Categorie:Cocreatie
Dit is de categorie Cocreatie. Pagina's in deze categorie worden automatisch overgezet naar de Cocreatie wiki.
Ondercategorieën
Deze categorie bevat de volgende 7 subcategorieën, van de 7 in totaal.
A
- Attribuutsoorten RGBZ 01.01 (558 P)
G
- Groepattribuutsoorten RGBZ 01.01 (23 P)
K
- Kennismodel BIG (25 P)
O
- Objecttypen ImZTC 2.1 (9 P)
- Objecttypen RGBZ 01.01 (56 P)
R
- Relatieklassen RGBZ 01.01 (6 P)
- Relatiesoorten RGBZ 01.01 (64 P)
Pagina’s in categorie "Cocreatie"
Deze categorie bevat de volgende 200 pagina’s, van de 3.342 in totaal.
(vorige pagina) (volgende pagina)1
- 11.4.5.5 Zonering wordt ingericht met voorzieningen waarvan de functionaliteit is beperkt tot het strikt noodzakelijke (hardening van voorzieningen).
- 11.4.6 Beheersmaatregelen voor netwerkverbindingen
- 11.4.6.1 Voor gemeenschappelijke netwerken, vooral waar deze de grenzen van de organisatie overschrijden, behoren de toegangsmogelijkheden voor gebruikers te worden beperkt
- 11.4.7 Beheersmaatregelen voor netwerkroutering
- 11.4.7.1 Netwerken zijn voorzien van beheersmaatregelen voor routering gebaseerd op mechanismen ter verificatie van bron en bestemmingsadressen.
- 11.5.1 Beveiligde inlogprocedures
- 11.5.1.1 Toegang tot kritische toepassingen of toepassingen met een hoog belang wordt verleend op basis van twee-factor authenticatie.
- 11.5.1.2 Het wachtwoord wordt niet getoond op het scherm tijdens het ingeven. Er wordt geen informatie getoond die herleidbaar is tot de authenticatiegegevens.
- 11.5.1.3 Voorafgaand aan het aanmelden wordt aan de gebruiker een melding getoond dat alleen geautoriseerd gebruik is toegestaan voor expliciet door de organisatie vastgestelde doeleinden.
- 11.5.1.4 Bij een succesvol loginproces wordt de datum en tijd van de voorgaande login of loginpoging getoond. Deze informatie kan de gebruiker enige informatie verschaffen over de authenticiteit en/of misbruik van het systeem.
- 11.5.1.5 Nadat voor een gebruikersnaam 3 keer een foutief wachtwoord gegeven is, wordt het account minimaal 10 minuten geblokkeerd.
- 11.5.2 Gebruikersidentificatie en –authenticatie
- 11.5.2.1 Bij uitgifte van authenticatiemiddelen wordt minimaal de identiteit vastgesteld evenals het feit dat de gebruiker recht heeft op het authenticatiemiddel.
- 11.5.2.2 Bij het intern gebruik van IT voorzieningen worden gebruikers minimaal geauthenticeerd op basis van wachtwoorden.
- 11.5.2.3 Applicaties mogen niet onnodig en niet langer dan noodzakelijk onder een systeemaccount (een privileged user zoals administrator of root) draaien.
- 11.5.3 Systemen voor wachtwoordenbeheer
- 11.5.3.1 Er wordt automatisch gecontroleerd op goed gebruik van wachtwoorden (o.a. voldoende sterke wachtwoorden , regelmatige wijziging, directe wijziging van initieel wachtwoord).
- 11.5.3.2 Wachtwoorden hebben een geldigheidsduur zoals beschreven bij 11.2.3 . Daarbinnen dient het wachtwoord te worden gewijzigd. Wanneer het wachtwoord verlopen is, wordt het account geblokkeerd.
- 11.5.3.3 Wachtwoorden die gereset zijn en initiële wachtwoorden hebben een zeer beperkte geldigheidsduur en moeten bij het eerste gebruik worden gewijzigd.
- 11.5.3.4 De gebruikers hebben de mogelijkheid hun eigen wachtwoord te kiezen en te wijzigen.
