De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Informatiebeveiliging en privacy Lekker. Eenvoudig.

Verwante presentaties


Presentatie over: "Informatiebeveiliging en privacy Lekker. Eenvoudig."— Transcript van de presentatie:

1 Informatiebeveiliging en privacy Lekker. Eenvoudig.
Dirk Linden (CTO) en Job Vos (adviseur privacy) Leveranciersbijeenkomst 9 oktober 2017, Zoetermeer

2 Programma 10.00 – 11.00 IBP op school
Inleiding informatiebeveiliging en privacy Hoe regelen scholen IBP? Wat verandert er met de AVG – op hoofdlijnen? Privacyconvenant   11.00 – uur koffiepauze 11.30 – uur IBP in de keten Veilige en betrouwbare keten: Edu-K Privacyconvenant Certificeringsschema

3 Er was eens… Begin met een sprookje. Moderne variant: Roodkapje
Hullie at Dutch Wikipedia

4 Roodkapje zat op de bank
Roodkapje zat op de bank. Moeder zei: ga een leuk koekjes brengen naar oma. Roodkapje kijkt vermoeid op van haar ipad en sluit minecraft af. Daar zit ze niet op te wachten. Etc etc. Maar goed. Koekjes… dus ze googlet op koekjes, gaat naar AH voor koekjes en komt terug naar huis.

5 Thuis pakt moeder de kaart. Wat is dat, denk roodkapje
Thuis pakt moeder de kaart. Wat is dat, denk roodkapje. Daarom pakt roodkapje haar mobiel en gaat naar google maps. Dan gaat ze op weg naar oma. Door het bos. In het bos zit oma al in haar stacaravan (want ja: leven is ook duurder voor oma’s dus daarom stacaravan). Roodkapje dacht oma te zien uit de verte. Maar waar is ze nu? Nou, oma had geo-fencing aanstaan en ja hoor, ze kreeg een signaal dat roodkapje er aan kwam. Dus oma is snel in bed gekropen. En dan komt roodkapje binnen. En ze eten gezellig de koekjes op. En dit was het sprookje, ze leefden nog lang en gelukkig. O, missen jullie wat? O dat zal de wolf zijn. De Clou: zie volgende sheet.

6 Facebook hield bij dat Roodkapje bij oma op bezoek ging Apple hield bij hoe lang Roodkapje er bleef Samsung hoorde precies wat oma zei En Google wist al lang dat Roodkapje van plan was op bezoek te gaan… De wolf zat zeker al in het sprookje! Heb je het niet gemerkt?! Klik plaatje: dan lees je op wat de wolven zijn: google, facebook, apple,. Etc.

7 “Privacy niet belangrijk vinden omdat je niets te verbergen hebt,
is hetzelfde als niet geven om vrijheid van meningsuiting omdat je niets te zeggen hebt.” Edward Snowden

8 Aandacht voor privacy in het onderwijs
Aandacht voor privacy niet nieuw 1989: Wet persoonsregistratie (WPR) 2001: Wet bescherming persoonsgegevens (WBP) 2018: Algemene Verordening Gegevensbescherming (AVG) Privacy in het onderwijs (PO-Raad, VO-raad, Kennisnet) 2013: PvE leermiddelen: regierol uitgangspunt voor regierol namens sector 2014: Incidenten rondom privacy (RTL nieuws); 1e aanzet privacyconvenant 2015: Privacyconvenant 1.0 (leermiddelen) 2016: Privacyconvenant 2.0 (leermiddelen+LAS/LVS) Introductie ‘Aanpak IBP’ (stappenplan om IBP te regelen) 2017: Privacyconvenant 3.0 (aanpassing aan AVG) met certificeringsschema met beveiligingseisen voor leveranciers

9 Wat is privacy? Eerbiediging van de persoonlijke levenssfeer Bescherming van persoonsgegevens Privacy: 400 jaar oud: Hippocrates. Oude begrip: bescherming huis

10 met rust te worden gelaten gegevens over jezelf te controleren
Het recht om met rust te worden gelaten gegevens over jezelf te controleren Informatiebeveiliging is een proces voor het beschermen tegen risico’s en bedreigingen met betrekking tot informatie en ict.

