GAP-analyse gemeenten op basis van de Baseline Informatiebeveiliging Nederlandse Gemeenten (versie 1.1)
Opsteller : Datum : Gemeentenaam:
DEEL 1 (GAP-Analyse)
BIG Nummer Hoofdgroep
Groep
Maatregel
5.1.1.1
5. Beveiligingsbeleid
Beleidsdocumenten voor informatiebeveiliging
[A] Er is een beleid voor informatiebeveiliging door het College van Is er een door de organisatie vastgesteld en gepubliceerd Burgemeester en Wethouders vastgesteld, gepubliceerd en beoordeeld informatiebeveiligingsbeleid op basis van de BIG en zijn daarin op basis van inzicht in risico’s, kritische bedrijfsprocessen en toewijzing verantwoordelijkheden op basis van de baseline benoemd? van verantwoordelijkheden en prioriteiten.
onbekend
Nog niet onderzocht
5.1.2.1
5. Beveiligingsbeleid
Beoordeling van het informatiebeveiligingsbeleid
[A] Het informatiebeveiligingsbeleid wordt minimaal één keer per drie jaar, of zodra zich belangrijke wijzigingen voordoen, beoordeeld en zo nodig bijgesteld. Zie ook 6.1.8.1.
Is het informatiebeveiligingsbeleid in de afgelopen 3 jaar aangepast, zo nee was daar een goede reden voor?
onbekend
Nog niet onderzocht
6.1.1.1
6. Organisatie van informatiebeveiliging
Betrokkenheid van het College van B&W bij beveiliging
[A] Het College van B&W waarborgt dat de informatiebeveiligingsdoelstellingen worden vastgesteld, voldoen aan de kaders zoals gesteld in dit document en zijn geïntegreerd in de relevante processen. Dit gebeurt door één keer per jaar de opzet, het bestaan en de werking van de Informatiebeveiligingsmaatregelen te bespreken in het overleg van B&W en hiervan verslag te doen.
Is de opzet, het bestaan en de werking van maatregelen in het afgelopen jaar of jaren besproken binnen het college van B&W en is hier een verslag van?
onbekend
Nog niet onderzocht
6.1.2.1
6. Organisatie van informatiebeveiliging
Coördineren van beveiliging
[A] De rollen van CISO (Chief Information Security Officer), en het lijnmanagement zijn beschreven. a. De CISO rapporteert rechtstreeks aan de gemeentesecretaris. b. De CISO bevordert en adviseert gevraagd en ongevraagd over de beveiliging van de gemeente, verzorgt rapportages over de status, controleert of m.b.t. de beveiliging van de gemeente de maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de informatiebeveiliging van de gemeente.
Zijn de rollen van CISO of security Officer en het lijnmanagement beschreven met betrekking tot informatiebeveiliging en zijn de rapportages hierin opgenomen?
onbekend
Nog niet onderzocht
6.1.3.1
6. Organisatie van informatiebeveiliging
Verantwoordelijkheden
[A] Elke lijnmanager is verantwoordelijk voor de integrale beveiliging van zijn of haar organisatieonderdeel.
Zijn de verantwoordelijkheden voor wat betreft integrale informatiebeveiliging van de lijnmanager beschreven?
onbekend
Nog niet onderzocht
6.1.4.1
6. Organisatie van informatiebeveiliging
Goedkeuringsproces voor ICTvoorzieningen
Er is een goedkeuringsproces voor nieuwe IT voorzieningen en wijzigingen in IT voorzieningen. (in ITIL termen : wijzigingsbeheer)
Is er een wijzigingsbeheer proces (bij ICT) dat ook daadwerkelijk gebruikt wordt, is er aandacht voor beveiliging binnen dit proces?
onbekend
Nog niet onderzocht
6.1.5.1
6. Organisatie van informatiebeveiliging
Geheimhoudingsovereenkomst
[A] De algemene geheimhoudingsplicht voor ambtenaren is geregeld in de Ambtenarenwet art. 125a, lid 3. Daarnaast dienen personen die te maken hebben met Bijzondere Informatie een geheimhoudingsverklaring te ondertekenen, daaronder valt ook vertrouwelijke informatie. Hierbij wordt tevens vastgelegd dat na beëindiging van de functie, de betreffende persoon gehouden blijft aan die geheimhouding.
Is er een beleid om de geheimhoudingsverklaring te tekenen (bijvoorbeeld in het informatiebeveiligingsbeleid document van de organisatie, of in HR documentatie) en gebeurt dit ook (toets op aanwezigheid geheimhoudingsverklaringen)
onbekend
Nog niet onderzocht
6.1.6.1
6. Organisatie van informatiebeveiliging
Contact met overheidsinstanties
[A] Het lijnmanagement stelt vast in welke gevallen en door wie er contacten met autoriteiten (brandweer, toezichthouders, enz.) wordt onderhouden.
Is er een beleidsstuk waarin geregeld is wie er contacten onderhoud met de autoriteiten?
onbekend
Nog niet onderzocht
6.1.7.1
6. Organisatie van informatiebeveiliging
Contact met speciale belangengroepen
IB-specifieke informatie van relevante expertisegroepen, leveranciers van hardware, software en diensten wordt gebruikt om de informatiebeveiliging te verbeteren.
Is er een proactief proces waar informatiebeveiligings specifieke informatie wordt ontvangen en gebruikt, bijvoorbeeld overleg of informatie van de IBD (adviezen en dergelijke) of leveranciers van hard en software? Zijn er lidmaatschappen van verenigingen?
onbekend
Nog niet onderzocht
6.1.7.2
6. Organisatie van informatiebeveiliging
Contact met speciale belangengroepen
[A] De CISO onderhoudt contact met de IBD en neemt ziƫng in het IBD-overleg.
Is er een CISO? Wie vervult deze rol en onderhoudt deze contacten met de IBD?
onbekend
Nog niet onderzocht
6.1.8.1
6. Organisatie van informatiebeveiliging
Beoordeling van het informatiebeveiligingsbeleid
[A] Het informatiebeveiligingsbeleid wordt minimaal één keer in de drie Blijkt uit het gevonden IB beleid van de gemeente dat deze is jaar geëvalueerd (door een onafhankelijke deskundige) en desgewenst geëvalueerd en bijgesteld? Is het opgenomen in de PDCA-cyclus? bijgesteld. Zie ook 5.1.2.
onbekend
Nog niet onderzocht
6.1.8.2
6. Organisatie van informatiebeveiliging
Beoordeling van het informatiebeveiligingsbeleid
[A] Periodieke beveiligingsaudits worden uitgevoerd in opdracht van het lijnmanagement.
Worden er periodiek beveiliging audits uitgevoerd door de interne of onbekend externe audit afdeling in opdracht van het lijnmanagement?
Nog niet onderzocht
6.1.8.3
6. Organisatie van informatiebeveiliging
Beoordeling van het informatiebeveiligingsbeleid
6.2.1.1
6. Organisatie van informatiebeveiliging
6.2.1.2
6. Organisatie van informatiebeveiliging
6.2.1.3
6. Organisatie van informatiebeveiliging
Printdatum: 18-6-2014
Vraag
Over het functioneren van de informatiebeveiliging wordt, conform de P&C-cyclus, jaarlijks gerapporteerd aan het lijnmanagement. Blijkt uit een beleidsstuk dat er gerapporteerd moet worden (bijvoorbeeld het informatiebeveiligingsbeleid of P&C-cyclus beleid) en blijkt tevens uit de interne rapportages dat er over informatiebeveiliging wordt gerapporteerd? Identificatie van risico's die betrekking Informatiebeveiliging is aantoonbaar (op basis van een risicoafweging) Blijkt uit het gevonden IB beleid van de gemeente dat op basis van hebben op externe partijen meegewogen bij het besluit een externe partij wel of niet in te een risicoafweging is besloten een externe partij (leverancier) wel of schakelen. niet in te schakelen?
Aanwezig
Vindplaats / opmerking
DEEL 2 (ImpactAnalyse) Eigenaar
Status
onbekend
Nog niet onderzocht
onbekend
Nog niet onderzocht
Identificatie van risico's die betrekking Voorafgaand aan het afsluiten van een contract voor uitbesteding of hebben op externe partijen externe inhuur is bepaald welke toegang (fysiek, netwerk of tot gegevens) de externe partij(en) moet(en) hebben om de in het contract overeen te komen opdracht uit te voeren en welke noodzakelijke beveiligingsmaatregelen hiervoor nodig zijn.
Zijn er externe dienstverleners voor gemeentelijke systemen die onbekend contact moeten hebben met systemen binnen de gemeente en zijn hierover afspraken gemaakt (vooraf), zijn de risico's in kaart gebracht en worden de procedures nageleefd?
Nog niet onderzocht
Identificatie van risico's die betrekking Voorafgaand aan het afsluiten van een contract voor uitbesteding of hebben op externe partijen externe inhuur is bepaald welke waarde en gevoeligheid de informatie (bijv. risicoklasse II van WBP of de vertrouwelijkheidklasse) heeft waarmee de derde partij in aanraking kan komen en of hierbij eventueel aanvullende beveiligingsmaatregelen nodig zijn.
Zijn er externe dienstverleners voor gemeentelijke systemen, of inhuur contracten, waar men in aanraking kan komen met gevoelige persoonsgegevens of die contacten (inbellen) moeten hebben met systemen binnen de gemeente en zijn hierover afspraken gemaakt (vooraf) en worden de procedure nageleefd? bestaan er beveiligingsmaatregelen in de contracten?
Nog niet onderzocht
onbekend
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
Blad 1 van 15 bladen
BIG Nummer Hoofdgroep
Groep
Maatregel
Vraag
Aanwezig
Zie boven, zijn er in het geval dat toegang van "buiten" nodig is, afspraken gemaakt over systeem toegang en wordt dit nageleefd?
onbekend
6.2.1.4
6. Organisatie van informatiebeveiliging
Identificatie van risico's die betrekking Voorafgaand aan het afsluiten van een contract voor uitbesteding en hebben op externe partijen externe inhuur is bepaald hoe geauthentiseerde en geautoriseerde toegang vastgesteld wordt.
6.2.1.5
6. Organisatie van informatiebeveiliging
Identificatie van risico's die betrekking [A] Indien externe partijen systemen beheren waarin persoonsgegevens Worden er systemen van de gemeente met persoonsgegevens extern onbekend hebben op externe partijen verwerkt worden, wordt een bewerkerovereenkomst (conform WBP gehost, en zo ja, is daar een inhoudelijke en getekende artikel 14) afgesloten. bewerkersovereenkomst van? Vul ook in als er bijvoorbeeld 5 systemen zijn die extern gehost worden en er maar voor 1 systeem een berwerkers overeenkomst is)
6.2.1.6
6. Organisatie van informatiebeveiliging
Identificatie van risico's die betrekking Er is in contracten met externe partijen vastgelegd welke hebben op externe partijen beveiligingsmaatregelen vereist zijn, dat deze door de externe partij zijn getroffen en worden nageleefd en dat beveiligingsincidenten onmiddellijk worden gerapporteerd. (zie ook 6.2.3.3). Ook wordt beschreven hoe die beveiligingsmaatregelen door de uitbestedende partij te controleren zijn (bijv. audits en penetratietests) en hoe het toezicht is geregeld.
6.2.1.7
6. Organisatie van informatiebeveiliging
Identificatie van risico's die betrekking Over het naleven van de afspraken van de externe partij wordt jaarlijks Zijn er jaarlijkse rapportages over het naleven van afspraken, hebben op externe partijen gerapporteerd. gehouden audits en resultaten van externe partijen?
onbekend
Nog niet onderzocht
6.2.2.1
6. Organisatie van informatiebeveiliging
Beveiliging beoordelen in de omgang Alle noodzakelijke beveiligingseisen worden op basis van een Deze baseline is de basis waar van uit kan worden gegaan, is er voor met klanten risicoafweging vastgesteld en geïmplementeerd voordat aan gebruikers bestaande systemen die er al zijn een risico afweging gedaan en toegang tot informatie op bedrijfsmiddelen wordt verleend. vastgesteld?
onbekend
Nog niet onderzocht
6.2.3.1
6. Organisatie van informatiebeveiliging
Beveiliging behandelen in De maatregelen behorend bij 6.2.1 zijn voorafgaand aan het afsluiten overeenkomsten met een derde partij van het contract gedefinieerd en geïmplementeerd.
De maatregelen die onder 6.2.1. staan, zijn vooraf aan het contract onbekend gedefinieerd en geïmplementeerd, dit blijkt bijvoorbeeld uit verslagen en audits.
Nog niet onderzocht
6.2.3.2
6. Organisatie van informatiebeveiliging
Beveiliging behandelen in Uitbesteding (ontwikkelen en aanpassen) van software is geregeld overeenkomsten met een derde partij volgens formele contracten waarin o.a. intellectueel eigendom, kwaliteitsaspecten, beveiligingsaspecten, aansprakelijkheid, escrow en reviews geregeld worden.
Er bestaan contracten met daarin de opgesomde issues die zijn benoemd en afgesproken indien er uitbesteding van software ontwikkeling aan de orde is (dit geld ook voor SAAS / Cloud achtige constructies).
onbekend
Nog niet onderzocht
6.2.3.3
6. Organisatie van informatiebeveiliging
Beveiliging behandelen in In contracten met externe partijen is vastgelegd hoe men om dient te overeenkomsten met een derde partij gaan met wijzigingen en hoe ervoor gezorgd wordt dat de beveiliging niet wordt aangetast door de wijzigingen.
Dit aspect dient in de contracten te staan in het geval van uitbesteding onbekend (ontwikkeling en aanpassing van software) maar ook als deze software intern bij de gemeente draait.
Nog niet onderzocht
6.2.3.4
6. Organisatie van informatiebeveiliging
Beveiliging behandelen in In contracten met externe partijen is vastgelegd hoe wordt omgegaan overeenkomsten met een derde partij met geheimhouding en de geheimhoudingsverklaring.
Controleer de gevonden contracten op dit onderdeel.
onbekend
Nog niet onderzocht
6.2.3.5
6. Organisatie van informatiebeveiliging
Beveiliging behandelen in Er is een plan voor beëindiging van de ingehuurde diensten waarin overeenkomsten met een derde partij aandacht wordt besteed aan beschikbaarheid, vertrouwelijkheid en integriteit.
Controleer de gevonden contracten op dit onderdeel.
onbekend
Nog niet onderzocht
6.2.3.6
6. Organisatie van informatiebeveiliging
Beveiliging behandelen in In contracten met externe partijen is vastgelegd hoe escalaties en overeenkomsten met een derde partij aansprakelijkheid geregeld zijn.
Controleer de gevonden contracten op dit onderdeel.
onbekend
Nog niet onderzocht
6.2.3.7
6. Organisatie van informatiebeveiliging
Controleer de gevonden contracten op dit onderdeel.
onbekend
Nog niet onderzocht
6.2.3.8
6. Organisatie van informatiebeveiliging
Beveiliging behandelen in Als er gebruikt gemaakt wordt van onderaannemers dan gelden daar overeenkomsten met een derde partij dezelfde beveiligingseisen voor als voor de contractant. De hoofdaannemer is verantwoordelijk voor de borging bij de onderaannemer van de gemaakte afspraken. Beveiliging behandelen in De producten, diensten en daarbij geldende randvoorwaarden, overeenkomsten met een derde partij rapporten en registraties die door een derde partij worden geleverd, worden beoordeeld op het nakomen van de afspraken in de overeenkomst. Verbeteracties worden geïnitieerd wanneer onder het afgesproken niveau wordt gepresteerd.
Controleer de gevonden contracten op dit onderdeel.
onbekend
Nog niet onderzocht
7.1.1.1
7. Beheer van bedrijfsmiddelen
Inventarisatie van bedrijfsmiddelen
Er is een actuele registratie van bedrijfsmiddelen die voor de organisatie een belang vertegenwoordigen, zoals informatie(verzamelingen), software, hardware, diensten, mensen en hun kennis/vaardigheden. Van elk middel is de waarde voor de organisatie, het vereiste beschermingsniveau en de verantwoordelijke lijnmanager bekend.
Is er een actuele registratie van bedrijfsmiddelen die voor de onbekend organisatie een belang vertegenwoordigen zoals, informatie(verzamelingen), software, hardware, diensten, mensen en hun kennis/vaardigheden?
Nog niet onderzocht
Is er voor elk bedrijfsproces, applicatie, gegevensverzameling en ICTfaciliteit een verantwoordelijke lijnmanager benoemd?
Is in de contracten en/of bewerkersovereenkomsten vastgelegd welke onbekend beveiligingsmaatregelen vereist zijn (bijvoorbeeld de maatregelen uit deze baseline), of op basis van een gedegen risicoanalyse dat beveiligingsincidenten worden gerapporteerd, hoe de maatregelen worden gecontroleerd en hoe het toezicht geregeld is?
Vindplaats / opmerking
Eigenaar
Status
Wanneer gereed?
Geaccepteerd risico?
Nog niet onderzocht
aantal?
Nog niet onderzocht
Nog niet onderzocht
Van elk middel is de waarde voor de organisatie, het vereiste beschermingsniveau en de verantwoordelijke lijnmanager bekend.
7.1.2.1
7. Beheer van bedrijfsmiddelen
Eigendom van bedrijfsmiddelen
Voor elk bedrijfsproces, applicatie, gegevensverzameling en ICTfaciliteit is een verantwoordelijke lijnmanager benoemd.
onbekend
Nog niet onderzocht
7.1.3.1
7. Beheer van bedrijfsmiddelen
Aanvaardbaar gebruik van bedrijfsmiddelen
[A] Er zijn regels voor acceptabel gebruik van bedrijfsmiddelen (met Zijn er regels voor acceptabel gebruik van bedrijfsmiddelen (met onbekend name internet, e-mail en mobiele apparatuur). De CAR-UWO verplicht name internet, e-mail en mobiele apparatuur). Bijvoorbeeld vindbaar ambtenaren zich hieraan te houden. Voor extern personeel is dit in het in het informatiebeveiligingsbeleid of aparte standaarden? contract vastgelegd.