- 11.5.4 Gebruik van systeemhulpmiddelen
- 11.5.4.1 Het gebruik van hulpprogrammatuur waarmee systeem- en toepassingsbeheersmaatregelen zouden kunnen worden gepasseerd behoort te worden beperkt en behoort strikt te worden beheerst.
- 11.5.5 Time-out van sessies
- 11.5.5.1 De periode van inactiviteit van een werkstation is vastgesteld op maximaal 15 minuten.
- 11.5.6 Beperking van verbindingstijd
- 11.5.6.1 De toegang voor onderhoud op afstand door een leverancier wordt alleen opengesteld op basis een wijzigingsverzoek of storingsmelding. Met 2-factor authenticatie en tunneling.
- 11.6.1 Beperken van toegang tot informatie
- 11.6.1.1 In de soort toegangsregels wordt ten minste onderscheid gemaakt tussen lees- en schrijfbevoegdheden.
- 11.6.1.2 Managementsoftware heeft de mogelijkheid gebruikerssessies af te sluiten.
- 11.6.1.3 Bij extern gebruik vanuit een onvertrouwde omgeving vindt sterke authenticatie (two-factor) van gebruikers plaats.
- 11.6.1.4 Een beheerder gebruikt two-factor authenticatie voor het beheer van kritische apparaten. B.v. een sleutel tot beveiligde ruimte en een password of een token en een password.
- 11.6.2 Isoleren van gevoelige systemen
- 11.6.2.1 Gevoelige systemen (met hoge beschikbaarheid of grote vertrouwelijkheid) behoren een eigen vast toegewezen (geïsoleerde) computeromgeving te hebben. Isoleren kan worden bereikt door fysieke of logische methoden.
- 11.7.1 Draagbare computers en communicatievoorzieningen
- 11.7.1.1 Het mobiele apparaat is waar mogelijk zo ingericht dat geen bedrijfsinformatie wordt opgeslagen (“zero footprint”)
- 11.7.1.2 Er zijn, waar mogelijk, voorzieningen om de actualiteit van anti-malware programmatuur op mobiele apparaten te garanderen.
- 11.7.1.3 Bij melding van verlies of diefstal wordt de communicatiemogelijkheid met de centrale applicaties afgesloten.
- 11.7.2 Telewerken
- 11.7.2.1 Er wordt een beleid met gedragsregels en een geschikte implementatie van de techniek opgesteld t.a.v. telewerken.
- 11.7.2.2 Er wordt beleid vastgesteld met daarin de uitwerking welke systemen niet en welke systemen wel vanuit de thuiswerkplek of andere telewerkvoorzieningen mogen worden geraagdpleegd.
- 11.7.2.3 De telewerkvoorzieningen zijn waar mogelijk zo ingericht dat op de werkplek (thuis of op een andere locatie) geen bedrijfsinformatie wordt opgeslagen (“zero footprint”)
- 12 Verwerving ontwikkeling en onderhoud van Informatiesystemen
- 12.1.1 Analyse en specificatie van beveiligingseisen
- 12.1.1.1 In projecten worden een beveiligingsrisicoanalyse en maatregelbepaling opgenomen als onderdeel van het ontwerp. Ook bij wijzigingen worden de veiligheidsconsequenties meegenomen.
- 12.1.1.2 In standaarden voor analyse, ontwikkeling en testen van informatiesystemen wordt structureel aandacht besteed aan beveiligingsaspecten.
- 12.1.1.3 Bij aanschaf van producten wordt een proces gevolgd waarbij beveiliging een onderdeel is van de specificatie.
- 12.1.1.4 Waar het gaat om beveiligingsrelevante producten wordt de keuze voor een bepaald product verantwoord onderbouwd.
- 12.1.1.5 Voor beveiliging worden componenten gebruikt die aantoonbaar voldoen aan geaccepteerde beveiligingscriteria zoals NBV goedkeuring of certificering volgens ISO/IEC 15408 (common criteria) .
- 12.1.1.6 Er is expliciet aandacht voor leveranciers accounts, hardcoded wachtwoorden en mogelijke “achterdeurtjes”.
- 12.2.1 Validatie van invoergegevens
- 12.2.1.1 Er moeten controles worden uitgevoerd op de invoer van gegevens.