11 Waarom is privacy zo belangrijk?
Het recht op privacy is een fundamenteel mensenrecht en grondrecht, net zoals het recht op leven, het verbod op discriminatie, recht op een eerlijke proces of verbod van slavernij. ‘het staat in de wet’, dus het moet (2018: AVG) compliance: accountantscontrole imago: datalekken, schade, risico’s financieel: hoge boetes, ook voor scholen! En…

12

13 En privacy op school? Privacy: zin in systemen en dossiers. Op school heeft ¼ van leerlingen zorg o.i.d. Dus daar zit meer in de administratie dan gemiddeld: zorgdossiers. Dus medsiche info. Leg vergelijking met jouw dossier bij de huisarts. Jouw medisch dossier zit ook in een database. En wat vind JIJ er van als je bij de huisarts zit, en er zit een geel briefje op zijn monitor. Daarop staat zijn wachtwoord van JOUW dossier. Dat kan toch niet? Waarom hebben honderden scholen dan wel computers staan met op de monitor een geel briefje met het wachtwoord om in te logggen? Gekkigheid. Spreek je collega aan: de databases van scholen zijn net zo gevoelig als medische systemen. Dus beveiliging moet net zo goed als in ziekenhuis, Dus geen wachtwoorden opschrijven.

14

15 Privacy gaat niet alleen over gegevens
Plaatje server: privacy gaat ook over ‘weten wat er op je schoolnetwerk gebeurt’. Worden er sexfilmpjes gedeeld, of banga-lijsten? Dit vraagt om de afweging tussen privacy van leerlingen/medewerkers en bescherming van die zelfde leerlingen/medewerkers. Mag en kan je leerlingen de hele dag volgen en alles opslaan wat ze doen? In Europa zijn we hevig verontwaardigd als blijkt dat de NSA allerlei gegevens over ons gebruikt bij de opsporing, maar als we leerlingen de hele dag gaan volgen, doen we dan niet het zelfde? Zoek de balans en informeer medewerkers, leerlingen en ouders over je beleid hierover! Schoolfoto’s: een foto zegt iets over je ras, etniciteit. Daarom is een foto een bijzonder persoonsgegevens: je moet hier nóg voorzichtiger mee omgaan dan met gewone data.

16 Toenemend belang om IBP te regelen:
Meer processen en diensten digitaal: meer gegevens Meer koppelingen tussen systemen: meer uitwisselingen Digitale voorzieningen buiten de school (cloud)

17 Dus… regel het! Schoolbestuur (bevoegd gezag) is verantwoordelijk om informatiebeveiliging en privacy (IBP) te regelen Privacy: garandeer de privacy van leerlingen, hun ouders én medewerkers Informatiebeveiliging: onderwijs moet altijd door kunnen gaan Kaders: Wbp, AVG, onderwijswetgeving ISO en voor beveiliging

18 Waar moet je beginnen? Wees geduldig Stap voor stap Begin gewoon
Het hoeft niet in 1 x af!

19 Aanpak IBP: https://kn.nu/IBPonderwijs
25 mei 2018: invoering AVG 3. communiceren Hoe regel je het: doel is 25 mei Alles klaar. Leg uit dat 2018 eigenlijk gek is: want in AVG zit meer dan de helft wat nu al in Wbp zit. Dus scholen hebben meer dan 15 jaar de tijd gehad om zaken te regelen. En nu plotseling haast voor 25 mei 2018?! 3 stappen: organiseer je beleid. Dat is waar de bestuurder vastgesteld dat ibp voor iedereen geldt, dat er een paar mensen ibp gaan regelen en dat ze daar de steun van de bestuurder voor hebben gekregen. Stap 2: beleid moet geen papieren tijger blijven. Daarom: beleid naar praktijk: realiseer maatregelen. Verderop meer uitleg. En stap 3: zorg dat iedereen weeet wat hij/zij moet doen. Communicatie. 2. realiseren 1. organiseren

20 Stap 1: organiseer een beleid
De bestuurder stelt een beleidsplan op met daarin: duidelijke doelen uitgangspunten vastgelegde verantwoordelijkheden: wie gaat wat wanneer doen Rapportage-afspraken: verslag aan bestuurder Het beleidsplan is de kapstok om IBP te regelen: en dan… aan de slag!