Nog niet onderzocht
7.1.3.2
7. Beheer van bedrijfsmiddelen
Aanvaardbaar gebruik van bedrijfsmiddelen
Gebruikers hebben kennis van de regels.
Is er een bewustwording cursus die gevolgd moet worden, wordt de kennis van de regels getoetst en is dat vastgelegd?
onbekend
Nog niet onderzocht
7.1.3.3
7. Beheer van bedrijfsmiddelen
Aanvaardbaar gebruik van bedrijfsmiddelen
Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming vooraf van de locatie worden meegenomen. De toestemming kan generiek geregeld worden in het kader van de functieafspraken tussen manager en medewerker.
Is er beleid of andere afspraken waar geregeld is wie mag besluiten dat apparatuur of informatie of programmatuur van locatie mag worden meegenomen
onbekend
Nog niet onderzocht
7.1.3.4
7. Beheer van bedrijfsmiddelen
Aanvaardbaar gebruik van bedrijfsmiddelen
[A] Informatiedragers worden dusdanig gebruikt dat vertrouwelijke informatie niet beschikbaar kan komen voor onbevoegde personen.
onbekend
Nog niet onderzocht
7.2.1.1
7. Beheer van bedrijfsmiddelen
Richtlijnen voor classificatie van informatie
[A] De organisatie heeft rubriceringrichtlijnen opgesteld.
Als er gegevensdragers worden gebruikt voor vertrouwelijke informatie dan zijn er maatregelen genomen om de informatie erop tegen onbevoegd inzien te beschermen. (zoek naar beleid, ICT procedures etc.) Er zijn rubriceringrichtlijnen binnen de gemeente? (Deze kunnen in het beveiligingsbeleid staan of in een apart rubriceringsbeleid document).
onbekend
Nog niet onderzocht
7.2.1.2
7. Beheer van bedrijfsmiddelen
Richtlijnen voor classificatie van informatie
In overeenstemming met hetgeen in het WBP is vastgesteld, dient er Is er een helder onderscheid tussen herleidbare en niet herleidbare een helder onderscheid te zijn in de herleidbare (artikel 16 WBP) en de persoonsgegevens? niet herleidbare persoonsgegevens.
onbekend
Nog niet onderzocht
Printdatum: 18-6-2014
Actiehouder
Blad 2 van 15 bladen
BIG Nummer Hoofdgroep
Groep
7.2.2.1
7. Beheer van bedrijfsmiddelen
7.2.2.2
Vraag
Aanwezig
Labeling en verwerking van informatie [A] De lijnmanager heeft maatregelen getroffen om te voorkomen dat niet-geautoriseerden kennis kunnen nemen van gerubriceerde informatie.
Denk bij deze maatregelen aan labeling, mandatory acces control, toegangsregeling gebouw / informatie, etc.
onbekend
Nog niet onderzocht
7. Beheer van bedrijfsmiddelen
Labeling en verwerking van informatie [A] De opsteller van de informatie doet een voorstel tot rubricering en brengt deze aan op de informatie. De vaststeller van de inhoud van de informatie stelt tevens de rubricering vast.
Bestaat er een rubricering procedure binnen de organisatie en wordt onbekend deze ook gebruikt.
Nog niet onderzocht
8.1.1.1
8. Personele beveiliging
Rollen en verantwoordelijkheden
De taken en verantwoordelijkheden van een medewerker zijn opgenomen in de functiebeschrijving en worden onderhouden. In de functiebeschrijving wordt minimaal aandacht besteed aan: •uitvoering van het informaƟebeveiligingsbeleid •bescherming van bedrijfsmiddelen •rapportage van beveiligingsincidenten •expliciete vermelding van de verantwoordelijkheden voor het beveiligen van persoonsgegevens
Zijn de functiebeschrijvingen binnen de gemeente vastgesteld en is in onbekend die functiebeschrijvingen aandacht voor de genoemde aspecten.
Nog niet onderzocht
8.1.1.2
8. Personele beveiliging
Rollen en verantwoordelijkheden
[A] Alle ambtenaren en ingehuurde medewerkers krijgen bij hun aanstelling hun verantwoordelijkheden ten aanzien van informatiebeveiliging ter inzage. De schriftelijk vastgestelde en voor hen geldende regelingen en instructies ten aanzien van informatiebeveiliging, welke zij bij de vervulling van hun dienst hebben na te leven, worden op een gemakkelijk toegankelijke plaats ter inzage gelegd. Overeenkomstige voorschriften maken deel uit van de contracten met externe partijen. Ook voor hen geldt de toegankelijkheid van geldende regelingen en instructies.
Bestaat er een "in dienst" procedure waar geregeld is dat alle onbekend ambtenaren en ingehuurde medewerkers bij hun aanstelling hun verantwoordelijkheden, ten aanzien van informatiebeveiliging, ter inzage krijgen? Overeenkomstige voorschriften maken deel uit van de contracten met externe partijen. Ook voor hen geldt de toegankelijkheid van geldende regelingen en instructies.
Nog niet onderzocht
8.1.1.3
8. Personele beveiliging
Rollen en verantwoordelijkheden
[A] Indien een medewerker speciale verantwoordelijkheden heeft t.a.v. informatiebeveiliging dan is hem dat voor indiensttreding (of bij functiewijziging), bij voorkeur in de aanstellingsbrief of bij het afsluiten van het contract, aantoonbaar duidelijk gemaakt.
Is er op basis van de functiebeschrijving of werkzaamheden duidelijk onbekend gemaakt welke verantwoordelijkheden ten aanzien van informatiebeveiliging voor de medewerker gelden, bij voorkeur in een aanstellingsbrief of contract?
Nog niet onderzocht
8.1.1.4
8. Personele beveiliging
Rollen en verantwoordelijkheden
De algemene voorwaarden van het arbeidscontract van medewerkers bevatten de wederzijdse verantwoordelijkheden ten aanzien van beveiliging. Het is aantoonbaar dat medewerkers bekend zijn met hun verantwoordelijkheden op het gebied van beveiliging.
Bevatten arbeidscontracten wederzijdse verantwoordelijkheden ten aanzien van beveiliging? Zijn medewerkers hiermee bekend?
onbekend
Nog niet onderzocht
8.1.2.1
8. Personele beveiliging
Screening
[A] Voor alle medewerkers (ambtenaren en externe medewerkers) is minimaal een recente Verklaring Omtrent het Gedrag (VOG) vereist. Indien het een vertrouwensfunctie betreft wordt ook een veiligheidsonderzoek (Verklaring van Geen Bezwaar) uitgevoerd.
Zijn er van alle medewerkers een recente VOG? Is er van vertrouwensfuncties een VGB. Meestal is hier een aparte administratie voor.
onbekend
Nog niet onderzocht
8.1.2.2
8. Personele beveiliging
Screening
Bij de aanstelling worden de gegevens die de medewerker heeft verstrekt over zijn arbeidsverleden en scholing geverifieerd.
Is in de aanstelling procedure de stap dat arbeidsverleden en scholing onbekend dienen te worden geverifieerd
Nog niet onderzocht
8.1.2.3
8. Personele beveiliging
Screening
[A] Het is noodzakelijk om de VOG of screening periodiek te herhalen volgens de voorschriften.
zie 8.1.2.1 en blijkt dit uit de gevonden administratie?
onbekend
Nog niet onderzocht
8.1.3.1
8. Personele beveiliging
Arbeidsvoorwaarden
Als onderdeel van hun contractuele verplichting behoren werknemers, controleer de arbeidscontracten op dit onderdeel ingehuurd personeel en externe gebruikers de algemene voorwaarden te aanvaarden en te ondertekenen van hun arbeidscontract, waarin hun verantwoordelijkheden en die van de organisatie ten aanzien van informatiebeveiliging behoren te zijn vastgelegd.
onbekend
Nog niet onderzocht
8.2.1.1
8. Personele beveiliging
Directieverantwoordelijkheid
Het lijnmanagement heeft een strategie ontwikkeld en geïmplementeerd om blijvend over specialistische kennis en vaardigheden van gemeenteambtenaren en ingehuurd personeel (onder andere die kritische bedrijfsactiviteiten op het gebied van IB uitoefenen) te kunnen beschikken.
Deze strategie kan bestaan uit: Beleid, opleidingsplannen, opleiding, cursus, inhuur etcetera.
onbekend
Nog niet onderzocht
8.2.1.2
8. Personele beveiliging
Directieverantwoordelijkheid
Het lijnmanagement bevordert dat gemeenteambtenaren, ingehuurd personeel en (waar van toepassing) externe gebruikers van interne systemen algemene beveiligingsaspecten toepassen in hun gedrag en handelingen overeenkomstig vastgesteld beleid.
Dit bevorderen kan door budgetten, opleiding, bewustwording campagne, pen testen en mystery guests bezoeken (bijvoorbeeld).
onbekend
Nog niet onderzocht
8.2.2.1
8. Personele beveiliging
bewustwording
Alle medewerkers van de organisatie worden regelmatig attent Dit bevorderen kan door budgetten te gebruiken voor, opleiding, gemaakt op het beveiligingsbeleid en de beveiligingsprocedures van de bewustwording campagne, pen testen en mystery guests bezoeken organisatie, voor zover relevant voor hun functie. (bijvoorbeeld).
onbekend
Nog niet onderzocht
8.2.2.2
8. Personele beveiliging
bewustwording
[A] Bespreek het onderwerp informatiebeveiliging in functionerings- en is er een aanwijzing of procedure waarin dit geregeld is en komen dan onbekend beoordelingsgesprekken van medewerkers die risicovolle functies bijvoorbeeld ook incidenten aan de orde? bekleden
Nog niet onderzocht
8.2.3.1
8. Personele beveiliging
Disciplinaire maatregelen
[A] Er is een disciplinair proces vastgelegd voor medewerkers die inbreuk maken op het beveiligingsbeleid (zie ook: CAR/UWO art 16, disciplinaire straffen).
Zie HR-beleid gemeente?
onbekend
Nog niet onderzocht
8.3.1.1
8. Personele beveiliging
Beëindiging van verantwoordelijkheden
Voor ambtenaren is in de ambtseed of belofte vastgelegd welke verplichtingen ook na beëindiging van het dienstverband of bij functiewijziging nog van kracht blijven en voor hoe lang. Voor ingehuurd personeel (zowel in dienst van een derde bedrijf als individueel) is dit contractueel vastgelegd. Indien nodig wordt een geheimhoudingsverklaring ondertekend.
Controleer of deze clausules bestaan
onbekend
Nog niet onderzocht
8.3.1.2
8. Personele beveiliging
Beëindiging van verantwoordelijkheden
Het lijnmanagement heeft een procedure vastgesteld voor beëindiging Controleer of deze procedures en aandachtspunten bestaan. van dienstverband, contract of overeenkomst waarin minimaal aandacht besteed wordt aan het intrekken van toegangsrechten, innemen van bedrijfsmiddelen en welke verplichtingen ook na beëindiging van het dienstverband blijven gelden.
onbekend
Nog niet onderzocht
8.3.1.3
8. Personele beveiliging
Beëindiging van verantwoordelijkheden
Het lijnmanagement heeft een procedure vastgesteld voor verandering Controleer de functieverandering procedure naar deze van functie binnen de organisatie, waarin minimaal aandacht besteed aandachtspunten. wordt aan het intrekken van toegangsrechten en innemen van bedrijfsmiddelen die niet meer nodig zijn na het beëindigen van de oude functie.
onbekend
Nog niet onderzocht
Printdatum: 18-6-2014
Maatregel
Vindplaats / opmerking
Eigenaar
Status
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
Blad 3 van 15 bladen
BIG Nummer Hoofdgroep
Groep
Maatregel
Vraag
Aanwezig
Vindplaats / opmerking
Eigenaar
Status
8.3.2.1
8. Personele beveiliging
Retournering van bedrijfsmiddelen
Zie 8.3.1.3
onbekend
Nog niet onderzocht
8.3.3.1
8. Personele beveiliging
Blokkering van toegangsrechten
Zie 8.3.1.3
onbekend
Nog niet onderzocht
9.1.1.1
9. Fysieke beveiliging
Fysieke beveiliging van de omgeving
De gemeente en haar omgeving worden ingedeeld in verschillende zones. Deze zones bestaan uit: a.Zone 0: de omgeving en het gebouw b.Zone 1: de wachtruimten en de spreekkamers c.Zone 2:de werkruimten d.Zone 3: de ICT-ruimte / beveiligde ruimte voor bijvoorbeeld paspoort opslag.
Controleer zoneringsbeleid van de gemeente.
onbekend
Nog niet onderzocht
9.1.1.2
9. Fysieke beveiliging
Fysieke beveiliging van de omgeving
Voor voorzieningen (binnen of buiten het gebouw) zijn duidelijke beveiligingsgrenzen bepaald.
Controleer of de beveiligingsgrenzen bepaald zijn.
onbekend
Nog niet onderzocht
9.1.1.3
9. Fysieke beveiliging
Fysieke beveiliging van de omgeving
Gebouwen bieden voldoende weerstand (bepaald op basis van een risicoafweging) bij gewelddadige aanvallen zoals inbraak en IT gericht vandalisme.
Controleer of gebouwen voldoende weerstand bieden (bijvoorbeeld keurmerk, hang en sluitwerk etcetera).
onbekend
Nog niet onderzocht
9.1.1.4
9. Fysieke beveiliging
Fysieke beveiliging van de omgeving
onbekend
Nog niet onderzocht
9.1.1.5
9. Fysieke beveiliging
Fysieke beveiliging van de omgeving
[A] Er zijn op verschillende plekken zogenaamde overval alarmknoppen Zijn er bij de publieksbalies of andere plaatsen waar publiek geplaatst, dit is met name van belang voor de wachtruimten en de ontvangen wordt alarmknoppen geplaatst? spreekkamers en die ruimtes waar bezoekers in contact komen met gemeente ambtenaren. Er is 24 uur, 7 dagen per week bewaking; een inbraakalarm gekoppeld Controleer de afspraken en of dit zo is. aan alarmcentrale is het minimum.
onbekend
Nog niet onderzocht
9.1.1.6
9. Fysieke beveiliging
Fysieke beveiliging van de omgeving
[A] Van ingehuurde bewakingsdiensten is vooraf geverifieerd dat zij voldoen aan de wettelijke eisen gesteld in de Wet Particuliere Beveiligingsorganisaties en Recherchebureaus. Deze verificatie wordt minimaal jaarlijks herhaald.
Controleer de contracten/procedures.
onbekend
Nog niet onderzocht
9.1.1.7
9. Fysieke beveiliging
Fysieke beveiliging van de omgeving
In gebouwen met serverruimtes houdt beveiligingspersoneel toezicht op de toegang. Hiervan wordt een registratie bijhouden.
Zijn er serverruimtes ? Houdt beveiligingspersoneel toezicht op te toegang? Is hiervan een registratie en een procedure?
onbekend
Nog niet onderzocht
9.1.1.8
9. Fysieke beveiliging
Fysieke beveiliging van de omgeving
[A] Voor toegang tot speciale ruimten is een doelbinding vereist, dat wil Wordt de doelbinding gecontroleerd bij het verlenen van zeggen dat personen op grond van hun werkzaamheden toegang kan toegangsrechten en blijkt dit uit de gevonden procedure? worden verleend. (bijvoorbeeld Beheer, BHV etc.)
onbekend
Nog niet onderzocht
9.1.2.1
9. Fysieke beveiliging
Fysieke toegangsbeveiliging
Toegang tot gebouwen of beveiligingszones is alleen mogelijk na autorisatie daartoe.
onbekend
Nog niet onderzocht
9.1.2.2
9. Fysieke beveiliging
Fysieke toegangsbeveiliging
[A] De beveiligingszones en toegangsbeveiliging daarvan zijn ingericht conform het gemeentelijk toegangsbeleid.
Is de toegang tot gebouwen en beveiligingszones alleen mogelijk na autorisatie? Waar wordt dat vastgelegd? Is er gemeentelijk toegangsbeleid waarin de toegang tot beveiligingszones en toegangsbeveiliging geregeld is?
onbekend
Nog niet onderzocht
9.1.2.3
9. Fysieke beveiliging
Fysieke toegangsbeveiliging
In gebouwen met beveiligde zones houdt beveiligingspersoneel toezicht op de toegang. Hiervan wordt een registratie bijhouden.
Zijn er beveiligde zones? Houdt beveiligingspersoneel toezicht op te toegang? Is hiervan een registratie en een procedure?
onbekend
Nog niet onderzocht
9.1.2.4
9. Fysieke beveiliging
Fysieke toegangsbeveiliging
De kwaliteit van toegangsmiddelen (deuren, sleutels, sloten, toegangspassen) is afgestemd op de zonering.
Volgens welke norm is de kwaliteit van de toegangsmiddelen afgestemd op de zonering?
onbekend
Nog niet onderzocht
9.1.2.5
9. Fysieke beveiliging
Fysieke toegangsbeveiliging
De uitgifte van toegangsmiddelen wordt geregistreerd.
Is er een registratie van toegangsmiddelen uitgifte (passen en sleutels)?
onbekend
Nog niet onderzocht
9.1.2.6
9. Fysieke beveiliging
Fysieke toegangsbeveiliging
Niet uitgegeven toegangsmiddelen worden opgeborgen in een beveiligd opbergmiddel.
Zijn niet uitgegeven toegangsmiddelen in een beveiligd opbergmiddel onbekend opgeborgen?
Nog niet onderzocht
9.1.2.7
9. Fysieke beveiliging
Fysieke toegangsbeveiliging
Apparatuur en bekabeling in kabelverdeelruimtes en patchruimtes voldoen aan dezelfde eisen t.a.v. toegangbeveiliging zoals die worden gesteld aan computerruimtes.
Zijn er kabelverdeelruimtes? Houdt beveiligingspersoneel toezicht op te toegang? Is hiervan een registratie en een procedure?
onbekend
Nog niet onderzocht
9.1.2.8
9. Fysieke beveiliging
Fysieke toegangsbeveiliging
[A] Er vindt minimaal één keer per half jaar een periodieke controle/evaluatie plaats op de autorisaties voor fysieke toegang.
