CHECKLIST INFORMATIEBEVEILIGING (IB)
Technische beveiliging
Bescherming van dataopslag en de hardware voor applicaties.
Toegangsbeveiliging zorgt ervoor dat ongeautoriseerde personen of processen geen toegang krijgen tot de systemen, gegevensbestanden en applicaties.
Het beheer en de opslag van gegevens zorgt ervoor dat informatie niet verloren gaat; Er is gezorgd voor redundantie; back-ups worden gemaakt en gecontroleerd. Operating Systems worden bijgewerkt op basis van een vast onderhoudsschema.
Datatransport gebeurt beveiligd;
Te verzenden data wordt beveiligd door middel van encryptie en wachtwoorden. Data en wachtwoorden worden gescheiden verstuurd.
Organisatorische beveiliging
Regelmatig vindt er een risicoanalyse plaats met het oog op informatiebeveiliging.
Systemen zijn beoordeeld door middel van een BIV-analyse: een score op Beschikbaarheid, Integriteit en Vertrouwelijkheid van de gegevens.
Van elk informatiesysteem is een beheerder eindverantwoordelijk;
Heeft elk systeem een eindverantwoordelijke? Zijn de taken van deze medewerker vastgelegd?
Er is scheiding tussen de ontwikkel-, beheer- en gebruikersfuncties.
Aanpassingen van autorisatie in applicaties is uitsluitend mogelijk door de beheerder. De rollen in een applicatie of platform zijn verdeeld en vastgelegd.
Toegang tot informatie gebeurt op basis van ‘need to know’;
Informatie wordt alleen gedeeld voor zover strikt noodzakelijk.
Er is een Business Continuity Programm;
Er zijn calamiteitenplannen en -voorzieningen zodat medewerkers kunnen uitwijken voor hun primaire werkzaamheden.
Operationele beveiliging
Bij het inwerken wordt de medewerker geïnformeerd over informatiebeveiliging. Inwerktraject, huishoudelijk reglement, functieomschrijving besteden aandacht aan informatiebeveiliging.
Awareness Programma
Er zijn gedragsregels opgesteld voor het gebruik van informatievoorzieningen (denk aan clean desk en lock screen, wachtwoordbeleid, gebruik mobiele apparatuur). Medewerkers worden hierover regelmatig geïnformeerd.
Medewerkers hebben de mogelijkheid incidenten aan te melden.
Dit proces kan bestaan uit meetings, waarin de aangemelde incidenten worden besproken en maatregelen genomen voor verbetering van IB.