21 Stap 2: realiseren Breng het beleid in de praktijk: neem en organiseer je IBP-maatregelen Als eerste voer je een nul-meting uit: risico-analyse (RI&E voor IBP) Inventariseer welke persoonsgegevens je gebruikt in welke systemen Beoordeel de gevoeligheid van die gegevens (classificeren) Wat zijn de grootste risico’s op je school/scholen? Maak een planning welke maatregelen je op welk moment gaat regelen

22 Voorbeeld van te nemen maatregelen

23 Stap 3: communiceren Betrek medewerkers: vertel wat informatiebeveiliging en privacy zijn Voorbeeld presenstatie bewustwording Online training IBP voor medewerkers Betrek leerlingen: 21e eeuwse vaardigheden zoals digitale geletterdheid (basis ict-vaardigheden) Betrek en informeer de ouders en (G)MR: hoe vertel je het de ouders?

24 Wat gaan we verder nog doen?
Nieuwe hulpmiddelen: PIA, bewaartermijnen, handreiking FG, dataregisters, … PO-Raad en VO-raad: opzetten werkgroep IBP - toetsen bewerkersovereenkomsten: - afstemmen hulpmiddelen Maand van de IBP: oktober (thema: bewustwording) - masterclasses - landelijk congres - webinar - hulpmiddelen voor bewustwording Analyse voorwaarden Apple en Google (vgl. Microsoft) Privacyconvenant: versie 3.0 (AVG-compliant) Certificeringsschema: is jouw leverancier veilig genoeg?

25 Dit lijkt wel allemaal erg simpel…
1. organiseren: IBP is belangrijk 3. communceren: We hebben het erover 2. realiseren: Zo pakken we het aan: stelselmatig aan de slag en continu verbeteren

26 Maar dat is het ook! Want dit gebeurt er onder de motorkap: 2017 2018
2019 Maatregel ✔ Maatregel ✘ Maatregel ✔ Maatregel ✘ Maatregel ✔ Maatregel ✘ Maatregel ✔ Maatregel ✘

27 De Wet bescherming persoonsgegevens
Dit is het belangrijkste dat u moet weten over de Wbp: deze wet wordt niet ouder dan 226 dagen Voorstel uit 2012: Algemene Verordening Gegevensbescherming (AVG) Volledige titel: Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. #GDPR Dit is Europese wetgeving die nationale wetten overbodig maakt

28 (verwerkingsverantwoordelijke)
AVG Verantwoordelijke (verwerkingsverantwoordelijke) Bewerker (verwerker)

29 AVG 3. Dataminimalisatie 4. Transparantie (rechten betrokkene)
2. Grondslag 5. Data-integriteit Doelbepaling en doelbinding Vuistregels privacy 2.0

30 Aandachtspunten AVG (25 mei ’18)
Vuistregels (hiervoor besproken) Bewuster omgaan met persoonsgegevens: privacy by design en by default gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen Risicobenadering, context relevanter: risico-inventarisatie en risico-analyse PIA (privacy impact assessment wordt gegevensbeschermingseffectbeoordeling) Documentatieplicht: bewijslast bij de verantwoordelijke geen bewijs, geen toestemming Bewustzijn creëren en actief voorlichting geven Trainingen Meer transparantie: uitleggen wat je waarom doet met persoonsgegevens

