Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel...

24
2-Control B.V. +31 (0)76 50 194 70 Haagse Markt 1 www.2-control.nl 4813 BA Breda [email protected] The Netherlands Privacy- en informatiebeveiligingsplan <Bedrijfsnaam> Concept <Bedrijfsnaam> Datum Versie x.x

Transcript of Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel...

Page 1: Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: • Plan : Beleidsvorming en Risicoanalyse • Do : Planvorming en

2-Control B.V. +31 (0)76 50 194 70 Haagse Markt 1 www.2-control.nl 4813 BA Breda [email protected] The Netherlands

Privacy- en informatiebeveiligingsplan

<Bedrijfsnaam>

Concept <Bedrijfsnaam> Datum Versie x.x

Page 2: Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: • Plan : Beleidsvorming en Risicoanalyse • Do : Planvorming en

Informatiebeveiligingsplan datum 2 van 24 <Bedrijfsnaam> CONCEPT Versie x.x

Versiebeheer

Versie Datum Status Naam Toelichting

Page 3: Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: • Plan : Beleidsvorming en Risicoanalyse • Do : Planvorming en

Informatiebeveiligingsplan datum 3 van 24 <Bedrijfsnaam> CONCEPT Versie x.x

Inhoud

1 Algemeen 5 1.1 Inleiding 5 1.2 Definities 5 1.3 Doelstelling en reikwijdte 5 1.4 Uitgangspunten vanuit informatiebeveiligingsbeleid 5

2 Managementsysteem voor informatiebeveiliging 7 2.1 Overzicht managementsysteem informatiebeveiliging 7 2.2 Beleidsvorming 7 2.3 Risicoanalyse 8 2.4 Planvorming 8 2.5 Implementatie 8 2.6 Monitoring, evaluatie en controle 8 2.7 Cyclisch proces 8

3 Organisatie van informatiebeveiliging 9 3.1 Toelichting 9 3.2 Strategisch, tactisch en operationeel niveau 9 3.3 Generieke rollen voor informatiebeveiliging 9 3.4 Rollen en functies voor informatiebeveiliging 10 3.5 Overlegvormen voor informatiebeveiliging 11 3.6 Externe partijen 11 3.7 Monitoring, controle en rapportage over informatiebeveiliging 12

4 Classificatie en risicoanalyse 13 4.1 Classificatie 13 4.2 Risicoanalyse 14

5 Systeembeschrijving 15 5.1 Gegevensverzamelingen 15 5.2 Applicatie-architectuur 15 5.3 Systeem- en netwerkarchitectuur 15

6 Beveiligingseisen aan personeel 16 6.1 Voorafgaand aan het dienstverband 16 6.2 Tijdens het dienstverband 16 6.3 Na het dienstverband 16

7 Fysieke beveiliging 17 7.1 Locatie <bedrijfsnaam> 17 7.2 Fysieke beveiliging hardware 17 7.3 Hosted servers 17

8 Operationeel beheer 18

Page 4: Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: • Plan : Beleidsvorming en Risicoanalyse • Do : Planvorming en

Informatiebeveiligingsplan datum 4 van 24 <Bedrijfsnaam> CONCEPT Versie x.x

8.1 Beheerprocedures 18 8.2 Wijzigingsbeheer 18 8.3 Bescherming tegen malware 18 8.4 Back-up plan 18 8.5 Documentatie 18 8.6 Verwijdering van media 18

9 Toegangsbeveiliging 19 9.1 Beheer van toegangsrechten 19 9.2 Controle toegangsrechten 19 9.3 Toegang tot hardware en servers 19

10 Aanschaf, ontwikkeling en onderhoud van informatiesystemen 20 10.1 Beoordeling risico’s ten aanzien van informatieveiligheid 20 10.2 Data protection impact assessment (DPIA) 20 10.3 Aanpassing informatiebeveiliging plan 20

11 Continuïteitsbeheer 21 11.1 Continuïteitsbeheer <Bedrijfsnaam> 21 11.2 RTO en RPO 21 11.3 Lokale hardware 21 11.4 Backup & recovery 21 11.5 Cloud systemen 21

12 Incidentregistratie 22 12.1 Registratie van beveiligingsincidenten 22 12.2 Stimuleren bewustwording personeel 22

13 Bijlage Verbeteracties 23 13.1 Toelichting 23

14 Bijlage verwijzingen 24 14.1 Verwijzingen naar andere documenten 24

Page 5: Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: • Plan : Beleidsvorming en Risicoanalyse • Do : Planvorming en