- 12.2.2 Beheersing van interne gegevensverwerking
- 12.2.2.1 Er bestaan voldoende mogelijkheden om reeds ingevoerde gegevens te kunnen corrigeren door er gegevens aan te kunnen toevoegen.
- 12.2.2.2 Het informatiesysteem moet functies bevatten waarmee vastgesteld kan worden of gegevens correct verwerkt zijn. Hiermee wordt een geautomatiseerde controle bedoeld waarmee (duidelijke) transactie- en verwerkingsfouten kunnen worden gedetecteerd.
- 12.2.2.3 Stapelen van fouten wordt voorkomen door toepassing van “noodstop” mechanismen.
- 12.2.2.4 Verwerkingen zijn bij voorkeur herstelbaar zodat bij het optreden van fouten en/of wegraken van informatie dit hersteld kan worden door het opnieuw verwerken van de informatie.
- 12.2.3 Integriteit van berichten
- 12.2.3.1 Er behoren eisen te worden vastgesteld, en geschikte beheersmaatregelen te worden vastgesteld en geïmplementeerd, voor het bewerkstelligen van authenticiteit en het beschermen van integriteit van berichten in toepassingen.
- 12.2.4 Validatie van uitvoergegevens
- 12.2.4.1 De uitvoerfuncties van programma's maken het mogelijk om de volledigheid en juistheid van de gegevens te kunnen vaststellen (bijv. door checksums).
- 12.2.4.2 Bij uitvoer van gegevens wordt gegarandeerd dat deze met het juiste niveau van vertrouwelijkheid beschikbaar gesteld worden (bijv. beveiligd printen).
- 12.2.4.3 Alleen gegevens die noodzakelijk zijn voor de doeleinden van de gebruiker worden uitgevoerd (need to know).
- 12.3.1 Beleid voor het gebruik van cryptografische beheersmaatregelen
- 12.3.1.1 De gebruikte cryptografische algoritmen voor versleuteling zijn als open standaard gedocumenteerd en zijn door onafhankelijke betrouwbare deskundigen getoetst.
- 12.3.1.2 Bij de inzet van cryptografische producten volgt een afweging van de risico’s aangaande locaties, processen en behandelende partijen.
- 12.3.1.3 De cryptografische beveiligingsvoorzieningen en componenten voldoen aan algemeen gangbare beveiligingscriteria (zoals FIPS 140-2 en waar mogelijk NBV).
- 12.3.2 Sleutelbeheer
- 12.3.2.1 In het sleutelbeheer is minimaal aandacht besteed aan het proces, de actoren en hun verantwoordelijkheden.
- 12.3.2.2 De geldigheidsduur van cryptografische sleutels wordt bepaald aan de hand van de beoogde toepassing en is vastgelegd in het cryptografisch beleid.
- 12.3.2.3 De vertrouwelijkheid van cryptografische sleutels dient te zijn gewaarborgd tijdens generatie, gebruik, transport en opslag van de sleutels.
- 12.3.2.4 Er is een procedure vastgesteld waarin is bepaald hoe wordt omgegaan met gecompromitteerde sleutels.
- 12.3.2.5 Bij voorkeur is sleutelmanagement ingericht volgens PKI Overheid
- 12.4.1 Beheersing van operationele programmatuur
- 12.4.1.1 Alleen geautoriseerd personeel kan functies en software installeren of activeren.
- 12.4.1.2 Programmatuur behoort pas te worden geïnstalleerd op een productieomgeving na een succesvolle test en acceptatie.
- 12.4.1.3 Geïnstalleerde programmatuur, configuraties en documentatie worden bijgehouden in een configuratiedatabase.
- 12.4.1.4 Er worden alleen door de leverancier onderhouden (versies van) software gebruikt.
- 12.4.1.5 Van updates wordt een log bijgehouden.
- 12.4.1.6 Er is een rollbackstrategie.
- 12.4.2 Bescherming van testdata
- 12.4.2.1 Het gebruik van kopieën van operationele databases voor testgegevens wordt vermeden. Indien toch noodzakelijk, worden de gegevens zoveel mogelijk geanonimiseerd en na de test zorgvuldig verwijderd.
- 12.4.3 Toegangsbeheersing voor broncode van programmatuur
- 12.4.3.1 De toegang tot broncode wordt zoveel mogelijk beperkt om de code tegen onbedoelde wijzigingen te beschermen. Alleen geautoriseerde personen hebben toegang.
