1. Omgeving van de organisatie

Is in kaart gebracht wie de belanghebbenden van uw organisatie zijn en wat zij van u verwachten op het gebied van informatiebeveiliging?

Onder belanghebbende verstaan we een klant/patiënt van wie u gegevens ‘beheert’ en/of ‘verwerkt’ (bijvoorbeeld als Cloud-leverancier) en de wetgevende instantie die u regels oplegt hoe u met de informatie moet omgaan.

Ja. We hebben een goede lijst van alle belanghebbenden. We weten wat iedereen van ons verlangt en hebben voor elke groep de juiste maatregelen getroffen die ervoor zorgen dat we veilig en accuraat met de gegevens omgaan en dat we de privacy respecteren.

Nee. Dat hebben we niet of niet voldoende in beeld.

2. Beleid en leiderschap

Is er ten aanzien van informatiebeveiliging een gedragen beleid met duidelijke doelstellingen? Zijn de leidinggevende actief betrokken bij informatiebeveiliging?

De organisatie heeft een plan waarin ICT-richtlijnen zijn benoemd. Hierin staan tenminste de uitgangspunten, de maatregelen op basis van geïdentificeerde risico’s, stakeholders, omgeving en de eisen vanuit relevante wet- en regelgeving benoemd. Deze vormen de veiligheid en privacy van de informatie goed en stellen de organisatie in staat dit duurzaam te organiseren. Het is essentieel dat de directie eigenaar is van dit plan.

Ja. We hebben onze overall-strategie, doelstellingen en ambities vertaald naar de gevolgen die deze hebben voor de manier waarop we als organisatie met informatie en privacy omgaan. Inclusief een antwoord op de eisen die de wet- en regelgeving aan ons stelt. We hebben dat vastgelegd in een helder en compact beleid dat door de directie gedragen wordt.

Nee we hebben geen duidelijk plan en hiermee niet of niet voldoende in beeld hoe we onze ICT beleidsmatig willen organiseren.

3. Risicomanagement

Voert u jaarlijks een volledige risicoanalyse uit op uw informatiebeveiliging, inclusief een businessimpactanalyse?

Uw organisatie, de omgeving en ICT zijn elke dag in beweging. Welke risico’s zijn relevant en wat is hiervan de impact op onze organisatie als het mis gaat? Wat vandaag goed geregeld is, kan morgen anders zijn. Gaat u daarom minimaal één keer per jaar na welke risico’s actueel zijn op het gebied van informatiebeveiliging.

Ja. Dat doen we minimaal één keer per jaar, we hebben een goed beeld van mogelijke (informatiebeveiligings) risico’s inclusief de impact op onze organisatie.

Nee. Dat hebben we nog nooit gedaan of dat doen we ‘hoog over’. Daarmee hebben we niet of beperkt in beeld wat risico’s zijn voor onze organisatie.

4. Ondersteuning

Zijn er voldoende middelen, budget, deskundige en bewuste medewerkers beschikbaar voor informatiebeveiliging?

Ja. We hebben een verantwoordelijke voor informatiebeveiliging en een groep mensen die hier regelmatig mee bezig is. Binnen het ICT-budget is specifiek ruimte voor informatiebeveiligingsuitgaven. Richting medewerkers ondernemen we regelmatig activiteiten om hun kennis en bewustzijn ten aanzien van informatiebeveiliging het belang op niveau te houden.

Nee. We hebben daar geen verantwoordelijke voor met een eigen budget. Richting medewerkers ondernemen we geen of relatief weinig acties rondom dit onderwerp.

5. Uitvoering geven aan informatiebeveiliging

Hoe maakt u van informatiebeveiliging een gedragen onderwerp binnen uw organisatie? Gaat dit planmatig en met regelmatige controles? Is er een dedicated team dat met actieplannen werkt? Actieplannen met actiehouders binnen de organisatie om zaken direct op te pakken op de werkvloer?

Ja. We hebben dit formeel georganiseerd met verantwoordelijke mensen die beschikken over de juiste tools voor interne audits, actieregisters en projectmanagement.

Nee. Binnen onze organisatie is dit niet gedefinieerd. We hebben dit weinig tot niet georganiseerd en pakken dit ook niet project- c.q. planmatig aan.

6. Toetsen, meten en beoordeling

Wordt er tenminste jaarlijks onafhankelijk gemeten, getoetst en geanalyseerd wat de prestaties zijn op het gebied van informatiebeveiliging? Kort gezegd: doet u minimaal elk jaar een controle om na te gaan hoe u het doet als het gaat om informatiebeveiliging?

Ja. We voeren minimaal één keer per jaar een onafhankelijke interne audit uit.