Wordt de registratie van de autorisaties halfjaarlijks gecontroleerd? Is hier een verslag van?
onbekend
Nog niet onderzocht
9.1.3.1
9. Fysieke beveiliging
#N/A
Papieren documenten en mobiele gegevensdragers die vertrouwelijke informatie bevatten worden beveiligd opgeslagen.
Worden papieren documenten en mobiele gegevensdragers met vertrouwelijke informatie beveiligd opgeslagen?
onbekend
Nog niet onderzocht
9.1.3.2
9. Fysieke beveiliging
Sleutelbeheer
[A] Er is actief beheer van sloten en kluizen met procedures voor wijziging van combinaties door middel van een sleutelplan, ten behoeve van opslag van gerubriceerde informatie.
Er is conform het beleid een procedure voor het beheren van sloten en kluizen voor wijziging van combinaties, met sleutelplan ten behoeve van gerubriceerde informatie
onbekend
Nog niet onderzocht
9.1.3.3
9. Fysieke beveiliging
#N/A
[A] Serverruimtes, datacenters en daar aan gekoppelde bekabelingsystemen zijn ingericht in lijn met geldende best practices. Een goed voorbeeld van zo’n best practice is Telecommunication Infrastructure Standard for Data Centers (TIA-942).
Zijn serverruimtes, datacenters en bekabelingssystemen ingericht volgens best practices zoals TIA-942? Zijn er andere normen gebruikt?
onbekend
Nog niet onderzocht
9.1.4.1
9. Fysieke beveiliging
Bescherming tegen bedreigingen van Bij maatregelen is rekening gehouden met specifieke bedreigingen van Is er bij maatregelen rekening gehouden met specifieke bedreigingen onbekend buitenaf aangrenzende panden of terreinen. van aangrenzende gebouwen of terreinen?
Nog niet onderzocht
9.1.4.2
9. Fysieke beveiliging
Is er een backup procedure waarin ook geregeld is dat de backups off- onbekend site bewaard worden? Wordt deze procedure nageleefd?
Nog niet onderzocht
9.1.4.3
9. Fysieke beveiliging
Bescherming tegen bedreigingen van Reserve apparatuur en backups zijn op een zodanige afstand buitenaf ondergebracht dat één en dezelfde calamiteit er niet voor kan zorgen dat zowel de hoofdlocatie als de backup/reserve locatie niet meer toegankelijk zijn. Bescherming tegen bedreigingen van [A] Beveiligde ruimten waarin zich bedrijfskritische apparatuur bevindt buitenaf zijn voldoende beveiligd tegen wateroverlast.
Zijn ruimten met bedrijfskritische apparatuur voldoende beveiligd tegen wateroverlast? Denk aan overstromingsgevaar als het gebouw laag staat of als er bijvoorbeeld waterleidingen of rioleringen door ruimten loopt met bedrijfskritische apparatuur.
Nog niet onderzocht
Printdatum: 18-6-2014
onbekend
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
Blad 4 van 15 bladen
BIG Nummer Hoofdgroep
Groep
9.1.4.4
9. Fysieke beveiliging
Bescherming tegen bedreigingen van [A] Bij het betrekken van nieuwe gebouwen wordt een locatie gekozen Is bij het betrekken van gebouwen een locatie gekozen waarbij onbekend buitenaf waarbij rekening wordt gehouden met de kans op en de gevolgen van rekening is gehouden met de kans op gevolgen van natuurrampen en natuurrampen en door mensen veroorzaakte rampen. door mensen veroorzaakte rampen?
Nog niet onderzocht
9.1.4.5
9. Fysieke beveiliging
Bescherming tegen bedreigingen van Gevaarlijke of brandbare materialen zijn op een zodanige afstand van buitenaf een beveiligde ruimte opgeslagen dat een calamiteit met deze materialen geen invloed heeft op de beveiligde ruimte.
onbekend
Nog niet onderzocht
9.1.4.6
9. Fysieke beveiliging
Bescherming tegen bedreigingen van [A] Er is door de brandweer goedgekeurde en voor de situatie geschikte Is er voor de situatie geschikte brandblus apparatuur? brandblusapparatuur geplaatst en aangesloten. Dit wordt jaarlijks buitenaf Wordt deze brandblus apparatuur jaarlijks gecontroleerd? gecontroleerd.
onbekend
Nog niet onderzocht
9.1.5.1
9. Fysieke beveiliging
Werken in beveiligde ruimten
Medewerkers die zelf niet geautoriseerd zijn mogen alleen onder begeleiding van bevoegd personeel en als er een duidelijke noodzaak voor is toegang krijgen tot fysiek beveiligde ruimten waarin IT voorzieningen zijn geplaatst of waarin met vertrouwelijke informatie wordt gewerkt.
Is er op basis van het beleid een procedure voor toegang tot fysiek beveiligde ruimten voor niet geautoriseerde personen?
onbekend
Nog niet onderzocht
9.1.5.2
9. Fysieke beveiliging
Werken in beveiligde ruimten
Beveiligde ruimten (zoals een serverruimte of kluis) waarin zich geen personen bevinden zijn afgesloten en worden regelmatig gecontroleerd.
Beveiligde ruimten die afgesloten zijn waar geen mensen zijn worden onbekend regelmatig gecontroleerd, blijkt dit uit procedures? Blijkt dit uit ronde rapportages?
Nog niet onderzocht
9.1.5.3
9. Fysieke beveiliging
Werken in beveiligde ruimten
Zonder expliciete toestemming mogen binnen beveiligde ruimten geen Is er beleid waarin geregeld is dat binnen beveiligde ruimtes geen opnames (foto, video of geluid) worden gemaakt. opnames morgen worden gemaakt? Staat dit duidelijk aangegeven?
onbekend
Nog niet onderzocht
9.1.6.1
9. Fysieke beveiliging
Openbare toegang en gebieden voor laden en lossen
[A] Er bestaat een procedure voor het omgaan met verdachte pakketten en brieven in postkamers en laad- en losruimten.
Is er een procedure voor omgaan met verdachte post/pakketten?
onbekend
Nog niet onderzocht
9.2.1.1
9. Fysieke beveiliging
Plaatsing en bescherming van apparatuur
Apparatuur wordt opgesteld en aangesloten conform de voorschriften van de leverancier. Dit geldt minimaal voor temperatuur en luchtvochtigheid, aarding, spanningsstabiliteit en overspanningsbeveiliging.
Controleer voor zover mogelijk of apparatuur conform voorschriften van de leverancier is opgesteld en aangesloten. - Temperatuur - luchtvochtigheid - aarding - spanningsstabiliteit - overspanningsbeveiliging
onbekend
Nog niet onderzocht
9.2.1.2
9. Fysieke beveiliging
Plaatsing en bescherming van apparatuur
Nog niet onderzocht
9.2.1.3
9. Fysieke beveiliging
Plaatsing en bescherming van apparatuur
Standaard accounts in apparatuur worden gewijzigd en de Controleer of er een procedure is voor het aanpassen van standaard onbekend bijbehorende standaard leveranciers wachtwoorden worden gewijzigd leveranciers wachtwoorden. bij ingebruikname van apparatuur. Controleer of er een log of registratie is van aangepaste wachtwoorden. Gebouwen zijn beveiligd tegen blikseminslag. Zijn er maatregelen genomen tegen de gevolgen van blikseminslag, zo onbekend ja welke?
9.2.1.4
9. Fysieke beveiliging
Plaatsing en bescherming van apparatuur
Eten en drinken is verboden in computerruimtes.
Bevat beleid en procedures van de computerruimten een verbod op eten en drinken? Wordt hier voor gewaarschuwd?
onbekend
Nog niet onderzocht
9.2.1.5
9. Fysieke beveiliging
Plaatsing en bescherming van apparatuur
Een informatiesysteem voldoet altijd aan de hoogste beveiligingseisen die voor kunnen komen bij het verwerken van informatie. Indien dit niet mogelijk is wordt een gescheiden systeem gebruikt voor de informatieverwerking waaraan hogere eisen gesteld worden.
Indien aan de BIG wordt voldaan zijn de systemen in basis geschikt voor werken tot en met vertrouwelijk. Indien informatie verwerkt wordt van een hogere classificatie dienen hiervoor gescheiden systemen gebruikt te worden.
onbekend
Nog niet onderzocht
9.2.2.1
9. Fysieke beveiliging
Nutsvoorzieningen
Apparatuur behoort te worden beschermd tegen stroomuitval en andere storingen door onderbreking van nutsvoorzieningen.
Worden in server en patchruimten ter bescherming van apparatuur UPS systemen ingezet tegen stroomuitval en piekstromen?
onbekend
Nog niet onderzocht
9.2.3.1
9. Fysieke beveiliging
Beveiliging van kabels
Zijn voedings- en communicatiekabels beschermd conform NEN 1010? onbekend
Nog niet onderzocht
9.2.4.1
9. Fysieke beveiliging
Onderhoud van apparatuur
Voedings- en telecommunicatiekabels die voor dataverkeer of ondersteunende informatiediensten worden gebruikt, behoren tegen interceptie of beschadiging te worden beschermd conform de norm NEN 1010. [A] Reparatie en onderhoud van apparatuur (hardware) vindt op locatie plaats door bevoegd personeel, tenzij er geen data op het apparaat aanwezig of toegankelijk is.
Nog niet onderzocht
9.2.5.1
9. Fysieke beveiliging
Beveiliging van apparatuur buiten het Alle apparatuur buiten de terreinen wordt beveiligd met fysieke terrein beveiligingsmaatregelen zoals bijvoorbeeld sloten en camera toezicht die zijn vastgesteld op basis van een risicoafweging.
Wordt onderhoud aan apparatuur met daarop data van de gemeente onbekend binnenshuis gedaan? Is er een procedure voor onderhoud aan apparatuur binnenshuis dan wel buitenshuis? Is er een procedure voordehet verwijderen van datavan vanrisicoafweging apparatuur? apparatuur buiten terreinen die op basis onbekend fysieke beveiligingsmaatregelen nodig hebben? Zijn die maatregelen geïmplementeerd?
9.2.6.1
9. Fysieke beveiliging
Veilig verwijderen of hergebruiken van apparatuur
[A] Bij beëindiging van het gebruik of bij een defect worden apparaten en informatiedragers bij de beheersorganisatie ingeleverd. De beheerorganisatie zorgt voor een verantwoorde afvoer zodat er geen data op het apparaat aanwezig of toegankelijk is. Als dit niet kan wordt het apparaat of de informatiedrager fysiek vernietigd. Het afvoeren of vernietigen wordt per bedrijfseenheid geregistreerd.
Worden informatiedragers bij beëindigen van gebruik of een defect ingeleverd bij de ICT organisatie? Is er een procedure voor verantwoorde afvoer van ICT middelen? Is er een procedure voor het verwijderen van data van apparatuur? Is er een registratie van afgevoerde / vernietigde apparatuur?
onbekend
Nog niet onderzocht
9.2.6.2
9. Fysieke beveiliging
Veilig verwijderen of hergebruiken van apparatuur
[A] Hergebruik van apparatuur buiten de organisatie is slechts Is er een procedure voor het verwijderen van data van apparatuur toegestaan indien de informatie is verwijderd met een voldoende waar deze eis in verwerkt is? veilige methode. Een veilige methode is Secure Erase voor apparaten die dit ondersteunen. In overige gevallen wordt de data twee keer overschreven met vaste data, één keer met random data en vervolgens wordt geverifieerd of het overschrijven is gelukt.
onbekend
Nog niet onderzocht
9.2.7.1
9. Fysieke beveiliging
Verwijdering van bedrijfseigendommen
Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming vooraf van de locatie worden meegenomen.
onbekend
Nog niet onderzocht
10.1.1.1
10. Beheer van communicatie en bedienprocessen
Gedocumenteerde bedieningsprocedures
Bedieningsprocedures bevatten informatie over opstarten, afsluiten, backup- en herstelacties, afhandelen van fouten, beheer van logs, contactpersonen, noodprocedures en speciale maatregelen voor beveiliging.
onbekend
Nog niet onderzocht
Printdatum: 18-6-2014
Maatregel
Vraag
Zijn er in en rond beveiligde ruimten brandbare of gevaarlijke materialen opgeslagen? Bijvoorbeeld verpakkingsmateriaal of gevaarlijke stoffen?
Is er een procedure voor het meenemen van apparatuur, informatie of programmatuur van de locatie. Is daarin geregeld wie toestemming mag geven om apparatuur, programmatuur of data mee te nemen? Zijn er bedieningsprocedures over: - opstarten - afsluiten - back-up en herstel - afhandelen van fouten - beheer van logs - contactpersonen - noodprocedures en speciale maatregelen voor beveiliging?
Aanwezig
Vindplaats / opmerking
Eigenaar
Status
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
Nog niet onderzocht
Nog niet onderzocht
Blad 5 van 15 bladen
BIG Nummer Hoofdgroep
Groep
Maatregel
10.1.1.2
10. Beheer van communicatie en bedienprocessen
Gedocumenteerde bedieningsprocedures
Er zijn procedures voor de behandeling van digitale media die ingaan op Zijn er procedures voor de behandeling van digitale media die ingaan onbekend ontvangst, opslag, rubricering, toegangsbeperkingen, verzending, op ontvangst, opslag, rubricering, toegangsbeperkingen, verzending, hergebruik en vernietiging. hergebruik en vernietiging.
10.1.2.1
10. Beheer van communicatie en bedienprocessen
Wijzigingsbeheer
In de procedure voor wijzigingenbeheer is minimaal aandacht besteed aan: •het administreren van significante wijzigingen •impactanalyse van mogelijke gevolgen van de wijzigingen •goedkeuringsprocedure voor wijzigingen
Is er een wijzigingsbeheer procedure? Wordt daarin aandacht besteed aan de genoemde drie punten?
onbekend
Nog niet onderzocht
10.1.2.2
10. Beheer van communicatie en bedienprocessen
Wijzigingsbeheer
[A] Instellingen van informatiebeveiligingsfuncties (b.v. security software) op het koppelvlak tussen vertrouwde en onvertrouwde netwerken, worden automatisch op wijzigingen gecontroleerd.
Worden instellingen van informatiebeveiligingsfuncties (b.v. security software) op het koppelvlak tussen vertrouwde en onvertrouwde netwerken, automatisch op wijzigingen gecontroleerd?
onbekend
Nog niet onderzocht
10.1.3.1
10. Beheer van communicatie en bedienprocessen
Functiescheiding
Niemand in een organisatie of proces mag op uitvoerend niveau rechten hebben om een gehele cyclus van handelingen in een kritisch informatiesysteem te beheersen. Dit in verband met het risico dat hij of zij zichzelf of anderen onrechtmatig bevoordeelt of de organisatie schade toe brengt. Dit geldt voor zowel informatieverwerking als beheeracties.
Is er een strikte scheiding tussen beheer van systemen en gebruik van onbekend systemen? Bijvoorbeeld: het aanpassen van subsidie bedragen of rekeningnummers van subsidie aanvragers is een andere taak dan het toekennen van een subsidie en dient bij voorkeur gescheiden te zijn. Ander voorbeeld, beheerders kunnen wel een backup maken of een database beheren, maar niet in de applicatie zelf.
Nog niet onderzocht
10.1.3.2
10. Beheer van communicatie en bedienprocessen
Functiescheiding
Is er een strikte scheiding tussen beheertaken en gebruikstaken, met gescheiden accounts?
onbekend
Nog niet onderzocht
10.1.3.3
10. Beheer van communicatie en bedienprocessen
Functiescheiding
[A] Er is een scheiding tussen beheertaken en overige gebruikstaken. Beheerwerkzaamheden worden alleen uitgevoerd wanneer ingelogd als beheerder, normale gebruikstaken alleen wanneer ingelogd als gebruiker. [A] Vóór de verwerking van gegevens die de integriteit van kritieke informatie of kritieke informatie systemen kunnen aantasten worden deze gegevens door een tweede persoon geïnspecteerd en geaccepteerd. Van de acceptatie wordt een log bijgehouden.
Wordt voor de verwerking van gegevens die de integriteit van kritieke onbekend informatie of kritieke informatie systemen kunnen aantasten een inspectie uitgevoerd door een tweede persoon? En wordt hiervan een log bijgehouden?
Nog niet onderzocht
10.1.3.4
10. Beheer van communicatie en bedienprocessen
Functiescheiding
[A] Verantwoordelijkheden voor beheer, wijziging van gegevens en bijbehorende informatiesysteemfuncties moeten eenduidig toegewezen zijn aan één specifieke (beheerders)rol.
Zijn de verantwoordelijkheden voor beheer, wijziging van gegevens en onbekend bijbehorende informatiesysteemfuncties eenduidig toegewezen aan één specifieke (beheerders)rol?
Nog niet onderzocht
10.1.4.1
10. Beheer van communicatie en bedienprocessen
#N/A
Er zijn minimaal logisch gescheiden systemen voor Ontwikkeling, Test en/of Acceptatie en Productie (OTAP). De systemen en applicaties in deze zones beïnvloeden systemen en applicaties in andere zones niet.
Nog niet onderzocht
10.1.4.2
10. Beheer van communicatie en bedienprocessen
#N/A
Zijn er minimaal logisch gescheiden systemen voor Ontwikkeling, Test onbekend en/of Acceptatie en Productie (OTAP)? (De systemen en applicaties in deze zones beïnvloeden systemen en applicaties in andere zones niet.) Gebruikers hebben gescheiden gebruiksprofielen voor Ontwikkeling, Hebben gebruikers gescheiden gebruiksprofielen voor Ontwikkeling, onbekend Test en/of Acceptatie en Productiesystemen om het risico van fouten te Test en/of Acceptatie en Productiesystemen? verminderen. Het moet duidelijk zichtbaar zijn in welk systeem gewerkt Wordt in systemen weergegeven op / in het scherm in welk soort wordt. systeem gewerkt wordt?
10.1.4.3
10. Beheer van communicatie en bedienprocessen
#N/A
[A] Indien er een experimenteer of laboratorium omgeving is, is deze fysiek gescheiden van de productieomgeving.
