homepage_0_3

Informatiebeveiliging

  1. 1

    Informatie_vraag_1_cms_0

    Informatiebeveiliging is een cyclus. Risicoanalyses en risicomanagement zijn essentiële onderdelen van het Informatie Security Management Systeem (ISMS) van een organisatie. Het doel van een ISMS is om bedrijfsrisico’s te inventariseren. Op basis hiervan kunnen keuzes gemaakt worden in prioritering van de te nemen maatregelen en acceptatie van eventuele restrisico’s. Het sluitend uitvoeren van de ISMS-cyclus is noodzakelijk voor een goede informatiebeveiligingshuishouding.

    In hoeverre heeft uw organisatie een actueel informatiebeveiligingsbeleid?

    In hoeverre heeft uw organisatie een actueel informatiebeveiligingsbeleid?

    Informatiebeveiliging is een essentiële pijler van biosecurity. De cyclus van het ISMS is belangrijk voor de bedrijfscontinuïteit van uw organisatie. Indien uw organisatie werkt met persoonsgegevens dan geldt de Algemene Verordening Gegevensbescherming (AVG), waar de Autoriteit Persoonsgegevens toezicht op houdt.

    Risico's

    • Niet voldoen aan wet- en regelgeving, onder andere de Algemene Verordening Gegevensbescherming.

    Maatregelen

    • Om een volledig beeld te verkrijgen van de stand van zaken van informatiebeveiliging in uw organisatie kunt u een quick scan doen, bijvoorbeeld op basis van ISO 27001 (ISO 27001:2013, Information technology - Security techniques - Information security management systems – Requirements).
    • Voor organisaties in de zorg is NEN 7510 Medische informatica – Informatiebeveiliging in de zorg van belang. Hierin staat onder andere de plan-do-check-act cyclus van het ISMS beschreven (Bijlage A van NEN 7510). Werken met NEN 7510.
    • Voor toezicht op diensten die derden leveren aan uw organisatie, kunt u denken aan contracten (bijvoorbeeld overeenkomsten en documenten zoals een Service Level Agreement, Producten & Diensten Catalogus); Service level rapportages over de geleverde prestaties van diensten; Assurance rapporten, die informatie geven over de risicobeheersing en over de betrouwbaarheid van geleverde diensten.
    • Indien er met persoonsgegevens gewerkt wordt, is het stappenplan van de Autoriteit Persoonsgegevens een middel om goed voorbereid te zijn op de Algemene Verordening Gegevensbescherming.

    Informatiebeveiliging is een essentiële pijler van biosecurity. De cyclus van het ISMS is belangrijk voor de bedrijfscontinuïteit van uw organisatie. Het vaststellen, implementeren, bewaken, bijhouden en verbeteren van het ISMS is een continue cyclus die de beveiliging van uw organisatie borgt. Het beleggen van toezicht en verantwoording hoort hier ook bij, net als het optreden bij beveiligingsincidenten of datalekken. Indien uw organisatie werkt met persoonsgegevens dan geldt de Algemene Verordening Gegevensbescherming (AVG), waar de Autoriteit Persoonsgegevens toezicht op houdt.

    Risico's

    • Niet kunnen waarborgen van bedrijfsbelangen zoals bedrijfscontinuïteit en operationele activiteiten van het bedrijf.
    • Imagoschade of afbreukrisico indien informatiebeveiliging en biosecurity niet op orde is.
    • Niet voldoen aan wet- en regelgeving, onder andere de Algemene Verordening Gegevensbescherming (AVG).

    Maatregelen

    • Om een volledig beeld te verkrijgen van de stand van zaken van informatiebeveiliging in uw organisatie kunt u een quick scan doen, bijvoorbeeld op basis van ISO 27001 (ISO 27001:2013, Information technology - Security techniques - Information security management systems – Requirements).
    • Zorg dat verschillende disciplines en experts binnen uw organisatie deelnemen in het ISMS zodat informatiebeveiliging ten behoeve van biosecurity geborgd wordt. Denk aan het combineren van expertise over hoogrisico materiaal[1], biologische veiligheid en informatiebeveiliging.
    • Voor organisaties in de zorg is NEN 7510 Medische informatica – Informatiebeveiliging in de zorg van belang. Hierin staat onder andere de plan-do-check-act cyclus van het ISMS beschreven (Bijlage A van NEN 7510). Werken met NEN 7510.
    • Voor toezicht op diensten die derden leveren aan uw organisatie, kunt u denken aan contracten (bijvoorbeeld overeenkomsten en documenten zoals een Service Level Agreement, Producten & Diensten Catalogus); Service level rapportages over de geleverde prestaties van diensten; Assurance rapporten, die informatie geven over de risicobeheersing en over de betrouwbaarheid van geleverde diensten.
    • Indien er met persoonsgegevens gewerkt wordt, is het stappenplan van de Autoriteit Persoonsgegevens een middel om goed voorbereid te zijn op de Algemene Verordening Gegevensbescherming.
       

      [1] Hoogrisico pathogenen zijn humaan- en dierpathogenen van risicoklasse 3 of 4, en plantpathogenen voorkomend op de lijst Quarantaine-organismen. Met hoogrisico materiaal bedoelen we materiaal waar hoogrisico pathogenen in aanwezig zijn. Bijvoorbeeld plantaardig, dierlijk of humaan weefsel, of monsters van omgevingsmatrices (lucht, water en bodem). Wetenschappelijke artikelen, protocollen, data, gegevensdragers, of ander materiaal waarin informatie over hoogrisico pathogenen in staat vermeld met een mogelijke dual-use toepassing, benoemen wij als gevoelig materiaal.

