee keer overschreven met vaste data, één keer met random data en vervolgens wordt geverifieerd of het overschrijven is gelukt. Zie ook 9.2.6.

10.7.3.1


Procedures voor de behandeling van informatie

Er behoren procedures te worden vastgesteld voor de behandeling en opslag van informatie om deze te beschermen tegen onbevoegde openbaarmaking of misbruik.

10.7.4.1


10.7.4.2

Aanwezig


Eigenaar

Status

onbekend

Nog niet onderzocht

Zijn er procedures vastgesteld die ervoor zorgen dat informatie niet in onbekend handen kan komen van onbevoegde personen en die ervoor zorgen dan de informatie niet misbruikt kan worden of openbaargemaakt?

Nog niet onderzocht

Beveiliging van systeemdocumentatie Systeemdocumentatie die vertrouwelijke informatie bevat is niet vrij toegankelijk.

Wordt systeemdocumentatie die vertrouwelijke informatie bevat juist onbekend behandeld?

Nog niet onderzocht


Beveiliging van systeemdocumentatie [A] Wanneer de eigenaar er expliciet voor kiest om gerubriceerde systeemdocumentatie buiten de gemeente te brengen, doet hij dat niet zonder risicoafweging.

Wordt systeemdocumentatie die gerubriceerde informatie bevat niet onbekend zonder risico afweging buiten de gemeente gebracht? Indien ja, waar blijkt dat uit?

Nog niet onderzocht

10.8.1.1


Wordt vertrouwelijke informatie niet anders buiten de gemeente gebracht indien dit voor het uitoefenen van de functie noodzakelijk is? Waar blijkt dat uit?

onbekend

Nog niet onderzocht

10.8.1.2


Beleid en procedures voor informatie- [A] Het meenemen van Departementaal Vertrouwelijke of uitwisseling vergelijkbaar geclassificeerde informatie, of hogere, buiten de gemeente vindt uitsluitend plaats indien dit voor de uitoefening van de functie noodzakelijk is. Beleid en procedures voor informatie- Medewerkers zijn geïnstrueerd om zodanig om te gaan met uitwisseling (telefoon)gesprekken, e-mail, faxen ingesproken berichten op antwoordapparaten en het gebruik van de diverse digitale berichtendiensten dat de kans op uitlekken van vertrouwelijke informatie geminimaliseerd wordt.

Zijn er procedures en zijn ze bekend bij de medewerkers waarin de omgang met vertrouwelijke informatie geregeld is?

onbekend

Nog niet onderzocht

10.8.1.3


Beleid en procedures voor informatie- Medewerkers zijn geïnstrueerd om zodanig om te gaan met mobiele uitwisseling apparatuur en verwijderbare media dat de kans op uitlekken van vertrouwelijke informatie geminimaliseerd wordt. Hierbij wordt ten minste aandacht besteed aan het risico van adreslijsten en opgeslagen boodschappen in mobiele telefoons.

Zijn er procedures en zijn ze bekend bij de medewerkers waarin de onbekend omgang met mobiele apparatuur en verwijderbare media geregeld is? Gaat dit ook over adreslijsten en opgeslagen boodschappen op een mobiele telefoon?

Nog niet onderzocht

10.8.1.4


Beleid en procedures voor informatie- Medewerkers zijn geïnstrueerd om geen vertrouwelijke documenten bij Is er een printer procedure voor vertrouwelijke documenten of is er uitwisseling de printer te laten liggen. pull-print?

onbekend

Nog niet onderzocht

10.8.1.5


Beleid en procedures voor informatie- Er zijn maatregelen getroffen om het automatisch doorsturen van uitwisseling interne e-mail berichten naar externe e-mail adressen te voorkomen.

onbekend

Nog niet onderzocht

10.8.2.1


Uitwisselingsovereenkomsten

Er zijn afspraken gemaakt over de beveiliging van de uitwisseling van Zijn er procedures dan wel werkafspraken of mechanismes die de onbekend gegevens en software tussen organisaties waarin de maatregelen om traceerbaarheid en onweerlegbaarheid van gegevens waarborgen en betrouwbaarheid - waaronder traceerbaarheid en onweerlegbaarheid - zijn deze getoetst? van gegevens te waarborgen zijn beschreven en getoetst.

Nog niet onderzocht

10.8.2.2



Verantwoordelijkheid en aansprakelijkheid in het geval van Is er een incidentmanagement proces en is deze in werking? informatiebeveiligingsincidenten zijn beschreven, alsmede procedures over melding van incidenten.

onbekend

Nog niet onderzocht

10.8.2.3



Het eigenaarschap van gegevens en programmatuur en de verantwoordelijkheid voor de gegevensbescherming, auteursrechten, licenties van programmatuur zijn vastgelegd.

Is er vastgelegd wie eigenaar van gegevens en programmatuur is?

onbekend

Nog niet onderzocht

10.8.2.4



[A] Indien mogelijk wordt binnenkomende programmatuur (zowel op fysieke media als gedownload) gecontroleerd op ongeautoriseerde wijzigingen aan de hand van een door de leverancier via een gescheiden kanaal geleverde checksum of certificaat.

Is er een controle mechanisme voor binnenkomende programmatuur?

onbekend

Nog niet onderzocht

10.8.3.1


Fysieke media die worden getransporteerd

Om vertrouwelijke informatie te beschermen worden maatregelen Zijn er maatregelen genomen om vertrouwde informatie te genomen, zoals: beschermen? (zie hiernaast voor voorbeelden) •versleuteling •bescherming door fysieke maatregelen, zoals afgesloten containers •gebruik van verpakkingsmateriaal waaraan te zien is of getracht is het te openen •persoonlijke aflevering •opsplitsing van zendingen in meerdere delen en eventueel verzending via verschillende routes

onbekend

Nog niet onderzocht

10.8.3.2


Fysieke media die worden getransporteerd

[A] Fysieke verzending van bijzondere informatie dient te geschieden met goedgekeurde middelen, waardoor de inhoud niet zichtbaar, niet kenbaar en inbreuk detecteerbaar is.

Zijn er procedures voor fysieke verzending van bijzondere informatie? onbekend

Nog niet onderzocht

10.8.4.1


Elektronisch berichtenuitwisseling

[A] Digitale documenten binnen de gemeente waar eindgebruikers rechten aan kunnen ontlenen maken gebruik van PKI Overheid certificaten voor tekenen en/of encryptie.

Wordt er gebruik gemaakt van certificaten als eindgebruikers rechten onbekend kunnen ontlenen aan digitale documenten?

Nog niet onderzocht

10.8.4.2


Elektronisch berichtenuitwisseling

Er is een (spam) filter geactiveerd voor e-mail berichten.

Is er een spamfilter voor e-mail?

onbekend

Nog niet onderzocht

10.8.5.1


Systemen voor bedrijfsinformatie

Er zijn richtlijnen met betrekking tot het bepalen van de risico's die het Zijn er richtlijnen waarin aandacht besteed wordt zoals hiernaast gebruik van gemeentelijk informatie in kantoorapplicaties met zich benoemd bij het gebruik en de bepaling van de beveiliging van meebrengen en richtlijnen voor de bepaling van de beveiliging van deze kantoor applicaties? informatie binnen deze kantoorapplicaties. Hierin is minimaal aandacht besteed aan de toegang tot de interne informatievoorziening, toegankelijkheid van agenda's, afscherming van documenten, privacy, beschikbaarheid, backup en in voorkomend geval Cloud diensten.

onbekend

Nog niet onderzocht

10.9.1.1


E-commerce

[A] Conform verplichting worden authentieke basisregistraties van de overheid gebruikt (b.v. GBA). (eenmalige vastlegging, meervoudig gebruik)

onbekend

Nog niet onderzocht

10.9.2.1


Online-transacties

Een transactie wordt bevestigd (geautoriseerd) door een Worden transacties bevestigd met een elektronische handtekening of onbekend (gekwalificeerde) elektronische handtekening of een andere wilsuiting een andere wilsuiting? (bijv. een TAN code) van de gebruiker.

Nog niet onderzocht


Wordt er gemonitord op het automatisch doorzenden van mail naar externe mailadressen en is er een verbod op het doorzenden van mail?

Worden er alleen authentieke basisregistraties van de overheid gebruikt?

Actiehouder

Wanneer gereed?




Groep

Maatregel

Vraag

Aanwezig


Eigenaar

Status

10.9.2.2


Online-transacties

Een transactie is versleuteld, de partijen zijn geauthentiseerd en de privacy van betrokken partijen is gewaarborgd.