Is er een experimenteer of laboratorium omgeving? Als er een experimenteer of laboratorium omgeving is, is deze dan fysiek gescheiden van de productie omgeving?
onbekend
Nog niet onderzocht
10.2.1.1
10. Beheer van communicatie en bedienprocessen
Dienstverlening
De uitbestedende partij blijft verantwoordelijk voor de betrouwbaarheid van uitbestede diensten.
Zijn er uitbestedingen van IT systemen? Is de verantwoordelijkheid van de uitbestedende partij vastgelegd?
onbekend
Nog niet onderzocht
10.2.1.2
10. Beheer van communicatie en bedienprocessen
Dienstverlening
Uitbesteding is goedgekeurd door de voor het informatiesysteem verantwoordelijke lijnmanager.
Heeft de verantwoordelijk manager de uitbesteding van het informatiesysteem goedgekeurd? Is hiervan een goedkeuring?
onbekend
Nog niet onderzocht
10.2.2.1
10. Beheer van communicatie en bedienprocessen
Controle en beoordeling van Er worden afspraken gemaakt over de inhoud van rapportages, zoals dienstverlening door een derde partij over het melden van incidenten en autorisatiebeheer.
Zijn er afspraken gemaakt over de inhoud van rapportages, zoals het melden van incidenten en autorisatiebeheer activiteiten?
onbekend
Nog niet onderzocht
10.2.2.2
10. Beheer van communicatie en bedienprocessen
Controle en beoordeling van De in dienstverleningscontracten vastgelegde betrouwbaarheidseisen Is vastgelegd in dienstverleningscontracten dat vastgestelde dienstverlening door een derde partij worden gemonitord. Dit kan bijvoorbeeld middels audits of rapportages betrouwbaarheidseisen jaarlijks worden gemonitord middels audits en gebeurt minimaal eens per jaar (voor ieder systeem). en / of rapportages? Zijn hier bewijzen voor in de vorm van rapportages/auditverslagen?
onbekend
Nog niet onderzocht
10.2.2.3
10. Beheer van communicatie en bedienprocessen
Controle en beoordeling van Er zijn voor beide partijen eenduidige aanspreekpunten. dienstverlening door een derde partij
Zijn de interne en externe aanspreekpunten/contacten bekend en is dit vastgelegd?
onbekend
Nog niet onderzocht
10.2.3.1
10. Beheer van communicatie en bedienprocessen
Beheer van wijzigingen in Zie 10.1.2 dienstverlening door een derde partij
Bij uitbestede informatiesystemen: Is er een wijzigingsbeheer procedure? Wordt daarin aandacht besteed aan de genoemde drie punten: • het administreren van significante wijzigingen • impactanalyse van mogelijke gevolgen van de wijzigingen • goedkeuringsprocedure voor wijzigingen
onbekend
Nog niet onderzocht
10.3.1.1
10. Beheer van communicatie en bedienprocessen
Capaciteitsbeheer
Voldoen de ICT voorzieningen aan het voor de diensten overeengekomen niveau van beschikbaarheid? Zijn de beschikbaarheids eisen vastgelegd? Is er een capaciteitsbeheer proces?
onbekend
Nog niet onderzocht
10.3.1.2
10. Beheer van communicatie en bedienprocessen
Capaciteitsbeheer
Is er capaciteits beheer, met name voor virtuele omgevingen, waar aanzien van het gebruik van gemeenschappelijke middelen, zodat een gebruikers gemeenschappelijke middelen kunnen opeisen zodat de enkele gebruiker (of systeem) niet meer van deze middelen kan opeisen hele organisatie er last van heeft? dan nodig is voor de uitvoering van zijn of haar taak en daarmee de beschikbaarheid van systemen voor andere gebruikers (of systemen) in gevaar kan brengen.
onbekend
Nog niet onderzocht
10.3.1.3
10. Beheer van communicatie en bedienprocessen
Capaciteitsbeheer
[A] In koppelpunten met externe of onvertrouwde zones worden Zijn er koppelpunten met onvertrouwde of externe zones ? maatregelen getroffen om DDOS (Denial of Service attacks) aanvallen te Zijn daar maatregelen genomen om DDOS aanvallen te signaleren en signaleren en hierop te reageren. Het gaat hier om aanvallen die erop hierop te reageren? gericht zijn de verwerkingscapaciteit zodanig te laten vollopen, dat onbereikbaarheid of uitval van computers het gevolg is.
onbekend
Nog niet onderzocht
10.3.2.1
10. Beheer van communicatie en bedienprocessen
Systeem acceptatie
[A] Van acceptatietesten wordt een log bijgehouden.
onbekend
Nog niet onderzocht
Printdatum: 18-6-2014
[A] De ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid. Er worden voorzieningen geïmplementeerd om de beschikbaarheid van componenten te bewaken (bijvoorbeeld de controle op aanwezigheid van een component en metingen die het gebruik van een component vaststellen). Op van voorspellingen van het gebruik wordt actie genomenten om [A] basis Er worden beperkingen opgelegd aan gebruikers en systemen
Vraag
Zijn er testverslagen van systeem acceptatie tests?
Aanwezig
Vindplaats / opmerking
Eigenaar
Status
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
Nog niet onderzocht
Nog niet onderzocht
Blad 6 van 15 bladen
BIG Nummer Hoofdgroep
Groep
Maatregel
10.3.2.2
10. Beheer van communicatie en bedienprocessen
Systeem acceptatie
10.4.1.1
10. Beheer van communicatie en bedienprocessen
Maatregelen tegen virussen
Er zijn acceptatiecriteria vastgesteld voor het testen van de beveiliging. Zijn de beveiliging acceptatie criteria van systemen minimaal OWASP onbekend Dit betreft minimaal OWASP of gelijkwaardig. of gelijkwaardig? Blijkt dat deze acceptatie criteria gebruikt worden uit bijvoorbeeld test documentatie van systemen? [A] Bij het openen van bestanden worden deze geautomatiseerd Zijn er op systemen anti virus scanners geïnstalleerd die bestanden onbekend gecontroleerd op virussen, trojans en andere malware. De update voor controleert bij openen? de detectiedefinities vindt frequent, minimaal één keer per dag, Vindt het updaten van detectiedefinities dagelijks plaats? automatisch plaats.
10.4.1.2
10. Beheer van communicatie en bedienprocessen
Maatregelen tegen virussen
[A] Inkomende en uitgaande e-mails worden gecontroleerd op virussen, Zijn er op mail systemen anti virus scanners geïnstalleerd die trojans en andere malware. De update voor de detectiedefinities vindt bestanden controleert bij openen? frequent, minimaal één keer per dag, (automatisch) plaats. Vindt het updaten van detectiedefinities dagelijks plaats?
10.4.1.3
10. Beheer van communicatie en bedienprocessen
Maatregelen tegen virussen
In verschillende schakels van een keten binnen de infrastructuur van een organisatie wordt bij voorkeur antivirusprogrammatuur van verschillende leveranciers toegepast.
10.4.1.4
10. Beheer van communicatie en bedienprocessen
Maatregelen tegen virussen
[A] Er zijn maatregelen om verspreiding van virussen tegen te gaan en Zijn er maatregelen om verspreiding van virussen tegen te gaan daarmee schade te beperken (bijv. quarantaine en compartimentering). genomen? Indien ja, welke maatregelen?
onbekend
Nog niet onderzocht
10.4.1.5
10. Beheer van communicatie en bedienprocessen
Maatregelen tegen virussen
Er zijn continuïteitsplannen voor herstel na aanvallen met virussen Zijn er continuïteitsplannen voor herstel na aanvallen met virussen? waarin minimaal maatregelen voor backups en herstel van gegevens en Zijn daarin maatregelen voor backups en herstel van gegevens en programmatuur zijn beschreven. programmatuur beschreven.
onbekend
Nog niet onderzocht
10.4.1.6
10. Beheer van communicatie en bedienprocessen
Maatregelen tegen virussen
Nog niet onderzocht
10.4.2.1
10. Beheer van communicatie en bedienprocessen
Maatregelen tegen ‘mobile code’
Op mobile devices wordt antivirus software toegepast, waarbij bij BYOD Zijn er mobiele devices in gebruik? onbekend de eindgebruiker verplicht is deze zelf toe te passen. Is er antivirus software voor deze mobiele devices? Is BYOD toegestaan binnen de gemeente? Is er beleid dat eindgebruikers verplicht worden antivirus software te gebruiken? Mobile code wordt uitgevoerd in een logisch geïsoleerde omgeving Wordt er gebruik gemaakt van logisch geïsoleerde omgevingen om onbekend (sandbox) om de kans op aantasting van de integriteit van het systeem mobiele code uit te voeren? te verkleinen. De mobile code wordt altijd uitgevoerd met minimale rechten zodat de integriteit van het host systeem niet aangetast wordt.
10.4.2.2
10. Beheer van communicatie en bedienprocessen
Maatregelen tegen ‘mobile code’
Een gebruiker moet geen extra rechten kunnen toekennen aan programma’s (bijv. internet browsers) die mobiele code uitvoeren.
Is het toekennen van extra rechten aan programma's die mobiele code uitvoeren geblokkeerd door bijvoorbeeld een policy?
onbekend
Nog niet onderzocht
10.5.1.1
10. Beheer van communicatie en bedienprocessen
Reservekopieën maken (backups)
Er zijn (geteste) procedures voor back-up en recovery van informatie voor herinrichting en foutherstel van verwerkingen.
Zijn er backup en recovery procedures voor herinrichting of herstel van informatie en/of verwerkingen? Zijn deze procedures ook getest?
onbekend
Nog niet onderzocht
10.5.1.2
10. Beheer van communicatie en bedienprocessen
Reservekopieën maken (backups)
Zijn er per gegevenssoort back-up strategieën vastgesteld? En rekening gehouden met de punten hiernaast?
onbekend
Nog niet onderzocht
10.5.1.3
10. Beheer van communicatie en bedienprocessen
Reservekopieën maken (backups)
Back-upstrategieën zijn vastgesteld op basis van het soort gegevens (bestanden, databases, enz.), de maximaal toegestane periode waarover gegevens verloren mogen raken, en de maximaal toelaatbare back-up- en hersteltijd. Van back-upactiviteiten en de verblijfplaats van de media wordt een registratie bijgehouden, met een kopie op een andere locatie. De andere locatie is zodanig gekozen dat een incident/calamiteit op de oorspronkelijke locatie niet leidt tot schade aan of toegang tot de kopie van die registratie.
Is er een logging dan wel registratie van uitgevoerde backups en zijn er verschillende kopieën op verschillende locaties rekening houdend met de maximale periode van hierboven?
onbekend
Nog niet onderzocht
10.5.1.4
10. Beheer van communicatie en bedienprocessen
Reservekopieën maken (backups)
Backups worden bewaard op een locatie die zodanig is gekozen dat een Zijn de back-up bewaarlocaties voldoende ver verwijderd van de incident op de oorspronkelijke locatie niet leidt tot schade aan de back- oorspronkelijke locatie? up.
onbekend
Nog niet onderzocht
10.5.1.5
10. Beheer van communicatie en bedienprocessen
Reservekopieën maken (backups)
Is er voor gezorgd dat de toegang tot de backups alleen mogelijk is voor geautoriseerde personen?
onbekend
Nog niet onderzocht
10.6.1.1
10. Beheer van communicatie en bedienprocessen
Maatregelen voor netwerken
De fysieke en logische toegang tot de backups, zowel van systeemschijven als van data, is zodanig geregeld dat alleen geautoriseerde personen zich toegang kunnen verschaffen tot deze backups. Het netwerk wordt gemonitord en beheerd zodat aanvallen, storingen of fouten ontdekt en hersteld kunnen worden en de betrouwbaarheid van het netwerk niet onder het afgesproken minimum niveau komt.
Wordt er gebruik gemaakt van netwerkmonitoring zodat fouten vroegtijdig ontdekt worden en hersteld?
onbekend
Nog niet onderzocht
10.6.1.2
10. Beheer van communicatie en bedienprocessen
Maatregelen voor netwerken
[A] Gegevensuitwisseling tussen vertrouwde en onvertrouwde zones dient inhoudelijk geautomatiseerd gecontroleerd te worden op aanwezigheid van malware.
Wordt er gebruik gemaakt van malware detectie op de koppelvlakken onbekend (vertrouwde en onvertrouwde zones)?
Nog niet onderzocht
10.6.1.3
10. Beheer van communicatie en bedienprocessen
Maatregelen voor netwerken
[A] Bij transport van vertrouwelijke informatie over onvertrouwde netwerken, zoals het internet, dient altijd geschikte encryptie te worden toegepast. Zie hiertoe 12.3.1.3.
Wordt er gebruik gemaakt van encryptie als vertrouwde informatie over onvertrouwde netwerken getransporteerd word?
onbekend
Nog niet onderzocht
10.6.1.4
10. Beheer van communicatie en bedienprocessen
Maatregelen voor netwerken
Er zijn procedures voor beheer van apparatuur op afstand.
Wordt er beheer op afstand toegepast en zijn daar procedures voor?
onbekend
Nog niet onderzocht
10.6.2.1
10. Beheer van communicatie en bedienprocessen
Beveiliging van netwerkdiensten
Beveiligingskenmerken, niveaus van dienstverlening en beheerseisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in elke overeenkomst voor netwerkdiensten, zowel voor diensten die intern worden geleverd als voor uitbestede diensten.
Zijn de beveiligingskenmerken, niveaus van dienstverlening en beheereisen voor interne en externe netwerkdiensten vastgelegd. Ook als het uitbesteed is?
onbekend
Nog niet onderzocht
10.7.1.1
10. Beheer van communicatie en bedienprocessen
Beheer van verwijderbare media
[A] Er zijn procedures opgesteld en geïmplementeerd voor opslag van vertrouwelijke informatie voor verwijderbare media.
Zijn er procedures voor de opslag van vertrouwelijke informatie op verwijderbare media zoals diskettes, usb-sticks?
onbekend
Nog niet onderzocht
10.7.1.2
10. Beheer van communicatie en bedienprocessen
Beheer van verwijderbare media
[A] Verwijderbare media met vertrouwelijke informatie mogen niet onbeheerd worden achtergelaten op plaatsen die toegankelijk zijn zonder toegangscontrole.
Zijn er procedures voor het NIET onbeheerd achterlaten van verwijderbare media op onvertrouwde plaatsen?
onbekend
Nog niet onderzocht
10.7.1.3
10. Beheer van communicatie en bedienprocessen
Beheer van verwijderbare media
In het geval dat media een kortere verwachte levensduur hebben dan Wordt er bijgehouden wanneer een medium in gebruik genomen is en onbekend de gegevens die ze bevatten, worden de gegevens gekopieerd wanneer is er een procedure die er voor zorgt dat ze tijdig vervangen worden 75% van de levensduur van het medium is verstreken. (als de levensduur van het medium op 75% is) (schijven, tapes, sticks)
Nog niet onderzocht
10.7.1.4
10. Beheer van communicatie en bedienprocessen
Beheer van verwijderbare media
Gegevensdragers worden behandeld volgens de voorschriften van de fabrikant.
Nog niet onderzocht
Printdatum: 18-6-2014
Vraag
Aanwezig
Vindplaats / opmerking
Eigenaar
Status
Geaccepteerd risico?
Nog niet onderzocht
Nog niet onderzocht
Wordt er in verschillende schakels van de infrastructuur verschillende onbekend antivirus programmatuur gebruikt?
Nog niet onderzocht
onbekend
Wanneer gereed?
Nog niet onderzocht
onbekend
Worden alle gegevensdragers behandeld conform de voorschriften van de fabrikant?
Actiehouder
Nog niet onderzocht
Blad 7 van 15 bladen
BIG Nummer Hoofdgroep
Groep
Maatregel
Vraag
10.7.2.1
10. Beheer van communicatie en bedienprocessen
Verwijdering van media
[A] Er zijn procedures vastgesteld en in werking voor verwijderen van Zijn er procedures voor het verwijderen van vertrouwelijke data van vertrouwelijke data en de vernietiging van verwijderbare media. verwijderbare media? Welke norm wordt daarbij gehanteerd? Verwijderen van data wordt gedaan met een Secure Erase voor apparaten waar dit mogelijk is. In overige gevallen wordt de data twee keer overschreven met vaste data, één keer met random data en vervolgens wordt geverifieerd of het overschrijven is gelukt. Zie ook 9.2.6.
10.7.3.1
10. Beheer van communicatie en bedienprocessen
Procedures voor de behandeling van informatie
Er behoren procedures te worden vastgesteld voor de behandeling en opslag van informatie om deze te beschermen tegen onbevoegde openbaarmaking of misbruik.
10.7.4.1
10. Beheer van communicatie en bedienprocessen
10.7.4.2
Aanwezig
Vindplaats / opmerking
Eigenaar
Status
onbekend
Nog niet onderzocht
Zijn er procedures vastgesteld die ervoor zorgen dat informatie niet in onbekend handen kan komen van onbevoegde personen en die ervoor zorgen dan de informatie niet misbruikt kan worden of openbaargemaakt?
Nog niet onderzocht
Beveiliging van systeemdocumentatie Systeemdocumentatie die vertrouwelijke informatie bevat is niet vrij toegankelijk.
Wordt systeemdocumentatie die vertrouwelijke informatie bevat juist onbekend behandeld?
Nog niet onderzocht
10. Beheer van communicatie en bedienprocessen
Beveiliging van systeemdocumentatie [A] Wanneer de eigenaar er expliciet voor kiest om gerubriceerde systeemdocumentatie buiten de gemeente te brengen, doet hij dat niet zonder risicoafweging.
Wordt systeemdocumentatie die gerubriceerde informatie bevat niet onbekend zonder risico afweging buiten de gemeente gebracht? Indien ja, waar blijkt dat uit?
Nog niet onderzocht
10.8.1.1
10. Beheer van communicatie en bedienprocessen
Wordt vertrouwelijke informatie niet anders buiten de gemeente gebracht indien dit voor het uitoefenen van de functie noodzakelijk is? Waar blijkt dat uit?
onbekend
Nog niet onderzocht
10.8.1.2
10. Beheer van communicatie en bedienprocessen
Beleid en procedures voor informatie- [A] Het meenemen van Departementaal Vertrouwelijke of uitwisseling vergelijkbaar geclassificeerde informatie, of hogere, buiten de gemeente vindt uitsluitend plaats indien dit voor de uitoefening van de functie noodzakelijk is. Beleid en procedures voor informatie- Medewerkers zijn geïnstrueerd om zodanig om te gaan met uitwisseling (telefoon)gesprekken, e-mail, faxen ingesproken berichten op antwoordapparaten en het gebruik van de diverse digitale berichtendiensten dat de kans op uitlekken van vertrouwelijke informatie geminimaliseerd wordt.