       

    Informatiebeveiliging is een essentiële pijler van biosecurity. De cyclus van het ISMS is belangrijk voor de bedrijfscontinuïteit van uw organisatie. Het vaststellen, implementeren, bewaken, bijhouden en verbeteren van het ISMS is een continue cyclus die de beveiliging van uw organisatie borgt. Het beleggen van toezicht en verantwoording hoort hier ook bij, net als het optreden bij beveiligingsincidenten of datalekken. Indien uw organisatie werkt met persoonsgegevens dan geldt de Algemene Verordening Gegevensbescherming (AVG), waar de Autoriteit Persoonsgegevens toezicht op houdt.

    Risico's

    • Niet kunnen waarborgen van bedrijfsbelangen zoals bedrijfscontinuïteit en operationele activiteiten van het bedrijf.
    • Imagoschade of afbreukrisico indien informatiebeveiliging en biosecurity niet op orde is.
    • Niet voldoen aan wet- en regelgeving, onder andere de Algemene Verordening Gegevensbescherming (AVG)

    Maatregelen

    • Om een volledig beeld te verkrijgen van de stand van zaken van informatiebeveiliging in uw organisatie kunt u een quick scan doen, bijvoorbeeld op basis van ISO 27001 (ISO 27001:2013, Information technology - Security techniques - Information security management systems – Requirements).
    • Zorg dat verschillende disciplines en experts binnen uw organisatie deelnemen in het ISMS zodat informatiebeveiliging ten behoeve van biosecurity geborgd wordt. Denk aan het combineren van expertise over hoogrisico materiaal[1], biologische veiligheid en informatiebeveiliging.
    • Voor organisaties in de zorg is NEN 7510 Medische informatica – Informatiebeveiliging in de zorg van belang. Hierin staat onder andere de plan-do-check-act cyclus van het ISMS beschreven (Bijlage A van NEN 7510). Werken met NEN 7510.
    • Voor toezicht op diensten die derden leveren aan uw organisatie, kunt u denken aan contracten (bijvoorbeeld overeenkomsten en documenten zoals een Service Level Agreement, Producten & Diensten Catalogus); Service level rapportages over de geleverde prestaties van diensten; Assurance rapporten, die informatie geven over de risicobeheersing en over de betrouwbaarheid van geleverde diensten.
    • Indien er met persoonsgegevens gewerkt wordt, is het stappenplan van de Autoriteit Persoonsgegevens een middel om goed voorbereid te zijn op de Algemene Verordening Gegevensbescherming.
       

      [1] Hoogrisico pathogenen zijn humaan- en dierpathogenen van risicoklasse 3 of 4, en plantpathogenen voorkomend op de lijst Quarantaine-organismen. Met hoogrisico materiaal bedoelen we materiaal waar hoogrisico pathogenen in aanwezig zijn. Bijvoorbeeld plantaardig, dierlijk of humaan weefsel, of monsters van omgevingsmatrices (lucht, water en bodem). Wetenschappelijke artikelen, protocollen, data, gegevensdragers, of ander materiaal waarin informatie over hoogrisico pathogenen in staat vermeld met een mogelijke dual-use toepassing, benoemen wij als gevoelig materiaal.

       

    Deze vraag is niet van toepassing

  2. 2

    Informatie_vraag_2_cms

    Informatiebeveiliging kent drie gebieden, waarvan ‘beschikbaarheid en continuïteit’ het eerste gebied is. Bij uitval van een netwerk moeten medewerkers zo snel mogelijk weer aan het werk kunnen en mogen geen gevaarlijke situaties ontstaan. Denk hierbij aan continuïteit van ICT-systemen en opslag van data, maar ook aan gebouwmanagementsystemen, zoals het behouden van onderdruk in laboratoria, beveiliging en autorisatie van ruimten. Bewuste, goed opgeleide medewerkers zijn van belang om bij incidenten zo snel mogelijk weer operationeel te zijn.

    Hoe test en waarborgt uw organisatie het onderdeel beschikbaarheid als onderdeel van informatiebeveiliging?

    Hoe test en waarborgt uw organisatie het onderdeel beschikbaarheid als onderdeel van informatiebeveiliging?

    Een belangrijk onderdeel binnen de organisatie is de weerbaarheid tegen incidenten en calamiteiten (zie ook pijler respons). Weten medewerkers wat ze moeten doen als een incident zich voordoet? Het is van het grootste belang dat een informatiebeveiligingsincident wordt gedetecteerd en gemeld, om zo snel mogelijk weer operationeel te zijn en om schade te voorkomen.

    Risico's

    • Bedrijfscontinuïteit niet kunnen garanderen.
    • (Bio)safety niet kunnen garanderen.
    • (Bio)security niet kunnen garanderen.

    Maatregelen

    • Bewustzijn van medewerkers is belangrijk. Train en oefen situaties.
    • Meld indien nodig incidenten, diefstal of andere zaken die beschikbaarheid of continuïteit van informatie belemmeren.

    Een belangrijk onderdeel binnen de organisatie is de weerbaarheid tegen incidenten en calamiteiten (zie ook pijler respons). Het is van het grootste belang dat een informatiebeveiligingsincident wordt gedetecteerd en gemeld, om zo snel mogelijk weer operationeel te zijn en om schade te voorkomen. Weten medewerkers wat ze moeten doen als een incident zich voordoet? Het is belangrijk dat systemen getest worden en dat medewerkers getraind en opgeleid worden om met incidenten om te gaan. Dit is nodig in de informatiebeveiligingscyclus om kwetsbaarheden en risico’s aan het licht te brengen en maatregelen te treffen.