- 12.4.3.2 Broncode staat op aparte (logische) systemen.
- 12.5.1 Procedures voor wijzigingsbeheer
- 12.5.1.1 Er is aantoonbaar wijzigingsmanagement ingericht volgens gangbare best practices zoals ITIL en voor applicaties ASL.
- 12.5.2 Technische beoordeling van toepassingen na wijzigingen in het besturingssysteem
- 12.5.2.1 Van aanpassingen (zoals updates) aan softwarematige componenten van de technische infrastructuur wordt vastgesteld dat deze de juiste werking van de technische componenten niet in gevaar brengen.
- 12.5.3 Restricties op wijzigingen in programmatuurpakketten
- 12.5.3.1 Bij het instellen van besturingsprogrammatuur en programmapakketten wordt uitgegaan van de aanwijzingen van de leverancier.
- 12.5.4 Uitlekken van informatie
- 12.5.4.1 Op het grensvlak van een vertrouwde en een onvertrouwde omgeving vindt content-scanning plaats.
- 12.5.4.2 Er dient een proces te zijn om te melden dat (persoons) informatie is uitgelekt. (zie 13.1.1)
- 12.5.5 Uitbestede ontwikkeling van programmatuur
- 12.5.5.1 Uitbestede ontwikkeling van programmatuur komt tot stand onder supervisie en verantwoordelijkheid van de uitbestedende organisatie.
- 12.6.1 Beheersing van technische kwetsbaarheden
- 12.6.1.1 Er is een proces ingericht voor het beheer van technische kwetsbaarheden; dit omvat minimaal het melden van incidenten aan de IBD, periodieke penetratietests, risicoanalyses van kwetsbaarheden en patching.
- 12.6.1.2 Van softwarematige voorzieningen van de technische infrastructuur kan (bij voorkeur geautomatiseerd) gecontroleerd worden of de laatste updates (patches) in zijn doorgevoerd.
- 12.6.1.3 Indien een patch beschikbaar is, dienen de risico's verbonden met de installatie van de patch te worden geëvalueerd (de risico's verbonden met de kwetsbaarheid dienen vergeleken te worden met de risico's van het installeren van de patch).
- 12.6.1.4 Updates/patches voor kwetsbaarheden waarvan de kans op misbruik hoog is en waarvan de schade hoog is worden zo spoedig mogelijk doorgevoerd, echter minimaal binnen één week.
- 12.6.1.5 Indien nog geen patch beschikbaar is dient gehandeld te worden volgens het advies van de IBD of een andere CERT zoals bijvoorbeeld het NCSC.
- 13 Beheer van Informatiebeveiligingsincidenten
- 13.1.1 Rapportage van informatiebeveiligingsgebeurtenissen
- 13.1.1.1 Er is een procedure voor het rapporteren van beveiligingsgebeurtenissen vastgesteld, in combinatie met een reactie- en escalatieprocedure voor incidenten
- 13.1.1.2 Er is een procedure voor communicatie met de IBD.
- 13.1.1.3 Er is een contactpersoon (DSC) aangewezen voor het rapporteren van beveiligingsincidenten. Voor integriteitsschendingen is ook een vertrouwenspersoon aangewezen die meldingen in ontvangst neemt.
- 13.1.1.4 Alle beveiligingsincidenten worden vastgelegd in een systeem en geëscaleerd aan de IBD.
- 13.1.1.5 Vermissing of diefstal van apparatuur of media die gegevens van de gemeente kunnen bevatten wordt altijd ook aangemerkt als informatiebeveiligingsincident.
- 13.1.1.6 Informatie over de beveiligingsrelevante handelingen, bijvoorbeeld loggegevens, foutieve inlogpogingen, van de gebruiker wordt regelmatig nagekeken.
- 13.1.2 Rapportage van zwakke plekken in de beveiliging
- 13.1.2.1 Er is een proces om eenvoudig en snel beveiligingsincidenten en zwakke plekken in de beveiliging te melden.
- 13.2.1 Verantwoordelijkheden en procedures
- 13.2.1.1 Er zijn procedures voor rapportage van gebeurtenissen en escalatie. Alle medewerkers behoren op de hoogte te zijn van deze procedures.