Zijn er procedures en zijn ze bekend bij de medewerkers waarin de omgang met vertrouwelijke informatie geregeld is?
onbekend
Nog niet onderzocht
10.8.1.3
10. Beheer van communicatie en bedienprocessen
Beleid en procedures voor informatie- Medewerkers zijn geïnstrueerd om zodanig om te gaan met mobiele uitwisseling apparatuur en verwijderbare media dat de kans op uitlekken van vertrouwelijke informatie geminimaliseerd wordt. Hierbij wordt ten minste aandacht besteed aan het risico van adreslijsten en opgeslagen boodschappen in mobiele telefoons.
Zijn er procedures en zijn ze bekend bij de medewerkers waarin de onbekend omgang met mobiele apparatuur en verwijderbare media geregeld is? Gaat dit ook over adreslijsten en opgeslagen boodschappen op een mobiele telefoon?
Nog niet onderzocht
10.8.1.4
10. Beheer van communicatie en bedienprocessen
Beleid en procedures voor informatie- Medewerkers zijn geïnstrueerd om geen vertrouwelijke documenten bij Is er een printer procedure voor vertrouwelijke documenten of is er uitwisseling de printer te laten liggen. pull-print?
onbekend
Nog niet onderzocht
10.8.1.5
10. Beheer van communicatie en bedienprocessen
Beleid en procedures voor informatie- Er zijn maatregelen getroffen om het automatisch doorsturen van uitwisseling interne e-mail berichten naar externe e-mail adressen te voorkomen.
onbekend
Nog niet onderzocht
10.8.2.1
10. Beheer van communicatie en bedienprocessen
Uitwisselingsovereenkomsten
Er zijn afspraken gemaakt over de beveiliging van de uitwisseling van Zijn er procedures dan wel werkafspraken of mechanismes die de onbekend gegevens en software tussen organisaties waarin de maatregelen om traceerbaarheid en onweerlegbaarheid van gegevens waarborgen en betrouwbaarheid - waaronder traceerbaarheid en onweerlegbaarheid - zijn deze getoetst? van gegevens te waarborgen zijn beschreven en getoetst.
Nog niet onderzocht
10.8.2.2
10. Beheer van communicatie en bedienprocessen
Uitwisselingsovereenkomsten
Verantwoordelijkheid en aansprakelijkheid in het geval van Is er een incidentmanagement proces en is deze in werking? informatiebeveiligingsincidenten zijn beschreven, alsmede procedures over melding van incidenten.
onbekend
Nog niet onderzocht
10.8.2.3
10. Beheer van communicatie en bedienprocessen
Uitwisselingsovereenkomsten
Het eigenaarschap van gegevens en programmatuur en de verantwoordelijkheid voor de gegevensbescherming, auteursrechten, licenties van programmatuur zijn vastgelegd.
Is er vastgelegd wie eigenaar van gegevens en programmatuur is?
onbekend
Nog niet onderzocht
10.8.2.4
10. Beheer van communicatie en bedienprocessen
Uitwisselingsovereenkomsten
[A] Indien mogelijk wordt binnenkomende programmatuur (zowel op fysieke media als gedownload) gecontroleerd op ongeautoriseerde wijzigingen aan de hand van een door de leverancier via een gescheiden kanaal geleverde checksum of certificaat.
Is er een controle mechanisme voor binnenkomende programmatuur?
onbekend
Nog niet onderzocht
10.8.3.1
10. Beheer van communicatie en bedienprocessen
Fysieke media die worden getransporteerd
Om vertrouwelijke informatie te beschermen worden maatregelen Zijn er maatregelen genomen om vertrouwde informatie te genomen, zoals: beschermen? (zie hiernaast voor voorbeelden) •versleuteling •bescherming door fysieke maatregelen, zoals afgesloten containers •gebruik van verpakkingsmateriaal waaraan te zien is of getracht is het te openen •persoonlijke aflevering •opsplitsing van zendingen in meerdere delen en eventueel verzending via verschillende routes
onbekend
Nog niet onderzocht
10.8.3.2
10. Beheer van communicatie en bedienprocessen
Fysieke media die worden getransporteerd
[A] Fysieke verzending van bijzondere informatie dient te geschieden met goedgekeurde middelen, waardoor de inhoud niet zichtbaar, niet kenbaar en inbreuk detecteerbaar is.
Zijn er procedures voor fysieke verzending van bijzondere informatie? onbekend
Nog niet onderzocht
10.8.4.1
10. Beheer van communicatie en bedienprocessen
Elektronisch berichtenuitwisseling
[A] Digitale documenten binnen de gemeente waar eindgebruikers rechten aan kunnen ontlenen maken gebruik van PKI Overheid certificaten voor tekenen en/of encryptie.
Wordt er gebruik gemaakt van certificaten als eindgebruikers rechten onbekend kunnen ontlenen aan digitale documenten?
Nog niet onderzocht
10.8.4.2
10. Beheer van communicatie en bedienprocessen
Elektronisch berichtenuitwisseling
Er is een (spam) filter geactiveerd voor e-mail berichten.
Is er een spamfilter voor e-mail?
onbekend
Nog niet onderzocht
10.8.5.1
10. Beheer van communicatie en bedienprocessen
Systemen voor bedrijfsinformatie
Er zijn richtlijnen met betrekking tot het bepalen van de risico's die het Zijn er richtlijnen waarin aandacht besteed wordt zoals hiernaast gebruik van gemeentelijk informatie in kantoorapplicaties met zich benoemd bij het gebruik en de bepaling van de beveiliging van meebrengen en richtlijnen voor de bepaling van de beveiliging van deze kantoor applicaties? informatie binnen deze kantoorapplicaties. Hierin is minimaal aandacht besteed aan de toegang tot de interne informatievoorziening, toegankelijkheid van agenda's, afscherming van documenten, privacy, beschikbaarheid, backup en in voorkomend geval Cloud diensten.
onbekend
Nog niet onderzocht
10.9.1.1
10. Beheer van communicatie en bedienprocessen
E-commerce
[A] Conform verplichting worden authentieke basisregistraties van de overheid gebruikt (b.v. GBA). (eenmalige vastlegging, meervoudig gebruik)
onbekend
Nog niet onderzocht
10.9.2.1
10. Beheer van communicatie en bedienprocessen
Online-transacties
Een transactie wordt bevestigd (geautoriseerd) door een Worden transacties bevestigd met een elektronische handtekening of onbekend (gekwalificeerde) elektronische handtekening of een andere wilsuiting een andere wilsuiting? (bijv. een TAN code) van de gebruiker.
Nog niet onderzocht
Printdatum: 18-6-2014
Wordt er gemonitord op het automatisch doorzenden van mail naar externe mailadressen en is er een verbod op het doorzenden van mail?
Worden er alleen authentieke basisregistraties van de overheid gebruikt?
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
Blad 8 van 15 bladen
BIG Nummer Hoofdgroep
Groep
Maatregel
Vraag
Aanwezig
Vindplaats / opmerking
Eigenaar
Status
10.9.2.2
10. Beheer van communicatie en bedienprocessen
Online-transacties
Een transactie is versleuteld, de partijen zijn geauthentiseerd en de privacy van betrokken partijen is gewaarborgd.
Worden transacties versleuteld en de partijen geauthentiseerd en is de privacy gewaarborgd?
onbekend
Nog niet onderzocht
10.9.3.1
10. Beheer van communicatie en bedienprocessen
Openbaar beschikbare informatie
Er zijn procedures die waarborgen dat gepubliceerde informatie is aangeleverd door daartoe geautoriseerde medewerkers.
Zijn er procedures dat alleen geautoriseerde medewerkers informatie onbekend kunnen publiceren?
Nog niet onderzocht
10.10.1.1
10. Beheer van communicatie en bedienprocessen
Logging en controle
Van logbestanden worden rapportages gemaakt die periodiek worden Zijn er logging rapportages? beoordeeld. Deze periode dient te worden gerelateerd aan de mogelijkheid van misbruik en de schade die kan optreden. De GBA logging kan bijvoorbeeld dagelijks nagelopen worden, evenals financiële systemen, controle van het Internet gebruik kan bijvoorbeeld per maand of kwartaal.
10.10.1.2
10. Beheer van communicatie en bedienprocessen
Logging en controle
Een logregel bevat minimaal: •een tot een natuurlijk persoon herleidbare gebruikersnaam of ID •de gebeurtenis (zie 10.10.2.1) •waar mogelijk de idenƟteit van het werkstaƟon of de locaƟe •het object waarop de handeling werd uitgevoerd •het resultaat van de handeling •de datum en het ƟjdsƟp van de gebeurtenis
10.10.1.3
10. Beheer van communicatie en bedienprocessen
Logging en controle
[A] In een logregel worden in geen geval gevoelige gegevens opgenomen. Dit betreft onder meer gegevens waarmee de beveiliging doorbroken kan worden (zoals wachtwoorden, inbelnummers, enz.).
10.10.1.4
10. Beheer van communicatie en bedienprocessen
Logging en controle
10.10.1.5
10. Beheer van communicatie en bedienprocessen
10.10.2.1
onbekend
Nog niet onderzocht
Is vastgelegd wat er in een logregel moet staan (zie hiernaast)?
onbekend
Nog niet onderzocht
Bevat een logregel geen gevoelige gegevens zoals wachtwoorden?
onbekend
Nog niet onderzocht
[A] Logberichten worden overzichtelijk samengevat. Daartoe zijn Worden logberichten overzichtelijk samengevat? systemen die logberichten genereren bij voorkeur aangesloten op een Security Information and Event Management systeem (SIEM ) waarmee meldingen en alarmoproepen aan de beheerorganisatie gegeven worden. Er is vastgelegd bij welke drempelwaarden meldingen en alarmoproepen gegenereerd worden.
onbekend
Nog niet onderzocht
Logging en controle
Controle op opslag van logging: het vollopen van het opslagmedium Is er controle op het vollopen van het opslagmedium voor logging? voor de logbestanden boven een bepaalde grens wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie. Dit geldt ook als het bewaren van loggegevens niet (meer) mogelijk is (bijv. een logserver die niet bereikbaar is).
onbekend
Nog niet onderzocht
10. Beheer van communicatie en bedienprocessen
Logging en controle
Worden de gebeurtenissen zoals hiernaast genoemd opgenomen in de logging?
onbekend
Nog niet onderzocht
10.10.3.1
10. Beheer van communicatie en bedienprocessen
Logging en controle
De volgende gebeurtenissen worden in ieder geval opgenomen in de logging: •gebruik van technische beheerfuncƟes, zoals het wijzigingen van configuratie of instelling; uitvoeren van een systeemcommando, starten en stoppen, uitvoering van een back-up of restore •gebruik van funcƟoneel beheerfuncƟes, zoals het wijzigingen van configuratie en instellingen, release van nieuwe functionaliteit, ingrepen in gegevenssets (waaronder databases) •handelingen van beveiligingsbeheer, zoals het opvoeren en afvoeren gebruikers, toekennen en intrekken van rechten, wachtwoordreset, uitgifte en intrekken van cryptosleutels •beveiligingsincidenten (zoals deofaanwezigheid testen op Het (automatisch) overschrijven verwijderen van malware, logbestanden wordt gelogd in de nieuw aangelegde log.
Wordt het overschrijven, verwijderen dan wel verplaatsen van logging onbekend vastgelegd in logging?
Nog niet onderzocht
10.10.3.2
10. Beheer van communicatie en bedienprocessen
Logging en controle
[A] Het raadplegen van logbestanden is voorbehouden aan geautoriseerde gebruikers. Hierbij is de toegang beperkt tot leesrechten.
Is logging read-only en alleen voor geautoriseerde gebruikers beschikbaar?
onbekend
Nog niet onderzocht
10.10.3.3
10. Beheer van communicatie en bedienprocessen
Logging en controle
Logbestanden worden zodanig beschermd dat deze niet aangepast of gemanipuleerd kunnen worden.
Wordt manipulatie en aanpassing van logging voorkomen?
onbekend
Nog niet onderzocht
10.10.3.4
10. Beheer van communicatie en bedienprocessen
Logging en controle
De instellingen van logmechanismen worden zodanig beschermd dat deze niet aangepast of gemanipuleerd kunnen worden. Indien de instellingen aangepast moeten worden zal daarbij altijd het vier ogen principe toegepast worden.
Worden de logginginstellingen beschermd?
onbekend
Nog niet onderzocht
10.10.3.5
10. Beheer van communicatie en bedienprocessen
Logging en controle
[A] De beschikbaarheid van loginformatie is gewaarborgd binnen de Is er een minimale logtermijn van 3 maanden en als er een incident termijn waarin loganalyse noodzakelijk wordt geacht, met een vermoed wordt minimaal 3 jaar? minimum van drie maanden, conform de wensen van de systeemeigenaar. Bij een (vermoed) informatiebeveiligingsincident is de bewaartermijn minimaal drie jaar.
onbekend
Nog niet onderzocht
10.10.3.6
10. Beheer van communicatie en bedienprocessen
Logging en controle
Controle op opslag van logging: het vollopen van het opslagmedium Is er alarmering op de logging? voor de logbestanden boven een bepaalde grens wordt gelogd en leidt tot automatische alarmering van de beheerorganisatie. Dit geldt ook als het bewaren van loggegevens niet (meer) mogelijk is (bijv. een logserver die niet bereikbaar is).
onbekend
Nog niet onderzocht
10.10.4.1
10. Beheer van communicatie en bedienprocessen
Logging en controle
Zie 10.10.1
onbekend
Nog niet onderzocht
10.10.5.1
10. Beheer van communicatie en bedienprocessen
Logging en controle
Zie 10.10.1
onbekend
Nog niet onderzocht
10.10.6.1
10. Beheer van communicatie en bedienprocessen
Logging en controle
Systeemklokken worden zodanig gesynchroniseerd dat altijd een betrouwbare analyse van logbestanden mogelijk is.
onbekend
Nog niet onderzocht
11.1.1.1
11. Toegangsbeveiliging
Toegangsbeleid
Er behoort toegangsbeleid te worden vastgesteld, gedocumenteerd en Is er toegangsbeleid? beoordeeld op basis van bedrijfseisen en beveiligingseisen voor toegang.
onbekend
Nog niet onderzocht
Printdatum: 18-6-2014
Lopen alle systeemklokken gelijk?
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
Blad 9 van 15 bladen
BIG Nummer Hoofdgroep
Groep
Maatregel
Vraag
Aanwezig
11.2.1.1
11. Toegangsbeveiliging
Registratie van gebruikers
Gebruikers worden vooraf geïdentificeerd en geautoriseerd. Van de registratie wordt een administratie bijgehouden.
Is er een procedure voor nieuwe gebruikers?
onbekend
Nog niet onderzocht
11.2.1.2
11. Toegangsbeveiliging
Registratie van gebruikers
[A] Authenticatiegegevens worden bijgehouden in één bronbestand zodat consistentie is gegarandeerd.
Worden authenticatiegegevens in 1 bronbestand bij elkaar gehouden?
onbekend
Nog niet onderzocht
11.2.1.3
11. Toegangsbeveiliging
Registratie van gebruikers
[A] Op basis van een risicoafweging wordt bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegeven.
Is er een risicoafweging bij de bepaling van toegangsrechten en is er functiescheiding?
onbekend
Nog niet onderzocht
11.2.2.1
11. Toegangsbeveiliging
Beheer van (speciale) bevoegdheden Gebruikers hebben toegang tot speciale bevoegdheden voorzover dat voor de uitoefening van hun taak noodzakelijk is (need to know, need to use).
Worden speciale bevoegdheden alleen gebruikt als ze nodig zijn?
onbekend
Nog niet onderzocht
11.2.2.2
11. Toegangsbeveiliging
Beheer van (speciale) bevoegdheden Systeemprocessen draaien onder een eigen gebruikersnaam (een functioneel account), voor zover deze processen handelingen verrichten voor andere systemen of gebruikers.
