Checklist Baseline Informatiebeveiliging Rijksdienst (bir)



Dovnload 1 Mb.
Pagina1/6
Datum23.07.2016
Grootte1 Mb.
  1   2   3   4   5   6




Checklist Baseline Informatiebeveiliging Rijksdienst (BIR)
Onderstaande checklist is afgeleid van het de Baseline Informatiebeveiliging Rijksdienst (BIR). Met deze checklist kan worden nagegaan of de organisatie voldoen aan de normen en of aanvullende maatregelen nodig zijn. Ook kan worden nagegaan of de normen van toepassing zijn op het deel van de organisatie dat wordt onderzocht.
Verklaring van de kolommen in de tabel

  • 1e kolom: hoofdstuk- en paragraafnummers uit het BIR

  • 2e kolom: inhoud is afhankelijk van het niveau

  • 3e kolom: beschrijving van de al genomen maatregelen

  • 4e kolom: conclusie of wordt voldaan aan de norm: niet, deels, geheel, niet van toepassing of onbekend

  • 5e kolom: aanbevolen aanvullende maatregelen

Verklaring van de rijen in de tabel



  • Op het eerste, tweede en derde digit-niveau staan titels

  • De tekst onder het tweede digit-niveau beschrijft de doelstelling van de onderliggende normen

  • De tekst onder het derde digit-niveau is de norm. De tekst is niet gearceerd als deze norm niet is geoperationaliseerd. Dit komt een enkel keer voor.

  • De tekst op het vierde digit-niveau is de geoperationaliseerde norm. Deze tekst is in de tabel niet gearceerd.

Voor de context van het normenkader wordt verwezen naar het BIR. Dit geldt ook voor voetnoten. Deze zijn niet overgenomen in de checklist.




Nr

Titel – Doelstelling – Norm

Huidige situatie

Conclusie

Aanbeve-lingen

5

Beveiligingsbeleid










5.1

Informatiebeveiligingsbeleid













Doelstelling: Directie richting en ondersteuning bieden voor Informatiebeveiliging overeenkomstig de bedrijfsmatige eisen en relevante wetten en voorschriften.










5.1.1

Beleidsdocumenten voor informatiebeveiliging













Een document met informatiebeveiligingsbeleid behoort door de directie te worden goedgekeurd en gepubliceerd en kenbaar te worden gemaakt aan alle werknemers en relevante externe partijen.










5.1.1.1

Er is beleid voor informatiebeveiliging door het lijnmanagement vastgesteld, gepubliceerd en beoordeeld op basis van inzicht in risico’s, kritische bedrijfsprocessen en toewijzing van verantwoordelijkheden en prioriteiten










5.1.2

Beoordeling van het informatiebeveiligingsbeleid













Het informatiebeveiligingsbeleid behoort met geplande tussenpozen, of zodra zich belangrijke wijzigingen voordoen, te worden beoordeeld om te bewerkstelligen dat het geschikt, toereikend en doeltreffend blijft.










5.1.2.1

(R) Het informatiebeveiligingsbeleid wordt minimaal één keer per drie jaar, of zodra zich belangrijke wijzigingen voordoen, beoordeeld en zo nodig bijgesteld. Zie ook 6.1.8.1.










6

Organisatie van de Informatiebeveiliging










6.1

Interne organisatie













Doelstelling: Beheren van de informatiebeveiliging binnen de organisatie.










6.1.1

Betrokkenheid van de directie bij beveiliging













De directie behoort actief beveiliging binnen de organisatie te ondersteunen door duidelijk richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor informatiebeveiliging toe te kennen en te erkennen.










6.1.1.1

(R) Het lijnmanagement waarborgt dat de informatiebeveiligingsdoelstellingen worden vastgesteld, voldoen aan de kaders zoals gesteld in dit document en zijn geïntegreerd in de relevante processen. Dit gebeurt door één keer per jaar opzet, bestaan en werking van de IB-maatregelen te bespreken in het overleg van de departementsleiding en hiervan verslag te doen. Zie ook het in control statement zoals beschreven in het VIR:2007.