- 13.2.2 Leren van informatiebeveiligingsincidenten
- 13.2.2.1 De informatie verkregen uit het beoordelen van beveiligingsmeldingen wordt geëvalueerd met als doel beheersmaatregelen te verbeteren. (PDCA Cyclus)
- 13.2.3 Verzamelen van bewijsmateriaal
- 13.2.3.1 Indien een patch beschikbaar is, dienen de risico's verbonden met de installatie van de patch te worden geëvalueerd (de risico's verbonden met de kwetsbaarheid dienen vergeleken te worden met de risico's van het installeren van de patch).
- 14 Bedrijfscontinuïteitsbeheer
- 14.1.1 Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer
- 14.1.1.1 Calamiteitenplannen worden gebruikt in de jaarlijkse bewustwording-, training- en testactiviteiten.
- 14.1.2 Bedrijfscontinuïteit en risicobeoordeling
- 14.1.2.1 Er is een Business Impact Analyse (BIA) waarin de gebeurtenissen worden geïdentificeerd die kunnen leiden tot discontinuïteit in het bedrijfsproces.
- 14.1.3 Continuïteitsplannen ontwikkelen en implementeren waaronder informatiebeveiliging
- 14.1.3.1 In de continuïteitsplannen wordt minimaal aandacht besteed aan
- 14.1.4 Kader voor de bedrijfscontinuïteitsplanning
- 14.1.4.1 Er behoort een enkelvoudig kader voor bedrijfscontinuïteitsplannen te worden gehandhaafd
- 14.1.5 Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen
- 14.1.5.1 Er worden minimaal jaarlijks oefeningen en/of testen gehouden om de bedrijfscontinuïteitsplannen en mate van readiness van de organisatie te toetsen
- 15 Naleving
- 15.1.1 Identificatie van toepasselijke wetgeving
- 15.1.1.1 Er is vastgesteld welke wetten en wettelijke maatregelen van toepassing zijn op de organisatie of organisatieonderdelen.
- 15.1.2 Intellectuele eigendomsrechten (Intellectual Property Rights (IPR))
- 15.1.2.1 Er is toezicht op het naleven van wettelijke verplichtingen m.b.t. intellectueel eigendom, auteursrechten en gebruiksrechten.
- 15.1.3 Bescherming van bedrijfsdocumenten
- 15.1.3.1 Belangrijke registraties behoren te worden beschermd tegen verlies, vernietiging en vervalsing, overeenkomstig wettelijke en regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen.
- 15.1.4 Bescherming van gegevens en geheimhouding van persoonsgegevens
- 15.1.4.1 De bescherming van gegevens en privacy behoort te worden bewerkstelligd overeenkomstig relevante wetgeving, voorschriften en indien van toepassing contractuele bepalingen.
- 15.1.5 Voorkomen van misbruik van ICT-voorzieningen
- 15.1.5.1 Er is een beleid met betrekking tot het gebruik van IT voorzieningen door gebruikers. Dit beleid is bekendgemaakt en op de goede werking ervan wordt toegezien
- 15.1.6 Voorschriften voor het gebruik van cryptografische beheersmaatregelen
- 15.1.6.1 Er is vastgesteld aan welke overeenkomsten, wetten en voorschriften de toepassing van cryptografische technieken moet voldoen. Zie ook 12.3.
- 15.2.1 Naleving van beveiligingsbeleid en -normen
- 15.2.1.1 Het lijnmanagement is verantwoordelijk voor uitvoering en beveiligingsprocedures en toetsing daarop (o.a. jaarlijkse in control verklaring).
- 15.2.1.2 In de P&C cyclus wordt gerapporteerd over informatiebeveiliging aan de hand van het in control statement.
- 15.2.2 Controle op technische naleving
- 15.2.2.1 Informatiesystemen worden regelmatig gecontroleerd op naleving van beveiligingsnormen. Dit kan door bijv. kwetsbaarheidsanalyses en penetratietesten. Zie ook 12.6.1.1.
- 15.3.1 Beheersmaatregelen voor audits van informatiesystemen
- 15.3.1.1 Eisen voor audits en andere activiteiten waarbij controles worden uitgevoerd op productiesystemen, behoren zorgvuldig te worden gepland en goedgekeurd om het risico van verstoring van bedrijfsprocessen tot een minimum te beperken.