Draaien systeemprocessen onder een eigen account?
onbekend
Nog niet onderzocht
11.2.2.3
11. Toegangsbeveiliging
Beheer van (speciale) bevoegdheden Gebruikers krijgen slechts toegang tot een noodzakelijk geachte set van Krijgen gebruikers alleen die toegang die ze nodig hebben? applicaties en commando’s.
onbekend
Nog niet onderzocht
11.2.2.4
11. Toegangsbeveiliging
Beheer van (speciale) bevoegdheden Er is aandacht voor het wijzigen van bevoegdheden bij verandering van Is er een beleid bij werkverandering i.v.m. het wijzigen van functie / afdeling. bevoegdheden?
onbekend
Nog niet onderzocht
11.2.3.1
11. Toegangsbeveiliging
Beheer van gebruikerswachtwoorden Wachtwoorden worden nooit in originele vorm (plaintext) opgeslagen Worden wachtwoorden voldoende beschermd opgeslagen of of verstuurd, maar in plaats daarvan wordt bijvoorbeeld de hashwaarde verstuurd (hash + SALT) van het wachtwoord gecombineerd met een salt opgeslagen.
onbekend
Nog niet onderzocht
11.2.3.2
11. Toegangsbeveiliging
Is er een wachtwoord procedure of is er toegangsbeleid waarin Beheer van gebruikerswachtwoorden Ten aanzien van wachtwoorden geldt: tenminste de hiernaast genoemde aspecten verwoord is? •Wachtwoorden worden op een veilige manier uitgegeven (controle identiteit van de gebruiker). •Tijdelijke wachtwoorden of wachtwoorden die standaard in soŌware of hardware worden meegegeven worden bij eerste gebruik vervangen door een persoonlijk wachtwoord. •Gebruikers bevesƟgen de ontvangst van een wachtwoord. •Wachtwoorden zijn alleen bij de gebruiker bekend. •Wachtwoorden bestaan uit minimaal 8 karakters, waarvan tenminste 1 hoofdletter, 1 cijfer en 1 vreemd teken. •Wachtwoorden zijn maximaal 60 dagen geldig en mogen niet binnen 6 keer herhaald worden.
onbekend
Nog niet onderzocht
11.2.4.1
11. Toegangsbeveiliging
Beoordeling van toegangsrechten van Toegangsrechten van gebruikers worden periodiek, minimaal jaarlijks, gebruikers geëvalueerd. Het interval is beschreven in het toegangsbeleid en is bepaald op basis van het risiconiveau.
onbekend
Nog niet onderzocht
11.3.1.1
11. Toegangsbeveiliging
Gebruik van wachtwoorden
Aan de gebruikers is een set gedragsregels aangereikt met daarin Zijn gebruikers in het bezit van gedragsregels? minimaal het volgende: •Wachtwoorden worden niet opgeschreven. •Gebruikers delen hun wachtwoord nooit met anderen. •Wachtwoorden mogen niet opeenvolgend zijn •Een wachtwoord wordt onmiddellijk gewijzigd indien het vermoeden bestaat dat het bekend is geworden aan een derde.•Wachtwoorden worden niet gebruikt in automatische inlogprocedures (bijv. opgeslagen onder een functietoets of in een macro).
onbekend
Nog niet onderzocht
11.3.2.1
11. Toegangsbeveiliging
Onbeheerde gebruikersapparatuur
De gebruiker vergrendelt de werkplek tijdens afwezigheid. (zie ook : 11.5.5)
Is er een clear desk en clear screen policy?
onbekend
Nog niet onderzocht
11.3.3.1
11. Toegangsbeveiliging
Clear desk en clear screen
In het clear desk beleid staat minimaal dat de gebruiker geen vertrouwelijke informatie op het bureau mag laten liggen. Deze informatie moet altijd worden opgeborgen in een afsluitbare opbergmogelijkheid (kast, locker, bureau of kamer).
En staat daar het volgende in: Dat de gebruiker geen vertrouwelijke informatie op het bureau mag laten liggen. Deze informatie moet altijd worden opgeborgen in een afsluitbare opbergmogelijkheid (kast, locker, bureau of kamer).
onbekend
Nog niet onderzocht
11.3.3.2
11. Toegangsbeveiliging
Clear desk en clear screen
Bij afdrukken van gevoelige informatie wordt, wanneer mogelijk, gebruik gemaakt van de functie “beveiligd afdrukken” (pincode verificatie).
Is er een functie voor beveiligd afdrukken van gevoelige informatie?
onbekend
Nog niet onderzocht
11.3.3.3
11. Toegangsbeveiliging
Clear desk en clear screen
[A] Schermbeveiligingsprogrammatuur (een screensaver) maakt na een Is er een screensaver die automatisch in werking gaat na maximaal 15 onbekend periode van inactiviteit van maximaal 15 minuten alle informatie op het minuten inactiviteit? beeldscherm onleesbaar en ontoegankelijk.
Nog niet onderzocht
11.3.3.4
11. Toegangsbeveiliging
Clear desk en clear screen
[A] Toegangsbeveiliging lock wordt automatisch geactiveerd bij het verwijderen van een token (indien aanwezig).
onbekend
Nog niet onderzocht
11.4.1.1
11. Toegangsbeveiliging
Beleid ten aanzien van het gebruik van netwerkdiensten
onbekend
Nog niet onderzocht
11.4.2.1
11. Toegangsbeveiliging
Authenticatie van gebruikers bij externe verbindingen
Er is een gedocumenteerd beleid met betrekking tot het gebruik van Is er netwerkgebruik beleid? netwerken en netwerkdiensten. Gebruikers krijgen slechts toegang tot de netwerkdiensten die voor het werk noodzakelijk zijn. Zie ook 11.2.2.3. Zie ook 11.6.1.3.
onbekend
Nog niet onderzocht
11.4.3.1
11. Toegangsbeveiliging
Identificatie van (netwerk)apparatuur [A] Alleen geïdentificeerde en geauthentiseerde apparatuur kan Is geregeld dat alleen geauthentiseerde apparatuur kan worden worden aangesloten op een vertrouwde zone. Eigen, geauthentiseerde, aangesloten op een vertrouwede zone? apparatuur (Bring Your Own Device) wordt alleen aangesloten op een onvertrouwde zone.
onbekend
Nog niet onderzocht
11.4.4.1
11. Toegangsbeveiliging
Bescherming op afstand van poorten Poorten, diensten en soortgelijke voorzieningen op een netwerk of voor diagnose en configuraties computer die niet vereist zijn voor de dienst dienen te worden afgesloten.
onbekend
Nog niet onderzocht
Printdatum: 18-6-2014
Worden de toegangsrechten minimaal jaarlijks geëvalueerd?
Is er een screenlock/saver die automatisch in werking gaat als een token verwijderd wordt? Indien aanwezig!
Is er patch en poort management?
Vindplaats / opmerking
Eigenaar
Status
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
Blad 10 van 15 bladen
BIG Nummer Hoofdgroep
Groep
Maatregel
Vraag
Aanwezig
Vindplaats / opmerking
Eigenaar
Status
11.4.5.1
11. Toegangsbeveiliging
Scheiding van netwerken
[A] Werkstations worden zo ingericht dat routeren van verkeer tussen verschillende zones of netwerken niet mogelijk is.
Is verkeer tussen verschillende netwerk zones niet mogelijk?
onbekend
Nog niet onderzocht
11.4.5.2
11. Toegangsbeveiliging
Scheiding van netwerken
[A] De indeling van zones binnen de technische infrastructuur vindt Is er beleid over zonering en wordt deze geëvalueerd? plaats volgens een operationeel beleidsdocument waarin is vastgelegd welke uitgangspunten voor zonering worden gehanteerd. Van systemen wordt bijgehouden in welke zone ze staan. Er wordt periodiek, minimaal één keer per jaar, geëvalueerd of het systeem nog steeds in de optimale zone zit of verplaatst moet worden.
onbekend
Nog niet onderzocht
11.4.5.3
11. Toegangsbeveiliging
Scheiding van netwerken
[A] Elke zone heeft een gedefinieerd beveiligingsniveau Zodat de Hebben zones gedefinieerde beveiligingsniveaus? filtering tussen zones is afgestemd op de doelstelling van de zones en het te overbruggen verschil in beveiligingsniveau. Hierbij vindt controle plaats op protocol, inhoud en richting van de communicatie.
onbekend
Nog niet onderzocht
11.4.5.4
11. Toegangsbeveiliging
Scheiding van netwerken
[A] Beheer en audit van zones vindt plaats vanuit een minimaal logisch Is er voor beheer en audit een logische gescheiden zone? gescheiden, separate zone.
onbekend
Nog niet onderzocht
11.4.5.5
11. Toegangsbeveiliging
Scheiding van netwerken
Zonering wordt ingericht met voorzieningen waarvan de functionaliteit Is er hardening? is beperkt tot het strikt noodzakelijke (hardening van voorzieningen).
onbekend
Nog niet onderzocht
11.4.6.1
11. Toegangsbeveiliging
Beheersmaatregelen voor netwerkverbindingen
Voor gemeenschappelijke netwerken, vooral waar deze de grenzen van Is er toegangsbeleid bij zone overschrijdende gemeenschappelijke de organisatie overschrijden, behoren de toegangsmogelijkheden voor netwerken? gebruikers te worden beperkt, overeenkomstig het toegangsbeleid en de eisen van bedrijfstoepassingen (zie 11.1).
onbekend
Nog niet onderzocht
11.4.7.1
11. Toegangsbeveiliging
Beheersmaatregelen voor netwerkroutering
Netwerken zijn voorzien van beheersmaatregelen voor routering gebaseerd op mechanismen ter verificatie van bron en bestemmingsadressen.
Zijn er beheersmaatregelen voor routering en verificatie van bron en bestemming?
onbekend
Nog niet onderzocht
11.5.1.1
11. Toegangsbeveiliging
Beveiligde inlogprocedures
[A] Toegang tot kritische toepassingen of toepassingen met een hoog belang wordt verleend op basis van twee-factor authenticatie.
Wordt er gebruik gemaakt van two-factor bij kritische of hoog belang onbekend toepassingen?
Nog niet onderzocht
11.5.1.2
11. Toegangsbeveiliging
Beveiligde inlogprocedures
Het wachtwoord wordt niet getoond op het scherm tijdens het ingeven. Is een wachtwoord bij invoer onleesbaar? Er wordt geen informatie getoond die herleidbaar is tot de authenticatiegegevens.
onbekend
Nog niet onderzocht
11.5.1.3
11. Toegangsbeveiliging
Beveiligde inlogprocedures
Voorafgaand aan het aanmelden wordt aan de gebruiker een melding getoond dat alleen geautoriseerd gebruik is toegestaan voor expliciet door de organisatie vastgestelde doeleinden.
Is er een melding over geautoriseerd gebruik bij inloggen?
onbekend
Nog niet onderzocht
11.5.1.4
11. Toegangsbeveiliging
Beveiligde inlogprocedures
Bij een succesvol loginproces wordt de datum en tijd van de voorgaande login of loginpoging getoond. Deze informatie kan de gebruiker enige informatie verschaffen over de authenticiteit en/of misbruik van het systeem.
Is er bij een succesvolle login een melding van de voorgaande login?
onbekend
Nog niet onderzocht
11.5.1.5
11. Toegangsbeveiliging
Beveiligde inlogprocedures
[A] Nadat voor een gebruikersnaam 3 keer een foutief wachtwoord gegeven is, wordt het account minimaal 10 minuten geblokkeerd. Indien er geen lock-out periode ingesteld kan worden, dan wordt het account geblokkeerd totdat de gebruiker verzoekt deze lock-out op te heffen of het wachtwoord te resetten.
Is er een lockoutperiode?
onbekend
Nog niet onderzocht
11.5.2.1
11. Toegangsbeveiliging
Gebruikersindentificatie en –authenticatie
Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit vastgesteld evenals het feit dat de gebruiker recht heeft op het authenticatiemiddel.
Is er controle op de uitgifte van authenticatiemiddelen?
onbekend
Nog niet onderzocht
11.5.2.2
11. Toegangsbeveiliging
Gebruikersindentificatie en –authenticatie
Bij het intern gebruik van IT voorzieningen worden gebruikers minimaal Is er minimaal een wachtwoord nodig bij authenticatie van gebruikers onbekend geauthentiseerd op basis van wachtwoorden. (intern)?
Nog niet onderzocht
11.5.2.3
11. Toegangsbeveiliging
Gebruikersindentificatie en –authenticatie
[A] Applicaties mogen niet onnodig en niet langer dan noodzakelijk onder een systeemaccount (een privileged user zoals administrator of root) draaien. Direct na het uitvoeren van handelingen waar hogere rechten voor nodig zijn, wordt weer teruggeschakeld naar het niveau van een gewone gebruiker (een unprivileged user).
11.5.3.1
11. Toegangsbeveiliging
Systemen voor wachtwoordenbeheer Er wordt automatisch gecontroleerd op goed gebruik van wachtwoorden (o.a. voldoende sterke wachtwoorden , regelmatige wijziging, directe wijziging van initieel wachtwoord).
11.5.3.2
Hebben applicaties niet meer rechten dan nodig?
onbekend
Nog niet onderzocht
Wordt er automatisch gecontroleerd op het gebruik van wachtwoorden, bijvoorbeeld door een policy setting in de systemen of in de applicatie?
onbekend
Nog niet onderzocht
11. Toegangsbeveiliging
Systemen voor wachtwoordenbeheer [A] Wachtwoorden hebben een geldigheidsduur zoals beschreven bij Is de geldigheidsduur van wachtwoorden in te stellen en wordt dit onbekend 11.2.3 . Daarbinnen dient het wachtwoord te worden gewijzigd. afgedwongen, bijvoorbeeld door een policy setting in de systemen of Wanneer het wachtwoord verlopen is, wordt het account geblokkeerd. in de applicatie?
Nog niet onderzocht
11.5.3.3
11. Toegangsbeveiliging
Systemen voor wachtwoordenbeheer [A] Wachtwoorden die gereset zijn en initiële wachtwoorden hebben een zeer beperkte geldigheidsduur en moeten bij het eerste gebruik worden gewijzigd.
Is een verstrekt tijdelijk wachtwoord beperkt in geldigheidsduur, en is onbekend er een regel/policy die afdwingt dat dit wachtwoord bij eerste gebruik dient te worden gewijzigd?
Nog niet onderzocht
11.5.3.4
11. Toegangsbeveiliging
Systemen voor wachtwoordenbeheer De gebruikers hebben de mogelijkheid hun eigen wachtwoord te kiezen en te wijzigen. Hierbij geldt het volgende: • voordat een gebruiker zijn wachtwoord kan wijzigen, wordt de gebruiker opnieuw geauthentiseerd. • ter voorkoming van typefouten in het nieuw gekozen wachtwoord is er een bevestigingsprocedure.
Hebben de gebruikers de mogelijkheid hun eigen wachtwoord te onbekend kiezen en te wijzigen? Hierbij geldt het volgende: • voordat een gebruiker zijn wachtwoord kan wijzigen, wordt de gebruiker opnieuw geauthentiseerd. • ter voorkoming van typefouten in het nieuw gekozen wachtwoord is er een bevestigingsprocedure.
Nog niet onderzocht
11.5.4.1
11. Toegangsbeveiliging
Gebruik van systeemhulpmiddelen
Het gebruik van hulpprogrammatuur waarmee systeem- en toepassingsbeheersmaatregelen zouden kunnen worden gepasseerd behoort te worden beperkt en behoort strikt te worden beheerst.
is het gebruik van hulpprogrammatuur waarmee systeem en onbekend toepassingsbeheersmaatregelen zouden kunnen worden gepasseerd, beperkt tot beheerders?
Nog niet onderzocht
11.5.5.1
11. Toegangsbeveiliging
Time-out van sessies
[A] De periode van inactiviteit van een werkstation is vastgesteld op Is er een time out ingesteld van 15 minuten of korter voor het maximaal 15 minuten. Daarna wordt de PC vergrendeld. Bij remote werkstation? desktop sessies geldt dat na maximaal 15 minuten inactiviteit de sessie Is dit ook voor remote sessies zo ingesteld? verbroken wordt.
Printdatum: 18-6-2014
onbekend
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
Nog niet onderzocht
Blad 11 van 15 bladen
BIG Nummer Hoofdgroep
Groep
Maatregel
Vraag
11.5.6.1
11. Toegangsbeveiliging
Beperking van verbindingstijd
[A] De toegang voor onderhoud op afstand door een leverancier wordt Worden er systemen onderhouden door derden die daar vanaf alleen opengesteld op basis een wijzigingsverzoek of storingsmelding. afstand bij mogen, waarbij alleen op basis van een wijzigingsverzoek Met 2-factor authenticatie en tunneling. of storingsmelding toegang wordt verleend door middel van 2 factor authenticering en tunneling?
11.6.1.1
11. Toegangsbeveiliging
11.6.1.2
Aanwezig
Vindplaats / opmerking
Eigenaar
Status
onbekend
Nog niet onderzocht
Beperken van toegang tot informatie In de soort toegangsregels wordt ten minste onderscheid gemaakt tussen lees- en schrijfbevoegdheden.
onbekend
Nog niet onderzocht
11. Toegangsbeveiliging
Beperken van toegang tot informatie [A] Managementsoftware heeft de mogelijkheid gebruikerssessies af te sluiten.
onbekend
Nog niet onderzocht
11.6.1.3
11. Toegangsbeveiliging
Beperken van toegang tot informatie [A] Bij extern gebruik vanuit een onvertrouwde omgeving vindt sterke authenticatie (two-factor) van gebruikers plaats.
Vind bij toegang vanuit een onvertrouwde omgeving 2 factor authenticatie plaats?
onbekend
Nog niet onderzocht
11.6.1.4
11. Toegangsbeveiliging
Beperken van toegang tot informatie [A] Een beheerder gebruikt two-factor authenticatie voor het beheer van kritische apparaten. B.v. een sleutel tot beveiligde ruimte en een password of een token en een password.
Wordt voor beheer van systemen gebruik gemaakt van 2 factor authenticatie, zoals in het voorbeeld genoemd?
onbekend
Nog niet onderzocht
11.6.2.1
11. Toegangsbeveiliging
Isoleren van gevoelige systemen
[A] Gevoelige systemen (met hoge beschikbaarheid of grote vertrouwelijkheid) behoren een eigen vast toegewezen (geïsoleerde) computeromgeving te hebben. Isoleren kan worden bereikt door fysieke of logische methoden.
Zijn gevoelige systemen geïsoleerd van andere systemen?
onbekend
Nog niet onderzocht
11.7.1.1
11. Toegangsbeveiliging
Draagbare computers en communicatievoorzieningen
[A] Het mobiele apparaat is waar mogelijk zo ingericht dat geen bedrijfsinformatie wordt opgeslagen (“zero footprint”). Voor het geval dat zero footprint (nog) niet realiseerbaar is, of functioneel onwenselijk is, geldt: een mobiel apparaat (zoals een handheld computer, tablet, smartphone, PDA) biedt de mogelijkheid om de toegang te beschermen d.m.v. een wachtwoord en versleuteling van die gegevens. Voor printen in onvertrouwde omgevingen vindt een risicoafweging plaats
Worden er mobiele apparaten binnen de gemeente toegestaan voor toegang tot bedrijfsinformatie?
onbekend
Nog niet onderzocht
Wanneer gereed?
Geaccepteerd risico?
Is daarvoor zero footprint software in gebruik of een wachtwoord (pincode) en versleuteling van gegevens?
11.7.1.2
11. Toegangsbeveiliging
Draagbare computers en communicatievoorzieningen
[A] Er zijn, waar mogelijk, voorzieningen om de actualiteit van antimalware programmatuur op mobiele apparaten te garanderen.
Op mobiele apparaten van de gemeente wordt anti malware software onbekend gebruikt welke regelmatig wordt geupdate.