Informatiebeveiligingsplan datum 5 van 24 <Bedrijfsnaam> CONCEPT Versie x.x

1 Algemeen

1.1 Inleiding Het gebruik van informatie en gegevens neemt nog altijd toe. Hiermee ook de bedreigingen die hiermee samenhangen, zoals onbevoegde inzage, onbedoelde wijziging of vernietiging van gegevens. <Bedrijfsnaam> (hierna: de organisatie) dient voldoende passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen tegen onder meer deze bedreigingen. Deze verplichting wordt uitgedragen door de bestuurder middels het vastgestelde informatiebeveiligingsbeleid. Dit privacy- en informatiebeveiligingsplan is een uitwerking van dat beleid. Deze uitwerking geldt voor de gehele organisatie (<Bedrijfsnaam>) tenzij expliciet anders beschreven. Waar hieronder gesproken wordt van informatiebeveiliging en informatieveiligheid wordt expliciet ook bedoeld de beveiliging en bescherming van de privacy. Ook waar gesproken wordt van ‘vertrouwelijkheid’ mag ‘privacy’ worden gelezen.

1.2 Definities

1.2.1 Definitie van informatiebeveiliging Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.1

1.2.2 Definitie van privacy Privacy is een zeer veel omvattend begrip. In de context van dit document valt onder privacy en het beschermen van privacy het volgende: de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens.2

1.3 Doelstelling en reikwijdte Doelstelling van dit document is het geven van inzicht in de actuele maatregelen, procedures en processen die bij <Bedrijfsnaam> zijn geïmplementeerd om de kwaliteit van de informatieveiligheid te waarborgen. Daarnaast worden in dit plan ook verbeteracties benoemd, die worden aangeduid met het symbool dat hier in de kantlijn staat. In hoofdstuk 13 is een totaaloverzicht van verbeteracties opgenomen.

1.4 Uitgangspunten vanuit informatiebeveiligingsbeleid Het informatiebeveiligingsbeleid, dat door de bestuurder is vastgesteld d.d. <datum> kent de volgende uitgangspunten:

1. Alle informatie en informatiesystemen kunnen van kritiek en vitaal belang zijn voor de organisatie. De verantwoordelijkheid voor informatiebeveiliging ligt bij het (lijn)management, met de directie als eindverantwoordelijke. De verantwoordelijkheden voor de informatiebeveiliging en voor het uitvoeren van beveiligingsprocedures zijn expliciet gedefinieerd.

2. Door periodieke controle, organisatie brede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening. In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening organisatie breed benaderd. Het plan wordt periodiek bijgesteld op

1 Artikel 1a, Besluit voorschrift informatiebeveiliging rijksdienst 2007 (2007, 1 juli), geraadpleegd op 11-10-17 van

http://wetten.overheid.nl/BWBR0022141/2007-07-01#Artikel1

2 Artikel 1 Europese Algemene Verordening Gegevensbescherming, geraadpleegd op 26-10-17 van http://www.privacy-

regulation.eu/nl/1.htm.

Page 6: Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: • Plan : Beleidsvorming en Risicoanalyse • Do : Planvorming en

Informatiebeveiligingsplan datum 6 van 24 <Bedrijfsnaam> CONCEPT Versie x.x

basis van nieuwe ontwikkelingen, registraties in het incidentenregister en bestaande risicoanalyses.

3. Informatiebeveiliging is een continu verbeterproces. ‘Plan, do, check en act’ vormen samen het managementsysteem van informatiebeveiliging.

4. Vanuit een onafhankelijke positie wordt de organisatie ondersteunt bij het bewaken en verhogen van de betrouwbaarheid van de informatievoorziening en de rapportage hierover.

5. De organisatie stelt de benodigde mensen en middelen beschikbaar om haar eigendommen en werkprocessen te kunnen beveiligen volgens de wijze gesteld in dit beleid.

6. Regels en verantwoordelijkheden voor het beveiligingsbeleid dienen te worden vastgelegd en vastgesteld. Alle medewerkers van de organisatie worden getraind in het gebruik van beveiligingsprocedures.

