Gedragsregels.
description
Transcript of Gedragsregels.
VERKLARING GEDRAGSREGELS VOOR
<YYY>, SYTEEM <ZZZ>
2012
Verklaring Gedragsregels Cloud Computing
[VERKLARING GEDRAGSREGELS <JAMBO>] Dit document is bedoeld om als akkoordverklaring te worden gebruikt door cloud service providers, third party taxateurs makelaars, aannemers van Cloud Computing projecten, en voor werknemers of externen bij de overheid en andere organisaties die gebruik willen maken van Cloud Compting Gedragsregels.
29 juli 2012 [VERKLARING GEDRAGSREGELS <JAMBO>]
2 Jambo Consultancy©
Inhoudsopgave
Gebruik Verklaring Gedragsregels ...................................................... 3
Cloud Computing Gedragsregels......................................................... 4
Gedragsregels voor Interne Gebruikers ........................................... 5
Gedragsregels voor Externe Gebruikers .......................................... 9
29 juli 2012 [VERKLARING GEDRAGSREGELS <JAMBO>]
3 Jambo Consultancy©
Gebruik Verklaring Gedragsregels
Dit document, Verklaring Gedragsregels, is bedoeld om als akkoordverklaring
te worden gebruikt door cloud service providers, third party taxateurs
makelaars, aannemers van Cloud Computing projecten, en voor werknemers of
externen bij de overheid en andere organisaties die gebruik willen maken van
Cloud Compting Gedragsregels.
Een voorbeeld van gedragsregels voor zowel interne gebruikers als externe
gebruikers staan op de volgende pagina's. U hoeft zich niet exacte aan deze
opgestelde regels te houden. Ze zijn bedoeld als voorbeelden. Om uw Cloud
systeem voldoende te beveiligen dient de CSP deze naar eigen inzicht en
ervaring aan te passen. Houd er rekening mee dat er bepaalde regels zijn die
wel van toepassing kunnen zijn op interne gebruikers en weer niet van
toepassing op externe gebruikers en vice versa.
Deze Verklaring Gedragsregels kan worden ondertekend op papier of b.v.
elektronisch bij de eerste login. Hoe dan ook, de organisatie dient deze
ondertekende verklaringen te bewaren om een onafhankelijke beoordelaar in
staat te stellen te controleren of de gedragsregels door alle gebruikers zijn
gelezen en geaccepteerd.
Deze verklaring is opgesteld door Jambo Consultancy naar voorbeeld van
FEDRAM (“US Computer Fraud and Abuse Act” & “US Privacy Act, 5 USC 552a”)
en kan naar eigen inzicht, wetgeving en ervaring worden aangepast. Dit
document maakt gebruikt van de tekens <XXX> voor bedrijfsnaam, <ZZZ> voor
systeemnaam en <telefoonnummer> voor contactnummer en is door –zoek e
en vervang- direct te gebruiken. Het is verstandig het document eerst definitief
te maken of van een digitale handtekening te voorzien, alvorens het in gebruik
te nemen.
29 juli 2012 [VERKLARING GEDRAGSREGELS <JAMBO>]
4 Jambo Consultancy©
Cloud Computing Gedragsregels
De gedragsregels beschrijven de veiligheidsmaatregelen, de
verantwoordelijkheden en bepaalde verwachtingen over het gedrag van
gebruikers waar het het navolgen van veiligheidspolicies, -standaarden en -
procedures betreft.
Veiligheidsaudits in de Cloud vereisen dat Cloud Service Providers
gedragsregels implementeren. Er zijn vaak verschillende gedragsregels van
toepassing op interne en externe gebruikers. Interne gebruikers zijn
medewerkers van uw organisatie, met inbegrip van werkaannemers/inhuur.
Externe gebruikers zijn alle mensen en instanties die toegang hebben tot uw
eigen systeem en die geen werknemer of werkaannemer zijn. Externe
gebruikers kunnen klanten, partners, of prospects met demo accounts zijn.
CSP medewerkers die toegang hebben tot <Informatie System Name>
ondertekenen de interne gedragsregels. Als de CSP bepalingen voor rekening
van een klant komt, waaronder ook het beheer van accounts, is het de
verantwoordelijkheid van CSP om ervoor te zorgen dat degene die te maken
krijgen met de veiligheidsbepalingen van CPS dat de externe gedragsregels
worden ondertekend. Als CPS een managerslicentie verleent aan een
individuele klant dan is het de verantwoordelijkheid van die klant om ervoor te
zorgen dat zijn gebruikers de CSP gedragsregels krijgen en onderteken. Degene
die de gebruiker van het licentieadres is, is verantwoordelijk voor het
verstrekken en ondertekenen van de gedragsregels.