31 Vervolg Aandachtspunten
Minderjarigen: bij sociale media toestemming ouders bij jongere onder de 16 jaar Alleen bij sociale media! Bewerkersovereenkomsten centraler, beschrijving wat wettelijk vereist is Privacyconvenant is de norm voor contracten in het po en vo Meldplicht datalekken blijft bestaan (let op regelen procedure) Functionaris voor Gegevensbescherming (FG): verplicht voor scholen Technische en organisatorische beveiligingsmaatregelen: Aanpak IBP

32 En ook nog… Rechten betrokkene verstevigd, meer controle bij de burger: Recht op informatie Recht op inzage Recht op rectificatie Recht van verzet Recht op gegevenswissing (vergetelheid) Beperking van de verwerking Recht op dataportabiliteit Recht niet onderworpen te worden aan geautomatiseerde besluitvorming Handhaving: beter afgestemd en boetes tot 4% wereldwijde jaaromzet of €20 mio

33 Handige checklist

34 Sectorbrede afspraken over privacy

35 Privacyconvenant Afspraken over rolverdeling school-leverancier
Afspraken over doeleinden en categorieën persoonsgegevens  Gebruik model bewerkersovereenkomst: comply or explain Beveiliging regelen is verplicht (beveiligingsbeleid) Afspraken datalekken: leverancier mág melden  Transparantie partijen over privacy 

36 Privacyconvenant Meer dan 190 partijen hebben al getekend!
Onderteken het Convenant Privacy en Digitale Onderwijsmiddelen 2 Maak gebruik van de modelbewerkersovereenkomst en vul de bijlagen in 3 Zorg dat de interne bedrijfsvoering overeenkomst met het convenant en de bewerkersovereenkomst 4 Verstuur per schoolbestuur een ingevulde bewerkersovereenkomst conform model 5 Controleer of het bestuur akkoord is gegaan met de overeenkomst Meer dan 190 partijen hebben al getekend!  Waar vind ik meer informatie?

37

38 Vervolg programma 11.30 – 12.30 uur IBP in de keten
Veilige en betrouwbare keten: Edu-K Certificeringsschema 

39 Samenwerking in de educatieve keten
De (i)ECK-programma’s ( ) Edustandaard (sinds 2008) Doorbraakproject Onderwijs en ICT ( ) Sinds oktober 2015: Edu-K

40 Het platform voor de educatieve keten

41 Veilige en betrouwbare keten
Uitgangspunten Eenvoudige en efficiënte processen voor school en leverancier Scholen in control over persoonsgegevens en beveiliging Veilige omgang met niet meer persoonsgegevens dan noodzakelijk

42 De thema’s van Edu-K Veilige en betrouwbare keten Edu-K
Toegang tot leermateriaal Privacy Continuïteit en beveiliging Inzicht in het leerproces Catalogus & metadatering De thema’s van Edu-K Veilige en betrouwbare keten

43 Werken aan een veilige en betrouwbare keten
Dataminimalisatie Unieke identifier Uitwisseling resultaten SSO Beveiliging op orde Stroomlijnen van processen Privacy goed geregeld

44 Werken aan een veilige en betrouwbare keten
Dataminimalisatie Attributenbeleid ECK iD Unieke identifier ECK iD / nummervoorziening UWLR-standaard Uitwisseling resultaten Toegangs-voorziening SSO Beveiliging op orde Certificeringsschema informatiebeveiliging Stroomlijnen van processen ECK-standaard Distributie & toegang Privacyconvenant & modelbewerkersovereenkomst Privacy goed geregeld

45 Een unieke identifier voor elke leerling De nummervoorziening en het ECK iD
Een stabiele identiteit voor iedere leerling Oplossing voor fuzzy matching Eerste stap op weg naar verdere toepassing dataminimalisatie 1 Bepaal de rol(en) die je vervult in de keten 2 Neem contact op met het programmateam en sluit je aan bij een van de projectgroepen 3 Maak de eigen systemen geschikt voor gebruik van het ECK iD 4 Maak binnen de projectgroepen (test)afspraken over de systemen waar je mee koppelt Waar vind ik meer informatie?