Worden transacties versleuteld en de partijen geauthentiseerd en is de privacy gewaarborgd?

onbekend

Nog niet onderzocht

10.9.3.1


Openbaar beschikbare informatie

Er zijn procedures die waarborgen dat gepubliceerde informatie is aangeleverd door daartoe geautoriseerde medewerkers.

Zijn er procedures dat alleen geautoriseerde medewerkers informatie onbekend kunnen publiceren?

Nog niet onderzocht

10.10.1.1


Logging en controle

Van logbestanden worden rapportages gemaakt die periodiek worden Zijn er logging rapportages? beoordeeld. Deze periode dient te worden gerelateerd aan de mogelijkheid van misbruik en de schade die kan optreden. De GBA logging kan bijvoorbeeld dagelijks nagelopen worden, evenals financiële systemen, controle van het Internet gebruik kan bijvoorbeeld per maand of kwartaal.

10.10.1.2


Logging en controle

Een logregel bevat minimaal: •een tot een natuurlijk persoon herleidbare gebruikersnaam of ID •de gebeurtenis (zie 10.10.2.1) •waar mogelijk de idenƟteit van het werkstaƟon of de locaƟe •het object waarop de handeling werd uitgevoerd •het resultaat van de handeling •de datum en het ƟjdsƟp van de gebeurtenis

10.10.1.3


Logging en controle

[A] In een logregel worden in geen geval gevoelige gegevens opgenomen. Dit betreft onder meer gegevens waarmee de beveiliging doorbroken kan worden (zoals wachtwoorden, inbelnummers, enz.).

10.10.1.4


Logging en controle

10.10.1.5


10.10.2.1

onbekend

Nog niet onderzocht

Is vastgelegd wat er in een logregel moet staan (zie hiernaast)?

onbekend

Nog niet onderzocht

Bevat een logregel geen gevoelige gegevens zoals wachtwoorden?

onbekend

Nog niet onderzocht

[A] Logberichten worden overzichtelijk samengevat. Daartoe zijn Worden logberichten overzichtelijk samengevat? systemen die logberichten genereren bij voorkeur aangesloten op een Security Information and Event Management systeem (SIEM ) waarmee meldingen en alarmoproepen aan de beheerorganisatie gegeven worden. Er is vastgelegd bij welke drempelwaarden meldingen en alarmoproepen gegenereerd worden.

onbekend

Nog niet onderzocht

Logging en controle

Controle op opslag van logging: het vollopen van het opslagmedium Is er controle op het vollopen van het opslagmedium voor logging? voor de logbestanden boven een bepaalde grens wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie. Dit geldt ook als het bewaren van loggegevens niet (meer) mogelijk is (bijv. een logserver die niet bereikbaar is).

onbekend

Nog niet onderzocht


Logging en controle

Worden de gebeurtenissen zoals hiernaast genoemd opgenomen in de logging?

onbekend

Nog niet onderzocht

10.10.3.1


Logging en controle

De volgende gebeurtenissen worden in ieder geval opgenomen in de logging: •gebruik van technische beheerfuncƟes, zoals het wijzigingen van configuratie of instelling; uitvoeren van een systeemcommando, starten en stoppen, uitvoering van een back-up of restore •gebruik van funcƟoneel beheerfuncƟes, zoals het wijzigingen van configuratie en instellingen, release van nieuwe functionaliteit, ingrepen in gegevenssets (waaronder databases) •handelingen van beveiligingsbeheer, zoals het opvoeren en afvoeren gebruikers, toekennen en intrekken van rechten, wachtwoordreset, uitgifte en intrekken van cryptosleutels •beveiligingsincidenten (zoals deofaanwezigheid testen op Het (automatisch) overschrijven verwijderen van malware, logbestanden wordt gelogd in de nieuw aangelegde log.

Wordt het overschrijven, verwijderen dan wel verplaatsen van logging onbekend vastgelegd in logging?

Nog niet onderzocht

10.10.3.2


Logging en controle

[A] Het raadplegen van logbestanden is voorbehouden aan geautoriseerde gebruikers. Hierbij is de toegang beperkt tot leesrechten.

Is logging read-only en alleen voor geautoriseerde gebruikers beschikbaar?

onbekend

Nog niet onderzocht

10.10.3.3


Logging en controle

Logbestanden worden zodanig beschermd dat deze niet aangepast of gemanipuleerd kunnen worden.

Wordt manipulatie en aanpassing van logging voorkomen?

onbekend

Nog niet onderzocht

10.10.3.4


Logging en controle

De instellingen van logmechanismen worden zodanig beschermd dat deze niet aangepast of gemanipuleerd kunnen worden. Indien de instellingen aangepast moeten worden zal daarbij altijd het vier ogen principe toegepast worden.

Worden de logginginstellingen beschermd?

onbekend

Nog niet onderzocht

10.10.3.5


Logging en controle

[A] De beschikbaarheid van loginformatie is gewaarborgd binnen de Is er een minimale logtermijn van 3 maanden en als er een incident termijn waarin loganalyse noodzakelijk wordt geacht, met een vermoed wordt minimaal 3 jaar? minimum van drie maanden, conform de wensen van de systeemeigenaar. Bij een (vermoed) informatiebeveiligingsincident is de bewaartermijn minimaal drie jaar.

onbekend

Nog niet onderzocht

10.10.3.6


Logging en controle

Controle op opslag van logging: het vollopen van het opslagmedium Is er alarmering op de logging? voor de logbestanden boven een bepaalde grens wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie. Dit geldt ook als het bewaren van loggegevens niet (meer) mogelijk is (bijv. een logserver die niet bereikbaar is).

onbekend

Nog niet onderzocht

10.10.4.1


Logging en controle

Zie 10.10.1

onbekend

Nog niet onderzocht

10.10.5.1


Logging en controle

Zie 10.10.1

onbekend

Nog niet onderzocht

10.10.6.1


Logging en controle

Systeemklokken worden zodanig gesynchroniseerd dat altijd een betrouwbare analyse van logbestanden mogelijk is.

onbekend

Nog niet onderzocht

11.1.1.1

11. Toegangsbeveiliging

Toegangsbeleid

Er behoort toegangsbeleid te worden vastgesteld, gedocumenteerd en Is er toegangsbeleid? beoordeeld op basis van bedrijfseisen en beveiligingseisen voor toegang.

onbekend

Nog niet onderzocht


Lopen alle systeemklokken gelijk?

Actiehouder

Wanneer gereed?




Groep

Maatregel

Vraag

Aanwezig

11.2.1.1


Registratie van gebruikers

Gebruikers worden vooraf geïdentificeerd en geautoriseerd. Van de registratie wordt een administratie bijgehouden.

Is er een procedure voor nieuwe gebruikers?

onbekend

Nog niet onderzocht

11.2.1.2



[A] Authenticatiegegevens worden bijgehouden in één bronbestand zodat consistentie is gegarandeerd.

Worden authenticatiegegevens in 1 bronbestand bij elkaar gehouden?

onbekend

Nog niet onderzocht

11.2.1.3



[A] Op basis van een risicoafweging wordt bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegeven.

Is er een risicoafweging bij de bepaling van toegangsrechten en is er functiescheiding?

onbekend

Nog niet onderzocht

11.2.2.1


Beheer van (speciale) bevoegdheden Gebruikers hebben toegang tot speciale bevoegdheden voorzover dat voor de uitoefening van hun taak noodzakelijk is (need to know, need to use).

Worden speciale bevoegdheden alleen gebruikt als ze nodig zijn?

onbekend

Nog niet onderzocht

11.2.2.2


Beheer van (speciale) bevoegdheden Systeemprocessen draaien onder een eigen gebruikersnaam (een functioneel account), voor zover deze processen handelingen verrichten voor andere systemen of gebruikers.