6.1.2

Coördineren van beveiliging













Activiteiten voor informatiebeveiliging behoren te worden gecoördineerd door vertegenwoordigers uit verschillende delen van de organisatie met relevante rollen en functies.










6.1.2.1

(R) De rollen van BVA, BVC en het lijnmanagement zijn beschreven in het Beveiligingsvoorschrift Rijksdienst 2005










6.1.3

Verantwoordelijkheden













Alle verantwoordelijkheden voor informatiebeveiliging behoren duidelijk te zijn gedefinieerd.










6.1.3.1

(R) Elke lijnmanager is verantwoordelijk voor de integrale beveiliging van zijn of haar dienstonderdeel.










6.1.4

Goedkeuringsproces voor ICT-voorzieningen













Er behoort een goedkeuringsproces voor nieuwe ICT-voorzieningen te worden vastgesteld en geïmplementeerd.










6.1.4.1

Er is een goedkeuringsproces voor nieuwe IT voorzieningen en wijzigingen in IT voorzieningen.










6.1.5

Geheimhoudingsovereenkomst













Eisen voor vertrouwelijkheid of geheimhoudingsovereenkomst die een weerslag vormen van de behoefte van de organisatie aan bescherming van informatie behoren te worden vastgesteld en regelmatig te worden beoordeeld.










6.1.5.1

(R) De algemene geheimhoudingsplicht voor ambtenaren is geregeld in de Ambtenarenwet art. 125a, lid 3. Daarnaast dienen personen die te maken hebben met Bijzondere Informatie een geheimhoudingsverklaring te ondertekenen (zie VIRBI); daaronder valt ook de departementaal vertrouwelijke informatie. Hierbij wordt tevens vastgelegd dat na beëindiging van de functie, de betreffende persoon gehouden blijft aan die geheimhouding.










6.1.6

Contact met overheidsinstanties













Er behoren geschikte contacten met relevante overheidsinstanties te worden onderhouden.










6.1.6.1

(R) Het lijnmanagement stelt vast in welke gevallen en door wie er contacten met autoriteiten (brandweer, toezichthouders, enz.) wordt onderhouden.










6.1.6

Contact met speciale belangengroepen













Er behoren geschikte contacten met speciale belangengroepen of andere specialistische platforms voor beveiliging en professionele organisaties te worden onderhouden.










6.1.7.1

IB-specifieke informatie van relevante expertisegroepen, leveranciers van hardware, software en diensten wordt gebruikt om de informatiebeveiliging te verbeteren.










6.1.8

Beoordeling van het informatiebeveiligingsbeleid













De benadering van de organisatie voor het beheer van informatiebeveiliging en de implementatie daarvan (d.w.z. beheersdoelstellingen, beheersmaatregelen, beleid, processen en procedures voor informatiebeveiliging) behoren onafhankelijk en met geplande tussenpozen te worden beoordeeld, of zodra zich significante wijzigingen voordoen in de implementatie van de beveiliging.










6.1.8.1

(R) Het informatiebeveiligingsbeleid wordt minimaal één keer in de drie jaar geëvalueerd (door een onafhankelijke deskundige) en desgewenst bijgesteld. Zie ook 5.1.2.










6.1.8.2

(R) Periodieke beveiligingsaudits worden uitgevoerd in opdracht van het lijnmanagement.










6.1.8.3

Over het functioneren van de informatiebeveiliging wordt, conform de P&C cyclus, jaarlijks gerapporteerd aan het lijnmanagement.










6.2

Externe Partijen













Doelstelling: Beveiligen van de informatie en ICT-voorzieningen van de organisatie handhaven waartoe externe partijen toegang hebben of die door externe partijen worden verwerkt of beheerd, of die naar externe partijen wordt gecommuniceerd.










