Systeem / Applicatie Classificatie informatie in het systeem Maatregelen ? ? Uw organisatie heeft een formeel vastgesteld informatie beveiligingsbeleid gebaseerd op of vergelijkbaar met de code voor informatiebeveiliging (ISO 27001/27002) Er wordt jaarlijks gerapporteerd over de effectiviteit van het beleid. (geef aan wanneer er voor het laatst gerapporteerd is) Zie tabbblad Vragenlijst voor applicatie voor hulp bij het classificeren Vanaf classificatie OPENBAAR OPENBAAR Organisatie ? ? De werknemers hebben een vastgelegde geheimhoudingplicht. Alle bij het hosten van het systeem/applicatie betrokken partijen voldoen aan de in dit document gestelde eisen. U controleert dit minimaal jaarlijks. (geef aan welke externe partijen dit zijn) INTERN OPENBAAR Beheer ? Administratie van middelen (hard & software) is volledig en correct OPENBAAR Personeel Er is een met het personeel gecommuniceerde geheimhoudingspicht en ? gedragscode aanwezig Personeel met toegang tot de systemen / gegevens beschikt over een ? Verklaring Omtrent het Gedrag (VOG). Fysieke beveiliging Fysieke toegang tot de informatiesystemen en netwerk verbindingen is ? technisch en procedureel beperkt tot de strikt noodzakelijke. De ruimte waarin de informatiesystemen zich bevinden is voorzien van:- Een alarmsysteem of continu bewaking. - Toegangsregistratie ? - Automatische blus systeem - Noodstroomvoorziening met voldoende autonomie voor het automatisch en gecontroleerd kunnen afsluiten van de systemen/applicaties. ? Er is een vastgelegde procedure voor het afvoeren van gegevensdragers die garandeert dat alle hierop aanwezige informatie wordt vernietigd bij het afvoeren van gegevensdragers. Beheer communicatie & bediening Alle wijzigingen in de hard en software van informatiesystemen worden ? volgens vastgelegde procedures afgehandeld en vastgelegd (wijzigingsbeheer) ? ? ? Alle windows en email systemen zijn voorzien van up-to-date antivirus bescherming Alle gebruikte software wordt binnen onderstaande termijnen voorzien van beschikbare beveiligingsupdates - voor kwetsbaarheden met een CVSS base score lager dan 4 de eerstvolgende major of minor release van de software - voor kwetsbaarheden met een CVSS base score tussen 4.0 en 6.9 binnen 3 maanden na het uitkomen van een patch - voor kwetsbaarheden met een CVSS base score tussen 7.0 en 8.9 binnen 1 maand na het uitkomen van een patch - voor kwetsbaarheden met een CVSS base score tussen 9.0 en 10 binnen 72 uur na het uitkomen van een patch Er wordt dagelijks een backup gemaakt naar een andere fysieke locatie deze backup wordt minmaal 30 dagen beschikbaar gehouden voor restore doeleinden. (Geef de maximale retentie van de backup aan) Restore procedures worden jaarlijkse en na relevante wijzigingen getest. (geef aan wanneer de laatste restore test is gedaan) Voor toegang tot de systemen vanaf openbare netwerken 2-factor ? authenticatie nodig. Data wordt alleen goed versleutelt over openbare netwerken verstuurd. ? (specificaties gebruikte encryptie vermelden) Afspraken over aspecten van informatiebeveiliging en het niveau van ? dienstverlening zijn vastgelegd in een service Level Agreement (SLA). Toegangsbeveiliging Er wordt een vastgelegde procedure gehanteerd voor toekennen en intrekken ? van door uw organisatie beheerde autorisaties Er wordt minimaal ieder jaar een controle uitgevoerd op de juistheid van ? autorisaties van het beheerpersoneel Toegang tot de informatiesystemen is persoonsgebonden ? Als er gebruik wordt gemaakt van niet persoonsgebonden accounts wordt bijgehouden wie wanneer van het account gebruik maakt. Alle wachtwoorden (ook die van beheerders) bestaan uit minimaal 8 karakters ? met daarin minimaal een hoofdletter, kleine letter en cijfer en worden iedere maximaal 3 maanden gewijzigd. Op via openbare netwerken bereikbare systemen worden niet actief gebruikte ? sessies automatisch beëindigd of vereisen het opnieuw authenticeren van de gebruiker na maximaal 20 minuten. ? Beheer en productieverkeer zijn logisch of fysiek van elkaar gescheiden. ? ? Koppelen op netwerkniveau via openbare netwerken vindt plaats door gebruik te maken van VPN toepassingen waarbij gebruik wordt gemaakt van meerdere authenticatiecontroles. Bijvoorbeeld shared secrets + ip adres of certificaat. INTERN