    Risico's

    • Bedrijfscontinuïteit niet kunnen garanderen.
    • (Bio)safety niet kunnen garanderen.
    • (Bio)security niet kunnen garanderen.

    Maatregelen

    • Zorg voor extra beveiligingspersoneel indien gebouwmanagementsystemen uitvallen (toegangscontrole, autorisatie, onderdruk, etc).
    • Zorg voor backup systemen zoals noodaggregaten, back-up van data, etc.
    • Bewustzijn van medewerkers is belangrijk. Train en oefen situaties.
    • Meld indien nodig incidenten, diefstal of andere zaken die beschikbaarheid of continuïteit van informatie belemmeren.

    Uw organisatie is kwetsbaar als er geen back-up systemen zijn, de bedrijfscontinuïteit loopt risico. Back-up systemen zijn een belangrijk onderdeel betreffende de weerbaarheid tegen incidenten en calamiteiten (zie ook pijler respons). Het is van het grootste belang dat een informatiebeveiligingsincident wordt gedetecteerd en gemeld, om zo snel mogelijk weer operationeel te zijn en om schade te voorkomen. Weten medewerkers wat ze moeten doen als een incident zich voordoet? Het is belangrijk dat systemen getest worden en dat medewerkers getraind en opgeleid worden om met incidenten om te gaan. Dit is nodig in de informatiebeveiligingscyclus om kwetsbaarheden en risico’s aan het licht te brengen en maatregelen te treffen.

    Risico's

    • Bedrijfscontinuïteit niet kunnen garanderen.
    • (Bio)safety niet kunnen garanderen.
    • (Bio)security niet kunnen garanderen.

    Maatregelen

    • Zorg voor extra beveiligingspersoneel indien gebouwmanagementsystemen uitvallen (toegangscontrole, autorisatie, onderdruk, etc).
    • Zorg voor backup systemen zoals noodaggregaten, back-up van data, etc.
    • Bewustzijn van medewerkers is belangrijk. Train en oefen situaties.
    • Meld indien nodig incidenten, diefstal of andere zaken die beschikbaarheid of continuïteit van informatie belemmeren.

    Deze vraag is niet van toepassing

  3. 3

    Informatie_vraag_3_cms_0

    Het onderdeel integriteit of betrouwbaarheid beschrijft de mate waarin gegevens, IT-diensten of IT-middelen correct, volledig en actueel zijn. Denk onder andere aan autorisatiesystemen (zie ook pijler fysieke beveiliging) en ook aan het voorkomen van fraude, diefstal, identiteitsfraude of het hacken van computersystemen.

    In hoeverre heeft uw organisatie beleid voor de integriteit van informatiebeveiliging?

    In hoeverre heeft uw organisatie beleid voor de integriteit van informatiebeveiliging?

    In het informatiebeveiligingsbeleid ten aanzien van integriteit en betrouwbaarheid is vastgelegd welk belang de organisatie aan integriteit hecht. Hier vallen eisen aan betrouwbaarheid van bijvoorbeeld diensten en software onder, maar ook wat er van medewerkers verwacht wordt en wie hierbij welke rol heeft. Bewuste, betrouwbare en goed opgeleide medewerkers zijn essentieel voor de continuïteit van uw bedrijf.

    Risico's

    • Indien onveilige software of (web)applicaties gebruikt worden kan informatie bij derden terecht komen. Zie de factsheet van het National Cyber Security Center over gegevenslekken.
    • Indien onbekend is waar data is opgeslagen en wie het beheert, kan informatie bij derden terechtkomen (gebruik software, (web)applicaties, online opslag, etc.).

    Maatregelen

    • Gebruik veilige software. Het Open Web Application Security Project (OWASP) is een wereldwijde non-profit organisatie gericht op het verbeteren van de beveiliging van software.
    • Zorg voor regels en richtlijnen voor online opslag (cloud, email, etc.).
    • Deel data en informatie alleen op basis van ‘need to know’ principe.
    • Zorg dat digitale verzending versleuteld is. Zie ook de factsheet van het National Cyber Security Center over tweefactor authenticatie.
    • De organisatie kan eisen stellen aan leveranciers van (web)diensten ten aanzien van beveiliging van kwetsbaarheden van een applicatie.
    • Zorg dat tijdens of na een incident de integriteit zo snel mogelijk hersteld wordt.
    • Zorg dat medewerkers betrouwbaar en integer zijn door regels en richtlijnen te delen en ze goed te trainen en opleiden ten aanzien van integriteit en integriteitsbewustzijn, omgaan met sociale media en omgaan met informatiedragers (USB, laptop, digitale en papieren bestanden).
    • Zorg dat medewerkers (anoniem) integriteitsvraagstukken kunnen melden of delen.

    In het informatiebeveiligingsbeleid ten aanzien van integriteit en betrouwbaarheid is vastgelegd welk belang de organisatie aan integriteit hecht. Hier vallen eisen aan betrouwbaarheid van bijvoorbeeld diensten en software onder, maar ook wat er van medewerkers verwacht wordt en wie hierbij welke rol heeft. Indien niet alle medewerkers zich hiervan bewust zijn, is uw organisatie mogelijk kwetsbaar voor fraude, verduistering of diefstal. Bewuste, betrouwbare en goed opgeleide medewerkers zijn essentieel voor de continuïteit van uw bedrijf. Controle en toezicht zijn bovendien nodig voor het garanderen van een goede informatiebeveiligingscyclus.