Nee. Dat doen we niet of niet structureel.

7. Waarborgen verbetering

Worden informatiebeveiligingsincidenten en de daarbij behorende verbetermaatregelen systematisch geregistreerd, bewaakt en verbeterd? Pakt u de zaken die uit de risicoanalyse en interne audit komen goed en gestructureerd op?

Ja. We leggen dit vast in ons incidentenregister en maken een actie aan voor de proceseigenaar. De voortgang en het resultaat monitoren we actief.

Nee. Als zich een incident voordoet, lossen we dit praktisch en eenvoudig op. Zonder vastlegging.

8. Autorisaties

Is er een op functie gebaseerde toegang tot informatie ingericht en vastgelegd? Met andere woorden: heeft u helder bepaald wie waar toegang toe heeft? Inclusief een goed proces voor wijzigingen?

Ja. We hebben een autorisatiematrix, inclusief een proces voor situaties rond functiewijzigingen of veranderingen.

Nee. We hebben dit niet of niet helemaal ingeregeld. Iedereen kan min of meer overal bij.

9. Cryptografie

Is de versleuteling van vertrouwelijke informatie formeel ingericht en wordt deze veilig beheerd?

Ja. Onze data is op de laptops, USB-sticks, servers en back-ups versleuteld. Voor het verzenden van vertrouwelijke informatie maken we gebruik van encrypted en beveiligde kanalen. Ook is vastgelegd waar de beveiligingssleutels zijn opgeslagen en wie deze beheert.

Nee. Dat doen we niet of onvoldoende. Er is geen goed beleid gemaakt hoe we hiermee willen omgaan.

10. Toegangsbeveiliging

Heeft u geregeld dat de toegang tot uw informatie goed beveiligd is, waarbij de juiste mensen bevoegd zijn en, omgekeerd, onbevoegden er niet bij kunnen? Zowel digitaal als fysiek?

Ja. We hebben een duidelijk beeld van wat onze belangrijkste digitale en fysieke assets zijn in relatie tot de continuïteit van onze organisatie. Inclusief de bijbehorende risico’s. We hebben aansluitend ook een duidelijk beleid met daarin vastgelegd welke bevoegde personen toegang hebben en hoe we hierop toezien.

Nee. We hebben onze belangrijke assets niet goed in beeld. Er zijn wel maatregelen om de toegang zo goed mogelijk te beveiligingen, maar er zit geen goed en gestructureerd plan achter.

11. OTAP

Is er een formele scheiding aanwezig tussen de ontwikkel-, test-, acceptatie- en productieomgeving? Deze geldt specifiek voor de softwareontwikkelaar. Bent u dat niet, dan kunt u ‘niet van toepassing’ aangeven.

Ja. Wij hanteren duidelijke scheidingen.

Nee. Iedereen kan overal bij. Wij hanteren geen functionele of fysieke scheidingen.

Niet van toepassing

12. Verwerkers

Zijn er geheimhoudings- en verwerkersovereenkomsten met kritieke klanten en leveranciers aanwezig? Anders gezegd: heeft u goede afspraken gemaakt met de organisaties die uw data gebruiken, verwerken of opslaan?

Ja, we hebben verwerkersovereenkomsten inclusief geheimhoudingsverklaringen met deze partijen.

Nee, we hebben geen verwerkersovereenkomsten met deze partijen, dit hebben we nog niet ingericht.

13. Software

Is de beveiliging van de bedrijfsvoering formeel ingericht, zoals bescherming tegen malware of het inrichten van een back-up?

Ja. Zowel hardware- als softwarematig hebben we ons beschermd tegen calamiteiten. Denk aan firewalls, antivirus, multifactorauthenticatie, back-ups en het 'dichtzetten' van onder andere de USB-poorten van computers.

Nee. We doen eigenlijk alleen de standaard zaken zoals antivirus en back-ups. Maar er is geen beleid of proces om dit goed te organiseren en ook niet om regelmatig te testen of alles nog goed beveiligd is.

14. Gedragsregels voor medewerkers

Zijn er formele gedragsregels voor informatiebeveiliging beschikbaar voor medewerkers? Op het werk, maar ook thuis?

Ja, we hebben hier duidelijke afspraken en protocollen voor.

Nee, we hebben dit niet formeel ingericht en vertrouwen op het gezonde verstand van onze medewerkers.

15. Bewustwording

Is er vakbekwaam personeel dat zich bewust is van de risico’s ten aanzien van veilig omgaan met informatie in de vorm van protocollen, sessies, controles en dergelijke?

Ja. Wij besteden daar regelmatig aandacht aan door workshops te geven en aandacht te vragen voor onze protocollen, controles en tests.

Nee. We doen dat niet structureel.