Categorie:Cocreatie
Dit is de categorie Cocreatie. Pagina's in deze categorie worden automatisch overgezet naar de Cocreatie wiki.
Ondercategorieën
Deze categorie bevat de volgende 7 subcategorieën, van de 7 in totaal.
A
G
K
O
R
Pagina’s in categorie "Cocreatie"
Deze categorie bevat de volgende 200 pagina’s, van de 3.339 in totaal.
(vorige pagina) (volgende pagina)1
- 12.1.1.1 In projecten worden een beveiligingsrisicoanalyse en maatregelbepaling opgenomen als onderdeel van het ontwerp. Ook bij wijzigingen worden de veiligheidsconsequenties meegenomen.
- 12.1.1.2 In standaarden voor analyse, ontwikkeling en testen van informatiesystemen wordt structureel aandacht besteed aan beveiligingsaspecten.
- 12.1.1.3 Bij aanschaf van producten wordt een proces gevolgd waarbij beveiliging een onderdeel is van de specificatie.
- 12.1.1.4 Waar het gaat om beveiligingsrelevante producten wordt de keuze voor een bepaald product verantwoord onderbouwd.
- 12.1.1.5 Voor beveiliging worden componenten gebruikt die aantoonbaar voldoen aan geaccepteerde beveiligingscriteria zoals NBV goedkeuring of certificering volgens ISO/IEC 15408 (common criteria) .
- 12.1.1.6 Er is expliciet aandacht voor leveranciers accounts, hardcoded wachtwoorden en mogelijke “achterdeurtjes”.
- 12.2.1 Validatie van invoergegevens
- 12.2.1.1 Er moeten controles worden uitgevoerd op de invoer van gegevens.
- 12.2.2 Beheersing van interne gegevensverwerking
- 12.2.2.1 Er bestaan voldoende mogelijkheden om reeds ingevoerde gegevens te kunnen corrigeren door er gegevens aan te kunnen toevoegen.
- 12.2.2.2 Het informatiesysteem moet functies bevatten waarmee vastgesteld kan worden of gegevens correct verwerkt zijn. Hiermee wordt een geautomatiseerde controle bedoeld waarmee (duidelijke) transactie- en verwerkingsfouten kunnen worden gedetecteerd.
- 12.2.2.3 Stapelen van fouten wordt voorkomen door toepassing van “noodstop” mechanismen.
- 12.2.2.4 Verwerkingen zijn bij voorkeur herstelbaar zodat bij het optreden van fouten en/of wegraken van informatie dit hersteld kan worden door het opnieuw verwerken van de informatie.
- 12.2.3 Integriteit van berichten
- 12.2.3.1 Er behoren eisen te worden vastgesteld, en geschikte beheersmaatregelen te worden vastgesteld en geïmplementeerd, voor het bewerkstelligen van authenticiteit en het beschermen van integriteit van berichten in toepassingen.
- 12.2.4 Validatie van uitvoergegevens
- 12.2.4.1 De uitvoerfuncties van programma's maken het mogelijk om de volledigheid en juistheid van de gegevens te kunnen vaststellen (bijv. door checksums).
- 12.2.4.2 Bij uitvoer van gegevens wordt gegarandeerd dat deze met het juiste niveau van vertrouwelijkheid beschikbaar gesteld worden (bijv. beveiligd printen).
- 12.2.4.3 Alleen gegevens die noodzakelijk zijn voor de doeleinden van de gebruiker worden uitgevoerd (need to know).
- 12.3.1 Beleid voor het gebruik van cryptografische beheersmaatregelen
- 12.3.1.1 De gebruikte cryptografische algoritmen voor versleuteling zijn als open standaard gedocumenteerd en zijn door onafhankelijke betrouwbare deskundigen getoetst.
- 12.3.1.2 Bij de inzet van cryptografische producten volgt een afweging van de risico’s aangaande locaties, processen en behandelende partijen.
- 12.3.1.3 De cryptografische beveiligingsvoorzieningen en componenten voldoen aan algemeen gangbare beveiligingscriteria (zoals FIPS 140-2 en waar mogelijk NBV).
- 12.3.2 Sleutelbeheer
- 12.3.2.1 In het sleutelbeheer is minimaal aandacht besteed aan het proces, de actoren en hun verantwoordelijkheden.