46 Duidelijkheid over het uitwisselen van leerlinggegevens Attributenbeleid bij het ECK iD
Beter in staat om dataminimalisatie toe te passen Eenduidige afspraken over verzenden/ontvangen leerlinggegevens Met het ECK iD minder kans op fouten en minder risico’s bij een datalek 1 Sluit je aan bij een van de projectgroepen ECK iD 2 Maak de eigen systemen geschikt voor gebruik van het ECK iD 3 Breng het aantal te gebruiken attributen terug tot het attributenbeleid en maak voor specifieke toepassingen afspraken met de afnemende schoolbesturen in de bewerkersovereenkomst Waar vind ik meer informatie? Duidelijkheid over uitwisseling leerlinggegevens De wet schrijft voor dat bedrijven en scholen dataminimalisatie toepassen. Hoe minder persoonsgegevens er over een leerling bekend zijn bij een leverancier, hoe kleiner het risico is bij datalekken of wanneer er ander problemen optreden. Maar om goede leermiddelen te kunnen leveren volstaat alleen het ECK iD niet. Er zijn vaak toch gegevens over de leerling nodig, bijvoorbeeld om een helder resultatenoverzicht te kunnen tonen in het dashboard voor de leraar. Hierover zijn afspraken gemaakt in het attributenbeleid. Wat is het? In het attributenbeleid hebben de sectorraden, op advies van leveranciers, afgesproken welke gegevens er standaard met het ECK iD worden meegeleverd om de leermiddelenketen goed te laten functioneren. Minder kan altijd, meer mag mits dit goed onderbouwd is en er goede afspraken met de school zijn. Op deze manier draagt het ECK iD bij aan dataminimalisatie, maar zorgen we met elkaar voor een goed werkende keten. Wat kan/moet ik doen? Maak de eigen systemen geschikt voor gebruik van het ECK iD (zie hiervoor de factsheet ‘unieke identifier’) Breng het aantal te gebruiken attributen terug tot het attributenbeleid en maak voor specifieke toepassingen afspraken met de afnemende schoolbesturen in de bewerkersovereenkomst. Waar vind ik meer informatie? Contactpersoon Friedolin van Geenen| |

47 Certificeringsschema informatiebeveiliging en privacy ROSA

48 Een veilige onderwijsketen
Beveiligen van persoonsgegevens is een gedeelde verantwoordelijkheid School LAS Website Foto’s Overheid Leermiddelen

49 AVG <-> Certificeringsschema

50 AVG <-> Certificeringsschema
Het certificeringsschema is zo’n hulpinstrument: Technisch, bij het nemen en controleren van maatregelen Organisatorisch, om als organisatie verantwoordelijkheid te nemen Door de autoriteit is aangeven dat een goed hulpinstrument ook afspraken binnen een markt kunnen zijn, zoals een certificeringsschema. Met het certificeringsschema kan ook worden voldaan aan de documentatieplicht. Hierin wordt allereerst aangegeven: breng uw verwerkingen in kaart. En stel risico’s en maatregelen vast.

51 Hoe weet ik dat het veilig is?
Ik weet om welke gegevens het gaat Ik weet wie bij deze gegevens mag Ik weet dat de minimale maatregelen zijn getroffen Ik kan dat eenvoudig zien

52 Certificeringsschema biedt transparantie
Een eenvoudige rapportage laat zien: De informatiebeveiliging en privacy van de toepassing is recent en kritisch beoordeeld Maatregelen die de onderwijsketen ziet als ‘best practices’ zijn toegepast Deze rapportage geeft invulling aan de documentatieplicht van genomen maatregelen ter bescherming van de privacy zoals bedoeld in de AVG. Vertrouwelijkheid Maatregelen: Integriteit Maatregelen: Beschikbaarheid Maatregelen: Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Aenean commodo ligula Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Aenean commodo Lorem ipsum dolor sit amet, consectetuer adipiscin Lorem ipsum adipiscing elit. Aenean commodo ligula Lorem ipsum dolor sit amet, adipiscing elit. Aenean commodo ligula Lorem ipsum dolor sit adipiscing elit. Aenean commodo ligula Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Aenean ligula