29 juli 2012 [VERKLARING GEDRAGSREGELS <JAMBO>]
5 Jambo Consultancy©
Gedragsregels voor Interne Gebruikers
o U moet voldoen aan het auteursrecht en site licenties van software
eigenaar.
o U mag alleen gegevens verwerken die betrekking hebben op de
aangeboden functionele diensten en die mogen worden bewerkt op het
systeem.
o U moet alle inbreuk op de veiligheid of te verwachten incidenten aan de
IT afdeling rapporteren.
o U moet direct stoppen met het gebruiken van systeembronnen die
tekenen van besmetting met een virus of andere malware laten zien en
bij het vermoeden van een incident.
o U moet onbevoegd personeel in uw werkgebied weren.
o U mag alleen die gegevens bewerken waartoe vergunning is verleend.
o U dient direct contact op te nemen met uw <XXX> manager als de
toegang tot systeembronnen anders is dan verwacht en zoals is vereist
om uw taak goed uit te voeren.
o U moet een computer security awareness training en privacy awareness
training bijwonen, zoals wordt verlangt door <XXX>.
o U moet toegangseisen voor uw gebruikers en de gebruikers
toegangsparameters, samen met uw <XXX> manager coördineren.
o U moet ervoor zorgen dat de toegang tot applicatiespecifieke gevoelige
gegevens is beschermd, gebaseerd op uw functie.
o U moet zich tegen afval, verlies, misbruik, onbevoegde gebruikers en
verduistering van data beschermen.
o U moet ervoor zorgen dat de toegang alleen wordt toegewezen op basis
van uw <XXX> manager goedkeuring.
o U moet zich vertrouwd maken met speciale eisen aangaande de toegang
tot, de bescherming van, en het gebruik van gegevens, met inbegrip
Privacy Act eisen, het auteursrecht eisen, en de aankoop van gevoelige
gegevens.
o U moet ervoor zorgen dat gevoelige elektronische informatie (inclusief
bijlagen) worden afgedrukt en opgeslagen volgens <XXX> beleid en
normen.
29 juli 2012 [VERKLARING GEDRAGSREGELS <JAMBO>]
6 Jambo Consultancy©
o U moet ervoor zorgen dat gevoelige, vertrouwelijke en beschermde
informatie verzonden naar een fax of printer wordt behandeld op een
veilige manier, bijvoorbeeld door het blad dat hierover informatie bevat
te bedekken tijdens het faxen.
o U moet ervoor zorgen dat de harde kopieën van vertrouwelijke en eigen
informatie wordt vernietigd (nadat het niet meer nodig is).
o U moet ervoor zorgen dat vertrouwelijke en gepatenteerde informatie is
beveiligd tegen toegang door onbevoegden door het gebruik van
encryptie, volgens de normen van <XXX>, bij het verzenden via de
elektronische weg (telecommunicatie netwerken, e-mail en / of fax).
o U mag geen geheime informatie in strijd met de nationale veiligheid over
het systeem van <XXX> verwerken, om welke reden dan ook.
o U mag door <XXX> niet goedgekeurde software niet installeren op het
systeem. Alleen door <XXX> aangewezen personen zijn bevoegd om
software te laden.
o U mag extra hardware of randapparatuur niet toevoegen aan het
systeem. Alleen aangewezen personeel mag direct de hardware op het
systeem installeren.
o U mag niet hardware of software op <XXX> systemen, netwerken, of
interfaces her-configureren.
o U mag alleen van <XXX> draadloze toegangsbeleid gebruik maken.
o U mag geen informatie ophalen voor iemand die niet bevoegd is om die
informatie te openen.
o U mag niet de computermiddelen van de faciliteit verwijderen, zonder
voorafgaande toestemming. Middelen mogen alleen verwijderd worden
voor officieel gebruik.
o U moet controleren of de verklaring van de uitgever van de webbrowsers
niet is ingetrokken.
o U moet ervoor zorgen dat de web browsers controleert op
handtekeningen op gedownloade bestanden.
o U moet ervoor zorgen dat webbrowsers leeg afsluit en tijdelijke
internetbestanden zijn verwijderd.
o U moet ervoor zorgen dat webbrowsers Secure Socket Layer (SSL) versie
3.0 (of hoger) en Transport Layer Security (TLS) 1.0 (of hoger) gebruiken.