6.2.1

Identificatie van risico's die betrekking hebben op externe partijen













De risico's voor de informatie en ICT-voorzieningen van de organisatie vanuit bedrijfsprocessen waarbij externe partijen betrokken zijn, behoren te worden geïdentificeerd en er behoren geschikte beheersmaatregelen te worden geïmplementeerd voordat toegang wordt verleend.










6.2.1.1

Informatiebeveiliging is aantoonbaar (op basis van een risicoafweging) meegewogen bij het besluit een externe partij wel of niet in te schakelen.










6.2.1.2

Voorafgaand aan het afsluiten van een contract voor uitbesteding of externe inhuur is bepaald welke toegang (fysiek, netwerk of tot gegevens) de externe partij(en) moet(en) hebben om de in het contract overeen te komen opdracht uit te voeren en welke noodzakelijke beveiligingsmaatregelen hiervoor nodig zijn.










6.2.1.3

(R)Voorafgaand aan het afsluiten van een contract voor uitbesteding of externe inhuur is bepaald welke waarde en gevoeligheid de informatie (bijv. risicoklasse van WBP of vertrouwelijkheidklasse volgens VIRBI) heeft waarmee de derde partij in aanraking kan komen en of hierbij eventueel aanvullende beveiligingsmaatregelen nodig zijn.










6.2.1.4

Voorafgaand aan het afsluiten van een contract voor uitbesteding en externe inhuur is bepaald hoe geauthentiseerde en geautoriseerde toegang vastgesteld wordt.










6.2.1.5

(R) Indien externe partijen systemen beheren waarin persoonsgegevens verwerkt worden, wordt een bewerkerovereenkomst (conform WBP artikel 14) afgesloten.










6.2.1.6

Er is in contracten met externe partijen vastgelegd welke beveiligingsmaatregelen vereist zijn, dat deze door de externe partij zijn getroffen en worden nageleefd en dat beveiligingsincidenten onmiddellijk worden gerapporteerd. (zie ook 6.2.3.3). Ook wordt beschreven hoe die beveiligingsmaatregelen door de uitbestedende partij te controleren zijn (bijv. audits en penetratietests) en hoe het toezicht is geregeld.










6.2.2

Beveiliging behandelen in de omgang met klanten













Alle geïdentificeerde beveiligingseisen behoren te worden behandeld voordat klanten toegang wordt verleend tot de informatie of bedrijfsmiddelen van de organisatie.










6.2.2.1

Alle noodzakelijke beveiligingseisen worden op basis van een risicoafweging vastgesteld en geïmplementeerd voordat aan gebruikers toegang tot informatie op bedrijfsmiddelen wordt verleend.










6.2.3

Beveiliging behandelen in overeenkomsten met een derde partij













In overeenkomsten met derden waarbij toegang tot, het verwerken van, communicatie van of beheer van informatie of ICT-voorzieningen van de organisatie, of toevoeging van producten of diensten aan ICT-voorzieningen waarbij sprake is van toegang, behoren alle relevante beveiligingseisen te zijn opgenomen.










6.2.3.1

De maatregelen behorend bij 6.2.1 zijn voorafgaand aan het afsluiten van het contract gedefinieerd en geïmplementeerd.










6.2.3.2

Uitbesteding (ontwikkelen en aanpassen) van software is geregeld volgens formele contracten waarin o.a. intellectueel eigendom, kwaliteitsaspecten, beveiligingsaspecten, aansprakelijkheid, escrow en reviews geregeld worden.










6.2.3.3

In contracten met externe partijen is vastgelegd hoe men dient te gaan met wijzigingen en hoe ervoor gezorgd wordt dat de beveiliging niet wordt aangetast door de wijzigingen.










6.2.3.4

In contracten met externe partijen is vastgelegd hoe wordt omgegaan met geheimhouding.










6.2.3.5

Er is een plan voor beëindiging van de ingehuurde diensten waarin aandacht wordt besteed aan beschikbaarheid, vertrouwelijkheid en integriteit.











  1   2   3   4   5   6


De database wordt beschermd door het auteursrecht ©opleid.info 2017
stuur bericht

    Hoofdpagina