richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

removed emoji from filenames, Obsidian changed all relevant links

Browse source
This commit is contained in:
Richard Kranendonk 2026-05-07 15:01:04 +02:00
parent d316285a74
commit 68f1c38681
638 changed files with 710 additions and 3176 deletions
Download patch file Download diff file Expand all files Collapse all files

BIN
Clients/DAK/20250309 Rapportage security assessment DAK v1.0.pdf Normal file
View file

Binary file not shown.

BIN
Clients/DAK/250128 Business Impact Analyse DAK.docx Normal file
View file

Binary file not shown.

BIN
Clients/DAK/250128 Incident Respons Plan DAK.docx Normal file
View file

Binary file not shown.

89
Clients/DAK/BIA Workshop DAK.md Normal file
View file

@ -0,0 +1,89 @@
Datum: 13 januari 2025
In het kader van:
- [Opdracht DAK](Opdracht%20DAK.md)
Gebaseerd op:
- [BIA Workshop](../../Corpus/Standards/ISO27x/Implementation%20Products/BIA%20Workshop.md)
[Slide Deck](Presentatie%20BIA%20voor%20DAK%20Kindercentra%2013%20januari%202025.key)
Resultaten:
- [BIA resultaat in MIRO](BIA%20resultaat%20MIRO.pdf)
- [Maximum Down Time systemen per proces](../../Corpus/Attachments/BIA%20resultaten.numbers)
- [Rapportage in Word](250128%20Business%20Impact%20Analyse%20DAK.docx)
## Deelnemers
* Arjan Helmes Medewerker facilitaire zaken (beheer Topdesk)
* Arthur van Straaten Senior medewerker debiteurenbeheer
* Christien Lakwijk Unit manager
* Ellen de Jong Manager HR, Pedagogiek en kwaliteit
* Marianne van Heezik Senior medewerker HR
* Arjan van Gameren - Projectleider IT
* Leon van Heijningen - Kwaliteitsadviseur
* Patricia Danckaerts - Functioneel Beheer
* Fasco Siebelink - IT
* Bert van Heuvel - IT
* Afwezig wegens ziek: Sander Donkers - mgr bedrijfsvoering a.i.
## Uitnodiging
Beste collegas,
IT-security is een van de pijlers onder onze bedrijfsvoering. In een wereld waarin technologie een steeds grotere rol speelt, is het essentieel dat wij voorbereid zijn op eventuele verstoringen en weten hoe we onze organisatie veerkrachtig kunnen houden. Het komende jaar richten we ons op een belangrijke stap in onze IT-strategie: het ontwikkelen van een Incident Response Plan. Dit plan is meer dan een document het is onze blauwdruk voor het omgaan met onvoorziene IT-incidenten, zoals systeemuitval, datalekken of cyberaanvallen. Het helpt ons niet alleen de impact te minimaliseren, maar zorgt er ook voor dat we snel, effectief en gecoördineerd kunnen handelen.
Om dit proces tot een succes te maken, starten we met twee interactieve workshops onder leiding van Richard Kranendonk, een expert op het gebied van IT-security en crisismanagement. Deze workshops bieden een unieke kans om gezamenlijk de fundering te leggen voor een sterk Incident Response Plan dat aansluit bij de behoeften en uitdagingen van Dak kindercentra.
Om deze workshops goed te laten verlopen, hebben we jullie inzichten, expertise en praktijkervaring nodig. Het is cruciaal dat we vanuit verschillende invalshoeken een compleet beeld krijgen van onze behoeften en uitdagingen.
Ik hoop dat iedereen kan en wil deelnemen. Alvast dank daarvoor!
Groet, Sander
## Aanpak
- Voorstelrondje
### Mondelinge introductie
**Waarom een workshop BIA?**
De kans op ernstige verstoringen is groter dan een aantal jaren geleden:
- statelijke actoren die aanvallen plegen op de infrastructuur (internetkabels onder zee)
- ransomware aanvallen (gemiddelde duur 16 dagen)
- grillig politiek en commercieel lands hap
- wetgever en toezichthouders willen een bedrijfscontinuïteitsplan zien
- voor het stellen van prioriteiten tav noodmaatregelen en herstel is het belangrijk te weten waar de prioriteiten moeten liggen dat doe je met een BIA
