Gedragsregels.

VERKLARING GEDRAGSREGELS VOOR

<YYY>, SYTEEM <ZZZ>

2012

Verklaring Gedragsregels Cloud Computing

[VERKLARING GEDRAGSREGELS <JAMBO>] Dit document is bedoeld om als akkoordverklaring te worden gebruikt door cloud service providers, third party taxateurs makelaars, aannemers van Cloud Computing projecten, en voor werknemers of externen bij de overheid en andere organisaties die gebruik willen maken van Cloud Compting Gedragsregels.

29 juli 2012 [VERKLARING GEDRAGSREGELS <JAMBO>]

2 Jambo Consultancy©

Inhoudsopgave

Gebruik Verklaring Gedragsregels ...................................................... 3

Cloud Computing Gedragsregels......................................................... 4

Gedragsregels voor Interne Gebruikers ........................................... 5

Gedragsregels voor Externe Gebruikers .......................................... 9



Gebruik Verklaring Gedragsregels

Dit document, Verklaring Gedragsregels, is bedoeld om als akkoordverklaring

te worden gebruikt door cloud service providers, third party taxateurs

makelaars, aannemers van Cloud Computing projecten, en voor werknemers of

externen bij de overheid en andere organisaties die gebruik willen maken van

Cloud Compting Gedragsregels.

Een voorbeeld van gedragsregels voor zowel interne gebruikers als externe

gebruikers staan op de volgende pagina's. U hoeft zich niet exacte aan deze

opgestelde regels te houden. Ze zijn bedoeld als voorbeelden. Om uw Cloud

systeem voldoende te beveiligen dient de CSP deze naar eigen inzicht en

ervaring aan te passen. Houd er rekening mee dat er bepaalde regels zijn die

wel van toepassing kunnen zijn op interne gebruikers en weer niet van

toepassing op externe gebruikers en vice versa.

Deze Verklaring Gedragsregels kan worden ondertekend op papier of b.v.

elektronisch bij de eerste login. Hoe dan ook, de organisatie dient deze

ondertekende verklaringen te bewaren om een onafhankelijke beoordelaar in

staat te stellen te controleren of de gedragsregels door alle gebruikers zijn

gelezen en geaccepteerd.

Deze verklaring is opgesteld door Jambo Consultancy naar voorbeeld van

FEDRAM (“US Computer Fraud and Abuse Act” & “US Privacy Act, 5 USC 552a”)

en kan naar eigen inzicht, wetgeving en ervaring worden aangepast. Dit

document maakt gebruikt van de tekens <XXX> voor bedrijfsnaam, <ZZZ> voor

systeemnaam en <telefoonnummer> voor contactnummer en is door –zoek e

en vervang- direct te gebruiken. Het is verstandig het document eerst definitief

te maken of van een digitale handtekening te voorzien, alvorens het in gebruik

te nemen.



Cloud Computing Gedragsregels

De gedragsregels beschrijven de veiligheidsmaatregelen, de

verantwoordelijkheden en bepaalde verwachtingen over het gedrag van

gebruikers waar het het navolgen van veiligheidspolicies, -standaarden en -

procedures betreft.

Veiligheidsaudits in de Cloud vereisen dat Cloud Service Providers

gedragsregels implementeren. Er zijn vaak verschillende gedragsregels van

toepassing op interne en externe gebruikers. Interne gebruikers zijn

medewerkers van uw organisatie, met inbegrip van werkaannemers/inhuur.

Externe gebruikers zijn alle mensen en instanties die toegang hebben tot uw

eigen systeem en die geen werknemer of werkaannemer zijn. Externe

gebruikers kunnen klanten, partners, of prospects met demo accounts zijn.

CSP medewerkers die toegang hebben tot <Informatie System Name>

ondertekenen de interne gedragsregels. Als de CSP bepalingen voor rekening

van een klant komt, waaronder ook het beheer van accounts, is het de

verantwoordelijkheid van CSP om ervoor te zorgen dat degene die te maken

krijgen met de veiligheidsbepalingen van CPS dat de externe gedragsregels

worden ondertekend. Als CPS een managerslicentie verleent aan een

individuele klant dan is het de verantwoordelijkheid van die klant om ervoor te

zorgen dat zijn gebruikers de CSP gedragsregels krijgen en onderteken. Degene

die de gebruiker van het licentieadres is, is verantwoordelijk voor het

verstrekken en ondertekenen van de gedragsregels.