Draaien systeemprocessen onder een eigen account?

onbekend

Nog niet onderzocht

11.2.2.3


Beheer van (speciale) bevoegdheden Gebruikers krijgen slechts toegang tot een noodzakelijk geachte set van Krijgen gebruikers alleen die toegang die ze nodig hebben? applicaties en commando’s.

onbekend

Nog niet onderzocht

11.2.2.4


Beheer van (speciale) bevoegdheden Er is aandacht voor het wijzigen van bevoegdheden bij verandering van Is er een beleid bij werkverandering i.v.m. het wijzigen van functie / afdeling. bevoegdheden?

onbekend

Nog niet onderzocht

11.2.3.1


Beheer van gebruikerswachtwoorden Wachtwoorden worden nooit in originele vorm (plaintext) opgeslagen Worden wachtwoorden voldoende beschermd opgeslagen of of verstuurd, maar in plaats daarvan wordt bijvoorbeeld de hashwaarde verstuurd (hash + SALT) van het wachtwoord gecombineerd met een salt opgeslagen.

onbekend

Nog niet onderzocht

11.2.3.2


Is er een wachtwoord procedure of is er toegangsbeleid waarin Beheer van gebruikerswachtwoorden Ten aanzien van wachtwoorden geldt: tenminste de hiernaast genoemde aspecten verwoord is? •Wachtwoorden worden op een veilige manier uitgegeven (controle identiteit van de gebruiker). •Tijdelijke wachtwoorden of wachtwoorden die standaard in soŌware of hardware worden meegegeven worden bij eerste gebruik vervangen door een persoonlijk wachtwoord. •Gebruikers bevesƟgen de ontvangst van een wachtwoord. •Wachtwoorden zijn alleen bij de gebruiker bekend. •Wachtwoorden bestaan uit minimaal 8 karakters, waarvan tenminste 1 hoofdletter, 1 cijfer en 1 vreemd teken. •Wachtwoorden zijn maximaal 60 dagen geldig en mogen niet binnen 6 keer herhaald worden.

onbekend

Nog niet onderzocht

11.2.4.1


Beoordeling van toegangsrechten van Toegangsrechten van gebruikers worden periodiek, minimaal jaarlijks, gebruikers geëvalueerd. Het interval is beschreven in het toegangsbeleid en is bepaald op basis van het risiconiveau.

onbekend

Nog niet onderzocht

11.3.1.1


Gebruik van wachtwoorden

Aan de gebruikers is een set gedragsregels aangereikt met daarin Zijn gebruikers in het bezit van gedragsregels? minimaal het volgende: •Wachtwoorden worden niet opgeschreven. •Gebruikers delen hun wachtwoord nooit met anderen. •Wachtwoorden mogen niet opeenvolgend zijn •Een wachtwoord wordt onmiddellijk gewijzigd indien het vermoeden bestaat dat het bekend is geworden aan een derde.•Wachtwoorden worden niet gebruikt in automatische inlogprocedures (bijv. opgeslagen onder een functietoets of in een macro).

onbekend

Nog niet onderzocht

11.3.2.1


Onbeheerde gebruikersapparatuur

De gebruiker vergrendelt de werkplek tijdens afwezigheid. (zie ook : 11.5.5)

Is er een clear desk en clear screen policy?

onbekend

Nog niet onderzocht

11.3.3.1


Clear desk en clear screen

In het clear desk beleid staat minimaal dat de gebruiker geen vertrouwelijke informatie op het bureau mag laten liggen. Deze informatie moet altijd worden opgeborgen in een afsluitbare opbergmogelijkheid (kast, locker, bureau of kamer).

En staat daar het volgende in: Dat de gebruiker geen vertrouwelijke informatie op het bureau mag laten liggen. Deze informatie moet altijd worden opgeborgen in een afsluitbare opbergmogelijkheid (kast, locker, bureau of kamer).

onbekend

Nog niet onderzocht

11.3.3.2



Bij afdrukken van gevoelige informatie wordt, wanneer mogelijk, gebruik gemaakt van de functie “beveiligd afdrukken” (pincode verificatie).

Is er een functie voor beveiligd afdrukken van gevoelige informatie?

onbekend

Nog niet onderzocht

11.3.3.3



[A] Schermbeveiligingsprogrammatuur (een screensaver) maakt na een Is er een screensaver die automatisch in werking gaat na maximaal 15 onbekend periode van inactiviteit van maximaal 15 minuten alle informatie op het minuten inactiviteit? beeldscherm onleesbaar en ontoegankelijk.

Nog niet onderzocht

11.3.3.4



[A] Toegangsbeveiliging lock wordt automatisch geactiveerd bij het verwijderen van een token (indien aanwezig).

onbekend

Nog niet onderzocht

11.4.1.1


Beleid ten aanzien van het gebruik van netwerkdiensten

onbekend

Nog niet onderzocht

11.4.2.1


Authenticatie van gebruikers bij externe verbindingen

Er is een gedocumenteerd beleid met betrekking tot het gebruik van Is er netwerkgebruik beleid? netwerken en netwerkdiensten. Gebruikers krijgen slechts toegang tot de netwerkdiensten die voor het werk noodzakelijk zijn. Zie ook 11.2.2.3. Zie ook 11.6.1.3.

onbekend

Nog niet onderzocht

11.4.3.1


Identificatie van (netwerk)apparatuur [A] Alleen geïdentificeerde en geauthentiseerde apparatuur kan Is geregeld dat alleen geauthentiseerde apparatuur kan worden worden aangesloten op een vertrouwde zone. Eigen, geauthentiseerde, aangesloten op een vertrouwede zone? apparatuur (Bring Your Own Device) wordt alleen aangesloten op een onvertrouwde zone.

onbekend

Nog niet onderzocht

11.4.4.1


Bescherming op afstand van poorten Poorten, diensten en soortgelijke voorzieningen op een netwerk of voor diagnose en configuraties computer die niet vereist zijn voor de dienst dienen te worden afgesloten.

onbekend

Nog niet onderzocht


Worden de toegangsrechten minimaal jaarlijks geëvalueerd?

Is er een screenlock/saver die automatisch in werking gaat als een token verwijderd wordt? Indien aanwezig!

Is er patch en poort management?


Eigenaar

Status

Actiehouder

Wanneer gereed?




Groep

Maatregel

Vraag

Aanwezig


Eigenaar

Status

11.4.5.1


Scheiding van netwerken

[A] Werkstations worden zo ingericht dat routeren van verkeer tussen verschillende zones of netwerken niet mogelijk is.

Is verkeer tussen verschillende netwerk zones niet mogelijk?

onbekend

Nog niet onderzocht

11.4.5.2



[A] De indeling van zones binnen de technische infrastructuur vindt Is er beleid over zonering en wordt deze geëvalueerd? plaats volgens een operationeel beleidsdocument waarin is vastgelegd welke uitgangspunten voor zonering worden gehanteerd. Van systemen wordt bijgehouden in welke zone ze staan. Er wordt periodiek, minimaal één keer per jaar, geëvalueerd of het systeem nog steeds in de optimale zone zit of verplaatst moet worden.

onbekend

Nog niet onderzocht

11.4.5.3



[A] Elke zone heeft een gedefinieerd beveiligingsniveau Zodat de Hebben zones gedefinieerde beveiligingsniveaus? filtering tussen zones is afgestemd op de doelstelling van de zones en het te overbruggen verschil in beveiligingsniveau. Hierbij vindt controle plaats op protocol, inhoud en richting van de communicatie.

onbekend

Nog niet onderzocht

11.4.5.4



[A] Beheer en audit van zones vindt plaats vanuit een minimaal logisch Is er voor beheer en audit een logische gescheiden zone? gescheiden, separate zone.

onbekend

Nog niet onderzocht

11.4.5.5



Zonering wordt ingericht met voorzieningen waarvan de functionaliteit Is er hardening? is beperkt tot het strikt noodzakelijke (hardening van voorzieningen).

onbekend

Nog niet onderzocht

11.4.6.1


Beheersmaatregelen voor netwerkverbindingen

Voor gemeenschappelijke netwerken, vooral waar deze de grenzen van Is er toegangsbeleid bij zone overschrijdende gemeenschappelijke de organisatie overschrijden, behoren de toegangsmogelijkheden voor netwerken? gebruikers te worden beperkt, overeenkomstig het toegangsbeleid en de eisen van bedrijfstoepassingen (zie 11.1).

onbekend

Nog niet onderzocht

11.4.7.1


Beheersmaatregelen voor netwerkroutering

Netwerken zijn voorzien van beheersmaatregelen voor routering gebaseerd op mechanismen ter verificatie van bron en bestemmingsadressen.

Zijn er beheersmaatregelen voor routering en verificatie van bron en bestemming?

onbekend

Nog niet onderzocht

11.5.1.1


Beveiligde inlogprocedures

[A] Toegang tot kritische toepassingen of toepassingen met een hoog belang wordt verleend op basis van twee-factor authenticatie.

Wordt er gebruik gemaakt van two-factor bij kritische of hoog belang onbekend toepassingen?