- 12.3.2.2 De geldigheidsduur van cryptografische sleutels wordt bepaald aan de hand van de beoogde toepassing en is vastgelegd in het cryptografisch beleid.
- 12.3.2.3 De vertrouwelijkheid van cryptografische sleutels dient te zijn gewaarborgd tijdens generatie, gebruik, transport en opslag van de sleutels.
- 12.3.2.4 Er is een procedure vastgesteld waarin is bepaald hoe wordt omgegaan met gecompromitteerde sleutels.
- 12.3.2.5 Bij voorkeur is sleutelmanagement ingericht volgens PKI Overheid
- 12.4.1 Beheersing van operationele programmatuur
- 12.4.1.1 Alleen geautoriseerd personeel kan functies en software installeren of activeren.
- 12.4.1.2 Programmatuur behoort pas te worden geïnstalleerd op een productieomgeving na een succesvolle test en acceptatie.
- 12.4.1.3 Geïnstalleerde programmatuur, configuraties en documentatie worden bijgehouden in een configuratiedatabase.
- 12.4.1.4 Er worden alleen door de leverancier onderhouden (versies van) software gebruikt.
- 12.4.1.5 Van updates wordt een log bijgehouden.
- 12.4.1.6 Er is een rollbackstrategie.
- 12.4.2 Bescherming van testdata
- 12.4.2.1 Het gebruik van kopieën van operationele databases voor testgegevens wordt vermeden. Indien toch noodzakelijk, worden de gegevens zoveel mogelijk geanonimiseerd en na de test zorgvuldig verwijderd.
- 12.4.3 Toegangsbeheersing voor broncode van programmatuur
- 12.4.3.1 De toegang tot broncode wordt zoveel mogelijk beperkt om de code tegen onbedoelde wijzigingen te beschermen. Alleen geautoriseerde personen hebben toegang.
- 12.4.3.2 Broncode staat op aparte (logische) systemen.
- 12.5.1 Procedures voor wijzigingsbeheer
- 12.5.1.1 Er is aantoonbaar wijzigingsmanagement ingericht volgens gangbare best practices zoals ITIL en voor applicaties ASL.
- 12.5.2 Technische beoordeling van toepassingen na wijzigingen in het besturingssysteem
- 12.5.2.1 Van aanpassingen (zoals updates) aan softwarematige componenten van de technische infrastructuur wordt vastgesteld dat deze de juiste werking van de technische componenten niet in gevaar brengen.
- 12.5.3 Restricties op wijzigingen in programmatuurpakketten
- 12.5.3.1 Bij het instellen van besturingsprogrammatuur en programmapakketten wordt uitgegaan van de aanwijzingen van de leverancier.
- 12.5.4 Uitlekken van informatie
- 12.5.4.1 Op het grensvlak van een vertrouwde en een onvertrouwde omgeving vindt content-scanning plaats.
- 12.5.4.2 Er dient een proces te zijn om te melden dat (persoons) informatie is uitgelekt. (zie 13.1.1)
- 12.5.5 Uitbestede ontwikkeling van programmatuur
- 12.5.5.1 Uitbestede ontwikkeling van programmatuur komt tot stand onder supervisie en verantwoordelijkheid van de uitbestedende organisatie.
- 12.6.1 Beheersing van technische kwetsbaarheden
- 12.6.1.1 Er is een proces ingericht voor het beheer van technische kwetsbaarheden; dit omvat minimaal het melden van incidenten aan de IBD, periodieke penetratietests, risicoanalyses van kwetsbaarheden en patching.
- 12.6.1.2 Van softwarematige voorzieningen van de technische infrastructuur kan (bij voorkeur geautomatiseerd) gecontroleerd worden of de laatste updates (patches) in zijn doorgevoerd.
- 12.6.1.3 Indien een patch beschikbaar is, dienen de risico's verbonden met de installatie van de patch te worden geëvalueerd (de risico's verbonden met de kwetsbaarheid dienen vergeleken te worden met de risico's van het installeren van de patch).
- 12.6.1.4 Updates/patches voor kwetsbaarheden waarvan de kans op misbruik hoog is en waarvan de schade hoog is worden zo spoedig mogelijk doorgevoerd, echter minimaal binnen één week.
- 12.6.1.5 Indien nog geen patch beschikbaar is dient gehandeld te worden volgens het advies van de IBD of een andere CERT zoals bijvoorbeeld het NCSC.
