WIXLIB

normatieve uitwerking van de hls creatieveindustrieISO/IEC 27002: 2013 GrafimediaPraktijkrichtlijn met beheersmaatregelen voor Informatietechnologie,Beveiligingstechnieken en de Code voor InformatiebeveiligingOnderdeel van de Certificatienorm InformatiebeveiligingUitgave van de Stichting Certificatie Creatieve Industrie (SCCI)

Certificatienorm Informatiebeveiliginguitgegeven door de Stichting Certificatie Creatieve IndustrieINHOUDSOPGAVE123456789INLEIDING . 61.1 Grafimedia Certificatienorm Informatiebeveiliging . 7NORMATIEVE VERWIJZINGEN . 9TERMEN EN DEFINITIES . 9STRUCTUUR VAN DEZE NORM . 10BELEIDSDOCUMENT VOOR INFORMATIEBEVELIGING . 115.1 Aansturing door de directie . 115.1.1Beleidsregels voor informatiebeveiliging . 115.1.2Beoordeling van het informatiebeveiligingsbeleid . 12ORGANISEREN VAN INFORMATIEBEVEILIGING . 126.1 Interne organisatie . 126.1.1Rollen en verantwoordelijkheden bij informatiebeveiliging . 126.1.2Scheiding van taken . 136.1.3Contact met overheidsinstanties . 136.1.4Contact met speciale belangengroepen . 146.1.5Informatiebeveiliging in projectbeheer . 146.2 Mobiele apparatuur en telewerken . 156.2.1Beleid voor mobiele apparatuur . 156.2.2Telewerken/thuiswerken . 15VEILIG PERSONEEL. 167.1 Voorafgaand aan het dienstverband. 167.1.1Screening . 167.1.2Arbeidsvoorwaarden . 177.2 Tijdens het dienstverband. 177.2.1Directieverantwoordelijkheid . 187.2.2Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging . 187.2.3Disciplinaire maatregelen . 187.3 Beëindiging of wijziging van dienstverband . 197.3.1Beëindiging van verantwoordelijkheden . 19BEHEER VAN BEDRIJFSMIDDELEN . 198.1 Verantwoordelijkheid voor bedrijfsmiddelen . 198.1.1Inventarisatie van bedrijfsmiddelen . 198.1.2Eigendom van bedrijfsmiddelen . 208.1.3Aanvaardbaar gebruik van bedrijfsmiddelen . 208.1.4Retournering van bedrijfsmiddelen . 218.2 Informatieclassificatie . 218.2.1Classificatie van informatie . 218.2.2Labeling en verwerking van informatie . 228.3 Bescherming van media . 228.3.1Beheer van transporteerbare media . 228.3.2Verwijdering van media . 238.3.3Fysieke media die worden getransporteerd . 23TOEGANGSBEVEILIGING . 249.1 Bedrijfseisen ten aanzien van toegangsbeheersing . 249.1.1Toegangsbeleid . 24Versie: mei 2016 Copyright SCCIPagina 2

Certificatienorm Informatiebeveiliginguitgegeven door de Stichting Certificatie Creatieve Industrie9.2101112Beheer van toegangsrechten van gebruikers . 259.2.1Registratie en afmelden van gebruikers . 259.2.2Gebruikers toegang verlenen . 269.2.3Beheer van speciale bevoegdheden . 269.2.4Beheer van gebruikerswachtwoorden . 279.2.5Beoordeling van toegangsrechten van gebruikers . 279.2.6Blokkering van toegangsrechten . 279.3 Verantwoordelijkheden van gebruikers . 289.3.1Gebruik van wachtwoorden . 289.4 Toegangsbeheersing voor informatiesystemen en informatie . 299.4.1Beperken van toegang tot informatie . 299.4.2Beveiligde inlogprocedures . 299.4.3Systeem voor wachtwoordbeheer . 309.4.4Speciale systeemhulpmiddelen gebruiken . 319.4.5Toegangsbeheersing voor broncode van programmatuur . 31CRYPTOGRAFIE . 3210.1 Cryptografische beheersmaatregelen . 3210.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen . 3210.1.2 Sleutelbeheer. 33FYSIEKE BEVEILIGING EN BEVEILIGING VAN DE OMGEVING . 3411.1 Beveiligde ruimten . 3411.1.1 Fysieke beveiliging van de omgeving . 3411.1.2 Fysieke toegangsbeveiliging . 3511.1.3 Beveiliging van kantoren, ruimten en faciliteiten . 3511.1.4 Beschermen tegen bedreigingen van buitenaf . 3511.1.5 Werken in beveiligde gebieden . 3611.1.6 Laad- en loslocatie . 3611.2 Beveiliging van apparatuur . 3711.2.1 Plaatsing en bescherming van apparatuur . 3711.2.2 Nutsvoorzieningen . 3711.2.3 Beveiliging van kabels . 3811.2.4 Onderhoud van apparatuur . 3811.2.5 Verwijdering van bedrijfseigendommen . 3811.2.6 Beveiliging van apparatuur buiten het terrein . 3911.2.7 Veilig verwijderen of hergebruiken van apparatuur. 3911.2.8 Onbeheerde gebruikersapparatuur . 3911.2.9 ‘Clear desk’- en ‘clear screen’-beleid . 40BEVEILIGDE BEDRIJFSVOERING . 4012.1 Bedieningsprocedures en verantwoordelijkheden . 4012.1.1 Gedocumenteerde bedieningsprocedures . 4012.1.2 Wijzigingsbeheer . 4112.1.3 Capaciteitsbeheer . 4212.1.4 Scheiding van faciliteiten voor ontwikkeling, testen en productie . 4212.2 Bescherming tegen virussen, ‘mobile code’ en scripts. . 4312.2.1 Maatregelen tegen virussen en mobile code . 4312.3 Maken van een Back-up . 44Versie: mei 2016 Copyright SCCIPagina 3