- 15.3.2 Bescherming van hulpmiddelen voor audits van informatiesystemen
- 15.3.2.1 Toegang tot hulpmiddelen voor audits van informatiesystemen behoort te worden beschermd om mogelijk misbruik of compromittering te voorkomen.
- 180209 Adviesgroep MOBB DEF
- 1A - Common Ground en de gemeentelijke informatiearchitectuur
- 1C - Gegevensmanagement in de NORA
- 1D - Archiveren van gegevens, dat is nergens voor nodig toch
2
- 2. - actiepunt 104 - Notitie Doorvoeren van errata en backwards compatibiliteit.
- 2. Memo Opstellen handreiking toepassen van ZTC - RgGBS 20160406-Actiepunt 116
- 2. Presentatie AanvullendeElementen-vervolg
- 2014-10-22 OverlegmetWouterWigmanmbtuserinZaak-enDocumentservices
- 20150610 Notulen Bijeenkomst DCR - concept
- 20150610 Notulen Bijeenkomst ZS-DMS
- 20150625 Notulen expertgroep informatiemodellen-concept
- 20150831 Notulen expertgroep informatiemodellen concept
- 20150909 Agenda Bijeenkomst werkgroepen Documentcreatieservices en Zaak- Documentservices
- 20150909 Notulen Bijeenkomst werkgroepen Documentcreatieservices en Zaak- Documentservices
- 20150924 Agenda expertgroep informatiemodellen
- 20150924 Agenda Startbijeenkomst Werkgroep Procesarchitectuur
- 20150924 GEMMA RSGB 3.0 deel 1
- 20150924 GEMMA RSGB 3.0 deel 2
- 20150924 Modelleren afhankelijkheden tussen de gemeentelijke referentie informatiemodellen
- 20150924 Notulen expertgroep Informatiemodellen concept
- 20150924 Notulen expertgroep Informatiemodellen DEF
- 20150924 Presentatie Expertgroep Informatiemodellen Agenda en bespreekpunten
- 20150924 Presentatie Expertgroep Informatiemodellen Metamodel
- 20150924 Presentatie Startbijeenkomst Werkgroep Procesarchitectuur
- 20150924 Verslag Startbijeenkomst Werkgroep Procesarchitectuur
- 20151002 Agenda Adviesgroep Informatievoorziening
- 20151002 Notulen Adviesgroep Informatievoorziening concept
- 20151002 Presentatie GEMMA 2 Adviesgroep Informatievoorziening
- 20151021 Nieuwe aanpak StUF standaarden.pdf - egStUF 20151021
- 20151105 - Notulen teleconferentie ZDS
- 20151105 ZDS CMIS scenarios.pdf
- 20151106 Adviezen nav Adviesgroep Informatievoorziening
- 20151106 Agenda Adviesgroep Informatievoorziening.pdf
- 20151106 Notulen Adviesgroep Informatievoorziening concept
- 20151106 Presentatie Adviesgroep Informatievoorziening
- 20151106 Presentatie omgevingswet
- 20151112 Agenda Werkgroep Procesarchitectuur
- 20151112 Verslag Werkgroep Procesarchitectuur-def
- 20151204 Agenda Adviesgroep Informatievoorziening.pdf
- 20151204 Notulen Adviesgroep Informatievoorziening.pdf
- 20151209 Concept verslag bijeenkomst werkgroepen Documentcreatieservices en Zaakdocumentservices
- 20151209 Presentatie Beheerbijeenkomst ZKDOC en DCR
- 20151210 Agenda Werkgroep Procesarchitectuur
- 20151210 Presentatie derde bijeenkomst Werkgroep Procesarchitectuur
- 20151210 Verslag Werkgroep Procesarchitectuur
- 20151214 Reactie op brief van Den Haag over StUF vanuit Regiegroep
- 20160115 Notulen Adviesgroep Informatievoorziening
- 20160202 Bijlage activiteiten 2016 teamplan GEMMA
- 20160208 GEMMA RSGB 3.0 deel 1
- 20160212 Notulen Adviesgroep Informatievoorziening