    Risico's

    • Indien autorisatiesystemen niet actueel en correct zijn kunnen onbevoegden mogelijk bij gevoelige informatie.
    • Indien onveilige software of (web)applicaties gebruikt worden kan informatie bij derden terecht komen. Zie de factsheet van het National Cyber Security Center over gegevenslekken.
    • Indien onbekend is waar data is opgeslagen en wie het beheert, kan informatie bij derden terechtkomen (gebruik software, (web)applicaties, online opslag, etc.).

    Maatregelen

    • Gebruik veilige software. Het Open Web Application Security Project (OWASP) is een wereldwijde non-profit organisatie gericht op het verbeteren van de beveiliging van software.
    • Zorg dat interne controle en toezicht op orde is.
    • Zorg voor regels en richtlijnen voor online opslag (cloud, email, etc.).
    • Deel data en informatie alleen op basis van ‘need to know’ principe.
    • Zorg dat digitale verzending versleuteld is. Zie ook de factsheet van het National Cyber Security Center over tweefactor authenticatie.
    • De organisatie kan eisen stellen aan leveranciers van (web)diensten ten aanzien van beveiliging van kwetsbaarheden van een applicatie.
    • Zorg dat tijdens of na een incident de integriteit zo snel mogelijk hersteld wordt.
    • Zorg dat medewerkers betrouwbaar en integer zijn door regels en richtlijnen te delen en ze goed te trainen en opleiden ten aanzien van integriteit en integriteitsbewustzijn, omgaan met sociale media en omgaan met informatiedragers (USB, laptop, digitale en papieren bestanden).
    • Zorg dat medewerkers (anoniem) integriteitsvraagstukken kunnen melden of delen.

    In het informatiebeveiligingsbeleid ten aanzien van integriteit en betrouwbaarheid is vastgelegd welk belang de organisatie aan integriteit hecht. Hier vallen eisen aan betrouwbaarheid van bijvoorbeeld diensten en software onder, maar ook wat er van medewerkers verwacht wordt en wie hierbij welke rol heeft. Indien niet alle medewerkers zich hiervan bewust zijn, is uw organisatie mogelijk kwetsbaar voor fraude, verduistering of diefstal. Bewuste, betrouwbare en goed opgeleide medewerkers zijn essentieel voor de continuïteit van uw bedrijf. Controle en toezicht zijn bovendien nodig voor het garanderen van een goede informatiebeveiligingscyclus.

    Risico's

    • Indien autorisatiesystemen niet actueel en correct zijn kunnen onbevoegden mogelijk bij gevoelige informatie.
    • Indien onveilige software of (web)applicaties gebruikt worden kan informatie bij derden terecht komen. Zie de factsheet van het National Cyber Security Center over gegevenslekken.
    • Indien onbekend is waar data is opgeslagen en wie het beheert, kan informatie bij derden terechtkomen (gebruik software, (web)applicaties, online opslag, etc.).
    • Vaste en tijdelijk werknemers die zich niet bewust zijn van informatiebeveiliging, of niet goed opgeleid of getraind zijn, vormen een risico voor integriteit en voor de organisatie.

    Maatregelen

    • Gebruik veilige software. Het Open Web Application Security Project (OWASP) is een wereldwijde non-profit organisatie gericht op het verbeteren van de beveiliging van software.
    • Zorg dat interne controle en toezicht op orde is.
    • Zorg voor regels en richtlijnen voor online opslag (cloud, email, etc.).
    • Deel data en informatie alleen op basis van ‘need to know’ principe.
    • Zorg dat digitale verzending versleuteld is. Zie ook de factsheet van het National Cyber Security Center over tweefactor authenticatie.
    • De organisatie kan eisen stellen aan leveranciers van (web)diensten ten aanzien van beveiliging van kwetsbaarheden van een applicatie.
    • Zorg dat tijdens of na een incident de integriteit zo snel mogelijk hersteld wordt.
    • Zorg dat medewerkers betrouwbaar en integer zijn door regels en richtlijnen te delen en ze goed te trainen en opleiden ten aanzien van integriteit en integriteitsbewustzijn, omgaan met sociale media en omgaan met informatiedragers (USB, laptop, digitale en papieren bestanden).
    • Zorg dat medewerkers (anoniem) integriteitsvraagstukken kunnen melden of delen.

    In het informatiebeveiligingsbeleid ten aanzien van integriteit en betrouwbaarheid is vastgelegd welk belang de organisatie aan integriteit hecht. Hier vallen eisen aan betrouwbaarheid van bijvoorbeeld diensten en software onder, maar ook wat er van medewerkers verwacht wordt en wie hierbij welke rol heeft. Indien uw organisatie geen beleid heeft, is uw organisatie kwetsbaar voor fraude, verduistering of diefstal, maar mogelijk ook kwetsbaar voor computerhacks of virusaanvallen. Controle en toezicht zijn nodig voor de informatiebeveiligingscyclus. Het is van belang dat medewerkers op de hoogte zijn en regelmatig bewust worden gemaakt. Bewuste, betrouwbare en goed opgeleide medewerkers zijn essentieel voor de continuïteit van uw bedrijf.

    Risico's

    • Indien autorisatiesystemen niet actueel en correct zijn kunnen onbevoegden mogelijk bij gevoelige informatie.
    • Indien onveilige software of (web)applicaties gebruikt worden kan informatie bij derden terecht komen. Zie de factsheet van het National Cyber Security Center over gegevenslekken.
    • Indien onbekend is waar data is opgeslagen en wie het beheert, kan informatie bij derden terechtkomen (gebruik software, (web)applicaties, online opslag, etc.).
    • Vaste en tijdelijk werknemers die zich niet bewust zijn van informatiebeveiliging, of niet goed opgeleid of getraind zijn, vormen een risico voor integriteit en voor de organisatie.