7. Iedere medewerker, zowel vast als tijdelijk, intern of extern is verplicht, waar nodig, gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht en bij vermeende inbreuken hiervan melding te maken.

8. De organisatie dient een integere organisatie met integere medewerkers te zijn. Integriteitschendingen worden niet getolereerd.

Page 7: Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: • Plan : Beleidsvorming en Risicoanalyse • Do : Planvorming en

Informatiebeveiligingsplan datum 7 van 24 <Bedrijfsnaam> CONCEPT Versie x.x

2 Managementsysteem voor informatiebeveiliging

2.1 Overzicht managementsysteem informatiebeveiliging Het managementsysteem voor informatiebeveiliging omvat de volgende vijf stappen.

De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt:

• Plan : Beleidsvorming en Risicoanalyse

• Do : Planvorming en Implementatie

• Check : Monitoring, evaluatie en controle

• Act : Het verbeterproces In de volgende paragrafen worden deze vijf stappen toegelicht. Bij de uitvoering van het managementsysteem voor informatiebeveiliging wordt zo veel mogelijk aangesloten bij andere managementsystemen binnen de organisatie:

• Kwaliteitshandboek <Bedrijfsnaam>

• Uitwerking inzake de ISO9001 certificering en de bijbehorende Audit-cyclus

• Maatregelen en voorschriften die uitgevoerd zijn.

• Afspraken die gelden vanuit het lidmaatschap.

• Beveiligingseisen.

2.2 Beleidsvorming Het managementsysteem voor informatiebeveiliging start met het opstellen van het informatiebeveiligingsbeleid. In dit beleid worden de doelstellingen en uitgangspunten voor informatiebeveiliging van de organisatie vastgelegd. Hiermee vormt het beleid de leidraad voor de overige stappen van het managementsysteem.

Beleids-

vorming

Risico-

analyse

Implementatie

Monitoring,

evaluatie en

controle

Plan-

vorming

Page 8: Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: • Plan : Beleidsvorming en Risicoanalyse • Do : Planvorming en

Informatiebeveiligingsplan datum 8 van 24 <Bedrijfsnaam> CONCEPT Versie x.x

2.3 Risicoanalyse De tweede stap van het managementsysteem voor informatiebeveiliging bestaat uit risicoanalyse. Het analyseren van de risico’s heeft tot doel:

- Inzicht te krijgen in de kwaliteit en de effectiviteit van de bestaande beveiligingsmaatregelen.

- Inzicht te krijgen in de risico’s die de realisatie van het gewenste beveiligingsniveau in

gevaar kunnen brengen.

- Het gewenste niveau van informatiebeveiliging vast te stellen in de vorm van een

classificatie van bedrijfsprocessen, informatiesystemen en gegevensverzamelingen.

- Keuzes te kunnen maken voor het beheersen van risico’s.

- Prioriteiten te bepalen voor de verbetering van de bestaande situatie. Over de uitkomsten van de analyse van de bestaande situatie voor informatiebeveiliging wordt op centraal niveau gerapporteerd aan de bestuurder en op decentraal niveau aan de leiding van het desbetreffende organisatieonderdeel.

2.4 Planvorming Op basis van de uitkomsten van de risicoanalyse wordt een verbeterplan (zie hoofdstuk 13) opgesteld. In dit plan worden de verbeteractiviteiten voor de realisatie van het gewenste beveiligingsniveau op projectmatige wijze vastgelegd. Het informatiebeveiligingsplan wordt vastgesteld door de bestuurde en het management van de organisatieonderdelen.

2.5 Implementatie Aan de hand van het verbeterplan wordt de implementatie van de aanvullende beveiligingsmaatregelen ter hand genomen. Dit betekent onder andere het opstellen van richtlijnen en procedures voor informatiebeveiliging, het invoeren van beveiligingshulpmiddelen en het voorlichten en opleiden van management en medewerkers.

2.6 Monitoring, evaluatie en controle De laatste stap van het managementsysteem voor informatiebeveiliging bestaat uit monitoring, evaluatie en controle. Monitoring betreft het continu bewaken van het niveau van informatiebeveiliging binnen de organisatie. Daar waar dit niveau in gevaar komt door het optreden van bedreigingen treedt incidentmanagement in werking om het gewenste beveiligingsniveau te waarborgen of zo snel mogelijk te herstellen. De organisatie van deze controle en de afspraken voor de bijbehorende rapportage wordt in paragraaf 3.7 nader uitgewerkt.