**Waarom jullie?**
- continuïteit is een business probleem, dat je vanuit verschillende perspectieven moet bekijken. IT kan dat niet voor jullie bepalen.
**Aanpak**
- In deze sessie gaan we vanuit 2 hoofdprocessen ([reis van de medewerker](../../Corpus/Standards/ISO27x/Implementation%20Products/Hulplijsten/Employee%20Journey%20KOV.md) en [reis van het kind](../../Corpus/Standards/ISO27x/Implementation%20Products/Hulplijsten/Customer%20Journey%20KOV.md)[Customer Journey KOV](../../Corpus/Standards/ISO27x/Implementation%20Products/Hulplijsten/Customer%20Journey%20KOV.md)) de afhankelijkheid van systemen bekijken, en de impact op de processen wanneer deze systemen wegvallen. Aan de hand daarvan kunnen we prioriteiten gaan bepalen.
- In de volgende sessie gaan we kijken naar noodmaatregelen en herstel, en hoe we daarvoor voorbereidingen kunnen treffen.
### Instructie
- Op het canvas zien jullie de processtappen, we lopen er doorheen om te kijken of het herkenbaar is en of jullie iets missen.
- We gaan nu per processtap kijken welke systemen uit de [lijst](Hulplijst%20systemen%20voor%20DAK%20kindercentra.md) belangrijk zijn op dat proces uit te voeren.
- Die systemen zetten we onder de processtap, in de verticale baan
- We gaan vervolgens kijken hoe lang die systemen gemist kunnen worden: een uur, een dag, een week of een maand
- Hieruit kunnen we dan 2 dingen afleiden:
- de meest kwetsbare bedrijfsfuncties: dit is voor de business een maat voor de prioriteit van het *activeren* van noodmaatregelen (en wanneer het systemen betreft die alleen die bedrijfsfunctie ondersteunen, voor IT in de prioriteit van herstelmaatregelen)
- de meest kritische systemen: dit is voor IT een maat voor de prioriteit van het preventief treffen van uitwijkmogelijkheden en het activeren van herstelmaatregelen.
### Verwerking
1. In Excel een matrix gemaakt van processtappen en systemen
2. in de cellen een MTD gezet in dagen (1 uur = 0.125 dag)
3. Geclassificeerd als: 1 uur is Rood, 1 tot 2 dagen is Oranje, een week tot een maand is Groen
4. als je er een grafiek van wil maken, kun je de waarde in de cel vervangen door 1/x, dus 1 uur wordt 8 en 1 maand wordt 0.03 dit is dan een maat voor urgentie
- Score 8 is Rood, score 0.5-1.0 is Oranje, 0.03-0.14 is Groen
## Evaluatie van de workshop
- Blinde vlekken / ontbrekende personen:
- De pedagogisch coaches maken gebruik van documenten op de fileservers, die zijn nu niet betrokken. Ze vallen onder de unit-coördinatoren. Leon en Christien kunnen met hen schakelen.
- Voor het bedenken van noodoplossingen in de volgende workshop, is het handig om ook Miriam Eggermond van de boekhouding en Teamleider klantadvies Charlotte van der Weijde te betrekken (voor het kind-deel)
- Wendy Zuiderwijk doet de salarisverwerking.- Handig om de volgende workshop (DRP) te splitsen in een kind-deel en een medewerkers-deel. Verschillende deelnemers geven aan graag bij beide delen aanwezig te willen zijn.
- Er waren teveel processtappen: wel benoemen maar clusteren in minder verticale banen
- De verticale banen waren te lang/hoog, dat geeft veel gescroll. Die hoogte was gedaan, om primaire systemen, secundaire systemen en randvoorwaarden te onderscheiden, maar dat is te ingewikkeld.
- De IT-beheersystemen en platforms zijn niet aan de orde gekomen. Dat is niet iets om in een business workshop te bespreken.
- De personen als SPOF zijn niet aan de orde gekomen
- Van de categorieën voor uitvaltijd (uur, dag, week, maand) schoot dag/week soms te kort: medewerkers wilden dan 2 dagen of 3 dagen toekennen.
- Het is belangrijk het onderscheid te benadrukken tussen 'heel erg onhandig' vs. 'schadelijk voor de organisatie' bij het toekennen van de uitvaltijd gaat het om dat laatste.