Certificatienorm Informatiebeveiliginguitgegeven door de Stichting Certificatie Creatieve Industrie13141512.3.1 Maken van back-ups . 4412.4 Verslaglegging en monitoren . 4512.4.1 Aanmaken audit-logbestanden . 4512.4.2 Bescherming van informatie in logbestanden . 4612.4.3 Logbestanden van administrators en operators . 4612.4.4 Synchronisatie van systeemklokken . 4612.5 Beveiliging van operationele software . 4712.5.1 Beheersing van operationele programmatuur . 4712.6 Beheer van technische kwetsbaarheden . 4812.6.1 Beheersing van technische kwetsbaarheden . 4812.6.2 Beperkingen voor het installeren van software . 4912.7 Overwegingen bij audits van informatiesystemen. 4912.7.1 beheersmaatregelen voor audits van informatiesystemen. 49COMMUNICATIEBEVEILIGING . 5013.1 Beheer van netwerkbeveiliging . 5013.1.1 Maatregelen voor netwerken . 5013.1.2 Beleid ten aanzien van het gebruik van netwerkdiensten . 5013.1.3 Scheiding van netwerken . 5013.2 Uitwisseling van informatie. 5113.2.1 Beleid en procedures voor informatie-uitwisseling . 5113.2.2 Uitwisselingsovereenkomsten . 5213.2.3 Elektronisch berichtenuitwisseling . 5313.2.4 Beveiliging regelen in overeenkomsten met een derde partij . 53VERWERVING, ONTWIKKELING EN ONDERHOUD VAN INFORMATIESYSTEMEN . 5514.1 Beveiligingseisen voor informatiesystemen . 5514.1.1 Analyse en specificatie van beveiligingseisen bij de verwerving van informatiesystemen . 5514.1.2 Toepassingen op openbare netwerken beveiligen . 5514.1.3 Transacties van toepassingen beschermen . 5614.2 Beveiliging bij ontwikkelings- en ondersteuningsprocessen . 5714.2.1 Beleid voor beveiligd ontwikkelen . 5714.2.2 Procedures voor wijzigingsbeheer van informatiesystemen . 5814.2.3 Technische beoordeling van toepassingen na wijzigingen in het besturingssysteem . 5814.2.4 Beperkingen op wijzigingen in programmatuurpakketten . 5914.2.5 Principes voor engineering van beveiligde systemen . 5914.2.6 Beveiligde ontwikkelomgeving . 6014.2.7 Uitbestede ontwikkeling van programmatuur . 6014.2.8 Testen van systeembeveiliging . 6114.2.9 Systeemacceptatietests . 6114.3 Testgegevens . 6114.3.1 Bescherming van testgegevens . 61LEVERANCIERSRELATIES . 6115.1 Informatiebeveiliging in leveranciersrelaties . 6115.1.1 Informatiebeveiligingsbeleid voor leveranciersrelaties . 6215.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten . 6315.1.3 Toeleveringsketen van informatie- en communicatietechnologie . 6415.2 Beheer van de dienstverlening door een derde partij . 64Versie: mei 2016 Copyright SCCIPagina 4