- 13 Beheer van Informatiebeveiligingsincidenten
- 13.1.1 Rapportage van informatiebeveiligingsgebeurtenissen
- 13.1.1.1 Er is een procedure voor het rapporteren van beveiligingsgebeurtenissen vastgesteld, in combinatie met een reactie- en escalatieprocedure voor incidenten
- 13.1.1.2 Er is een procedure voor communicatie met de IBD.
- 13.1.1.3 Er is een contactpersoon (DSC) aangewezen voor het rapporteren van beveiligingsincidenten. Voor integriteitsschendingen is ook een vertrouwenspersoon aangewezen die meldingen in ontvangst neemt.
- 13.1.1.4 Alle beveiligingsincidenten worden vastgelegd in een systeem en geëscaleerd aan de IBD.
- 13.1.1.5 Vermissing of diefstal van apparatuur of media die gegevens van de gemeente kunnen bevatten wordt altijd ook aangemerkt als informatiebeveiligingsincident.
- 13.1.1.6 Informatie over de beveiligingsrelevante handelingen, bijvoorbeeld loggegevens, foutieve inlogpogingen, van de gebruiker wordt regelmatig nagekeken.
- 13.1.2 Rapportage van zwakke plekken in de beveiliging
- 13.1.2.1 Er is een proces om eenvoudig en snel beveiligingsincidenten en zwakke plekken in de beveiliging te melden.
- 13.2.1 Verantwoordelijkheden en procedures
- 13.2.1.1 Er zijn procedures voor rapportage van gebeurtenissen en escalatie. Alle medewerkers behoren op de hoogte te zijn van deze procedures.
- 13.2.2 Leren van informatiebeveiligingsincidenten
- 13.2.2.1 De informatie verkregen uit het beoordelen van beveiligingsmeldingen wordt geëvalueerd met als doel beheersmaatregelen te verbeteren. (PDCA Cyclus)
- 13.2.3 Verzamelen van bewijsmateriaal
- 13.2.3.1 Indien een patch beschikbaar is, dienen de risico's verbonden met de installatie van de patch te worden geëvalueerd (de risico's verbonden met de kwetsbaarheid dienen vergeleken te worden met de risico's van het installeren van de patch).
- 14 Bedrijfscontinuïteitsbeheer
- 14.1.1 Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer
- 14.1.1.1 Calamiteitenplannen worden gebruikt in de jaarlijkse bewustwording-, training- en testactiviteiten.
- 14.1.2 Bedrijfscontinuïteit en risicobeoordeling
- 14.1.2.1 Er is een Business Impact Analyse (BIA) waarin de gebeurtenissen worden geïdentificeerd die kunnen leiden tot discontinuïteit in het bedrijfsproces.
- 14.1.3 Continuïteitsplannen ontwikkelen en implementeren waaronder informatiebeveiliging
- 14.1.3.1 In de continuïteitsplannen wordt minimaal aandacht besteed aan
- 14.1.4 Kader voor de bedrijfscontinuïteitsplanning
- 14.1.4.1 Er behoort een enkelvoudig kader voor bedrijfscontinuïteitsplannen te worden gehandhaafd
- 14.1.5 Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen
- 14.1.5.1 Er worden minimaal jaarlijks oefeningen en/of testen gehouden om de bedrijfscontinuïteitsplannen en mate van readiness van de organisatie te toetsen
- 15 Naleving
- 15.1.1 Identificatie van toepasselijke wetgeving
- 15.1.1.1 Er is vastgesteld welke wetten en wettelijke maatregelen van toepassing zijn op de organisatie of organisatieonderdelen.
- 15.1.2 Intellectuele eigendomsrechten (Intellectual Property Rights (IPR))
- 15.1.2.1 Er is toezicht op het naleven van wettelijke verplichtingen m.b.t. intellectueel eigendom, auteursrechten en gebruiksrechten.
- 15.1.3 Bescherming van bedrijfsdocumenten
- 15.1.3.1 Belangrijke registraties behoren te worden beschermd tegen verlies, vernietiging en vervalsing, overeenkomstig wettelijke en regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen.
- 15.1.4 Bescherming van gegevens en geheimhouding van persoonsgegevens
- 15.1.4.1 De bescherming van gegevens en privacy behoort te worden bewerkstelligd overeenkomstig relevante wetgeving, voorschriften en indien van toepassing contractuele bepalingen.