29 juli 2012 [VERKLARING GEDRAGSREGELS <JAMBO>]
7 Jambo Consultancy©
SSL en TLS moeten gebruik maken van een minimum van 128-bit,
encryptie.
o U moet ervoor zorgen dat de webbrowsers waarschuwingen voor
ongeldige site-certificaten geeft.
o U moet ervoor zorgen dat de webbrowsers waarschuwen indien de
gebruiker tussen beveiligde en niet-beveiligde modus aan het
veranderen is.
o U moet ervoor zorgen dat de webbrowsers waarschuwen indien het
wordt omgeleid.
o U moet ervoor zorgen dat webbrowsers geen toegang hebben tot het
mogelijk maken van gegevensbronnen over domeinen heen.
o U moet ervoor zorgen dat de webbrowsers geen navigatie van sub-
frames kunnen maken, binnen de verschillende domeinen.
o U moet voorkomen dat de webbrowsers de indiening van niet-
gecodeerde kritische vormen van gegevensoverdracht mogelijk maken.
o U moet zorgen dat uw <XXX> webbrowservenster wordt afgesloten,
alvorens te navigeren naar andere sites / domeinen.
o U mag informatie over klanten niet op een systeem dat niet het
eigendom is van <XXX> zetten.
o U moet ervoor zorgen dat gevoelige informatie zich beperkt voor
teamleden op een “need-to-know” basis.
o U begrijpt dat een ieder die informatie verkrijgt van een computer
aangesloten op het internet dat in strijd is met het computergebruik van
haar werkgever, in strijd met de “Computer Fraud and Abuse Act”is.
29 juli 2012 [VERKLARING GEDRAGSREGELS <JAMBO>]
8 Jambo Consultancy©
AANVAARDING EN HANDTEKENING Ik heb het bovenstaande gedragsregels voor interne gebruikers van <XXX> systemen en netwerken gelezen. Door mijn elektronische aanvaarding en/of handtekening hieronder, erken ik en ga ik ermee akkoord dat mijn toegang tot alle <XXX> systemen en netwerken wordt gedekt door, en onderworpen is aan dergelijke regels. Verder heb ik erkent en aanvaard dat elke schending door mij van deze regels mij kan onderwerpen aan civiele en / of strafrechtelijke acties en dat <XXX> zich het recht voorbehoudt om naar eigen goeddunken, mijn toegangsrechten tot de <XXX> systemen te beëindigen, te annuleren of op te schorten op elk gewenst moment, zonder voorafgaande kennisgeving.
Naam:
Handtekening:
Plaats en datum:
Opmerkingen:
29 juli 2012 [VERKLARING GEDRAGSREGELS <JAMBO>]
9 Jambo Consultancy©
Gedragsregels voor Externe Gebruikers
o U dient alleen geautoriseerde activiteiten op het systeem uit te voeren.
o Uw niveau van toegang tot systemen en netwerken in handen van <XXX>
is beperkt om ervoor te zorgen dat uw toegang niet meer is dan nodig
om uw wettelijke of toegewezen taken uit te voeren. Als u denkt dat u
wordt overbodige toegang wordt verleend dan moet u onmiddellijk de
<XXX> Operations Center <telefoonnummer> bellen.
o U mag de vertrouwelijkheid van login gegevens, zoals uw wachtwoord.
niet onthullen aan anderen, een <XXX> werknemer mag u nooit vragen
om deze te onthullen.
o U moet de juiste logon/logoff procedures hanteren. U moet handmatig
inloggen op uw sessie en niet je wachtwoord lokaal op uw systeem
bewaren of gebruik maken van automatische login mogelijkheden. U
dient onmiddellijk uit te loggen als een toegang tot een sessie niet meer
nodig is. Als een afmelding functie niet beschikbaar is, moet u uw
browser afsluit. Laat uw computer niet onbeheerd achter als je ingelogd
bent in het systeem.
o U moet alle veiligheidsincidenten of te verwachten incidenten
(bijvoorbeeld verloren wachtwoorden, onjuiste of verdachte
handelingen) in verband met <XXX> systemen en netwerken tot de
<XXX> Operations Center <telefoonnummer> rapporteren.