Gedragsregels voor Interne Gebruikers

o U moet voldoen aan het auteursrecht en site licenties van software

eigenaar.

o U mag alleen gegevens verwerken die betrekking hebben op de

aangeboden functionele diensten en die mogen worden bewerkt op het

systeem.

o U moet alle inbreuk op de veiligheid of te verwachten incidenten aan de

IT afdeling rapporteren.

o U moet direct stoppen met het gebruiken van systeembronnen die

tekenen van besmetting met een virus of andere malware laten zien en

bij het vermoeden van een incident.

o U moet onbevoegd personeel in uw werkgebied weren.

o U mag alleen die gegevens bewerken waartoe vergunning is verleend.

o U dient direct contact op te nemen met uw <XXX> manager als de

toegang tot systeembronnen anders is dan verwacht en zoals is vereist

om uw taak goed uit te voeren.

o U moet een computer security awareness training en privacy awareness

training bijwonen, zoals wordt verlangt door <XXX>.

o U moet toegangseisen voor uw gebruikers en de gebruikers

toegangsparameters, samen met uw <XXX> manager coördineren.

o U moet ervoor zorgen dat de toegang tot applicatiespecifieke gevoelige

gegevens is beschermd, gebaseerd op uw functie.

o U moet zich tegen afval, verlies, misbruik, onbevoegde gebruikers en

verduistering van data beschermen.

o U moet ervoor zorgen dat de toegang alleen wordt toegewezen op basis

van uw <XXX> manager goedkeuring.

o U moet zich vertrouwd maken met speciale eisen aangaande de toegang

tot, de bescherming van, en het gebruik van gegevens, met inbegrip

Privacy Act eisen, het auteursrecht eisen, en de aankoop van gevoelige

gegevens.

o U moet ervoor zorgen dat gevoelige elektronische informatie (inclusief

bijlagen) worden afgedrukt en opgeslagen volgens <XXX> beleid en

normen.



o U moet ervoor zorgen dat gevoelige, vertrouwelijke en beschermde

informatie verzonden naar een fax of printer wordt behandeld op een

veilige manier, bijvoorbeeld door het blad dat hierover informatie bevat

te bedekken tijdens het faxen.

o U moet ervoor zorgen dat de harde kopieën van vertrouwelijke en eigen

informatie wordt vernietigd (nadat het niet meer nodig is).

o U moet ervoor zorgen dat vertrouwelijke en gepatenteerde informatie is

beveiligd tegen toegang door onbevoegden door het gebruik van

encryptie, volgens de normen van <XXX>, bij het verzenden via de

elektronische weg (telecommunicatie netwerken, e-mail en / of fax).

o U mag geen geheime informatie in strijd met de nationale veiligheid over

het systeem van <XXX> verwerken, om welke reden dan ook.

o U mag door <XXX> niet goedgekeurde software niet installeren op het

systeem. Alleen door <XXX> aangewezen personen zijn bevoegd om

software te laden.

o U mag extra hardware of randapparatuur niet toevoegen aan het

systeem. Alleen aangewezen personeel mag direct de hardware op het

systeem installeren.

o U mag niet hardware of software op <XXX> systemen, netwerken, of

interfaces her-configureren.

o U mag alleen van <XXX> draadloze toegangsbeleid gebruik maken.

o U mag geen informatie ophalen voor iemand die niet bevoegd is om die

informatie te openen.

o U mag niet de computermiddelen van de faciliteit verwijderen, zonder

voorafgaande toestemming. Middelen mogen alleen verwijderd worden

voor officieel gebruik.

o U moet controleren of de verklaring van de uitgever van de webbrowsers

niet is ingetrokken.

o U moet ervoor zorgen dat de web browsers controleert op

handtekeningen op gedownloade bestanden.

o U moet ervoor zorgen dat webbrowsers leeg afsluit en tijdelijke

internetbestanden zijn verwijderd.

o U moet ervoor zorgen dat webbrowsers Secure Socket Layer (SSL) versie

3.0 (of hoger) en Transport Layer Security (TLS) 1.0 (of hoger) gebruiken.