Certificatienorm Informatiebeveiliginguitgegeven door de Stichting Certificatie Creatieve Industrie16171815.2.1 Controle en beoordeling van dienstverlening door een derde partij . 6515.2.2 Beheer van wijzigingen in dienstverlening door een derde partij . 65CONTROLE OP- EN NALEVING VAN HET SYSTEEM VAN INFORMATIEBEVEILIGING . 6616.1 Beheer van informatiebeveiligingsincidenten en –verbeteringen . 6616.1.1 Verantwoordelijkheden en procedures . 6616.1.2 Rapportage van informatiebeveiligingsgebeurtenissen . 6716.1.3 Rapportage van zwakke plekken in de informatiebeveiliging . 6716.1.4 Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen . 6816.1.5 Respons op informatiebeveiligingsincidenten . 6816.1.6 Leren van informatiebeveiligingsincidenten . 6816.1.7 Verzamelen van bewijsmateriaal. 68INFORMATIEBEVEILIGINGSASPECTEN VAN BEDRIJFCONTINUITEITSBEHEER . 6917.1 Continuïteit van Informatiebeveiliging . 6917.1.1 Plannen van informatiebeveiligingscontinuiteit . 6917.1.2 Continuïteitsplannen ontwikkelen en implementeren . 6917.1.3 Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen . 7017.2 Redundante componenten . 7117.2.1 Beschikbaarheid van informatieverwerkende faciliteiten . 71NALEVING . 7118.1 Naleving van wettelijke voorschriften . 7118.1.1 Identificatie van toepasselijke wetgeving . 7118.1.2 Intellectuele eigendomsrechten . 7118.1.3 Bescherming van bedrijfsdocumenten en registraties . 7218.1.4 Bescherming van gegevens en geheimhouding van persoonsgegevens . 7318.1.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen. 7318.2 Naleving van beveiligingsbeleid en -normen en technische naleving . 7418.2.1 Onafhankelijke beoordeling van informatiebeveiliging . 7418.2.2 Naleving van beveiligingsbeleid en -normen . 7418.2.3 Controle op technische naleving . 75Versie: mei 2016 Copyright SCCIPagina 5

Certificatienorm Informatiebeveiliginguitgegeven door de Stichting Certificatie Creatieve Industrie1INLEIDINGInformatiebeveiliging wordt als gevolg van de digitalisering en de koppeling van informatiesystemen (internet)voor organisaties steeds belangrijker. Klanten en ook medewerkers stellen steeds meer eisen op dat vlak. Ditspeelt in het bijzonder voor grafische ondernemingen die informatie vertalen naar een grafisch product endaarvoor informatie in de vorm van digitale ‘assets’ in beheer houden. Daarnaast is het van belang ombedrijfsinformatie te beschermen om de bedrijfscontinuïteit te waarborgen. Het ‘kwijtraken’ vanorderinformatie schaadt bijvoorbeeld direct het functioneren van de onderneming. Ook op het gebied vanwet- en regelgeving heeft de onderneming te maken met het zorgvuldig beheren van informatie, bijvoorbeeldde wet- en regelgeving op het gebied van het beheer van personeelsgegevens.Organisaties en hun informatiesystemen en netwerken worden geconfronteerd met beveiligingsrisico’s uitallerlei bronnen, zoals computerfraude, spionage, sabotage, vandalisme, brand en overstromingen. Met dekomst van het internet zijn nieuwe oorzaken van schade ontstaan, zoals: computervirussen, computerinbraaken ‘denial of service’-aanvallen. Deze vormen van schade komen steeds vaker voor en worden steedsambitieuzer en vernuftiger.Informatiebeveiliging is de bescherming van informatie tegen een breed scala bedreigingen om debedrijfscontinuïteit te waarborgen en bedrijfsrisico’s te minimaliseren.Informatiebeveiliging wordt bereikt door de juiste verzameling beheersmaatregelen te treffen, waaronderbeleid, werkwijzen, procedures, organisatiestructuren en programmatuur- en apparaat functies. Dezebeheersmaatregelen moeten worden vastgesteld, gecontroleerd, beoordeeld en waar nodig verbeterd, om tewaarborgen dat de specifieke beveiligings- en bedrijfsdoelstellingen van de organisatie worden bereikt. Ditbehoort te worden gedaan in samenhang met andere bedrijfsbeheerprocessen (bijvoorbeeld kwaliteitszorg).De ISO/IEC 27002: 2013 Grafimedia is gebaseerd op de internationale norm (praktijkrichtlijn) voorinformatiebeveiliging NEN-ISO/IEC: 27002:2013. Deze is opgesteld als de praktische lijst maatregelen diebeheerst worden door een zogenaamd ISMS – een managementsysteem voor informatiebeveiliging(Information Security Management System).Dit ISMS wordt door de SCCI als aparte norm omschreven: ISO/IEC 27001: 2013 Creatieve Industrie. Deze normis conform de zogenaamde High Level Structure. Deze structuur is opgezet om eenvoudig geïntegreerd teworden met andere ISO systemen, met name het ISO 9001 kwaliteitszorgsystemen.Versie: mei 2016 Copyright SCCIPagina 6