2.7 Cyclisch proces Het managementsysteem voor informatiebeveiliging omvat een continu en cyclisch proces. Dit betekent dat op basis van de uitkomsten van evaluaties en controles of door nieuwe ontwikkelingen de noodzaak aanwezig kan zijn het informatiebeveiligingsbeleid aan te passen, een nieuwe risicoanalyse uit te voeren, extra maatregelen te treffen of de implementatie hiervan aan te passen. Dit wordt in de figuur in paragraaf 2.1 aangegeven door de grijze gestippelde lijnen. Ook is het mogelijk dat nieuwe ontwikkelingen, zoals de introductie van nieuwe bedrijfsprocessen of informatiesystemen, aanleiding geven om het informatiebeveiligingsbeleid te heroverwegen. Een dergelijke beoordeling vindt jaarlijks plaats en wordt geïnitieerd door Stuurgroep privacy- en informatiebeveiliging

Page 9: Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: • Plan : Beleidsvorming en Risicoanalyse • Do : Planvorming en

Informatiebeveiligingsplan datum 9 van 24 <Bedrijfsnaam> CONCEPT Versie x.x

3 Organisatie van informatiebeveiliging

3.1 Toelichting In dit hoofdstuk wordt de organisatie van informatiebeveiliging binnen <Bedrijfsnaam> beschreven. Het is van groot belang dat de verantwoordelijkheden, taken en bevoegdheden met betrekking tot informatiebeveiliging op een eenduidige wijze zijn toegewezen. Deze toewijzing heeft tot doel te voorkomen dat zaken dubbel worden uitgevoerd of dat de uitvoering van beveiligingstaken achterwege blijft. De organisatie van informatiebeveiliging wordt beschreven volgens de volgende invalshoeken:

- het niveau van de beveiligingstaken, waarbij onderscheid wordt gemaakt naar strategische,

tactische en operationele informatiebeveiliging;

- generieke rollen voor informatiebeveiliging, waarbij de rollen van eigenaar, functioneel

beheerder, applicatiebeheerder, technisch beheerder en gebruiker worden onderscheiden;

- rollen en functies voor informatiebeveiliging binnen de organisatie.

Ten slotte wordt in dit hoofdstuk ook aandacht besteed aan de overlegvormen die in het kader van informatiebeveiliging van belang zijn en aan de manier waarop controle en rapportage is vormgegeven.

3.2 Strategisch, tactisch en operationeel niveau In het onderstaande overzicht wordt een indeling van activiteiten met betrekking tot informatiebeveiliging gepresenteerd, waarbij het niveau van de activiteiten als onderscheidend criterium is gehanteerd.

Niveau Activiteit Verantwoordelijke Documentatie Controle Strategisch Beleids-

vorming Bestuurder ondersteund door Stuurgroep privacy- en informatiebeveiliging

Informatiebeveiligings-beleid Informatiebeveiligings-plan

Stuurgroep IB

Tactisch Planning MT-lid/ teammanager IB-beleid IB-plan Verbeterplan Richtlijnen per afdeling/team

Stuurgroep IB + extern adviseur

Operationeel Uitvoering Coördinerend medewerker

Operationele procedures per afdeling/team

MT-lid/ teammanager

3.3 Generieke rollen voor informatiebeveiliging Voor ieder informatiesysteem en gegevensverzameling worden de volgende rollen en de bijbehorende verantwoordelijkheden toegewezen.

Rol Verantwoordelijkheden Eigenaar Beslissingsrecht voor het informatiesysteem, c.q. de

gegevensverzameling Bepalen van het doel en de middelen van de verwerking. Bepalen van de beveiligingseisen

Functioneel beheerder/ applicatiebeheerder

Ondersteunen van de verantwoordelijke bij het bepalen van de beveiligingseisen Ondersteunen van de gebruiker, onder andere door voorlichting

Page 10: Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: • Plan : Beleidsvorming en Risicoanalyse • Do : Planvorming en

Informatiebeveiligingsplan datum 10 van 24 <Bedrijfsnaam> CONCEPT Versie x.x

Rol Verantwoordelijkheden Ontwikkelaar Ontwikkelt het informatiesysteem, c.q. de gegevensverzameling,

conform de (beveiligings)eisen die door de verantwoordelijke zijn gesteld. Denkt actief mee over de realisatie en de beveiliging van het informatiesysteem, c.q. de gegevensverzameling. Voor een (groot) deel ligt de uitvoering hiervan bij externe partijen. <Bedrijfsnaam> blijft wel verantwoordelijk hiervoor.