    Maatregelen

    • Gebruik veilige software. Het Open Web Application Security Project (OWASP) is een wereldwijde non-profit organisatie gericht op het verbeteren van de beveiliging van software.
    • Zorg dat interne controle en toezicht op orde is.
    • Zorg voor regels en richtlijnen voor online opslag (cloud, email, etc.).
    • Deel data en informatie alleen op basis van ‘need to know’ principe.
    • Zorg dat digitale verzending versleuteld is. Zie ook de factsheet van het National Cyber Security Center over tweefactor authenticatie.
    • De organisatie kan eisen stellen aan leveranciers van (web)diensten ten aanzien van beveiliging van kwetsbaarheden van een applicatie.
    • Zorg dat tijdens of na een incident de integriteit zo snel mogelijk hersteld wordt.
    • Zorg dat medewerkers betrouwbaar en integer zijn door regels en richtlijnen te delen en ze goed te trainen en opleiden ten aanzien van integriteit en integriteitsbewustzijn, omgaan met sociale media en omgaan met informatiedragers (USB, laptop, digitale en papieren bestanden).
    • Zorg dat medewerkers (anoniem) integriteitsvraagstukken kunnen melden of delen.

    Deze vraag is niet van toepassing

  4. 4

    Informatie_vraag_4_cms_0

    Weet wat de ‘kroonjuwelen’ van de organisatie zijn die beveiligd moeten worden. Vertrouwelijkheid of exclusiviteit betekent dat gegevens alleen te benaderen zijn door iemand die hiertoe gerechtigd is. Door classificatie (bij de overheid noemt men dit rubriceren) van deze informatie en door het beperken van de groep voor wie deze informatie toegankelijk is (‘need to know’) wordt onderscheid gemaakt in vertrouwelijkheid van informatie. Met behulp van ‘labels’ kan een mate van vertrouwelijkheid aan informatie in verschillende vormen toegekend worden. Deze vraag gaat over rubricering in het algemeen. Vraag 5 gaat specifiek in op dual-use onderzoek.

    Hoe wordt gevoelige informatie geclassificeerd of gerubriceerd?

    Hoe wordt gevoelige informatie geclassificeerd of gerubriceerd?

    Informatie is vertrouwelijk wanneer schade ontstaat als deze bekend wordt buiten de groep die hiertoe geautoriseerd is. Denk hierbij aan gegevens over onderzoek met hoogrisico materiaal, gegevens over opslag of gebouwmanagementsystemen, maar ook aan persoonsgegevens. Net als bij fysieke beveiliging maakt een gelaagde structuur het mogelijk om informatie te beveiligingen, dit kan bijvoorbeeld op basis van de classificatie of rubricering.

    Risico's

    • Indien informatie openbaar wordt of terecht komt bij criminelen of concurrenten, kan schade optreden voor het bedrijf of Nederland: denk aan financiële schade, reputatieschade, continuïteit van de bedrijfsvoering, juridische consequenties of zelfs gevolgen voor de nationale veiligheid.
    • Het als organisatie niet voldoen aan de AVG.
    • Het als overheidsorganisatie niet voldoen aan de BIR of VIRBI.

    Maatregelen

    • Voor niet overheidsorganisaties: Er zijn verschillende NEN en/of ISO normen die gericht zijn op informatiebeveiliging. Meer informatie: NEN informatiebeveiliging. Bijvoorbeeld voor zorginstellingen: NEN 7510 Medische informatica – Informatiebeveiliging in de zorg beschrijft classificeren van gevoelige of kritieke informatie. Voor andere organisaties zijn er verschillende ISO-normen (ISO 27000-serie), bijvoorbeeld ISO 27001 (ISO 27001:2013, Information technology - Security techniques - Information security management systems – Requirements).
    • Voor overheidsorganisaties: het Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIRBI) beschrijft hoe informatie te rubriceren en te behandelen.
    • Voor overheidsorganisaties: baseline-informatiebeveiliging Rijksdienst (BIR) over het omgaan met informatie binnen de rijksoverheid.
    • Algemene Verordening Gegevensbescherming (AVG;) meer informatie: Autoriteit Persoonsgegevens.
    • Net als bij fysieke beveiliging is het bij informatiebeveiliging mogelijk om een digitaal gelaagde structuur aan te brengen, op basis van de classificatie.
    • Denk ook aan het classificeren van ongoing onderzoek als ‘vertrouwelijk’/ ‘gevoelig’ / ‘bijzonder’ (ook met oog op patenten etc.).
    • Zorg voor een lijst met functies binnen de organisatie en bevoegdheden. Classificeer welke data voor welke functies beschikbaar is (zie ook personeelsscreening).

    Informatie is vertrouwelijk wanneer schade ontstaat als deze bekend wordt buiten de groep die hiertoe geautoriseerd is. Denk hierbij aan gegevens over onderzoek met hoogrisico materiaal, gegevens over opslag of gebouwmanagementsystemen, maar ook aan persoonsgegevens. Net als bij fysieke beveiliging maakt een gelaagde structuur het mogelijk om informatie te beveiligingen, dit kan bijvoorbeeld op basis van de classificatie of rubricering. De classificatie van informatie wordt bepaald op basis van een risicobeoordeling en is onderdeel van de ISMS-cyclus.