53 Hoe maak je de rapportage?
Maak een overzicht van de toepassing en de gegevens (± 4-8 uur) Classificeer de gegevens en benoem de risico’s (± 18 uur) Voorbereiding Classificatie & risicoanalyse Verbeterplan & rapportage Toetsen van maatregelen Plan verbeteringen en vul de rapportage template in (± 4-8 uur) Toets de eigen maatregelen aan het toetsingskader (± 20 uur)

54 Voorbereiding Voorbereiding Classificatie & risicoanalyse Verbeterplan
Maak een overzicht van de toepassing en de gegevens (± 4-8 uur) Classificeer de gegevens en benoem de risico’s (± 18 uur) Voorbereiding Classificatie & risicoanalyse Verbeterplan & rapportage Toetsen van maatregelen Plan verbeteringen en vul de rapportage template in (± 4-8 uur) Toets de eigen maatregelen aan het toetsingskader (± 20 uur)

55 Voorbereiding Het procesdocument legt alle stappen in detail uit. Zie de documenten ‘Algemene beschrijving’ en ‘Proces’ op de webpagina van het certificeringsschema:

56 Classificatie & risicoanalyse
Maak een overzicht van de toepassing en de gegevens (± 4-8 uur) Classificeer de gegevens en benoem de risico’s (± 18 uur) Voorbereiding Classificatie & risicoanalyse Verbeterplan & rapportage Toetsen van maatregelen Plan verbeteringen en vul de rapportage template in (± 4-8 uur) Toets de eigen maatregelen aan het toetsingskader (± 20 uur)

57 Classificatie & risicoanalyse
Om de gegevens te classificeren is een spreadsheet gemaakt met vragen die je daarbij helpen. Zie het document ‘Classificatie’ op de webpagina van het certificeringsschema:

58 Voorbeelden van classificatie
 Beschikbaarheid Bedenk welk proces (het onderwijsproces of een specifiek ondersteunend proces) de ict-toepassing ondersteunt. Vul aan de hand van onderstaande vragen een motivatie in en plaats een X in de bijbehorende kolom. Controleer vervolgens aan de hand van de toelichting of het niveau passend is.

59 Voorbeelden van classificatie
 Beschikbaarheid Bedenk welk proces (het onderwijsproces of een specifiek ondersteunend proces) de ict-toepassing ondersteunt. Vul aan de hand van onderstaande vragen een motivatie in en plaats een X in de bijbehorende kolom. Controleer vervolgens aan de hand van de toelichting of het niveau passend is. Vragen Motivatie L M H Wat is de verwachtte belasting van de ict-toepassing? - Laag = weinig gelijktijdige gebruikers, weinig transacties (±1 per uur) - Midden = veel gelijktijdige gebruikers, normale hoeveelheid transacties (±10 per uur) - Hoog = veel gelijktijdige gebruikers, veel transacties (>100 per uur) Wat is de langste periode dat de ict-toepassing niet beschikbaar mag zijn? - Laag = maximaal enkele dagen - Midden = maximaal een werkdag - Hoog = maximaal een aantal uur Gebruik door leraren is verspreid over de hele dag ✗  Dagelijkse invoer is normaal, maar kan ook een dag later ✗ 

60 Uitkomst van classificatie
Vragen Motivatie L M H Wat is de verwachtte belasting van de ict-toepassing? - Laag = weinig gelijktijdige gebruikers, weinig transacties (±1 per uur) - Midden = veel gelijktijdige gebruikers, normale hoeveelheid transacties (±10 per uur) - Hoog = veel gelijktijdige gebruikers, veel transacties (>100 per uur) Wat is de langste periode dat de ict-toepassing niet beschikbaar mag zijn? - Laag = maximaal enkele dagen - Midden = maximaal een werkdag - Hoog = maximaal een aantal uur Gebruik door leraren is verspreid over de hele dag ✗  Dagelijkse invoer is normaal, maar kan ook een dag later ✗   Beschikbaarheid – niveau 2 – midden Beschikbaarheid is belangrijk. Algeheel verlies of niet beschikbaar zijn van deze informatie gedurende een dag brengt merkbare schade toe aan de belangen van de instelling, haar medewerkers of haar studenten of klanten.