- 15.1.5 Voorkomen van misbruik van ICT-voorzieningen
- 15.1.5.1 Er is een beleid met betrekking tot het gebruik van IT voorzieningen door gebruikers. Dit beleid is bekendgemaakt en op de goede werking ervan wordt toegezien
- 15.1.6 Voorschriften voor het gebruik van cryptografische beheersmaatregelen
- 15.1.6.1 Er is vastgesteld aan welke overeenkomsten, wetten en voorschriften de toepassing van cryptografische technieken moet voldoen. Zie ook 12.3.
- 15.2.1 Naleving van beveiligingsbeleid en -normen
- 15.2.1.1 Het lijnmanagement is verantwoordelijk voor uitvoering en beveiligingsprocedures en toetsing daarop (o.a. jaarlijkse in control verklaring).
- 15.2.1.2 In de P&C cyclus wordt gerapporteerd over informatiebeveiliging aan de hand van het in control statement.
- 15.2.2 Controle op technische naleving
- 15.2.2.1 Informatiesystemen worden regelmatig gecontroleerd op naleving van beveiligingsnormen. Dit kan door bijv. kwetsbaarheidsanalyses en penetratietesten. Zie ook 12.6.1.1.
- 15.3.1 Beheersmaatregelen voor audits van informatiesystemen
- 15.3.1.1 Eisen voor audits en andere activiteiten waarbij controles worden uitgevoerd op productiesystemen, behoren zorgvuldig te worden gepland en goedgekeurd om het risico van verstoring van bedrijfsprocessen tot een minimum te beperken.
- 15.3.2 Bescherming van hulpmiddelen voor audits van informatiesystemen
- 15.3.2.1 Toegang tot hulpmiddelen voor audits van informatiesystemen behoort te worden beschermd om mogelijk misbruik of compromittering te voorkomen.
- 180209 Adviesgroep MOBB DEF
- 1A - Common Ground en de gemeentelijke informatiearchitectuur
- 1C - Gegevensmanagement in de NORA
- 1D - Archiveren van gegevens, dat is nergens voor nodig toch
2
- 2. - actiepunt 104 - Notitie Doorvoeren van errata en backwards compatibiliteit.
- 2. Memo Opstellen handreiking toepassen van ZTC - RgGBS 20160406-Actiepunt 116
- 2. Presentatie AanvullendeElementen-vervolg
- 2014-10-22 OverlegmetWouterWigmanmbtuserinZaak-enDocumentservices
- 20150610 Notulen Bijeenkomst DCR - concept
- 20150610 Notulen Bijeenkomst ZS-DMS
- 20150625 Notulen expertgroep informatiemodellen-concept
- 20150831 Notulen expertgroep informatiemodellen concept
- 20150909 Agenda Bijeenkomst werkgroepen Documentcreatieservices en Zaak- Documentservices
- 20150909 Notulen Bijeenkomst werkgroepen Documentcreatieservices en Zaak- Documentservices
- 20150924 Agenda expertgroep informatiemodellen
- 20150924 Agenda Startbijeenkomst Werkgroep Procesarchitectuur
- 20150924 GEMMA RSGB 3.0 deel 1
- 20150924 GEMMA RSGB 3.0 deel 2
- 20150924 Modelleren afhankelijkheden tussen de gemeentelijke referentie informatiemodellen
- 20150924 Notulen expertgroep Informatiemodellen concept
- 20150924 Notulen expertgroep Informatiemodellen DEF
- 20150924 Presentatie Expertgroep Informatiemodellen Agenda en bespreekpunten
- 20150924 Presentatie Expertgroep Informatiemodellen Metamodel
- 20150924 Presentatie Startbijeenkomst Werkgroep Procesarchitectuur
- 20150924 Verslag Startbijeenkomst Werkgroep Procesarchitectuur
- 20151002 Agenda Adviesgroep Informatievoorziening
- 20151002 Notulen Adviesgroep Informatievoorziening concept
- 20151002 Presentatie GEMMA 2 Adviesgroep Informatievoorziening
- 20151021 Nieuwe aanpak StUF standaarden.pdf - egStUF 20151021
- 20151105 - Notulen teleconferentie ZDS
- 20151105 ZDS CMIS scenarios.pdf
- 20151106 Adviezen nav Adviesgroep Informatievoorziening