4406
Clients/DAK/BIA resultaat MIRO.pdf Normal file
View file

File diff suppressed because it is too large Load diff

BIN
Clients/DAK/Due Dilligence en Accountantsrapportage DAK.pdf Normal file
View file

Binary file not shown.

36
Clients/DAK/Hulplijst systemen voor DAK kindercentra.md Normal file
View file

@ -0,0 +1,36 @@
# Hulplijst systemen voor DAK kindercentra
Bron: [Uitvraag DAK](Uitvraag%20DAK.md)
**Applicaties (voor eindgebruikers)**
- AFAS-FIN
- AFAS-HR
- CPM
- Datto
- Exchange (on premise)
- Fileserver
- Iris
- Jaamo
- Kokon
- Office 365
- Outlook
- Word/Excel/PP
- OneDrive
- OnGuard
- PowerBI
- SharePoint
- Teams
**Platform**
- Azure
- Citrix
- EntraID
- Intune
- Local AD
- PRTG
- TopDesk
- Veeam
- VMWare
Externe bronnen (portals, websites)
Generieke voorzieningen: wifi, internetverbinding, telefonie/mobiele data, stroom, klimaatvoorzieningen

55
Clients/DAK/IRP Workshop DAK.md Normal file
View file

@ -0,0 +1,55 @@
Datum: 20 januari 2025
In het kader van:
- [Opdracht DAK](Opdracht%20DAK.md)
Gebaseerd op:
- [DRP Workshop](../../Corpus/Standards/ISO27x/Implementation%20Products/DRP%20Workshop.md)
Resultaten:
- [Notities uit sessie](IRP%20uitwerking.xlsx)
- [Incident Respons Plan](250128%20Incident%20Respons%20Plan%20DAK.docx)
## Deelnemers
* Arjan Helmes Medewerker facilitaire zaken (beheer Topdesk)
* Arthur van Straaten Senior medewerker debiteurenbeheer
* Bert van Heuvel - IT
* Christien Lakwijk Unit manager
* Ellen de Jong Manager HR, Pedagogiek en kwaliteit
* Fasco Siebelink - IT
* Marianne van Heezik Senior medewerker HR
* Arjan van Gameren - Projectleider IT
* Leon van Heijningen - Kwaliteitsadviseur
* Patricia Danckaerts - Functioneel Beheer
* Sander Donkers - mgr bedrijfsvoering a.i.
* Pedagogisch coaches?
* Miriam Eggermond, boekhouding
* Charlotte van der Weijde, Teamleider klantadvies (voor het kind-deel)
- Wendy Zuiderwijk, salarisverwerking
## Aanpak
Voorstelrondje (voor deelnemers die er in de vorige workshop ([BIA](BIA%20Workshop%20DAK.md)) niet bij waren)
### Introductie
In de workshop van vorige week hebben we gekeken hoe lang systemen gemist konden worden, voordat de verschillende bedrijfsprocessen hiervan schade ondervonden (en het dus meer werd dan 'erg onhandig').
Daarvan wil ik de resultaten nu met jullie delen: [Maximum Down Time systemen per proces](../../Corpus/Attachments/BIA%20resultaten.numbers).
In deze sessie gaan we voor de kwetsbaarste processen kijken welke noodmaatregelen we kunnen inzetten als de meest kritische systemen uitvallen, hoe we die noodmaatregelen kunnen voorbereiden, wie we daarvoor nodig hebben, en hoe we gaan communiceren met de verschillende stakeholders over die noodmaatregelen.
Dus:
- Jaamo is niet beschikbaar. Hoe kunnen we er voor zorgen dat we toch de ouders kunnen bereiken vanaf de locaties? Wat hebben we daarvoor nodig?
- Adressenlijst
- Telefoon
- Hoe zorgen we er voor dat die adressenlijst beschikbaar is op de locatie? Waar bewaren we die (want privacy)?
- Hoe vaak moet die uitgeprint worden om hem actueel te houden? Wie gaat dat doen?
- Met wie moeten we communiceren om de noodprocedure in gang te zetten?
- Wie moeten we inlichten over de gewijzigde werkwijze, wanneer, hoe, en wie doet het?
- Welke registraties moeten we handmatig voeren om aan onze verplichtingen te voldoen, en straks de systemen weer bij te kunnen werken?
- Hoe gaan we terug naar normaal?
- aan welke randvoorwaarden moet voldaan zijn voor we de noodtoestand kunnen opheffen? Hoe komen we dat te weten?
- wie moeten we inlichten over het opheffen van de noodmaatregelen, wanneer, hoe, en wie doet het?
- wie gaat wanneer de systemen bijwerken adhv de noodregistraties?