Technisch beheerder Exploitatie van de technische infrastructuur Ziet toe op een juiste technische werking van de technische infrastructuur Voor een deel ligt de uitvoering hiervan bij externe partijen. <Bedrijfsnaam> blijft wel verantwoordelijk hiervoor.

Gebruiker Toepassing van het informatiesysteem, c.q. de gegevensverzameling Naleving van beveiligingsrichtlijnen en procedures

De verschillende betrokkenen maken onderling afspraken over de uitvoering van de (beveiligings)taken en leggen deze desgewenst vast in dienstverleningsovereenkomsten (SLA’s).

3.4 Rollen en functies voor informatiebeveiliging Veel onderdelen binnen <Bedrijfsnaam> zijn bij informatiebeveiliging betrokken. Hieronder worden de verantwoordelijkheden van de volgende functies en rollen beschreven:

3.4.1 Raad van Toezicht De houdt toezicht op beleid en beheer van het bestuur. In die hoedanigheid houdt zij ook toezicht op het gevoerde informatiebeveiligingsbeleid. De verantwoordelijkheid voor informatiebeveiliging omvat:

- het evalueren van de toepassing en werking van het informatiebeveiligingsbeleid op basis van

rapportages over informatiebeveiliging.

- het toezien op de naleving van relevante wet- en regelgeving met betrekking tot

informatieveiligheid en privacy.

3.4.2 Bestuurder De Bestuurder is eindverantwoordelijk voor ….

3.4.3 Stuurgroep privacy- en informatiebeveiliging ...

3.4.4 Manager ICT

...

3.4.5 Lijnmanagement ...

3.4.6 Coördinator Informatiebeveiliging …

3.4.7 Interne controle ...

Page 11: Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: • Plan : Beleidsvorming en Risicoanalyse • Do : Planvorming en

Informatiebeveiligingsplan datum 11 van 24 <Bedrijfsnaam> CONCEPT Versie x.x

3.5 Overlegvormen voor informatiebeveiliging Voor overleg, coördinatie en afstemming op het gebied van informatiebeveiliging worden de volgende overlegvormen onderscheiden:

Overleg Wie Wat Frequentie Opt.

Stuurgroep privacy- en informatiebeveiliging

Stuurgroep Alle aspecten van informatiebeveiliging: - Realisatie en naleving van het IB-beleid - Beveiligingsincidenten - Planning en acties ten aanzien van het

verbeterplan - Omgang met persoonsgegevens binnen

<Bedrijfsnaam>

Stuurgroep/bestuurder overleg

Stuurgroep met bestuurder

-

Managementoverleg Vertegenwoordiger MT-overleg Manager ICT

-

MT-overleg Teamleiders/ MT -

Coffee-corner/ Team werkoverleg/ lunchoverleg

Alle medewerkers per team

-

Regulier werkoverleg Individueel of per team

-

Functionerings-/ beoordelingsgesprek

Individuele medewerker/ leidinggevende

-

Tijdens deze overleggen staan de punten genoemd onder ‘Wat’ op de agenda van dit overleg. Indien in de kolom ‘Opt(ioneel)’ ‘Ja’ staat dan zal het onderwerp informatiebeveiliging niet op de agenda van elk overleg staan, maar alleen indien dit op dat moment relevant is. Indien in deze kolom ‘Nee’ staat dient het onderwerp wel bij elk overleg op de agenda te staan al is het maar om te constateren dat op dat moment geen actuele zaken behandeld hoeven te worden.

3.6 Externe partijen De organisatie is op diverse punten afhankelijk van externe partijen om de informatieveiligheid te kunnen waarborgen. Uitgangspunt bij het uitbesteden van gegevensverwerking of andere onderdelen die de informatieveiligheid raken is dat van de betreffende externe partij contractueel aantoonbaar hetzelfde niveau van informatiebeveiliging wordt geëist. Minimaal 1x per jaar bespreekt de manager ICT de contractverantwoordelijk en de uitvoeringsverantwoordelijke van de betreffende externe partij. Tijdens deze besprekingen worden minimaal de volgende zaken besproken;

• Welke beveiligingsincidenten hebben zich voorgedaan?