Nog niet onderzocht

11.5.1.2



Het wachtwoord wordt niet getoond op het scherm tijdens het ingeven. Is een wachtwoord bij invoer onleesbaar? Er wordt geen informatie getoond die herleidbaar is tot de authenticatiegegevens.

onbekend

Nog niet onderzocht

11.5.1.3



Voorafgaand aan het aanmelden wordt aan de gebruiker een melding getoond dat alleen geautoriseerd gebruik is toegestaan voor expliciet door de organisatie vastgestelde doeleinden.

Is er een melding over geautoriseerd gebruik bij inloggen?

onbekend

Nog niet onderzocht

11.5.1.4



Bij een succesvol loginproces wordt de datum en tijd van de voorgaande login of loginpoging getoond. Deze informatie kan de gebruiker enige informatie verschaffen over de authenticiteit en/of misbruik van het systeem.

Is er bij een succesvolle login een melding van de voorgaande login?

onbekend

Nog niet onderzocht

11.5.1.5



[A] Nadat voor een gebruikersnaam 3 keer een foutief wachtwoord gegeven is, wordt het account minimaal 10 minuten geblokkeerd. Indien er geen lock-out periode ingesteld kan worden, dan wordt het account geblokkeerd totdat de gebruiker verzoekt deze lock-out op te heffen of het wachtwoord te resetten.

Is er een lockoutperiode?

onbekend

Nog niet onderzocht

11.5.2.1


Gebruikersindentificatie en –authenticatie

Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit vastgesteld evenals het feit dat de gebruiker recht heeft op het authenticatiemiddel.

Is er controle op de uitgifte van authenticatiemiddelen?

onbekend

Nog niet onderzocht

11.5.2.2



Bij het intern gebruik van IT voorzieningen worden gebruikers minimaal Is er minimaal een wachtwoord nodig bij authenticatie van gebruikers onbekend geauthentiseerd op basis van wachtwoorden. (intern)?

Nog niet onderzocht

11.5.2.3



[A] Applicaties mogen niet onnodig en niet langer dan noodzakelijk onder een systeemaccount (een privileged user zoals administrator of root) draaien. Direct na het uitvoeren van handelingen waar hogere rechten voor nodig zijn, wordt weer teruggeschakeld naar het niveau van een gewone gebruiker (een unprivileged user).

11.5.3.1


Systemen voor wachtwoordenbeheer Er wordt automatisch gecontroleerd op goed gebruik van wachtwoorden (o.a. voldoende sterke wachtwoorden , regelmatige wijziging, directe wijziging van initieel wachtwoord).

11.5.3.2

Hebben applicaties niet meer rechten dan nodig?

onbekend

Nog niet onderzocht

Wordt er automatisch gecontroleerd op het gebruik van wachtwoorden, bijvoorbeeld door een policy setting in de systemen of in de applicatie?

onbekend

Nog niet onderzocht


Systemen voor wachtwoordenbeheer [A] Wachtwoorden hebben een geldigheidsduur zoals beschreven bij Is de geldigheidsduur van wachtwoorden in te stellen en wordt dit onbekend 11.2.3 . Daarbinnen dient het wachtwoord te worden gewijzigd. afgedwongen, bijvoorbeeld door een policy setting in de systemen of Wanneer het wachtwoord verlopen is, wordt het account geblokkeerd. in de applicatie?

Nog niet onderzocht

11.5.3.3


Systemen voor wachtwoordenbeheer [A] Wachtwoorden die gereset zijn en initiële wachtwoorden hebben een zeer beperkte geldigheidsduur en moeten bij het eerste gebruik worden gewijzigd.

Is een verstrekt tijdelijk wachtwoord beperkt in geldigheidsduur, en is onbekend er een regel/policy die afdwingt dat dit wachtwoord bij eerste gebruik dient te worden gewijzigd?

Nog niet onderzocht

11.5.3.4


Systemen voor wachtwoordenbeheer De gebruikers hebben de mogelijkheid hun eigen wachtwoord te kiezen en te wijzigen. Hierbij geldt het volgende: • voordat een gebruiker zijn wachtwoord kan wijzigen, wordt de gebruiker opnieuw geauthentiseerd. • ter voorkoming van typefouten in het nieuw gekozen wachtwoord is er een bevestigingsprocedure.

Hebben de gebruikers de mogelijkheid hun eigen wachtwoord te onbekend kiezen en te wijzigen? Hierbij geldt het volgende: • voordat een gebruiker zijn wachtwoord kan wijzigen, wordt de gebruiker opnieuw geauthentiseerd. • ter voorkoming van typefouten in het nieuw gekozen wachtwoord is er een bevestigingsprocedure.

Nog niet onderzocht

11.5.4.1


Gebruik van systeemhulpmiddelen

Het gebruik van hulpprogrammatuur waarmee systeem- en toepassingsbeheersmaatregelen zouden kunnen worden gepasseerd behoort te worden beperkt en behoort strikt te worden beheerst.

is het gebruik van hulpprogrammatuur waarmee systeem en onbekend toepassingsbeheersmaatregelen zouden kunnen worden gepasseerd, beperkt tot beheerders?

Nog niet onderzocht

11.5.5.1


Time-out van sessies

[A] De periode van inactiviteit van een werkstation is vastgesteld op Is er een time out ingesteld van 15 minuten of korter voor het maximaal 15 minuten. Daarna wordt de PC vergrendeld. Bij remote werkstation? desktop sessies geldt dat na maximaal 15 minuten inactiviteit de sessie Is dit ook voor remote sessies zo ingesteld? verbroken wordt.


onbekend

Actiehouder

Wanneer gereed?


Nog niet onderzocht



Groep

Maatregel

Vraag

11.5.6.1


Beperking van verbindingstijd

[A] De toegang voor onderhoud op afstand door een leverancier wordt Worden er systemen onderhouden door derden die daar vanaf alleen opengesteld op basis een wijzigingsverzoek of storingsmelding. afstand bij mogen, waarbij alleen op basis van een wijzigingsverzoek Met 2-factor authenticatie en tunneling. of storingsmelding toegang wordt verleend door middel van 2 factor authenticering en tunneling?

11.6.1.1


11.6.1.2

Aanwezig


Eigenaar

Status

onbekend

Nog niet onderzocht

Beperken van toegang tot informatie In de soort toegangsregels wordt ten minste onderscheid gemaakt tussen lees- en schrijfbevoegdheden.

onbekend

Nog niet onderzocht


Beperken van toegang tot informatie [A] Managementsoftware heeft de mogelijkheid gebruikerssessies af te sluiten.

onbekend

Nog niet onderzocht

11.6.1.3


Beperken van toegang tot informatie [A] Bij extern gebruik vanuit een onvertrouwde omgeving vindt sterke authenticatie (two-factor) van gebruikers plaats.

Vind bij toegang vanuit een onvertrouwde omgeving 2 factor authenticatie plaats?

onbekend

Nog niet onderzocht

11.6.1.4


Beperken van toegang tot informatie [A] Een beheerder gebruikt two-factor authenticatie voor het beheer van kritische apparaten. B.v. een sleutel tot beveiligde ruimte en een password of een token en een password.

Wordt voor beheer van systemen gebruik gemaakt van 2 factor authenticatie, zoals in het voorbeeld genoemd?

onbekend

Nog niet onderzocht

11.6.2.1


Isoleren van gevoelige systemen

[A] Gevoelige systemen (met hoge beschikbaarheid of grote vertrouwelijkheid) behoren een eigen vast toegewezen (geïsoleerde) computeromgeving te hebben. Isoleren kan worden bereikt door fysieke of logische methoden.

Zijn gevoelige systemen geïsoleerd van andere systemen?

onbekend

Nog niet onderzocht

11.7.1.1


Draagbare computers en communicatievoorzieningen

[A] Het mobiele apparaat is waar mogelijk zo ingericht dat geen bedrijfsinformatie wordt opgeslagen (“zero footprint”). Voor het geval dat zero footprint (nog) niet realiseerbaar is, of functioneel onwenselijk is, geldt: een mobiel apparaat (zoals een handheld computer, tablet, smartphone, PDA) biedt de mogelijkheid om de toegang te beschermen d.m.v. een wachtwoord en versleuteling van die gegevens. Voor printen in onvertrouwde omgevingen vindt een risicoafweging plaats

Worden er mobiele apparaten binnen de gemeente toegestaan voor toegang tot bedrijfsinformatie?

onbekend

Nog niet onderzocht

Wanneer gereed?