BIN
Clients/DAK/IRP uitwerking.xlsx Normal file
View file

Binary file not shown.

BIN
Clients/DAK/Inventarisatie Toegangsbeheer DAK 2 april 2025.docx Normal file
View file

Binary file not shown.

36
Clients/DAK/Inventarisatie beheer SaaS applicaties DAK.md Normal file
View file

@ -0,0 +1,36 @@
# Inventarisatie beheer SaaS applicaties DAK
![](Inventarisatie%20Toegangsbeheer%20DAK%202%20april%202025.docx)
## Voorgestelde aanpak voor beleidsmatig toegangsbeheer
Solide, risico-gebaseerd toegangsbeheer kent verschillende componenten:
1. inzage in de soorten informatie en de risicos van ongeoorloofde toegang (dataclassificatie)
2. bepalen welke informatie toegankelijk moet zijn, en voor wie (volgens need to know en least privilege principes, op basis van rollen in de organisatie)
3. procedures voor het bepalen, toekennen en ontnemen van toegang tot informatie.
Om dit te bereiken kunnen de onderstaande stappen genomen worden.
### Opstellen dataclassificatie
- Bepaal de belangrijkste risicogebieden en de risicobereidheid van de organisatie
- Kwalificeer de classificatie-niveaus in overeenstemming met de risicobereidheid
- Identificeer documentsoorten en informatietypen en bepaal het classificatie-niveau
- Bepaal risicobeperkende maatregelen en richtlijnen voor de omgang met de verschillende categorieën informatie.
### Bepalen noodzakelijke toegang
- Definieer rollen voor de verschillende omgevingen en applicaties, gekoppeld aan het functiehuis van DAK.
- Stel per omgeving/applicatie een rechtenmatrix op, gebaseerd op deze rollen, rekening houdend met de autorisatiestructuur van de omgeving/applicatie.
- Implementeer deze rechtenmatrices binnen de applicaties.
### Procedures voor toegangsbeheer
- Formuleer beleid voor het toekennen van rechten in overeenstemming met functiebeschrijvingen, gebaseerd op need to know en least privilege principes.
- Maak helder onder welke omstandigheden, en op welk mandaat, hiervan afgeweken mag worden. Doe dit o.b.v. een risicoanalyse en documenteer de afwijkingen.
- Richt een (beschreven) proces in voor het toekennen, wijzigen en ontnemen van rechten bij personeels- en functiewijzigingen.
- Controleer periodiek de uitvoering.
## Informatiebeheer op SharePoint
Hoewel dit strikt gezien niet onder toegangsbeheer valt, wil ik op basis van de inventarisatie toch een aantal aanbevelingen voor het informatiebeheer op SharePoint geven. Waarschijnlijk komt dit aan de orde in het project met IT Value.
- Stel richtlijnen en uitgangspunten op voor de inrichting van SharePoint (cq. Teams) om wildgroei en vervuiling te voorkomen.
- Stel beleid op voor het aanmaken, archiveren en opheffen van sites, kanalen, etc. in SharePoint en Teams.
- Wijs informatie-eigenaren aan voor de verschillende onderdelen van SharePoint en Teams en beschrijf daarvoor taken, bevoegdheden en verantwoordelijkheden.
- Implementeer een rechtenstructuur in overeenstemming met deze rol.
- Veranker dit beleid aan de dataclassificatie.