SSL en TLS moeten gebruik maken van een minimum van 128-bit,

encryptie.

o U moet ervoor zorgen dat de webbrowsers waarschuwingen voor

ongeldige site-certificaten geeft.

o U moet ervoor zorgen dat de webbrowsers waarschuwen indien de

gebruiker tussen beveiligde en niet-beveiligde modus aan het

veranderen is.

o U moet ervoor zorgen dat de webbrowsers waarschuwen indien het

wordt omgeleid.

o U moet ervoor zorgen dat webbrowsers geen toegang hebben tot het

mogelijk maken van gegevensbronnen over domeinen heen.

o U moet ervoor zorgen dat de webbrowsers geen navigatie van sub-

frames kunnen maken, binnen de verschillende domeinen.

o U moet voorkomen dat de webbrowsers de indiening van niet-

gecodeerde kritische vormen van gegevensoverdracht mogelijk maken.

o U moet zorgen dat uw <XXX> webbrowservenster wordt afgesloten,

alvorens te navigeren naar andere sites / domeinen.

o U mag informatie over klanten niet op een systeem dat niet het

eigendom is van <XXX> zetten.

o U moet ervoor zorgen dat gevoelige informatie zich beperkt voor

teamleden op een “need-to-know” basis.

o U begrijpt dat een ieder die informatie verkrijgt van een computer

aangesloten op het internet dat in strijd is met het computergebruik van

haar werkgever, in strijd met de “Computer Fraud and Abuse Act”is.



AANVAARDING EN HANDTEKENING Ik heb het bovenstaande gedragsregels voor interne gebruikers van <XXX> systemen en netwerken gelezen. Door mijn elektronische aanvaarding en/of handtekening hieronder, erken ik en ga ik ermee akkoord dat mijn toegang tot alle <XXX> systemen en netwerken wordt gedekt door, en onderworpen is aan dergelijke regels. Verder heb ik erkent en aanvaard dat elke schending door mij van deze regels mij kan onderwerpen aan civiele en / of strafrechtelijke acties en dat <XXX> zich het recht voorbehoudt om naar eigen goeddunken, mijn toegangsrechten tot de <XXX> systemen te beëindigen, te annuleren of op te schorten op elk gewenst moment, zonder voorafgaande kennisgeving.

Naam:

Handtekening:

Plaats en datum:

Opmerkingen:



Gedragsregels voor Externe Gebruikers

o U dient alleen geautoriseerde activiteiten op het systeem uit te voeren.

o Uw niveau van toegang tot systemen en netwerken in handen van <XXX>

is beperkt om ervoor te zorgen dat uw toegang niet meer is dan nodig

om uw wettelijke of toegewezen taken uit te voeren. Als u denkt dat u

wordt overbodige toegang wordt verleend dan moet u onmiddellijk de

<XXX> Operations Center <telefoonnummer> bellen.

o U mag de vertrouwelijkheid van login gegevens, zoals uw wachtwoord.

niet onthullen aan anderen, een <XXX> werknemer mag u nooit vragen

om deze te onthullen.

o U moet de juiste logon/logoff procedures hanteren. U moet handmatig

inloggen op uw sessie en niet je wachtwoord lokaal op uw systeem

bewaren of gebruik maken van automatische login mogelijkheden. U

dient onmiddellijk uit te loggen als een toegang tot een sessie niet meer

nodig is. Als een afmelding functie niet beschikbaar is, moet u uw

browser afsluit. Laat uw computer niet onbeheerd achter als je ingelogd

bent in het systeem.

o U moet alle veiligheidsincidenten of te verwachten incidenten

(bijvoorbeeld verloren wachtwoorden, onjuiste of verdachte

handelingen) in verband met <XXX> systemen en netwerken tot de

<XXX> Operations Center <telefoonnummer> rapporteren.