• … Van dit overleg wordt een verslag gemaakt, zo nodig met de actiepunten voor de komende periode.

3.6.1 <Softwareleverancier A> …

3.6.2 <Softwareleverancier B> …

3.6.3 Overige partijen …

Page 12: Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: • Plan : Beleidsvorming en Risicoanalyse • Do : Planvorming en

Informatiebeveiligingsplan datum 12 van 24 <Bedrijfsnaam> CONCEPT Versie x.x

3.7 Monitoring, controle en rapportage over informatiebeveiliging Monitoring betreft het continu bewaken van het niveau van informatiebeveiliging binnen <Bedrijfsnaam>. …

Page 13: Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: • Plan : Beleidsvorming en Risicoanalyse • Do : Planvorming en

Informatiebeveiligingsplan datum 13 van 24 <Bedrijfsnaam> CONCEPT Versie x.x

4 Classificatie en risicoanalyse

4.1 Classificatie Classificatie van bedrijfsprocessen, informatiesystemen en informatie levert een bijdrage aan de beveiliging van deze bedrijfsprocessen, informatiesystemen en informatie. Op basis van de classificatie van deze objecten kunnen prioriteiten voor beveiliging worden gesteld, ‘beveiliging op maat’ dus. Daarom wordt binnen de organisatie gebruik gemaakt van een classificatiesysteem om de verschillende beveiligingsniveaus te definiëren. De classificatie vindt plaats naar de aspecten beschikbaarheid, integriteit en vertrouwelijkheid.

4.1.1 Beschikbaarheid Classificatie Omschrijving Voorbeeld Geen Uitval van het bedrijfsproces/ informatiesysteem levert geen of nauwelijks

schade op voor de organisatie Acrobat Reader

Laag Uitval van het bedrijfsproces/ informatiesysteem levert beperkte schade op voor de organisatie. (Een eventueel incident is met direct betrokkenen is snel recht te zetten.)

Excel

Midden Uitval van het bedrijfsproces/ informatiesysteem levert aanzienlijke schade op voor de organisatie. (incident kan leiden tot krantenkoppen, mediaberichten, vragen van belangrijke partners/klanten, budgettaire problemen.)

Servers

Hoog Uitval van het bedrijfsproces / informatiesysteem levert ernstige schade op voor de organisatie. (de dienstverlening aan de cliënt/bedrijven/ketenpartners komt in gevaar, reactie bestuurder/woordvoerder vereist, berichten in de media, professionaliteit van het de organisatie ter discussie.)

NAV / CRM

4.1.2 Integriteit Classificatie Omschrijving Voorbeeld

Geen Onjuiste of onvolledige uitvoering van het bedrijfsproces/ informatiesysteem levert geen of nauwelijks schade op voor de organisatie.

PowerPoint

Laag Onjuiste of onvolledige uitvoering van het bedrijfsproces/ informatiesysteem levert beperkte schade op voor de organisatie.

Excel

Midden Onjuiste of onvolledige uitvoering van het bedrijfsproces/ informatiesysteem levert aanzienlijke schade op voor de organisatie.

Mailing

Hoog Onjuiste of onvolledige uitvoering van het bedrijfsproces/ informatiesysteem levert ernstige schade op voor de organisatie.

Bankpakket incasso

4.1.3 Vertrouwelijkheid Classificatie Omschrijving Voorbeeld Laag (Openbaar) Deze gegevens zijn mogen vrijelijk

verspreid worden onder belanghebbenden. Verspreiding van deze gegevens kan geen schade toebrengen aan de organisatie.

Informatiebladen, brochures, persberichten.

Midden (Bedrijfsvertrouwelijk)

Deze gegevens mogen toegankelijk zijn voor (bepaalde) medewerkers van de organisatie. Verspreiding van deze gegevens kan beperkte (imago)schade toebrengen aan de organisatie.

Financiële administratie, begrotingen, systeembeschrijvingen.