Is daarvoor zero footprint software in gebruik of een wachtwoord (pincode) en versleuteling van gegevens?

11.7.1.2



[A] Er zijn, waar mogelijk, voorzieningen om de actualiteit van antimalware programmatuur op mobiele apparaten te garanderen.

Op mobiele apparaten van de gemeente wordt anti malware software onbekend gebruikt welke regelmatig wordt geupdate.

Nog niet onderzocht

11.7.1.3



[A] Bij melding van verlies of diefstal wordt de communicatiemogelijkheid met de centrale applicaties afgesloten.

Wordt bij melding van verlies of diefstal de communicatiemogelijkheid met centrale applicaties afgesloten?

onbekend

Nog niet onderzocht

11.7.2.1


Telewerken

Er wordt een beleid met gedragsregels en een geschikte implementatie Is er telewerk beleid binnen de gemeente (indien van toepassing?) van de techniek opgesteld t.a.v. telewerken.

onbekend

Nog niet onderzocht

11.7.2.2


Telewerken

Er wordt beleid vastgesteld met daarin de uitwerking welke systemen Is er in dit telewerk beleid vastgesteld welke systemen wel en welke niet en welke systemen wel vanuit de thuiswerkplek of andere systemen niet mogen worden geraadpleegd? telewerkvoorzieningen mogen worden geraadpleegd. Dit beleid wordt Is hiervoor aparte software die dit ondersteund? bij voorkeur ondersteund door een MDM-oplossing (mobile device management).

onbekend

Nog niet onderzocht

11.7.2.3


Telewerken

[A] De telewerkvoorzieningen zijn waar mogelijk zo ingericht dat op de werkplek (thuis of op een andere locatie) geen bedrijfsinformatie wordt opgeslagen (“zero footprint”) en mogelijke malware vanaf de werkplek niet in het vertrouwde deel terecht kan komen. Voor printen in onvertrouwde omgevingen vindt een risicoafweging plaats.

onbekend

Nog niet onderzocht

12.1.1.1

12. Verwerving, onderhoud en ontwikkeling

Analyse en specificatie van beveiligingseisen

In projecten worden een beveiligingsrisicoanalyse en Is er een procedure die nageleefd wordt dat bij projecten een maatregelbepaling opgenomen als onderdeel van het ontwerp. Ook bij risicoanalyse en maatregelbepaling onderdeel is van het ontwerp? wijzigingen worden de veiligheidsconsequenties meegenomen. Wordt dit ook gedaan in de wijzigingsbeheer procedure?

onbekend

Nog niet onderzocht

12.1.1.2



In standaarden voor analyse, ontwikkeling en testen van informatiesystemen wordt structureel aandacht besteed aan beveiligingsaspecten. Waar mogelijk wordt gebruikt gemaakt van bestaande richtlijnen (bijv. secure coding guidelines ).

Wordt bij analyse, ontwikkelen en testen van informatiesystemen aandacht besteed aan het testen van beveiligingsaspecten?

onbekend

Nog niet onderzocht

12.1.1.3



Bij aanschaf van producten wordt een proces gevolgd waarbij beveiliging een onderdeel is van de specificatie.

Wordt bij aanbesteding van producten beveiliging meegenomen als onderdeel van de specificatie?

onbekend

Nog niet onderzocht

12.1.1.4



Waar het gaat om beveiligingsrelevante producten wordt de keuze voor Zijn er voor beveiligingsrelevante producten die gebruikt worden een bepaald product verantwoord onderbouwd. verantwoorde onderbouwingen?

onbekend

Nog niet onderzocht

12.1.1.5



Voor beveiliging worden componenten gebruikt die aantoonbaar voldoen voor beveiliging gebruikte componenten aantoonbaar aan voldoen aan geaccepteerde beveiligingscriteria zoals NBV goedkeuring beveiligingscriteria van het NBV of volgens ISO/IEC 15408? of certificering volgens ISO/IEC 15408 (common criteria) .

onbekend

Nog niet onderzocht

12.1.1.6



Er is expliciet aandacht voor leveranciers accounts, hardcoded wachtwoorden en mogelijke “achterdeurtjes”.

onbekend

Nog niet onderzocht

12.2.1.1


Validatie van invoergegevens

Er moeten controles worden uitgevoerd op de invoer van gegevens. Daarbij wordt minimaal gecontroleerd op grenswaarden, ongeldige tekens, onvolledige gegevens, gegevens die niet aan het juiste format voldoen, toevoegen van parameters (SQL-Injection) en inconsistentie van gegevens.

onbekend

Nog niet onderzocht

12.2.2.1


Beheersing van interne gegevensverwerking

Er bestaan voldoende mogelijkheden om reeds ingevoerde gegevens te Zijn er voldoende mogelijkheden om reeds ingevoerde gegevens aan kunnen corrigeren door er gegevens aan te kunnen toevoegen. te vullen.

onbekend

Nog niet onderzocht


Actiehouder

Is de telewerk voorziening zo ingericht dat op de telewerk werkplek geen data lokaal kan worden opgeslagen? En dat eventuele malware niet in het vertrouwde deel terecht kan komen?

Controleer of er een procedure is voor het aanpassen van standaard leveranciers wachtwoorden. Controleer of er een log of registratie is van aangepaste wachtwoorden. Controleer of bij applicaties aandacht is voor het controleren van de invoer van gegevens. Met name aandacht hebben voor web applicaties, hanteer hierbij NCSC of OWASP richtlijnen.



Groep

Maatregel

Vraag

Aanwezig

12.2.2.2



Het informatiesysteem moet functies bevatten waarmee vastgesteld kan worden of gegevens correct verwerkt zijn. Hiermee wordt een geautomatiseerde controle bedoeld waarmee (duidelijke) transactieen verwerkingsfouten kunnen worden gedetecteerd.

Worden transactie en/of verwerkingsfouten gedetecteerd door middel van een automatische controle gevolgd door een melding / controle mogelijkheid welke nagelopen wordt?

onbekend

Nog niet onderzocht

12.2.2.3



Stapelen van fouten wordt voorkomen door toepassing van “noodstop” Zijn er noodstop mechanismen die er voor zorgen dat stapeling van mechanismen. fouten wordt voorkomen?

onbekend

Nog niet onderzocht

12.2.2.4



Verwerkingen zijn bij voorkeur herstelbaar zodat bij het optreden van Zijn verwerkingen herstelbaar in het geval van fouten? (bijvoorbeeld fouten en/of wegraken van informatie dit hersteld kan worden door het verwerken batchjobs, berichtenverwerking etcetera). opnieuw verwerken van de informatie.

onbekend

Nog niet onderzocht

12.2.3.1


Integriteit van berichten

Er behoren eisen te worden vastgesteld, en geschikte beheersmaatregelen te worden vastgesteld en geïmplementeerd, voor het bewerkstelligen van authenticiteit en het beschermen van integriteit van berichten in toepassingen.

Zijn er voorzieningen en beheersmaatregelen geïmplementeerd voor onbekend het bewerkstelligen van authenticiteit en beschermen van integriteit van berichten in toepassingen. (denk aan afzender controle, encryptie, apparaat authenticatie etcetera).

Nog niet onderzocht

12.2.4.1


Validatie van uitvoergegevens

De uitvoerfuncties van programma's maken het mogelijk om de volledigheid en juistheid van de gegevens te kunnen vaststellen (bijv. door checksums).

Zijn er programma's met uitvoerfuncties waarbij de volledigheid en juistheid van de gegevens kan worden vastgesteld.

onbekend

Nog niet onderzocht

12.2.4.2



Bij uitvoer van gegevens wordt gegarandeerd dat deze met het juiste niveau van vertrouwelijkheid beschikbaar gesteld worden (bijv. beveiligd printen).

Worden gegevens die uitgevoerd worden met het juiste niveau van onbekend vertrouwelijkheid beschikbaar gesteld (behorend bij de classificatie?)

Nog niet onderzocht

12.2.4.3



Alleen gegevens die noodzakelijk zijn voor de doeleinden van de gebruiker worden uitgevoerd (need to know).

Wordt gebruik gemaakt van het need to know principe, zodat alleen onbekend gegevens die noodzakelijk zijn voor de gebruiker worden uitgevoerd?