o U mag geen ongeoorloofde interfaces tussen systemen, netwerken en
toepassingen die eigendom zijn van <XXX> maken.
o Op uw toegang tot systemen en netwerken in handen van <XXX> zijn alle
nationale wetten, met inbegrip van maar niet beperkt tot, de “Privacy
Act, 5 USC 552a”, van toepassing. <XXX> systeem houdt zich aan de
individuele Privacy Act informatie. Uw toegang tot <XXX> systemen
vormt uw toestemming voor het ophalen en openbaarmaking van de
informatie in het kader van uw geautoriseerde toegang, met
inachtneming van de Privacy Act, en thans geldende staats en nationale
wetten.
o U moet systeembronnen tegen afval, verlies, misbruik, onbevoegd
gebruik of openbaarmaking, en verduistering bewaken.
29 juli 2012 [VERKLARING GEDRAGSREGELS <JAMBO>]
10 Jambo Consultancy©
o U mag geen geheime informatie in strijd met de nationale veiligheid over
het systeem van <XXX> verwerken, om welke reden dan ook.
o U mag niet zoeken naar en informatie onthullen die wordt gehost door
<XXX>, tenzij in overeenstemming met wat nodig is om uw wettelijke of
toegewezen taken uit te voeren.
o U mag geen informatie opvragen, of op enige andere wijze verstrekken
van aan iemand die niet bevoegd is om die informatie te openen.
o U moet ervoor zorgen dat Web browsers Secure Socket Layer (SSL) versie
3.0 (of hoger) en Transport Layer Security (TLS) 1.0 (of hoger) worden
gebruikt. SSL en TLS moeten gebruik maken van een minimum van 256-
bit, encryptie.
o U moet ervoor zorgen dat uw webbrowser is geconfigureerd om te
waarschuwen voor ongeldige site certificaten.
o U moet ervoor zorgen dat de webbrowsers waarschuwen indien de
gebruiker tussen beveiligde en niet-beveiligde modus aan het
veranderen is.
o U moet ervoor zorgen dat de webbrowsers waarschuwen indien het
wordt omgeleid.
o U moet ervoor zorgen dat webbrowsers geen toegang hebben tot het
mogelijk maken van gegevensbronnen over domeinen heen.
o U moet ervoor zorgen dat de webbrowsers geen navigatie van sub-
frames kunnen maken, binnen de verschillende domeinen.
o U moet voorkomen dat de webbrowsers de indiening van niet-
gecodeerde kritische vormen van gegevensoverdracht mogelijk maken.
o U moet zorgen dat uw <XXX> webbrowservenster wordt afgesloten,
alvorens te navigeren naar andere sites / domeinen.
o Door uw handtekening hieronder te zetten of door elektronische
acceptatie bijvoorbeeld door te klikken op een aanvaardingknop op het
scherm, gaat u akkoord met deze regels.
o U begrijpt dat een ieder die informatie verkrijgt van een computer
aangesloten op het internet en in strijd met computergebruik van haar
werkgevers regels is, in strijd met de Computer Fraud and Abuse Act is.
o U gaat ermee akkoord de <XXX> Chief Information Security Officer of de
<XXX> Operations Center <telefoonnummer> te contacteren indien u
een van deze regels niet begrijpt.
29 juli 2012 [VERKLARING GEDRAGSREGELS <JAMBO>]
11 Jambo Consultancy©
AANVAARDING EN HANDTEKENING Ik heb het bovenstaande gedragsregels voor externe gebruikers van <XXX> systemen en netwerken gelezen. Door mijn elektronische aanvaarding en/of handtekening hieronder, erken ik en ga ik ermee akkoord dat mijn toegang tot alle <XXX> systemen en netwerken wordt gedekt door, en onderworpen is aan dergelijke regels. Verder heb ik erkent en aanvaard dat elke schending door mij van deze regels mij kan onderwerpen aan civiele en / of strafrechtelijke acties en dat <XXX> zich het recht voorbehoudt om naar eigen goeddunken, mijn toegangsrechten tot de <XXX> systemen te beëindigen, te annuleren of op te schorten op elk gewenst moment, zonder voorafgaande kennisgeving.
Naam:
Handtekening:
Plaats en datum:
Opmerkingen:
29 juli 2012 [VERKLARING GEDRAGSREGELS <JAMBO>]
12 Jambo Consultancy©