    Risico's

    • Indien informatie openbaar wordt of terecht komt bij criminelen of concurrenten, kan schade optreden voor het bedrijf of Nederland: denk aan financiële schade, reputatieschade, continuïteit van de bedrijfsvoering, juridische consequenties of zelfs gevolgen voor de nationale veiligheid.
    • Het als organisatie niet voldoen aan de AVG
    • Het als overheidsorganisatie niet voldoen aan de BIR of VIRBI.

    Maatregelen

    • Voor niet overheidsorganisaties: Er zijn verschillende NEN en/of ISO normen die gericht zijn op informatiebeveiliging. Meer informatie: NEN informatiebeveiliging. Bijvoorbeeld voor zorginstellingen: NEN 7510 Medische informatica – Informatiebeveiliging in de zorg beschrijft classificeren van gevoelige of kritieke informatie. Voor andere organisaties zijn er verschillende ISO-normen (ISO 27000-serie), bijvoorbeeld ISO 27001 (ISO 27001:2013, Information technology - Security techniques - Information security management systems – Requirements).
    • Voor overheidsorganisaties: het Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIRBI) beschrijft hoe informatie te rubriceren en te behandelen.
    • Voor overheidsorganisaties: baseline-informatiebeveiliging Rijksdienst (BIR) over het omgaan met informatie binnen de rijksoverheid.
    • Algemene Verordening Gegevensbescherming (AVG;) meer informatie: Autoriteit Persoonsgegevens.
    • Net als bij fysieke beveiliging is het bij informatiebeveiliging mogelijk om een digitaal gelaagde structuur aan te brengen, op basis van de classificatie.
    • Denk ook aan het classificeren van ongoing onderzoek als ‘vertrouwelijk’/ ‘gevoelig’ / ‘bijzonder’ (ook met oog op patenten etc.).
    • Zorg voor een lijst met functies binnen de organisatie en bevoegdheden. Classificeer welke data voor welke functies beschikbaar is (zie ook personeelsscreening).
    • Bewustwording en trainen/opleiden van medewerkers ten aanzien van (eigen) rechten, plichten en verantwoordelijkheden ten aanzien van geclassificeerde informatie.

    Om misbruik te voorkomen, is het van belang dat vertrouwelijke informatie alleen voor bevoegde personen toegankelijk is. Informatie is vertrouwelijk wanneer schade ontstaat als deze bekend wordt buiten de groep die hiertoe geautoriseerd is. Denk hierbij aan gegevens over onderzoek met hoogrisico materiaal, gegevens over opslag of gebouwmanagementsystemen, maar ook aan persoonsgegevens. Net als bij fysieke beveiliging maakt een gelaagde structuur het mogelijk om informatie te beveiligingen, dit kan bijvoorbeeld op basis van de classificatie of rubricering. Hiervoor moeten duidelijke criteria worden opgesteld, zodat classificatie en rubricering niet subjectief kan worden toegepast. De classificatie van informatie wordt bepaald op basis van een risicobeoordeling en is onderdeel van de ISMS-cyclus.

    Risico's

    • Indien informatie openbaar wordt of terecht komt bij criminelen of concurrenten, kan schade optreden voor het bedrijf of Nederland: denk aan financiële schade, reputatieschade, continuïteit van de bedrijfsvoering, juridische consequenties of zelfs gevolgen voor de nationale veiligheid.
    • Het als organisatie niet voldoen aan de AVG
    • Het als overheidsorganisatie niet voldoen aan de BIR of VIRBI.

    Maatregelen

    • Voor niet overheidsorganisaties: Er zijn verschillende NEN en/of ISO normen die gericht zijn op informatiebeveiliging. Meer informatie: NEN informatiebeveiliging. Bijvoorbeeld voor zorginstellingen: NEN 7510 Medische informatica – Informatiebeveiliging in de zorg beschrijft classificeren van gevoelige of kritieke informatie. Voor andere organisaties zijn er verschillende ISO-normen (ISO 27000-serie), bijvoorbeeld ISO 27001 (ISO 27001:2013, Information technology - Security techniques - Information security management systems – Requirements).
    • Voor overheidsorganisaties: het Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIRBI) beschrijft hoe informatie te rubriceren en te behandelen.
    • Voor overheidsorganisaties: baseline-informatiebeveiliging Rijksdienst (BIR) over het omgaan met informatie binnen de rijksoverheid.
    • Algemene Verordening Gegevensbescherming (AVG;) meer informatie: Autoriteit Persoonsgegevens.
    • Net als bij fysieke beveiliging is het bij informatiebeveiliging mogelijk om een digitaal gelaagde structuur aan te brengen, op basis van de classificatie.
    • Denk ook aan het classificeren van ongoing onderzoek als ‘vertrouwelijk’/ ‘gevoelig’ / ‘bijzonder’ (ook met oog op patenten etc.).
    • Zorg voor een lijst met functies binnen de organisatie en bevoegdheden. Classificeer welke data voor welke functies beschikbaar is (zie ook personeelsscreening).
    • Bewustwording en trainen/opleiden van medewerkers ten aanzien van (eigen) rechten, plichten en verantwoordelijkheden ten aanzien van geclassificeerde informatie.

    Deze vraag is niet van toepassing

  5. 5

    Informatie_vraag_5_cms_0

    Informatie over onderzoek aan hoogrisico materiaal[1] kan interessant zijn voor kwaadwillenden. Onderzoek en informatie die voor goed bedoeld zijn, kunnen misbruikt worden. Dit is het dual-use aspect aan onderzoek in de levenswetenschappen (zie ook pijler transportbeveiliging, vraag 3 en 4). Dual-use aspecten kunnen gaandeweg het onderzoek ontstaan, daarom is informatiebeveiliging en de ISMS-cyclus essentieel voor biosecurity voor organisaties die werken met hoogrisico materiaal.