Hoog (persoonsgegevens en persoonsgegevens van vertrouwelijke aard)

Deze gegevens bevatten tot personen herleidbare informatie van mogelijk (zeer) vertrouwelijke aard. Verspreiding van deze gegeven kan

Persoonsgegevens: Naw-gegevens. Persoonsgegeven van vertrouwelijke aard: medische gegevens, financiële gegevens, gegevens over ras, geloof,

Page 14: Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: • Plan : Beleidsvorming en Risicoanalyse • Do : Planvorming en

Informatiebeveiligingsplan datum 14 van 24 <Bedrijfsnaam> CONCEPT Versie x.x

Classificatie Omschrijving Voorbeeld

ernstige (imago)schade toebrengen aan de organisatie.

politieke gezindheid, BSN-nr., gebruikersnamen en wachtwoorden

4.2 Risicoanalyse Risicoanalyse heeft tot doel inzicht te krijgen in de risico’s die het gewenste informatiebeveiligingsniveau in gevaar brengen om zo gepaste maatregelen te kunnen bepalen om deze risico’s tot een aanvaardbaar niveau te kunnen terugbrengen.

4.2.1 Privacy Impact Assessment Om de risico’s met betrekking tot aanwezige gegevensverzamelingen te analyseren is <datum> een Privacy Impact Assessment uitgevoerd. …

4.2.2 Algemene Risk Assessment Op <datum> is door <bedrijf/ persoon> een algemene risk assessment ingevuld en besproken. Hierin worden een aantal algemene risico’s t.a.v. informatiebeveiliging ingeschaald op basis van kans x impact. Uit de risk assessment komen de volgende risico’s naar voren:

Nr. Risico Opmerkingen

Mensen

1 Onvoldoende capaciteit beschikbaar

2 Mensen maken fouten door onvoldoende sturing en/of stress

3 Gebruikers gaan onvoorzichtig met wachtwoorden om (Gemakkelijk te raden of te vinden).

4 Buitenstaanders krijgen ongecontroleerd toegang tot het systeem (bijvoorbeeld via internet, of ter plaatse door een onbeveiligde PC)

Apparatuur

5 Ongeautoriseerde gebruikers of derden verschaffen zich toegang tot de server- of netwerkprogrammatuur en beschadigen deze al dan niet bewust waardoor de server niet meer juist functioneert (d.w.z. regelmatig uitvalt of gegevens niet op de juiste manier verwerkt).

Programmatuur

6 Bij een nieuwe release van de programmatuur of de installatie daarvan is een fout gemaakt waardoor de programmatuur niet meer juist functioneert (d.w.z. regelmatig uitvalt of gegevens niet op de juiste manier verwerkt).

Gegevens

7 Gegevens komen ter beschikking van ongeautoriseerde personen of buitenstaanders door een foutieve handeling van een medewerker (bijvoorbeeld verkeerd mailadres, faxnummer etc.).

8 Gegevensdragers (USB-sticks etc.) worden veelvuldig gebruikt waardoor malware kan binnendringen innen het netwerk of gegevens aan ongeautoriseerde medewerkers of buitenstaanders ter beschikking komen (datalek)

Omgeving

9 De computerruimte of gedeelten daarvan gaan verloren door (natuur)geweld, diefstal en dergelijke of is (tijdelijk) niet beschikbaar door het ontbreken van nutsvoorzieningen/ technische installaties

Organisatie

10 Er wordt niet voldaan aan de AVG en/of andere relevante wetgeving

11 Taken, bevoegdheden en verantwoordelijkheden zijn onvoldoende beschreven of geïmplementeerd en worden onvoldoende gecontroleerd. Door gebrek aan kennisbeheer gaat kennis verloren als werknemers de organisatie verlaten

Diensten

12 Diensten zijn tijdelijk of definitief niet meer te leveren door de dienstverlener (bijvoorbeeld door faillissement, leegloop, afstoten van taken of het niet verlengen van een service overeenkomst, staking, slecht capaciteitsbeheer, verlegging van prioriteiten naar andere klanten en dergelijke.).

Page 15: Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: • Plan : Beleidsvorming en Risicoanalyse • Do : Planvorming en

Informatiebeveiligingsplan datum 15 van 24 <Bedrijfsnaam> CONCEPT Versie x.x

5 Systeembeschrijving

5.1 Gegevensverzamelingen Alle gegevensverzamelingen die bij de organisatie in gebruik zijn, zijn beschreven in het document Gegevensverzamelingen <Bedrijfsnaam>.xlsx. In dit document is tevens de classificatie van betreffende gegevensverzamelingen aangegeven conform paragraaf 4.1.