o U mag geen ongeoorloofde interfaces tussen systemen, netwerken en

toepassingen die eigendom zijn van <XXX> maken.

o Op uw toegang tot systemen en netwerken in handen van <XXX> zijn alle

nationale wetten, met inbegrip van maar niet beperkt tot, de “Privacy

Act, 5 USC 552a”, van toepassing. <XXX> systeem houdt zich aan de

individuele Privacy Act informatie. Uw toegang tot <XXX> systemen

vormt uw toestemming voor het ophalen en openbaarmaking van de

informatie in het kader van uw geautoriseerde toegang, met

inachtneming van de Privacy Act, en thans geldende staats en nationale

wetten.

o U moet systeembronnen tegen afval, verlies, misbruik, onbevoegd

gebruik of openbaarmaking, en verduistering bewaken.



o U mag geen geheime informatie in strijd met de nationale veiligheid over

het systeem van <XXX> verwerken, om welke reden dan ook.

o U mag niet zoeken naar en informatie onthullen die wordt gehost door

<XXX>, tenzij in overeenstemming met wat nodig is om uw wettelijke of

toegewezen taken uit te voeren.

o U mag geen informatie opvragen, of op enige andere wijze verstrekken

van aan iemand die niet bevoegd is om die informatie te openen.

o U moet ervoor zorgen dat Web browsers Secure Socket Layer (SSL) versie

3.0 (of hoger) en Transport Layer Security (TLS) 1.0 (of hoger) worden

gebruikt. SSL en TLS moeten gebruik maken van een minimum van 256-

bit, encryptie.

o U moet ervoor zorgen dat uw webbrowser is geconfigureerd om te

waarschuwen voor ongeldige site certificaten.

o U moet ervoor zorgen dat de webbrowsers waarschuwen indien de

gebruiker tussen beveiligde en niet-beveiligde modus aan het

veranderen is.

o U moet ervoor zorgen dat de webbrowsers waarschuwen indien het

wordt omgeleid.

o U moet ervoor zorgen dat webbrowsers geen toegang hebben tot het

mogelijk maken van gegevensbronnen over domeinen heen.

o U moet ervoor zorgen dat de webbrowsers geen navigatie van sub-

frames kunnen maken, binnen de verschillende domeinen.

o U moet voorkomen dat de webbrowsers de indiening van niet-

gecodeerde kritische vormen van gegevensoverdracht mogelijk maken.

o U moet zorgen dat uw <XXX> webbrowservenster wordt afgesloten,

alvorens te navigeren naar andere sites / domeinen.

o Door uw handtekening hieronder te zetten of door elektronische

acceptatie bijvoorbeeld door te klikken op een aanvaardingknop op het

scherm, gaat u akkoord met deze regels.

o U begrijpt dat een ieder die informatie verkrijgt van een computer

aangesloten op het internet en in strijd met computergebruik van haar

werkgevers regels is, in strijd met de Computer Fraud and Abuse Act is.

o U gaat ermee akkoord de <XXX> Chief Information Security Officer of de

<XXX> Operations Center <telefoonnummer> te contacteren indien u

een van deze regels niet begrijpt.



AANVAARDING EN HANDTEKENING Ik heb het bovenstaande gedragsregels voor externe gebruikers van <XXX> systemen en netwerken gelezen. Door mijn elektronische aanvaarding en/of handtekening hieronder, erken ik en ga ik ermee akkoord dat mijn toegang tot alle <XXX> systemen en netwerken wordt gedekt door, en onderworpen is aan dergelijke regels. Verder heb ik erkent en aanvaard dat elke schending door mij van deze regels mij kan onderwerpen aan civiele en / of strafrechtelijke acties en dat <XXX> zich het recht voorbehoudt om naar eigen goeddunken, mijn toegangsrechten tot de <XXX> systemen te beëindigen, te annuleren of op te schorten op elk gewenst moment, zonder voorafgaande kennisgeving.

Naam:

Handtekening:

Plaats en datum:

Opmerkingen:

Gedragsregels.

Documents

Transcript of Gedragsregels.