     

    [1] Hoogrisico pathogenen zijn humaan- en dierpathogenen van risicoklasse 3 of 4, en plantpathogenen voorkomend op de lijst Quarantaine-organismen. Met hoogrisico materiaal bedoelen we materiaal waar hoogrisico pathogenen in aanwezig zijn. Bijvoorbeeld plantaardig, dierlijk of humaan weefsel, of monsters van omgevingsmatrices (lucht, water en bodem). Wetenschappelijke artikelen, protocollen, data, gegevensdragers, of ander materiaal waarin informatie over hoogrisico pathogenen in staat vermeld met een mogelijke dual-use toepassing, benoemen wij als gevoelig materiaal.

     

    Hoe wordt gevoelige informatie uitgewisseld?

    Hoe wordt gevoelige informatie uitgewisseld?

    Het delen van gevoelige informatie is onvermijdbaar binnen, en mogelijk tussen, organisaties. Het informatiebeveiligingsbeleid van de organisatie beschrijft hiervoor de veilige procedures, en deze zijn bekend bij de betrokken medewerkers. Hoe om te gaan met het verspreiden van dual-use onderzoek is beschreven in de pijler transportbeveiliging, vraag 3 en 4.

    Risico's

    • Als gevoelige informatie onveilig gedeeld wordt, bestaat de kans dat deze informatie toegankelijk wordt voor onbevoegden met alle mogelijke gevolgen van dien.

    Maatregelen

    • Stem met ICT af dat er geschikte uitwisselingsvoorzieningen beschikbaar zijn (beveiligd netwerk via VPN-verbinding, USB-sticks met encryptie, versleutelde verzending van data) en instrueer de betrokken medewerkers.
    • Denk ook aan het classificeren van onderzoek als ‘vertrouwelijk’ en zorg dat medewerkers er dusdanig mee omgaan bij het uitwisselen.
    • Wees terughoudend in het delen van gevoelige informatie of informatie over dual-use onderzoek.
    • Bewustwording en trainen/opleiden van medewerkers ten aanzien van (eigen) rechten, plichten en verantwoordelijkheden ten aanzien van geclassificeerde informatie.

    Het delen van gevoelige informatie is onvermijdbaar binnen, en mogelijk tussen, organisaties. Ook als er veilige procedures zijn voor het uitwisselen van gevoelige informatie, is het belangrijk dat de bijbehorende voorzieningen, bijvoorbeeld een interne file-transfer server, beschikbaar en bekend zijn. Hoe om te gaan met het verspreiden van dual-use onderzoek is beschreven in de pijler transportbeveiliging, vraag 3 en 4.

    Risico's

    • Als gevoelige informatie onveilig gedeeld wordt, bestaat de kans dat deze informatie toegankelijk wordt voor onbevoegden met alle mogelijke gevolgen van dien.

    Maatregelen

    • Stem met ICT af dat er geschikte uitwisselingsvoorzieningen beschikbaar zijn (beveiligd netwerk via VPN-verbinding, USB-sticks met encryptie, versleutelde verzending van data) en instrueer de betrokken medewerkers.
    • Denk ook aan het classificeren van onderzoek als ‘vertrouwelijk’ en zorg dat medewerkers er dusdanig mee omgaan bij het uitwisselen.
    • Wees terughoudend in het delen van gevoelige informatie of informatie over dual-use onderzoek.
    • Bewustwording en trainen/opleiden van medewerkers ten aanzien van (eigen) rechten, plichten en verantwoordelijkheden ten aanzien van geclassificeerde informatie.

    Het delen van gevoelige informatie is onvermijdbaar binnen, en mogelijk tussen, organisaties. Bij de afwezigheid van procedures is het mogelijk dat gevoelige informatie niet afdoende beschermd is. Het is daarom van belang om in het veiligheidsbeleid vast te leggen hoe gevoelige informatie gedeeld kan worden zowel intern, als met externe organisaties. Hoe om te gaan met het verspreiden van dual-use onderzoek is beschreven in de pijler transportbeveiliging, vraag 3 en 4.

    Risico's

    • Als gevoelige informatie onveilig gedeeld wordt, bestaat de kans dat deze informatie toegankelijk wordt voor onbevoegden met alle mogelijke gevolgen van dien.

    Maatregelen

    • Stem met ICT af dat er geschikte uitwisselingsvoorzieningen beschikbaar zijn (beveiligd netwerk via VPN-verbinding, USB-sticks met encryptie, versleutelde verzending van data) en instrueer de betrokken medewerkers.
    • Denk ook aan het classificeren van onderzoek als ‘vertrouwelijk’ en zorg dat medewerkers er dusdanig mee omgaan bij het uitwisselen.
    • Wees terughoudend in het delen van gevoelige informatie of informatie over dual-use onderzoek.
    • Bewustwording en trainen/opleiden van medewerkers ten aanzien van (eigen) rechten, plichten en verantwoordelijkheden ten aanzien van geclassificeerde informatie.