Nog niet onderzocht

12.3.1.1


Beleid voor het gebruik van cryptografische beheersmaatregelen

De gebruikte cryptografische algoritmen voor versleuteling zijn als open Worden er alleen cryptografische algoritmen gebruikt die als open standaard gedocumenteerd en zijn door onafhankelijke betrouwbare standaard zijn gedefinieerd en door onafhankelijke deskundige deskundigen getoetst. getoetst? (bijvoorbeeld AES)

onbekend

Nog niet onderzocht

12.3.1.2



Bij de inzet van cryptografische producten volgt een afweging van de risico’s aangaande locaties, processen en behandelende partijen.

Is er beleid voor het inzetten van cryptografische producten waarbij de afweging gemaakt is aangaande locaties, processen en behandelende partijen?

onbekend

Nog niet onderzocht

12.3.1.3



[A] De cryptografische beveiligingsvoorzieningen en componenten voldoen aan algemeen gangbare beveiligingscriteria (zoals FIPS 140-2 en waar mogelijk NBV).

Voldoen de cryptografische beveiligingsvoorzieningen aan de algemeen gangbare beveiligingscriteria?

onbekend

Nog niet onderzocht

12.3.2.1


Sleutelbeheer

In het sleutelbeheer is minimaal aandacht besteed aan het proces, de actoren en hun verantwoordelijkheden.

Is, als er gebruik gemaakt wordt van cryptografie een sleutelbeheer proces met aandacht voor actoren en verantwoordelijkheden?

onbekend

Nog niet onderzocht

12.3.2.2


Sleutelbeheer

De geldigheidsduur van cryptografische sleutels wordt bepaald aan de Is in het cryptografisch beleid vastgelegd welke geldigheidsduur voor onbekend hand van de beoogde toepassing en is vastgelegd in het cryptografisch sleutels geldt in relatie tot de toepassing? beleid.

Nog niet onderzocht

12.3.2.3


Sleutelbeheer

De vertrouwelijkheid van cryptografische sleutels dient te zijn gewaarborgd tijdens generatie, gebruik, transport en opslag van de sleutels.

Nog niet onderzocht

12.3.2.4


Sleutelbeheer

Er is een procedure vastgesteld waarin is bepaald hoe wordt omgegaan Is er een procedure vastgesteld waarin is bepaald hoe wordt met gecompromitteerde sleutels. omgegaan met gecompromitteerde sleutels?

onbekend

Nog niet onderzocht

12.3.2.5


Sleutelbeheer

[A] Bij voorkeur is sleutelmanagement ingericht volgens PKI Overheid

Is sleutelmanagement bij voorkeur ingericht volgens PKI overheid?

onbekend

Nog niet onderzocht

12.4.1.1


Beheersing van operationele programmatuur

Alleen geautoriseerd personeel kan functies en software installeren of activeren.

Kan alleen geautoriseerd personeel functies en software installeren of onbekend activeren?

Nog niet onderzocht

12.4.1.2



Programmatuur behoort pas te worden geïnstalleerd op een productieomgeving na een succesvolle test en acceptatie.

Wordt programmatuur geïnstalleerd op de productieomgeving na een onbekend succesvolle test en acceptatie?

Nog niet onderzocht

12.4.1.3



Geïnstalleerde programmatuur, configuraties en documentatie worden Worden geïnstalleerde programmatuur, configuraties en bijgehouden in een configuratiedatabase. documentatie bijgehouden in een configuratiedatabase?

onbekend

Nog niet onderzocht

12.4.1.4



Er worden alleen door de leverancier onderhouden (versies van) software gebruikt.

Worden er alleen door de leverancier onderhouden (versies van) software gebruikt?

onbekend

Nog niet onderzocht

12.4.1.5



Van updates wordt een log bijgehouden.

Is er een bijgehouden log van programmatuur updates?

onbekend

Nog niet onderzocht

12.4.1.6



Er is een rollbackstrategie.

Is er voor de uitrol van nieuwe of gewijzigde versies programmatuur een rollbackstrategie per uitrol / change / release?

onbekend

Nog niet onderzocht

12.4.2.1


Bescherming van testdata

Het gebruik van kopieën van operationele databases voor testgegevens Wordt het gebruik van operationele database vermeden voor testen? onbekend wordt vermeden. Indien toch noodzakelijk, worden de gegevens zoveel En indien dit niet mogelijk is, wordt er dan gebruik gemaakt van mogelijk geanonimiseerd en na de test zorgvuldig verwijderd. geanonimiseerde data welke na test zorgvuldig wordt verwijderd?

Nog niet onderzocht

12.4.3.1


Toegangsbeheersing voor broncode van programmatuur

De toegang tot broncode wordt zoveel mogelijk beperkt om de code tegen onbedoelde wijzigingen te beschermen. Alleen geautoriseerde personen hebben toegang.

Wordt de toegang tot broncode zoveel mogelijk beperkt tot alleen onbekend geautoriseerden personen, om de code tegen onbedoelde wijzigingen te beschermen?

Nog niet onderzocht

12.4.3.2


Toegangsbeheersing voor broncode van programmatuur

Broncode staat op aparte (logische) systemen.

Staat broncode op aparte (logische) systemen. (O-omgeving) ?

Nog niet onderzocht


Is binnen het sleutelbeheerproces waarborg dat de vertrouwelijkheid onbekend van sleutels is gegarandeerd tijdens generatie, gebruik, transport en opslag?

onbekend


Eigenaar

Status

Actiehouder

Wanneer gereed?




Groep

Maatregel

Vraag

Aanwezig

12.5.1.1


Procedures voor wijzigingsbeheer

Er is aantoonbaar wijzigingsmanagement ingericht volgens gangbare best practices zoals ITIL en voor applicaties ASL.

Is er aantoonbaar wijzigingsmanagement ingericht volgens gangbare best practices zoals ITIL en voor applicaties ASL?

onbekend

Nog niet onderzocht

12.5.2.1


Technische beoordeling van toepassingen na wijzigingen in het besturingssysteem

Van aanpassingen (zoals updates) aan softwarematige componenten van de technische infrastructuur wordt vastgesteld dat deze de juiste werking van de technische componenten niet in gevaar brengen.

Wordt van aanpassingen (zoals updates) aan softwarematige componenten van de technische infrastructuur vastgesteld dat deze de juiste werking van de technische componenten niet in gevaar brengen door middel van testen?

onbekend

Nog niet onderzocht

12.5.3.1


Restricties op wijzigingen in programmatuurpakketten

Bij het instellen van besturingsprogrammatuur en programmapakketten Wordt bij het instellen van besturingsprogrammatuur en wordt uitgegaan van de aanwijzingen van de leverancier. programmapakketten uitgegaan van de aanwijzingen van de leverancier?

onbekend

Nog niet onderzocht

12.5.4.1


Uitlekken van informatie

Op het grensvlak van een vertrouwde en een onvertrouwde omgeving vindt content-scanning plaats.

Vindt op het grensvlak van een vertrouwde en een onvertrouwde omgeving content-scanning plaats met als doel het uitlekken van informatie tegen te gaan?

onbekend

Nog niet onderzocht

12.5.4.2


Uitlekken van informatie

Er dient een proces te zijn om te melden dat (persoons) informatie is uitgelekt. (zie 13.1.1)

Is er een proces ingericht om te melden dat (persoons) informatie is uitgelekt? (zie 13.1.1)

onbekend

Nog niet onderzocht

12.5.5.1


Uitbestede ontwikkeling van programmatuur

Uitbestede ontwikkeling van programmatuur komt tot stand onder supervisie en verantwoordelijkheid van de uitbestedende organisatie. Er worden maatregelen getroffen om de kwaliteit en vertrouwelijkheid te borgen (bijv. stellen van veiligheidseisen, regelen van beschikbaarheid en eigendomsrecht van de code, certificatie, kwaliteitsaudits, testen en aansprakelijkheidsregelingen).

Wordt onder supervisie en verantwoordelijkheid van de onbekend uitbestedende organisatie de uitbestede ontwikkeling van programmatuur uitgevoerd? Worden er maatregelen getroffen om de kwaliteit en vertrouwelijkheid te borgen (bijv. stellen van veiligheidseisen, regelen van beschikbaarheid en eigendomsrecht van de code, certificatie, kwaliteitsaudits, testen en aansprakelijkheidsregelingen)?

Nog niet onderzocht

12.6.1.1


Beheersing van technische kwetsbaarheden

Er is een proces ingericht voor het beheer van technische kwetsbaarheden; dit omvat minimaal het melden van incidenten aan de IBD, periodieke penetratietests, risicoanalyses van kwetsbaarheden en patching.