5.2 Applicatie-architectuur Neem een overzicht van de belangrijkste applicaties op.

5.3 Systeem- en netwerkarchitectuur Beschrijf de interne en externe systeem- en netwerkarchitectuur.

5.3.1 Intern

5.3.2 Extern

Page 16: Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: • Plan : Beleidsvorming en Risicoanalyse • Do : Planvorming en

Informatiebeveiligingsplan datum 16 van 24 <Bedrijfsnaam> CONCEPT Versie x.x

6 Beveiligingseisen aan personeel

6.1 Voorafgaand aan het dienstverband

6.1.1 Screening

6.1.2 Arbeidsvoorwaarden

6.1.3 Functieprofielen

6.2 Tijdens het dienstverband

6.2.1 Verantwoordelijkheid van het management

6.2.2 Training en opleiding

6.2.3 Disciplinaire procedure

6.2.4 Personeelsdossier

6.3 Na het dienstverband

Page 17: Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: • Plan : Beleidsvorming en Risicoanalyse • Do : Planvorming en

Informatiebeveiligingsplan datum 17 van 24 <Bedrijfsnaam> CONCEPT Versie x.x

7 Fysieke beveiliging

7.1 Locatie <bedrijfsnaam>

7.2 Fysieke beveiliging hardware

7.3 Hosted servers

Page 18: Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: • Plan : Beleidsvorming en Risicoanalyse • Do : Planvorming en

Informatiebeveiligingsplan datum 18 van 24 <Bedrijfsnaam> CONCEPT Versie x.x

8 Operationeel beheer

8.1 Beheerprocedures

8.2 Wijzigingsbeheer

8.3 Bescherming tegen malware

8.3.1 Firewall

8.3.2 Antivirus

8.4 Back-up plan

8.4.1 Interne servers

8.4.2 Cloud

8.5 Documentatie

8.6 Verwijdering van media

Page 19: Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: • Plan : Beleidsvorming en Risicoanalyse • Do : Planvorming en

Informatiebeveiligingsplan datum 19 van 24 <Bedrijfsnaam> CONCEPT Versie x.x

9 Toegangsbeveiliging

9.1 Beheer van toegangsrechten

9.1.1 Netwerk en domain

9.1.2 Overige applicaties

9.2 Controle toegangsrechten

9.3 Toegang tot hardware en servers

Page 20: Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: • Plan : Beleidsvorming en Risicoanalyse • Do : Planvorming en

Informatiebeveiligingsplan datum 20 van 24 <Bedrijfsnaam> CONCEPT Versie x.x

10 Aanschaf, ontwikkeling en onderhoud van informatiesystemen

10.1 Beoordeling risico’s ten aanzien van informatieveiligheid

10.2 Data protection impact assessment (DPIA)

10.3 Aanpassing informatiebeveiliging plan

Page 21: Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: • Plan : Beleidsvorming en Risicoanalyse • Do : Planvorming en

Informatiebeveiligingsplan datum 21 van 24 <Bedrijfsnaam> CONCEPT Versie x.x

11 Continuïteitsbeheer

11.1 Continuïteitsbeheer <Bedrijfsnaam>

11.2 RTO en RPO

11.3 Lokale hardware

11.4 Backup & recovery

11.5 Cloud systemen

Page 22: Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: • Plan : Beleidsvorming en Risicoanalyse • Do : Planvorming en

Informatiebeveiligingsplan datum 22 van 24 <Bedrijfsnaam> CONCEPT Versie x.x

12 Incidentregistratie

12.1 Registratie van beveiligingsincidenten

12.2 Stimuleren bewustwording personeel

Page 23: Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: • Plan : Beleidsvorming en Risicoanalyse • Do : Planvorming en

Informatiebeveiligingsplan datum 23 van 24 <Bedrijfsnaam> CONCEPT Versie x.x

13 Bijlage Verbeteracties

13.1 Toelichting

Page 24: Privacy- en informatiebeveiligingsplan · De samenhang tussen deze vijf stappen en de Deming-cirkel is als volgt: • Plan : Beleidsvorming en Risicoanalyse • Do : Planvorming en

Informatiebeveiligingsplan datum 24 van 24 <Bedrijfsnaam> CONCEPT Versie x.x

14 Bijlage verwijzingen

14.1 Verwijzingen naar andere documenten