Nog niet onderzocht
11.7.1.3
11. Toegangsbeveiliging
Draagbare computers en communicatievoorzieningen
[A] Bij melding van verlies of diefstal wordt de communicatiemogelijkheid met de centrale applicaties afgesloten.
Wordt bij melding van verlies of diefstal de communicatiemogelijkheid met centrale applicaties afgesloten?
onbekend
Nog niet onderzocht
11.7.2.1
11. Toegangsbeveiliging
Telewerken
Er wordt een beleid met gedragsregels en een geschikte implementatie Is er telewerk beleid binnen de gemeente (indien van toepassing?) van de techniek opgesteld t.a.v. telewerken.
onbekend
Nog niet onderzocht
11.7.2.2
11. Toegangsbeveiliging
Telewerken
Er wordt beleid vastgesteld met daarin de uitwerking welke systemen Is er in dit telewerk beleid vastgesteld welke systemen wel en welke niet en welke systemen wel vanuit de thuiswerkplek of andere systemen niet mogen worden geraadpleegd? telewerkvoorzieningen mogen worden geraadpleegd. Dit beleid wordt Is hiervoor aparte software die dit ondersteund? bij voorkeur ondersteund door een MDM-oplossing (mobile device management).
onbekend
Nog niet onderzocht
11.7.2.3
11. Toegangsbeveiliging
Telewerken
[A] De telewerkvoorzieningen zijn waar mogelijk zo ingericht dat op de werkplek (thuis of op een andere locatie) geen bedrijfsinformatie wordt opgeslagen (“zero footprint”) en mogelijke malware vanaf de werkplek niet in het vertrouwde deel terecht kan komen. Voor printen in onvertrouwde omgevingen vindt een risicoafweging plaats.
onbekend
Nog niet onderzocht
12.1.1.1
12. Verwerving, onderhoud en ontwikkeling
Analyse en specificatie van beveiligingseisen
In projecten worden een beveiligingsrisicoanalyse en Is er een procedure die nageleefd wordt dat bij projecten een maatregelbepaling opgenomen als onderdeel van het ontwerp. Ook bij risicoanalyse en maatregelbepaling onderdeel is van het ontwerp? wijzigingen worden de veiligheidsconsequenties meegenomen. Wordt dit ook gedaan in de wijzigingsbeheer procedure?
onbekend
Nog niet onderzocht
12.1.1.2
12. Verwerving, onderhoud en ontwikkeling
Analyse en specificatie van beveiligingseisen
In standaarden voor analyse, ontwikkeling en testen van informatiesystemen wordt structureel aandacht besteed aan beveiligingsaspecten. Waar mogelijk wordt gebruikt gemaakt van bestaande richtlijnen (bijv. secure coding guidelines ).
Wordt bij analyse, ontwikkelen en testen van informatiesystemen aandacht besteed aan het testen van beveiligingsaspecten?
onbekend
Nog niet onderzocht
12.1.1.3
12. Verwerving, onderhoud en ontwikkeling
Analyse en specificatie van beveiligingseisen
Bij aanschaf van producten wordt een proces gevolgd waarbij beveiliging een onderdeel is van de specificatie.
Wordt bij aanbesteding van producten beveiliging meegenomen als onderdeel van de specificatie?
onbekend
Nog niet onderzocht
12.1.1.4
12. Verwerving, onderhoud en ontwikkeling
Analyse en specificatie van beveiligingseisen
Waar het gaat om beveiligingsrelevante producten wordt de keuze voor Zijn er voor beveiligingsrelevante producten die gebruikt worden een bepaald product verantwoord onderbouwd. verantwoorde onderbouwingen?
onbekend
Nog niet onderzocht
12.1.1.5
12. Verwerving, onderhoud en ontwikkeling
Analyse en specificatie van beveiligingseisen
Voor beveiliging worden componenten gebruikt die aantoonbaar voldoen voor beveiliging gebruikte componenten aantoonbaar aan voldoen aan geaccepteerde beveiligingscriteria zoals NBV goedkeuring beveiligingscriteria van het NBV of volgens ISO/IEC 15408? of certificering volgens ISO/IEC 15408 (common criteria) .
onbekend
Nog niet onderzocht
12.1.1.6
12. Verwerving, onderhoud en ontwikkeling
Analyse en specificatie van beveiligingseisen
Er is expliciet aandacht voor leveranciers accounts, hardcoded wachtwoorden en mogelijke “achterdeurtjes”.
onbekend
Nog niet onderzocht
12.2.1.1
12. Verwerving, onderhoud en ontwikkeling
Validatie van invoergegevens
Er moeten controles worden uitgevoerd op de invoer van gegevens. Daarbij wordt minimaal gecontroleerd op grenswaarden, ongeldige tekens, onvolledige gegevens, gegevens die niet aan het juiste format voldoen, toevoegen van parameters (SQL-Injection) en inconsistentie van gegevens.
onbekend
Nog niet onderzocht
12.2.2.1
12. Verwerving, onderhoud en ontwikkeling
Beheersing van interne gegevensverwerking
Er bestaan voldoende mogelijkheden om reeds ingevoerde gegevens te Zijn er voldoende mogelijkheden om reeds ingevoerde gegevens aan kunnen corrigeren door er gegevens aan te kunnen toevoegen. te vullen.
onbekend
Nog niet onderzocht
Printdatum: 18-6-2014
Actiehouder
Is de telewerk voorziening zo ingericht dat op de telewerk werkplek geen data lokaal kan worden opgeslagen? En dat eventuele malware niet in het vertrouwde deel terecht kan komen?
Controleer of er een procedure is voor het aanpassen van standaard leveranciers wachtwoorden. Controleer of er een log of registratie is van aangepaste wachtwoorden. Controleer of bij applicaties aandacht is voor het controleren van de invoer van gegevens. Met name aandacht hebben voor web applicaties, hanteer hierbij NCSC of OWASP richtlijnen.
Blad 12 van 15 bladen
BIG Nummer Hoofdgroep
Groep
Maatregel
Vraag
Aanwezig
12.2.2.2
12. Verwerving, onderhoud en ontwikkeling
Beheersing van interne gegevensverwerking
Het informatiesysteem moet functies bevatten waarmee vastgesteld kan worden of gegevens correct verwerkt zijn. Hiermee wordt een geautomatiseerde controle bedoeld waarmee (duidelijke) transactieen verwerkingsfouten kunnen worden gedetecteerd.
Worden transactie en/of verwerkingsfouten gedetecteerd door middel van een automatische controle gevolgd door een melding / controle mogelijkheid welke nagelopen wordt?
onbekend
Nog niet onderzocht
12.2.2.3
12. Verwerving, onderhoud en ontwikkeling
Beheersing van interne gegevensverwerking
Stapelen van fouten wordt voorkomen door toepassing van “noodstop” Zijn er noodstop mechanismen die er voor zorgen dat stapeling van mechanismen. fouten wordt voorkomen?
onbekend
Nog niet onderzocht
12.2.2.4
12. Verwerving, onderhoud en ontwikkeling
Beheersing van interne gegevensverwerking
Verwerkingen zijn bij voorkeur herstelbaar zodat bij het optreden van Zijn verwerkingen herstelbaar in het geval van fouten? (bijvoorbeeld fouten en/of wegraken van informatie dit hersteld kan worden door het verwerken batchjobs, berichtenverwerking etcetera). opnieuw verwerken van de informatie.
onbekend
Nog niet onderzocht
12.2.3.1
12. Verwerving, onderhoud en ontwikkeling
Integriteit van berichten
Er behoren eisen te worden vastgesteld, en geschikte beheersmaatregelen te worden vastgesteld en geïmplementeerd, voor het bewerkstelligen van authenticiteit en het beschermen van integriteit van berichten in toepassingen.
Zijn er voorzieningen en beheersmaatregelen geïmplementeerd voor onbekend het bewerkstelligen van authenticiteit en beschermen van integriteit van berichten in toepassingen. (denk aan afzender controle, encryptie, apparaat authenticatie etcetera).
Nog niet onderzocht
12.2.4.1
12. Verwerving, onderhoud en ontwikkeling
Validatie van uitvoergegevens
De uitvoerfuncties van programma's maken het mogelijk om de volledigheid en juistheid van de gegevens te kunnen vaststellen (bijv. door checksums).
Zijn er programma's met uitvoerfuncties waarbij de volledigheid en juistheid van de gegevens kan worden vastgesteld.
onbekend
Nog niet onderzocht
12.2.4.2
12. Verwerving, onderhoud en ontwikkeling
Validatie van uitvoergegevens
Bij uitvoer van gegevens wordt gegarandeerd dat deze met het juiste niveau van vertrouwelijkheid beschikbaar gesteld worden (bijv. beveiligd printen).
Worden gegevens die uitgevoerd worden met het juiste niveau van onbekend vertrouwelijkheid beschikbaar gesteld (behorend bij de classificatie?)
Nog niet onderzocht
12.2.4.3
12. Verwerving, onderhoud en ontwikkeling
Validatie van uitvoergegevens
Alleen gegevens die noodzakelijk zijn voor de doeleinden van de gebruiker worden uitgevoerd (need to know).
Wordt gebruik gemaakt van het need to know principe, zodat alleen onbekend gegevens die noodzakelijk zijn voor de gebruiker worden uitgevoerd?
Nog niet onderzocht
12.3.1.1
12. Verwerving, onderhoud en ontwikkeling
Beleid voor het gebruik van cryptografische beheersmaatregelen
De gebruikte cryptografische algoritmen voor versleuteling zijn als open Worden er alleen cryptografische algoritmen gebruikt die als open standaard gedocumenteerd en zijn door onafhankelijke betrouwbare standaard zijn gedefinieerd en door onafhankelijke deskundige deskundigen getoetst. getoetst? (bijvoorbeeld AES)
onbekend
Nog niet onderzocht
12.3.1.2
12. Verwerving, onderhoud en ontwikkeling
Beleid voor het gebruik van cryptografische beheersmaatregelen
Bij de inzet van cryptografische producten volgt een afweging van de risico’s aangaande locaties, processen en behandelende partijen.
Is er beleid voor het inzetten van cryptografische producten waarbij de afweging gemaakt is aangaande locaties, processen en behandelende partijen?
onbekend
Nog niet onderzocht
12.3.1.3
12. Verwerving, onderhoud en ontwikkeling
Beleid voor het gebruik van cryptografische beheersmaatregelen
[A] De cryptografische beveiligingsvoorzieningen en componenten voldoen aan algemeen gangbare beveiligingscriteria (zoals FIPS 140-2 en waar mogelijk NBV).
Voldoen de cryptografische beveiligingsvoorzieningen aan de algemeen gangbare beveiligingscriteria?
onbekend
Nog niet onderzocht
12.3.2.1
12. Verwerving, onderhoud en ontwikkeling
Sleutelbeheer
In het sleutelbeheer is minimaal aandacht besteed aan het proces, de actoren en hun verantwoordelijkheden.
Is, als er gebruik gemaakt wordt van cryptografie een sleutelbeheer proces met aandacht voor actoren en verantwoordelijkheden?
onbekend
Nog niet onderzocht
12.3.2.2
12. Verwerving, onderhoud en ontwikkeling
Sleutelbeheer
De geldigheidsduur van cryptografische sleutels wordt bepaald aan de Is in het cryptografisch beleid vastgelegd welke geldigheidsduur voor onbekend hand van de beoogde toepassing en is vastgelegd in het cryptografisch sleutels geldt in relatie tot de toepassing? beleid.
Nog niet onderzocht
12.3.2.3
12. Verwerving, onderhoud en ontwikkeling
Sleutelbeheer
De vertrouwelijkheid van cryptografische sleutels dient te zijn gewaarborgd tijdens generatie, gebruik, transport en opslag van de sleutels.
Nog niet onderzocht
12.3.2.4
12. Verwerving, onderhoud en ontwikkeling
Sleutelbeheer
Er is een procedure vastgesteld waarin is bepaald hoe wordt omgegaan Is er een procedure vastgesteld waarin is bepaald hoe wordt met gecompromitteerde sleutels. omgegaan met gecompromitteerde sleutels?
onbekend
Nog niet onderzocht
12.3.2.5
12. Verwerving, onderhoud en ontwikkeling
Sleutelbeheer
[A] Bij voorkeur is sleutelmanagement ingericht volgens PKI Overheid
Is sleutelmanagement bij voorkeur ingericht volgens PKI overheid?
onbekend
Nog niet onderzocht
12.4.1.1
12. Verwerving, onderhoud en ontwikkeling
Beheersing van operationele programmatuur
Alleen geautoriseerd personeel kan functies en software installeren of activeren.
Kan alleen geautoriseerd personeel functies en software installeren of onbekend activeren?
Nog niet onderzocht
12.4.1.2
12. Verwerving, onderhoud en ontwikkeling
Beheersing van operationele programmatuur
Programmatuur behoort pas te worden geïnstalleerd op een productieomgeving na een succesvolle test en acceptatie.
Wordt programmatuur geïnstalleerd op de productieomgeving na een onbekend succesvolle test en acceptatie?
Nog niet onderzocht
12.4.1.3
12. Verwerving, onderhoud en ontwikkeling
Beheersing van operationele programmatuur
Geïnstalleerde programmatuur, configuraties en documentatie worden Worden geïnstalleerde programmatuur, configuraties en bijgehouden in een configuratiedatabase. documentatie bijgehouden in een configuratiedatabase?
onbekend
Nog niet onderzocht
12.4.1.4
12. Verwerving, onderhoud en ontwikkeling
Beheersing van operationele programmatuur
Er worden alleen door de leverancier onderhouden (versies van) software gebruikt.
Worden er alleen door de leverancier onderhouden (versies van) software gebruikt?
onbekend
Nog niet onderzocht
12.4.1.5
12. Verwerving, onderhoud en ontwikkeling
Beheersing van operationele programmatuur
Van updates wordt een log bijgehouden.
Is er een bijgehouden log van programmatuur updates?
onbekend
Nog niet onderzocht
12.4.1.6
12. Verwerving, onderhoud en ontwikkeling
Beheersing van operationele programmatuur
Er is een rollbackstrategie.
Is er voor de uitrol van nieuwe of gewijzigde versies programmatuur een rollbackstrategie per uitrol / change / release?
onbekend
Nog niet onderzocht
12.4.2.1
12. Verwerving, onderhoud en ontwikkeling
Bescherming van testdata
Het gebruik van kopieën van operationele databases voor testgegevens Wordt het gebruik van operationele database vermeden voor testen? onbekend wordt vermeden. Indien toch noodzakelijk, worden de gegevens zoveel En indien dit niet mogelijk is, wordt er dan gebruik gemaakt van mogelijk geanonimiseerd en na de test zorgvuldig verwijderd. geanonimiseerde data welke na test zorgvuldig wordt verwijderd?
Nog niet onderzocht
12.4.3.1
12. Verwerving, onderhoud en ontwikkeling
Toegangsbeheersing voor broncode van programmatuur
De toegang tot broncode wordt zoveel mogelijk beperkt om de code tegen onbedoelde wijzigingen te beschermen. Alleen geautoriseerde personen hebben toegang.
Wordt de toegang tot broncode zoveel mogelijk beperkt tot alleen onbekend geautoriseerden personen, om de code tegen onbedoelde wijzigingen te beschermen?
Nog niet onderzocht
12.4.3.2
12. Verwerving, onderhoud en ontwikkeling
Toegangsbeheersing voor broncode van programmatuur
Broncode staat op aparte (logische) systemen.
Staat broncode op aparte (logische) systemen. (O-omgeving) ?
Nog niet onderzocht
Printdatum: 18-6-2014
Is binnen het sleutelbeheerproces waarborg dat de vertrouwelijkheid onbekend van sleutels is gegarandeerd tijdens generatie, gebruik, transport en opslag?
onbekend
Vindplaats / opmerking
Eigenaar
Status
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
Blad 13 van 15 bladen
BIG Nummer Hoofdgroep
Groep
Maatregel
Vraag
Aanwezig
12.5.1.1
12. Verwerving, onderhoud en ontwikkeling
Procedures voor wijzigingsbeheer
Er is aantoonbaar wijzigingsmanagement ingericht volgens gangbare best practices zoals ITIL en voor applicaties ASL.
Is er aantoonbaar wijzigingsmanagement ingericht volgens gangbare best practices zoals ITIL en voor applicaties ASL?
onbekend
Nog niet onderzocht
12.5.2.1
12. Verwerving, onderhoud en ontwikkeling
Technische beoordeling van toepassingen na wijzigingen in het besturingssysteem
Van aanpassingen (zoals updates) aan softwarematige componenten van de technische infrastructuur wordt vastgesteld dat deze de juiste werking van de technische componenten niet in gevaar brengen.
Wordt van aanpassingen (zoals updates) aan softwarematige componenten van de technische infrastructuur vastgesteld dat deze de juiste werking van de technische componenten niet in gevaar brengen door middel van testen?
onbekend
Nog niet onderzocht
12.5.3.1
12. Verwerving, onderhoud en ontwikkeling
Restricties op wijzigingen in programmatuurpakketten
Bij het instellen van besturingsprogrammatuur en programmapakketten Wordt bij het instellen van besturingsprogrammatuur en wordt uitgegaan van de aanwijzingen van de leverancier. programmapakketten uitgegaan van de aanwijzingen van de leverancier?
onbekend
Nog niet onderzocht
12.5.4.1
12. Verwerving, onderhoud en ontwikkeling
Uitlekken van informatie
Op het grensvlak van een vertrouwde en een onvertrouwde omgeving vindt content-scanning plaats.
Vindt op het grensvlak van een vertrouwde en een onvertrouwde omgeving content-scanning plaats met als doel het uitlekken van informatie tegen te gaan?
onbekend
Nog niet onderzocht
12.5.4.2
12. Verwerving, onderhoud en ontwikkeling
Uitlekken van informatie
Er dient een proces te zijn om te melden dat (persoons) informatie is uitgelekt. (zie 13.1.1)
Is er een proces ingericht om te melden dat (persoons) informatie is uitgelekt? (zie 13.1.1)
onbekend
Nog niet onderzocht
12.5.5.1
12. Verwerving, onderhoud en ontwikkeling
Uitbestede ontwikkeling van programmatuur
Uitbestede ontwikkeling van programmatuur komt tot stand onder supervisie en verantwoordelijkheid van de uitbestedende organisatie. Er worden maatregelen getroffen om de kwaliteit en vertrouwelijkheid te borgen (bijv. stellen van veiligheidseisen, regelen van beschikbaarheid en eigendomsrecht van de code, certificatie, kwaliteitsaudits, testen en aansprakelijkheidsregelingen).