Er is een proces ingericht voor het beheer van technische onbekend kwetsbaarheden; dit omvat minimaal het melden van incidenten aan de IBD, periodieke penetratietests, risicoanalyses van kwetsbaarheden en patching.

Nog niet onderzocht

12.6.1.2



Van softwarematige voorzieningen van de technische infrastructuur kan Wordt van softwarematige voorzieningen van de technische onbekend infrastructuur kan (bij voorkeur geautomatiseerd) gecontroleerd of de (bij voorkeur geautomatiseerd) gecontroleerd worden of de laatste updates (patches) in zijn doorgevoerd. Het doorvoeren van een update laatste updates (patches) in zijn doorgevoerd? vindt niet geautomatiseerd plaats, tenzij hier speciale afspraken over zijn met de leverancier.

Nog niet onderzocht

12.6.1.3



Indien een patch beschikbaar is, dienen de risico's verbonden met de Is er een vorm van patchmanagement waarbij indien een patch installatie van de patch te worden geëvalueerd (de risico's verbonden beschikbaar is, de risico's verbonden met de installatie van de patch met de kwetsbaarheid dienen vergeleken te worden met de risico's van worden geëvalueerd? het installeren van de patch).

onbekend

Nog niet onderzocht

12.6.1.4



[A] Updates/patches voor kwetsbaarheden waarvan de kans op Worden kritische patches zo spoedig mogelijk, binnen een week, na misbruik hoog is en waarvan de schade hoog is worden zo spoedig testen, geïmplementeerd? mogelijk doorgevoerd, echter minimaal binnen één week. Minder kritische beveiliging-updates/patches moeten worden ingepland bij de eerst volgende onderhoudsronde.

onbekend

Nog niet onderzocht

12.6.1.5



Indien nog geen patch beschikbaar is dient gehandeld te worden volgens het advies van de IBD of een andere CERT zoals bijvoorbeeld het NCSC.

onbekend

Nog niet onderzocht

13.1.1.1

13. Beheer van incidenten Rapportage van Er is een procedure voor het rapporteren van Is er een incidentmanagement procedure en is deze in werking? informatiebeveiligingsgebeurtenissen beveiligingsgebeurtenissen vastgesteld, in combinatie met een reactieen escalatieprocedure voor incidenten, waarin de handelingen worden vastgelegd die moeten worden genomen na het ontvangen van een rapport van een beveiligingsincident.

onbekend

Nog niet onderzocht

13.1.1.2

13. Beheer van incidenten Rapportage van Er is een procedure voor communicatie met de IBD. informatiebeveiligingsgebeurtenissen

Is er een procedure voor communicatie met de IBD?

onbekend

Nog niet onderzocht

13.1.1.3

13. Beheer van incidenten Rapportage van [A] Er is een contactpersoon (DSC) aangewezen voor het rapporteren informatiebeveiligingsgebeurtenissen van beveiligingsincidenten. Voor integriteitsschendingen is ook een vertrouwenspersoon aangewezen die meldingen in ontvangst neemt.

Is er binnen de gemeente een ACIB en/of VCIB aangewezen? Is er ook een vertrouwenspersoon binnen de gemeente voor integriteitsschendingen?

onbekend

Nog niet onderzocht

13.1.1.4

13. Beheer van incidenten Rapportage van Alle beveiligingsincidenten worden vastgelegd in een systeem en informatiebeveiligingsgebeurtenissen geëscaleerd aan de IBD.

Worden beveiligingsincidenten vastgelegd in een systeem en vind escalatie naar de IBD plaats?

onbekend

Nog niet onderzocht

13.1.1.5

13. Beheer van incidenten Rapportage van Vermissing of diefstal van apparatuur of media die gegevens van de informatiebeveiligingsgebeurtenissen gemeente kunnen bevatten wordt altijd ook aangemerkt als informatiebeveiligingsincident.

Wordt vermissing of diefstal van apparatuur of media die gegevens bevatten of kunnen bevatten aangemerkt als informatiebeveiligingsincident?

onbekend

Nog niet onderzocht

13.1.1.6

13. Beheer van incidenten Rapportage van Informatie over de beveiligingsrelevante handelingen, bijvoorbeeld informatiebeveiligingsgebeurtenissen loggegevens, foutieve inlogpogingen, van de gebruiker wordt regelmatig nagekeken. De CISO bekijkt periodiek – bij voorkeur maandelijks - een samenvatting van de informatie.

Wordt informatie over beveiligingsrelevante handelingen periodiek nagekeken door bijvoorbeeld een beheerder. Kijkt de CISO periodiek naar een samenvatting van de informatie (bij voorkeur maandelijks)?

onbekend

Nog niet onderzocht

13.1.2.1

13. Beheer van incidenten Rapportage van zwakke plekken in de Er is een proces om eenvoudig en snel beveiligingsincidenten en beveiliging zwakke plekken in de beveiliging te melden.

Is er een proces om eenvoudig en snel beveiligingsincidenten en zwakke plekken in de beveiliging te melden?

onbekend

Nog niet onderzocht

13.2.1.1

13. Beheer van incidenten Verantwoordelijkheden en procedures

Er zijn procedures voor rapportage van gebeurtenissen en escalatie. Alle medewerkers behoren op de hoogte te zijn van deze procedures.

Zijn er procedures voor rapportage van gebeurtenissen en escalatie? Zijn de medewerkers op de hoogte van deze procedures?

onbekend

Nog niet onderzocht

13.2.2.1

13. Beheer van incidenten Leren van informatiebeveiligingsincidenten

De informatie verkregen uit het beoordelen van beveiligingsmeldingen Wordt de informatie verkregen uit het beoordelen van wordt geëvalueerd met als doel beheersmaatregelen te verbeteren. beveiligingsmeldingen wordt geëvalueerd met als doel (PDCA Cyclus) beheersmaatregelen te verbeteren?

onbekend

Nog niet onderzocht

13.2.3.1

13. Beheer van incidenten Verzamelen van bewijsmateriaal

Voor een vervolgprocedure naar aanleiding van een beveiligingsincident behoort bewijsmateriaal te worden verzameld, bewaard en gepresenteerd overeenkomstig de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgelegd.

onbekend

Nog niet onderzocht


Is er een proces waar het advies van het NCSC of een andere CERT wordt meegenomen om met kwetsbaarheden om te gaan.

Is er een proces/aanpak voor het verzamelen, bewaren en presenteren van bewijsmateriaal naar aanleiding van een beveiligingsincidenmateriaal (overeenkomstig de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgelegd) ?


Eigenaar

Status

Actiehouder

Wanneer gereed?




Groep

Maatregel

Vraag

Aanwezig


Eigenaar

Status

14.1.1.1

14. Informatiebeveiliging opnemen in het [A] Calamiteitenplannen worden gebruikt in de jaarlijkse Bedrijfscontinuiteitsbehee proces van bewustwording-, training- en testactiviteiten. r bedrijfscontinuïteitsbeheer

Worden calamiteitenplannen gebruikt in de jaarlijkse bewustwording- onbekend , training- en testactiviteiten? Waar blijkt dat uit?

Nog niet onderzocht

14.1.2.1

14. Bedrijfscontinuïteit en Bedrijfscontinuiteitsbehee risicobeoordeling r

Is er een Business Impact Analyse (BIA) waarin de gebeurtenissen worden geïdentificeerd die kunnen leiden tot discontinuïteit in het bedrijfsproces? Is hierbij in kaart gebracht de waarschijnlijkheid en de gevolgen van de discontinuïteit in termen van tijd, schade en herstelperiode?

onbekend

Nog niet onderzocht

14.1.3.1

14. Continuïteitsplannen ontwikkelen en In de continuïteitsplannen wordt minimaal aandacht besteed aan: Bedrijfscontinuiteitsbehee implementeren waaronder •IdenƟficaƟe van essenƟële procedures voor bedrijfsconƟnuïteit. r informatiebeveiliging •Wie het plan mag acƟveren en wanneer, maar ook wanneer er weer gecontroleerd teruggaan wordt. •Veilig te stellen informaƟe (aanvaardbaarheid van verlies van informatie). •Prioriteiten en volgorde van herstel en reconstrucƟe. •DocumentaƟe van systemen en processen. •Kennis en kundigheid van personeel om de processen weer op te starten.