    Deze vraag is niet van toepassing

  6. 6

    Informatie_vraag_6_cms_0

    In alle voorgaande vragen van deze pijler zit bewustwording en opleiden van medewerkers verwerkt. Hoe goed informatie ook beveiligd wordt, het gedrag van medewerkers is heel belangrijk om beschikbaarheid, integriteit en vertrouwelijkheid te waarborgen binnen de organisatie. Onzorgvuldig gedrag kan er toe leiden dat gevoelige informatie in verkeerde handen valt. Het is dus van belang dat medewerkers zich bewust zijn dat veilig omgaan met gevoelige informatie verschillende aspecten behelsd, zoals beleid, classificatie, toegang en uitwisseling. Vandaar een afsluitende vraag over het bewustzijn van medewerkers.

    Zijn medewerkers zich bewust hoe om te gaan met gevoelige informatie?

    Zijn medewerkers zich bewust hoe om te gaan met gevoelige informatie?

    Hoewel het belangrijk is dat er duidelijke procedures zijn vastgelegd met betrekking tot het omgaan met gevoelige informatie, zullen betrokken medewerkers zich hiervan doordrongen moeten zijn.

    Risico's

    • Als medewerkers zich niet bewust zijn hoe om te gaan met gevoelige informatie, is het mogelijk dat deze informatie bij onbevoegden terecht komt met alle mogelijke gevolgen van dien.
    • Wanneer medewerkers het belang van veilig omgaan met gevoelige informatie onderschatten, is het mogelijk dat deze informatie bij onbevoegden belandt.
    • Vaste en tijdelijk werknemers die zich niet bewust zijn van informatiebeveiliging, of niet goed opgeleid of getraind zijn, vormen een risico voor integriteit en voor de organisatie.

    Maatregelen

    • Een helder informatiebeveiligingsbeleid met duidelijke procedures ten aanzien van betrouwbaarheid, integriteit en vertrouwelijkheid is essentieel voor het omgaan met gevoelige informatie.
    • Zorg dat nieuwe, tijdelijke en vaste medewerkers zowel bij binnenkomst als op regelmatige basis worden geïnformeerd over rechten en plichten in het kader van informatiebeveiliging. Denk hierbij aan onder meer huisregels, cultuur, gewoonten, goede gebruiken en absolute verboden.
    • Zorg voor goede voorlichting over omgaan met gevoelige informatie en integriteit. Denk ook aan thuis- of flexwerken. Zijn er afspraken over labjournaals mee naar huis, gedeelde netwerken, etc.

    Hoewel het belangrijk is dat er duidelijke procedures zijn vastgelegd met betrekking tot het omgaan met gevoelige informatie, zullen betrokken medewerkers zich hiervan doordrongen moeten zijn. De bewustwording van betrokken medewerkers dient gestimuleerd te worden door actieve voorlichting en informatieverstrekking.

    Risico's

    • Als medewerkers zich niet bewust zijn hoe om te gaan met gevoelige informatie, is het mogelijk dat deze informatie bij onbevoegden terecht komt met alle mogelijke gevolgen van dien.
    • Wanneer medewerkers het belang van veilig omgaan met gevoelige informatie onderschatten, is het mogelijk dat deze informatie bij onbevoegden belandt.
    • Vaste en tijdelijk werknemers die zich niet bewust zijn van informatiebeveiliging, of niet goed opgeleid of getraind zijn, vormen een risico voor integriteit en voor de organisatie.

    Maatregelen

    • Een helder informatiebeveiligingsbeleid met duidelijke procedures ten aanzien van betrouwbaarheid, integriteit en vertrouwelijkheid is essentieel voor het omgaan met gevoelige informatie.
    • Zorg dat nieuwe, tijdelijke en vaste medewerkers zowel bij binnenkomst als op regelmatige basis worden geïnformeerd over rechten en plichten in het kader van informatiebeveiliging. Denk hierbij aan onder meer huisregels, cultuur, gewoonten, goede gebruiken en absolute verboden.
    • Zorg voor goede voorlichting over omgaan met gevoelige informatie en integriteit. Denk ook aan thuis- of flexwerken. Zijn er afspraken over labjournaals mee naar huis, gedeelde netwerken, etc.

    Het is belangrijk dat er duidelijke procedures zijn vastgelegd met betrekking tot het omgaan met gevoelige informatie en dat betrokken medewerkers bewust worden gemaakt door actieve voorlichting en informatieverstrekking.

    Risico's

    • Als medewerkers zich niet bewust zijn hoe om te gaan met gevoelige informatie, is het mogelijk dat deze informatie bij onbevoegden terecht komt met alle mogelijke gevolgen van dien.
    • Wanneer medewerkers het belang van veilig omgaan met gevoelige informatie onderschatten, is het mogelijk dat deze informatie bij onbevoegden belandt.
    • Vaste en tijdelijk werknemers die zich niet bewust zijn van informatiebeveiliging, of niet goed opgeleid of getraind zijn, vormen een risico voor integriteit en voor de organisatie.

    Maatregelen

    • Een helder informatiebeveiligingsbeleid met duidelijke procedures ten aanzien van betrouwbaarheid, integriteit en vertrouwelijkheid is essentieel voor het omgaan met gevoelige informatie.
    • Zorg dat nieuwe, tijdelijke en vaste medewerkers zowel bij binnenkomst als op regelmatige basis worden geïnformeerd over rechten en plichten in het kader van informatiebeveiliging. Denk hierbij aan onder meer huisregels, cultuur, gewoonten, goede gebruiken en absolute verboden.
    • Zorg voor goede voorlichting over omgaan met gevoelige informatie en integriteit. Denk ook aan thuis- of flexwerken. Zijn er afspraken over labjournaals mee naar huis, gedeelde netwerken, etc.

    Deze vraag is niet van toepassing