- 20151106 Agenda Adviesgroep Informatievoorziening.pdf
- 20151106 Notulen Adviesgroep Informatievoorziening concept
- 20151106 Presentatie Adviesgroep Informatievoorziening
- 20151106 Presentatie omgevingswet
- 20151112 Agenda Werkgroep Procesarchitectuur
- 20151112 Verslag Werkgroep Procesarchitectuur-def
- 20151204 Agenda Adviesgroep Informatievoorziening.pdf
- 20151204 Notulen Adviesgroep Informatievoorziening.pdf
- 20151209 Concept verslag bijeenkomst werkgroepen Documentcreatieservices en Zaakdocumentservices
- 20151209 Presentatie Beheerbijeenkomst ZKDOC en DCR
- 20151210 Agenda Werkgroep Procesarchitectuur
- 20151210 Presentatie derde bijeenkomst Werkgroep Procesarchitectuur
- 20151210 Verslag Werkgroep Procesarchitectuur
- 20151214 Reactie op brief van Den Haag over StUF vanuit Regiegroep
- 20160115 Notulen Adviesgroep Informatievoorziening
- 20160202 Bijlage activiteiten 2016 teamplan GEMMA
- 20160208 GEMMA RSGB 3.0 deel 1
- 20160212 Notulen Adviesgroep Informatievoorziening
- 20160217 Concept verslag StUF Expertgroep - egStUF 20160316
- 20160218 Agenda Werkgroep Procesarchitectuur
- 20160218 Verslag Werkgroep Procesarchitectuur
- 20160222 Bijlage 1 Principiële keuzes kernteam stelsel overheidsgegevens
- 20160225 Agenda en bespreekpunten
- 20160225 Agenda expertgroep Informatiemodellen
- 20160225 Concept verslag expertgroep Informatiemodellen
- 20160225 Presentatie Omgevingswet Arjan Kloosterboer
- 20160225 Presentatie Ontwikkelingen informatiemodellen Theo Peters
- 20160225 Verslag Expertgroep Informatiemodellen DEF
- 20160226 Presentatie Aanvullende Elementen Arjan Kloosterboer
- 20160304 Bijlage 2 GEMMA 2 Katern Zaakgericht werken
- 20160310 Zaakgericht werken volgens GEMMA
- 20160311 Bijlage 3 Bespreekpunten Zaakgericht werken
- 20160311 Notulen Adviesgroep Informatievoorziening
- 20160311 Presentatie gemeente Haarlem ZGW Adviesgroep Informatievoorzing
- 20160318 GEMMA 2.0 Katern Verbinden v0.70
- 20160331-Berenschotrapport-collectivisering-i-voorzieningen en dienstverlening
- 20160408 Notulen Adviesgroep Informatievoorziening DEF
- 20160408 Presenatie Adviesgroep Informatievoorziening VNG annotatie
- 20160408 Presentatie Veranderaanpak Gegevenslandschap v1.0
- 20160408 Verslag Adviesgroep Informatievoorziening
- 20160414 Agenda Werkgroep Procesarchitectuur
- 20160414 Verslag Werkgroep Procesarchitectuur
- 20160511 Digitale Agenda 2017 ALV def.
- 20160513 Notulen Adviesgroep Informatievoorziening in Concept
- 20160526 Concept verslag expertgroep IM .pdf
- 20160526 Concept verslag expertgroep Informatiemodellen
- 20160609 Agenda Werkgroep Procesarchitectuur
- 20160609 Verslag Werkgroep Procesarchitectuur
- 20160610 Concept GEMMA Katern Informatiebeveiliging v0.9
- 20160610 Notulen Adviesgroep Informatievoorziening
- 20160610 Notulen Adviesgroep Informatievoorziening.pdf
- 20160915 Agenda Werkgroep Procesarchitectuur
- 20160915 Verslag Werkgroep Procesarchitectuur
- 20160916 Adviesgroep Informatievoorziening - 001
- 20160916 Notulen Adviesgroep Informatievoorziening
- 20160916 Presentatie Aan de slag met de Omgevingswet - collectiviteit en sourcing
- 20160916 Presentatie Collectiviseren
- 20161005 Presentatie agendapunt 4 - Keuzes regiegroep nieuwe standaarden
- 20161005 Presentatie agendapunt 5 -StaVaZa-standaarden
- 20161013 Concept verslag Expertgroep Informatiemodellen
- 20161013 Verslag Expertgroep Informatiemodellen