61 Toetsen van maatregelen
Maak een overzicht van de toepassing en de gegevens (± 4-8 uur) Classificeer de gegevens en benoem de risico’s (± 18 uur) Voorbereiding Classificatie & risicoanalyse Verbeterplan & rapportage Toetsen van maatregelen Plan verbeteringen en vul de rapportage template in (± 4-8 uur) Toets de eigen maatregelen aan het toetsingskader (± 20 uur)

62 Toetsen van maatregelen
Het toetsingskader bevat de maatregelen die worden gezien als ‘best practices’ waaraan je je eigen maatregelen kan toetsen. Zie het document ‘Toetsingskader’ op de webpagina van het certificeringsschema:

63 Voorbeelden van maatregelen
Beschikbaarheid – niveau 2 – midden Overbelasting Er is regulering: maatregelen zijn aanwezig om onevenredige belasting per gebruiker te voorkomen of te reguleren middels load balancers of een soortgelijke oplossing. Er zijn maatregelen getroffen om overbelasting van het systeem te voorkomen, middels trafficshapers of soortgelijke oplossing. Business continuity Er is een 'Warm Standby' aanwezig: - redundant systeem - specifieke spare (active-passive) - local cluster of geo cluster - replicatie door mirroring Backup/ restore/ recovery Backup verplicht, minimaal dagelijks. Recovery test= 2x per jaar. RPO max= 1 dag. RTO max= 24 uur. Automatische online failover bij uitval van 1 node (session lost) Automatisch opnieuw opstarten van systeem (session lost, transaction lost)

64 Verbeterplan en rapportage
Maak een overzicht van de toepassing en de gegevens (± 4-8 uur) Classificeer de gegevens en benoem de risico’s (± 18 uur) Voorbereiding Classificatie & risicoanalyse Verbeterplan & rapportage Toetsen van maatregelen Plan verbeteringen en vul de rapportage template in (± 4-8 uur) Toets de eigen maatregelen aan het toetsingskader (± 20 uur)

65 Verbeterplan en rapportage
De rapportagetemplate maakt het makkelijk om de bevindingen vast te leggen. Zie het document ‘Toezicht’ op de webpagina van het certificeringsschema:

66 Comply or explain Omdat het certificeringsschema een baseline is, geldt voor alle maatregelen ’comply or explain’. Bij een afwijking kan je kiezen uit de volgende uitleg: Deze maatregel hebben we niet getroffen, … omdat dit risico voor deze toepassing niet relevant is, want: … maar er is een andere maatregel die hetzelfde of een betere bescherming biedt tegen het risico, namelijk: … maar de maatregel wordt binnenkort geïmplementeerd, namelijk: …

67 ISMS <-> Certificeringsschema
Hoe verhoudt het certificeringsschema zich tot het Information Securty management Systeem? Een ISMS bestaat uit de volgende elementen: Management (doelen, visie, betrokkenheid) Risico analyse (passend, herhaalbaar, maatregelen) ->Certificeringsschema Interne audits (plan, resultaten, oorzaakanalyse) Leveranciersmanagement (risico’s, afspraken, keten) Bewustwording (borging) ICT (backups, logs, authenticatie) Aantoonbaarheid van maatregelen (m.b.v. certificeringsschema)

68

69 Bedankt voor uw aandacht!
Dirk Linden (CTO) Job Vos (adviseur privacy) LinkedIN linden00 LinkedIN jobavos Twitter @jobavos


Download ppt "Informatiebeveiliging en privacy Lekker. Eenvoudig."

Verwante presentaties


Ads door Google