Wordt onder supervisie en verantwoordelijkheid van de onbekend uitbestedende organisatie de uitbestede ontwikkeling van programmatuur uitgevoerd? Worden er maatregelen getroffen om de kwaliteit en vertrouwelijkheid te borgen (bijv. stellen van veiligheidseisen, regelen van beschikbaarheid en eigendomsrecht van de code, certificatie, kwaliteitsaudits, testen en aansprakelijkheidsregelingen)?
Nog niet onderzocht
12.6.1.1
12. Verwerving, onderhoud en ontwikkeling
Beheersing van technische kwetsbaarheden
Er is een proces ingericht voor het beheer van technische kwetsbaarheden; dit omvat minimaal het melden van incidenten aan de IBD, periodieke penetratietests, risicoanalyses van kwetsbaarheden en patching.
Er is een proces ingericht voor het beheer van technische onbekend kwetsbaarheden; dit omvat minimaal het melden van incidenten aan de IBD, periodieke penetratietests, risicoanalyses van kwetsbaarheden en patching.
Nog niet onderzocht
12.6.1.2
12. Verwerving, onderhoud en ontwikkeling
Beheersing van technische kwetsbaarheden
Van softwarematige voorzieningen van de technische infrastructuur kan Wordt van softwarematige voorzieningen van de technische onbekend infrastructuur kan (bij voorkeur geautomatiseerd) gecontroleerd of de (bij voorkeur geautomatiseerd) gecontroleerd worden of de laatste updates (patches) in zijn doorgevoerd. Het doorvoeren van een update laatste updates (patches) in zijn doorgevoerd? vindt niet geautomatiseerd plaats, tenzij hier speciale afspraken over zijn met de leverancier.
Nog niet onderzocht
12.6.1.3
12. Verwerving, onderhoud en ontwikkeling
Beheersing van technische kwetsbaarheden
Indien een patch beschikbaar is, dienen de risico's verbonden met de Is er een vorm van patchmanagement waarbij indien een patch installatie van de patch te worden geëvalueerd (de risico's verbonden beschikbaar is, de risico's verbonden met de installatie van de patch met de kwetsbaarheid dienen vergeleken te worden met de risico's van worden geëvalueerd? het installeren van de patch).
onbekend
Nog niet onderzocht
12.6.1.4
12. Verwerving, onderhoud en ontwikkeling
Beheersing van technische kwetsbaarheden
[A] Updates/patches voor kwetsbaarheden waarvan de kans op Worden kritische patches zo spoedig mogelijk, binnen een week, na misbruik hoog is en waarvan de schade hoog is worden zo spoedig testen, geïmplementeerd? mogelijk doorgevoerd, echter minimaal binnen één week. Minder kritische beveiliging-updates/patches moeten worden ingepland bij de eerst volgende onderhoudsronde.
onbekend
Nog niet onderzocht
12.6.1.5
12. Verwerving, onderhoud en ontwikkeling
Beheersing van technische kwetsbaarheden
Indien nog geen patch beschikbaar is dient gehandeld te worden volgens het advies van de IBD of een andere CERT zoals bijvoorbeeld het NCSC.
onbekend
Nog niet onderzocht
13.1.1.1
13. Beheer van incidenten Rapportage van Er is een procedure voor het rapporteren van Is er een incidentmanagement procedure en is deze in werking? informatiebeveiligingsgebeurtenissen beveiligingsgebeurtenissen vastgesteld, in combinatie met een reactieen escalatieprocedure voor incidenten, waarin de handelingen worden vastgelegd die moeten worden genomen na het ontvangen van een rapport van een beveiligingsincident.
onbekend
Nog niet onderzocht
13.1.1.2
13. Beheer van incidenten Rapportage van Er is een procedure voor communicatie met de IBD. informatiebeveiligingsgebeurtenissen
Is er een procedure voor communicatie met de IBD?
onbekend
Nog niet onderzocht
13.1.1.3
13. Beheer van incidenten Rapportage van [A] Er is een contactpersoon (DSC) aangewezen voor het rapporteren informatiebeveiligingsgebeurtenissen van beveiligingsincidenten. Voor integriteitsschendingen is ook een vertrouwenspersoon aangewezen die meldingen in ontvangst neemt.
Is er binnen de gemeente een ACIB en/of VCIB aangewezen? Is er ook een vertrouwenspersoon binnen de gemeente voor integriteitsschendingen?
onbekend
Nog niet onderzocht
13.1.1.4
13. Beheer van incidenten Rapportage van Alle beveiligingsincidenten worden vastgelegd in een systeem en informatiebeveiligingsgebeurtenissen geëscaleerd aan de IBD.
Worden beveiligingsincidenten vastgelegd in een systeem en vind escalatie naar de IBD plaats?
onbekend
Nog niet onderzocht
13.1.1.5
13. Beheer van incidenten Rapportage van Vermissing of diefstal van apparatuur of media die gegevens van de informatiebeveiligingsgebeurtenissen gemeente kunnen bevatten wordt altijd ook aangemerkt als informatiebeveiligingsincident.
Wordt vermissing of diefstal van apparatuur of media die gegevens bevatten of kunnen bevatten aangemerkt als informatiebeveiligingsincident?
onbekend
Nog niet onderzocht
13.1.1.6
13. Beheer van incidenten Rapportage van Informatie over de beveiligingsrelevante handelingen, bijvoorbeeld informatiebeveiligingsgebeurtenissen loggegevens, foutieve inlogpogingen, van de gebruiker wordt regelmatig nagekeken. De CISO bekijkt periodiek – bij voorkeur maandelijks - een samenvatting van de informatie.
Wordt informatie over beveiligingsrelevante handelingen periodiek nagekeken door bijvoorbeeld een beheerder. Kijkt de CISO periodiek naar een samenvatting van de informatie (bij voorkeur maandelijks)?
onbekend
Nog niet onderzocht
13.1.2.1
13. Beheer van incidenten Rapportage van zwakke plekken in de Er is een proces om eenvoudig en snel beveiligingsincidenten en beveiliging zwakke plekken in de beveiliging te melden.
Is er een proces om eenvoudig en snel beveiligingsincidenten en zwakke plekken in de beveiliging te melden?
onbekend
Nog niet onderzocht
13.2.1.1
13. Beheer van incidenten Verantwoordelijkheden en procedures
Er zijn procedures voor rapportage van gebeurtenissen en escalatie. Alle medewerkers behoren op de hoogte te zijn van deze procedures.
Zijn er procedures voor rapportage van gebeurtenissen en escalatie? Zijn de medewerkers op de hoogte van deze procedures?
onbekend
Nog niet onderzocht
13.2.2.1
13. Beheer van incidenten Leren van informatiebeveiligingsincidenten
De informatie verkregen uit het beoordelen van beveiligingsmeldingen Wordt de informatie verkregen uit het beoordelen van wordt geëvalueerd met als doel beheersmaatregelen te verbeteren. beveiligingsmeldingen wordt geëvalueerd met als doel (PDCA Cyclus) beheersmaatregelen te verbeteren?
onbekend
Nog niet onderzocht
13.2.3.1
13. Beheer van incidenten Verzamelen van bewijsmateriaal
Voor een vervolgprocedure naar aanleiding van een beveiligingsincident behoort bewijsmateriaal te worden verzameld, bewaard en gepresenteerd overeenkomstig de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgelegd.
onbekend
Nog niet onderzocht
Printdatum: 18-6-2014
Is er een proces waar het advies van het NCSC of een andere CERT wordt meegenomen om met kwetsbaarheden om te gaan.
Is er een proces/aanpak voor het verzamelen, bewaren en presenteren van bewijsmateriaal naar aanleiding van een beveiligingsincidenmateriaal (overeenkomstig de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgelegd) ?
Vindplaats / opmerking
Eigenaar
Status
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
Blad 14 van 15 bladen
BIG Nummer Hoofdgroep
Groep
Maatregel
Vraag
Aanwezig
Vindplaats / opmerking
Eigenaar
Status
14.1.1.1
14. Informatiebeveiliging opnemen in het [A] Calamiteitenplannen worden gebruikt in de jaarlijkse Bedrijfscontinuiteitsbehee proces van bewustwording-, training- en testactiviteiten. r bedrijfscontinuïteitsbeheer
Worden calamiteitenplannen gebruikt in de jaarlijkse bewustwording- onbekend , training- en testactiviteiten? Waar blijkt dat uit?
Nog niet onderzocht
14.1.2.1
14. Bedrijfscontinuïteit en Bedrijfscontinuiteitsbehee risicobeoordeling r
Is er een Business Impact Analyse (BIA) waarin de gebeurtenissen worden geïdentificeerd die kunnen leiden tot discontinuïteit in het bedrijfsproces? Is hierbij in kaart gebracht de waarschijnlijkheid en de gevolgen van de discontinuïteit in termen van tijd, schade en herstelperiode?
onbekend
Nog niet onderzocht
14.1.3.1
14. Continuïteitsplannen ontwikkelen en In de continuïteitsplannen wordt minimaal aandacht besteed aan: Bedrijfscontinuiteitsbehee implementeren waaronder •IdenƟficaƟe van essenƟële procedures voor bedrijfsconƟnuïteit. r informatiebeveiliging •Wie het plan mag acƟveren en wanneer, maar ook wanneer er weer gecontroleerd teruggaan wordt. •Veilig te stellen informaƟe (aanvaardbaarheid van verlies van informatie). •Prioriteiten en volgorde van herstel en reconstrucƟe. •DocumentaƟe van systemen en processen. •Kennis en kundigheid van personeel om de processen weer op te starten.
Zijn er continuïteitsplannen? onbekend waar minimaal aandacht wordt besteed aan: • idenƟficaƟe van essenƟële procedures voor bedrijfsconƟnuïteit. • wie het plan mag acƟveren en wanneer, maar ook wanneer er weer gecontroleerd teruggaan wordt. • veilig te stellen informaƟe (aanvaardbaarheid van verlies van informatie). • prioriteiten en volgorde van herstel en reconstrucƟe. • documentaƟe van systemen en processen. • kennis en kundigheid van personeel om de processen weer op te starten.
Nog niet onderzocht
14.1.4.1
14. Kader voor de Bedrijfscontinuiteitsbehee bedrijfscontinuïteitsplanning r
Er behoort een enkelvoudig kader voor bedrijfscontinuïteitsplannen te worden gehandhaafd om te bewerkstelligen dat alle plannen consistent zijn, om eisen voor informatiebeveiliging op consistente wijze te behandelen en om prioriteiten vast te stellen voor testen en onderhoud.
Wordt er een enkelvoudig kader voor bedrijfscontinuïteitsplannen gehandhaafd om te bewerkstelligen dat alle plannen consistent zijn, om eisen voor informatiebeveiliging op consistente wijze te behandelen en om prioriteiten vast te stellen voor testen en onderhoud?
onbekend
Nog niet onderzocht
14.1.5.1
14. #N/A Bedrijfscontinuiteitsbehee r
[A] Er worden minimaal jaarlijks oefeningen en/of testen gehouden om de bedrijfscontinuïteitsplannen en mate van readiness van de organisatie te toetsen (opzet, bestaan en werking). Aan de hand van de resultaten worden de plannen bijgesteld en wordt de organisatie bijgeschoold.
[A] Er worden minimaal jaarlijks oefeningen en/of testen gehouden om de bedrijfscontinuïteitsplannen en mate van readiness van de organisatie te toetsen (opzet, bestaan en werking). Aan de hand van de resultaten worden de plannen bijgesteld en wordt de organisatie bijgeschoold.
onbekend
Nog niet onderzocht
15.1.1.1
15. Naleving
Identificatie van toepasselijke wetgeving
Er is vastgesteld welke wetten en wettelijke maatregelen van Er is een overzicht aanwezig waarin is vastgelegd welke wetten en/of onbekend wettelijke maatregelen van toepassing zijn op de organisatie toepassing zijn op de organisatie of organisatieonderdelen. (onderdelen)? Zo ja waar ligt deze en is deze actueel? Deze lijst is in conceptvorm te vinden op: http://www.kinggemeenten.nl/media/190590/20101126_Conceptlijstaanvullende-inhoud-Informatiebeveiliging-v040.pdf
Nog niet onderzocht
15.1.2.1
15. Naleving
Intellectuele eigendomsrechten (Intellectual Property Rights)
Er is toezicht op het naleven van wettelijke verplichtingen m.b.t. intellectueel eigendom, auteursrechten en gebruiksrechten.
onbekend
Nog niet onderzocht
15.1.3.1
15. Naleving
Nog niet onderzocht
15.1.4.1
15. Naleving
Bescherming van bedrijfsdocumenten Belangrijke registraties behoren te worden beschermd tegen verlies, Worden belangrijke registraties behoren te worden beschermd tegen onbekend vernietiging en vervalsing, overeenkomstig wettelijke en regelgevende verlies, vernietiging en vervalsing, overeenkomstig wettelijke en eisen, contractuele verplichtingen en bedrijfsmatige eisen. regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen? De bescherming van gegevens en privacy behoort te worden Wordt de bescherming van gegevens en privacy bewerkstelligd onbekend Bescherming van gegevens en geheimhouding van bewerkstelligd overeenkomstig relevante wetgeving, voorschriften en overeenkomstig relevante wetgeving, voorschriften en indien van persoonsgegevens indien van toepassing contractuele bepalingen. toepassing contractuele bepalingen?
15.1.5.1
15. Naleving
Voorkomen van misbruik van ITvoorzieningen
Er is een beleid met betrekking tot het gebruik van IT voorzieningen door gebruikers. Dit beleid is bekendgemaakt en op de goede werking ervan wordt toegezien
15.1.6.1
15. Naleving
Voorschriften voor het gebruik van cryptografische beheersmaatregelen
Er is vastgesteld aan welke overeenkomsten, wetten en voorschriften de toepassing van cryptografische technieken moet voldoen. Zie ook 12.3.
15.2.1.1
15. Naleving
Naleving van beveiligingsbeleid en normen
Het lijnmanagement is verantwoordelijk voor uitvoering en Is er een audit venster en zijn daar de periode beveiligingsaudits in beveiligingsprocedures en toetsing daarop (o.a. jaarlijkse in control meegenomen. Deze audits kunnen externe en interne audits zijn. verklaring). Conform het BIG (strategisch kader) zorgt de CISO, namens Wordt daarover gerapporteerd? de Gemeente Secretaris, voor het toezicht op de uitvoering van het beveiligingsbeleid. Daarbij behoren ook periodieke beveiligingsaudits. Deze kunnen worden uitgevoerd door of vanwege de CISO dan wel door interne of externe auditteams.
15.2.1.2
15. Naleving
Naleving van beveiligingsbeleid en normen
[A] In de P&C cyclus wordt gerapporteerd over informatiebeveiliging aan de hand van het in control statement.
15.2.2.1
15. Naleving
Controle op technische naleving
Informatiesystemen worden regelmatig gecontroleerd op naleving van Worden informatiesystemen regelmatig gecontroleerd op naleving beveiligingsnormen. Dit kan door bijv. kwetsbaarheidsanalyses en van beveiligingsnormen? penetratietesten. Zie ook 12.6.1.1. Bijvoorbeeld door kwetsbaarheidsanalyses en penetratietesten
onbekend
Nog niet onderzocht
15.3.1.1
15. Naleving
Beheersmaatregelen voor audits van informatiesystemen
Nog niet onderzocht
15. Naleving
Bescherming van hulpmiddelen voor audits van informatiesystemen
Worden audits en andere activiteiten waarbij controles worden uitgevoerd op productiesystemen, zorgvuldig gepland en goedgekeurd om het risico van verstoring van bedrijfsprocessen tot een minimum te beperken? Wordt de toegang tot hulpmiddelen voor audits van informatiesystemen behoort beschermd om mogelijk misbruik of compromittering te voorkomen?
onbekend
15.3.2.1
Eisen voor audits en andere activiteiten waarbij controles worden uitgevoerd op productiesystemen, behoren zorgvuldig te worden gepland en goedgekeurd om het risico van verstoring van bedrijfsprocessen tot een minimum te beperken. Toegang tot hulpmiddelen voor audits van informatiesystemen behoort te worden beschermd om mogelijk misbruik of compromittering te voorkomen.
onbekend
Nog niet onderzocht
104.1.1.1
104. ISMS
ISMS
De organisatie dient een gedocumenteerd ISMS te ontwikkelen, te onderhouden en constant te verbeteren, binnen het kader van de bedrijfsactiviteiten en risico van de organisatie.
Is er een gedocumenteerd ISMS? Wordt dit ISMS onderhouden en verbeterd?
onbekend
Nog niet onderzocht
Er is een Business Impact Analyse (BIA) waarin de gebeurtenissen worden geïdentificeerd die kunnen leiden tot discontinuïteit in het bedrijfsproces. Aan de hand van een risicoanalyse zijn de waarschijnlijkheid en de gevolgen van de discontinuïteit in kaart gebracht in termen van tijd, schade en herstelperiode.
Is er toezicht op het naleven van wettelijke verplichtingen m.b.t. intellectueel eigendom, auteursrechten en gebruiksrechten?
Is er een beleid met betrekking tot het gebruik van IT voorzieningen door gebruikers? Dit beleid is bekendgemaakt en op de goede werking ervan wordt toegezien Is bekend welke overeenkomsten, wetten en voorschriften het gebruik van cryptografie verplicht stellen en aan welke eisen moet worden voldaan?
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
Nog niet onderzocht
onbekend
Nog niet onderzocht
onbekend
Nog niet onderzocht
onbekend
Nog niet onderzocht
Wordt in de P&C cyclus gerapporteerd over informatiebeveiliging aan onbekend de hand van het in control statement?
Nog niet onderzocht
Ten behoeve van deze standaard wordt het onderliggende proces
Printdatum: 18-6-2014
Blad 15 van 15 bladen