GEHEIM OPENBAAR OPENBAAR INTERN OPENBAAR OPENBAAR OPENBAAR OPENBAAR OPENBAAR INTERN INTERN OPENBAAR OPENBAAR INTERN INTERN OPENBAAR INTERN INTERN INTERN Logging ? ? - Logging wordt minimaal 3 en maximaal 12 maanden bewaard. - Wijzigingen in systeemconfiguratie en autorisatie worden op persoonsniveau gelogd op een zodanige manier dat deze niet te manipuleren is. ? - Wijzigingen in data worden op persoonsniveau gelogd ? - Elke toegang tot data wordt op persoonsniveau gelogd. Accounts worden automatisch geblokkeerd na maximaal 5 foutieve ? inlogpogingen. Verwerving Ontwikkeling en Onderhoud ? Data wordt versleuteld opgeslagen. (geef aan hoe dit wordt gedaan) Opslag van wachtwoorden voldoet aan de aanbevelingen in de RSA PKCS#5 (v2.1) standaard. ? Elk wachtwoord heeft een eigen salt waarde (minimaal 64 bits) en wordt gehashed met een SHA-2 algoritme met minimaal 1000 iterations) INTERN INTERN VERTROUWELIJK GEHEIM OPENBAAR GEHEIM OPENBAAR Ja / Nee Opmerkingen Er wordt gebruik gemaakt van een hardeningsproces om ICT componenten te beveiligen tegen aanvallen. Hierbij dienen minimaal; Alle standaard wachtwoorden te worden gewijzigd, INTERN ? onnodige autorisaties te worden ingetrokken, niet noodzakelijke services te worden uitgezet en niet voor externe communicatie benodigde tcp/ip poorten te worden geblokkeerd. Via publieke netwerken bereikbare systemen en applicaties worden periodiek getest op beveiliging d.m.v. penetratietesten. De frequentie van deze testen en de normen waartegen moet worden wordt getest hangt af van de risicoclassificatie van het systeem. Voor webapplicaties geldt dat deze minimaal tegen de OWASP top 10 standaard moeten worden getest. De richtlijnen voor de frequentie zijn gebaseerd op de door de gemeente aangebrachte classificatie van de in het systeem verwerkte informatie: ? ? ? ? Jaarlijks en bij significante wijzigingen een beperkte test. OPENBAAR Jaarlijks en bij significante wijzigingen een uitgebreide door een onafhankelijk INTERN security specialist uitgevoerde test. Minimaal maandelijks een geautomatiseerde test en jaarlijks en bij significante wijzigingen een uitgebreide door een onafhankelijk security specialist VERTROUWELIJK uitgevoerde test. In opdracht of eigen beheer ontwikkelde broncode wordt met een zogenaamde OPENBAAR “escrow overeenkomst” veiliggesteld. Incidenten ? Uw organisatie heeft en gebruikt een formeel vastgelegd proces voor het afhandelen van beveiligingsincidenten. OPENBAAR Continuiteit ? Naleving ? Indien door de gemeente uitwijk is gevraagd: U heeft een vastgelegde en minimaal jaarlijks geteste uitwijkprocedure. (Op welke datum is de uitwijkprocedure voor het laatst getest?) Persoonsgegevens worden alleen verwerkt op locaties binnen de Europese unie. Persoonsgegevens worden alleen verwerkt door personen en juridische entiteiten die exclusief onder Europees recht vallen. OPENBAAR INTERN Voorwaarden ? ? ? ? Autorisaties worden verstrekt op need-to-know basis. Er worden niet meer autorisaties gegeven dan noodzakelijk voor de levering van de dienst. De leverancier is te allen tijde gebonden aan de geldende wet en regelgeving. Bij conflicterende wet en regelgeving prevaleert de voor de gemeente Groningen geldende wet en regelgeving De gemeente Groningen behoudt te allen tijde alle rechten op de in haar opdracht door de leverancier verwerkte data. Uw organisatie is tenzij anders overeengekomen verantwoordelijk voor het nakomen van alle plichten die voortvloeien uit het gebruik van de voor het uitvoeren van de overeenkomst benodigde software en licenties ? Alle gebeurtenissen die van invloed kunnen zijn op de beschikbaarheid, integriteit of vertrouwelijkheid van de data van de gemeente dienen per omgaande aan de gemeente Groningen te worden gemeld. ? Data die niet langer noodzakelijk is voor het uitvoeren van de overeenkomst dient onmiddellijk te worden verwijderd. ? Als er sprake is van het verwerken van persoonsgegevens wordt er een (in het kader van de Wet Bescherming Persoonsgegevens verplichte) bewerkingsovereenkomst aangegaan. ? Uw organisatie stemt in met de mogelijkheid audits te laten uitvoeren door een onafhankelijk auditor om naleving van de afspraken in de overeenkomst te kunnen toetsen. Akkoord Opmerkingen
© Copyright 2024 ExpyDoc