Zijn er continuïteitsplannen? onbekend waar minimaal aandacht wordt besteed aan: • idenƟficaƟe van essenƟële procedures voor bedrijfsconƟnuïteit. • wie het plan mag acƟveren en wanneer, maar ook wanneer er weer gecontroleerd teruggaan wordt. • veilig te stellen informaƟe (aanvaardbaarheid van verlies van informatie). • prioriteiten en volgorde van herstel en reconstrucƟe. • documentaƟe van systemen en processen. • kennis en kundigheid van personeel om de processen weer op te starten.

Nog niet onderzocht

14.1.4.1

14. Kader voor de Bedrijfscontinuiteitsbehee bedrijfscontinuïteitsplanning r

Er behoort een enkelvoudig kader voor bedrijfscontinuïteitsplannen te worden gehandhaafd om te bewerkstelligen dat alle plannen consistent zijn, om eisen voor informatiebeveiliging op consistente wijze te behandelen en om prioriteiten vast te stellen voor testen en onderhoud.

Wordt er een enkelvoudig kader voor bedrijfscontinuïteitsplannen gehandhaafd om te bewerkstelligen dat alle plannen consistent zijn, om eisen voor informatiebeveiliging op consistente wijze te behandelen en om prioriteiten vast te stellen voor testen en onderhoud?

onbekend

Nog niet onderzocht

14.1.5.1

14. #N/A Bedrijfscontinuiteitsbehee r

[A] Er worden minimaal jaarlijks oefeningen en/of testen gehouden om de bedrijfscontinuïteitsplannen en mate van readiness van de organisatie te toetsen (opzet, bestaan en werking). Aan de hand van de resultaten worden de plannen bijgesteld en wordt de organisatie bijgeschoold.

[A] Er worden minimaal jaarlijks oefeningen en/of testen gehouden om de bedrijfscontinuïteitsplannen en mate van readiness van de organisatie te toetsen (opzet, bestaan en werking). Aan de hand van de resultaten worden de plannen bijgesteld en wordt de organisatie bijgeschoold.

onbekend

Nog niet onderzocht

15.1.1.1

15. Naleving

Identificatie van toepasselijke wetgeving

Er is vastgesteld welke wetten en wettelijke maatregelen van Er is een overzicht aanwezig waarin is vastgelegd welke wetten en/of onbekend wettelijke maatregelen van toepassing zijn op de organisatie toepassing zijn op de organisatie of organisatieonderdelen. (onderdelen)? Zo ja waar ligt deze en is deze actueel? Deze lijst is in conceptvorm te vinden op: http://www.kinggemeenten.nl/media/190590/20101126_Conceptlijstaanvullende-inhoud-Informatiebeveiliging-v040.pdf

Nog niet onderzocht

15.1.2.1

15. Naleving

Intellectuele eigendomsrechten (Intellectual Property Rights)

Er is toezicht op het naleven van wettelijke verplichtingen m.b.t. intellectueel eigendom, auteursrechten en gebruiksrechten.

onbekend

Nog niet onderzocht

15.1.3.1

15. Naleving

Nog niet onderzocht

15.1.4.1

15. Naleving

Bescherming van bedrijfsdocumenten Belangrijke registraties behoren te worden beschermd tegen verlies, Worden belangrijke registraties behoren te worden beschermd tegen onbekend vernietiging en vervalsing, overeenkomstig wettelijke en regelgevende verlies, vernietiging en vervalsing, overeenkomstig wettelijke en eisen, contractuele verplichtingen en bedrijfsmatige eisen. regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen? De bescherming van gegevens en privacy behoort te worden Wordt de bescherming van gegevens en privacy bewerkstelligd onbekend Bescherming van gegevens en geheimhouding van bewerkstelligd overeenkomstig relevante wetgeving, voorschriften en overeenkomstig relevante wetgeving, voorschriften en indien van persoonsgegevens indien van toepassing contractuele bepalingen. toepassing contractuele bepalingen?

15.1.5.1

15. Naleving

Voorkomen van misbruik van ITvoorzieningen

Er is een beleid met betrekking tot het gebruik van IT voorzieningen door gebruikers. Dit beleid is bekendgemaakt en op de goede werking ervan wordt toegezien

15.1.6.1

15. Naleving

Voorschriften voor het gebruik van cryptografische beheersmaatregelen

Er is vastgesteld aan welke overeenkomsten, wetten en voorschriften de toepassing van cryptografische technieken moet voldoen. Zie ook 12.3.

15.2.1.1

15. Naleving

Naleving van beveiligingsbeleid en normen

Het lijnmanagement is verantwoordelijk voor uitvoering en Is er een audit venster en zijn daar de periode beveiligingsaudits in beveiligingsprocedures en toetsing daarop (o.a. jaarlijkse in control meegenomen. Deze audits kunnen externe en interne audits zijn. verklaring). Conform het BIG (strategisch kader) zorgt de CISO, namens Wordt daarover gerapporteerd? de Gemeente Secretaris, voor het toezicht op de uitvoering van het beveiligingsbeleid. Daarbij behoren ook periodieke beveiligingsaudits. Deze kunnen worden uitgevoerd door of vanwege de CISO dan wel door interne of externe auditteams.

15.2.1.2

15. Naleving

Naleving van beveiligingsbeleid en normen

[A] In de P&C cyclus wordt gerapporteerd over informatiebeveiliging aan de hand van het in control statement.

15.2.2.1

15. Naleving

Controle op technische naleving

Informatiesystemen worden regelmatig gecontroleerd op naleving van Worden informatiesystemen regelmatig gecontroleerd op naleving beveiligingsnormen. Dit kan door bijv. kwetsbaarheidsanalyses en van beveiligingsnormen? penetratietesten. Zie ook 12.6.1.1. Bijvoorbeeld door kwetsbaarheidsanalyses en penetratietesten

onbekend

Nog niet onderzocht

15.3.1.1

15. Naleving

Beheersmaatregelen voor audits van informatiesystemen

Nog niet onderzocht

15. Naleving

Bescherming van hulpmiddelen voor audits van informatiesystemen

Worden audits en andere activiteiten waarbij controles worden uitgevoerd op productiesystemen, zorgvuldig gepland en goedgekeurd om het risico van verstoring van bedrijfsprocessen tot een minimum te beperken? Wordt de toegang tot hulpmiddelen voor audits van informatiesystemen behoort beschermd om mogelijk misbruik of compromittering te voorkomen?

onbekend

15.3.2.1

Eisen voor audits en andere activiteiten waarbij controles worden uitgevoerd op productiesystemen, behoren zorgvuldig te worden gepland en goedgekeurd om het risico van verstoring van bedrijfsprocessen tot een minimum te beperken. Toegang tot hulpmiddelen voor audits van informatiesystemen behoort te worden beschermd om mogelijk misbruik of compromittering te voorkomen.

onbekend

Nog niet onderzocht

104.1.1.1

104. ISMS

ISMS

De organisatie dient een gedocumenteerd ISMS te ontwikkelen, te onderhouden en constant te verbeteren, binnen het kader van de bedrijfsactiviteiten en risico van de organisatie.

Is er een gedocumenteerd ISMS? Wordt dit ISMS onderhouden en verbeterd?

onbekend

Nog niet onderzocht

Er is een Business Impact Analyse (BIA) waarin de gebeurtenissen worden geïdentificeerd die kunnen leiden tot discontinuïteit in het bedrijfsproces. Aan de hand van een risicoanalyse zijn de waarschijnlijkheid en de gevolgen van de discontinuïteit in kaart gebracht in termen van tijd, schade en herstelperiode.

Is er toezicht op het naleven van wettelijke verplichtingen m.b.t. intellectueel eigendom, auteursrechten en gebruiksrechten?

Is er een beleid met betrekking tot het gebruik van IT voorzieningen door gebruikers? Dit beleid is bekendgemaakt en op de goede werking ervan wordt toegezien Is bekend welke overeenkomsten, wetten en voorschriften het gebruik van cryptografie verplicht stellen en aan welke eisen moet worden voldaan?

Actiehouder

Wanneer gereed?


Nog niet onderzocht

onbekend

Nog niet onderzocht

onbekend

Nog niet onderzocht

onbekend

Nog niet onderzocht

Wordt in de P&C cyclus gerapporteerd over informatiebeveiliging aan onbekend de hand van het in control statement?

Nog niet onderzocht

Ten behoeve van deze standaard wordt het onderliggende proces



opmerking Eigenaar Status Actiehouder Wanneer gereed? Geaccepteerd risico?

Recommend Documents