29
Clients/DAK/LLM destillatie risk interviews DAK.md Normal file
View file

@ -0,0 +1,29 @@
This report outlines security risks and contributing factors discovered through interviews with various personnel at a childcare organization, along with recommendations for remediation.
**Key Security Risks:**
* **Inadequate File Server Management:** The organization acknowledges a long-standing issue with the file server's folder structure and permissions, lacking a clear overview of user access rights. This poses security and data management risks, potentially granting unauthorized access to sensitive information. Contributing factors include the absence of a defined structure, inconsistent adherence to policies, and a reactive approach to requests.
* **Lack of Data Classification and Handling Guidelines:** The organization lacks a formal data classification system and comprehensive guidelines for handling sensitive information. While some departments like HR and Finance demonstrate higher awareness, consistent organization-wide policies and training are absent. This increases the risk of data breaches and non-compliance with data protection regulations.
* **Inefficient System Integration and Automation:** The organization relies on manual processes and workarounds to bridge gaps between its various systems, notably between AFAS (HR and Finance) and Jaamo (child registration). This introduces inefficiencies, increases the potential for human error, and hinders effective data management.
* **Insufficient Security Awareness and Training:** While basic security guidelines exist, awareness and adherence among employees are inconsistent, evidenced by practices like storing passwords on monitors. A robust security awareness program with targeted training is crucial to address these concerns and promote a security-conscious culture.
* **Limited Supplier Management and Oversight:** The responsibility for managing relationships with IT suppliers is fragmented across different departments, hindering consistent oversight and potentially leading to inconsistencies in security practices.
**Contributing Factors:**
* **Lack of Clear Policies and Frameworks:** The absence of a well-defined IT policy and security framework contributes to inconsistent practices and reactive responses to security issues.
* **Capacity and Prioritization Challenges:** Limited IT resources and competing priorities likely delay addressing security concerns, exemplified by the persistent file server access issue.
* **Incomplete Inboarding and Knowledge Management:** New employees lack a comprehensive onboarding program covering essential IT systems, security procedures, and data handling practices. This can lead to knowledge gaps and inconsistencies in applying security measures.
* **Inadequate Control Over External Access:** The organization grants external parties access to its data, such as through the ouderportaal (parent portal), raising concerns about proper access control and data protection.
**Recommendations:**
* **Establish a Robust IT Security Policy and Framework:** Develop and implement a comprehensive IT security policy and framework that encompasses data classification, access control, incident management, supplier management, and security awareness training.
* **Implement a Data Classification System:** Define clear categories for data sensitivity, establish corresponding handling procedures, and integrate this system into the organization's workflows and applications.
* **Prioritize and Address File Server Access Issues:** Conduct a thorough review of file server permissions and implement role-based access control to ensure that users have appropriate access to information.
* **Enhance System Integration and Automation:** Explore options for automating data flows between critical systems (AVAS, Jamo, etc.) to reduce manual processes, improve data accuracy, and streamline workflows.
* **Develop a Comprehensive Security Awareness Program:** Implement regular security awareness training for all employees, covering topics such as password hygiene, phishing awareness, data handling best practices, and incident reporting procedures.
* **Strengthen Supplier Management and Oversight:** Consolidate supplier management responsibilities, establish clear security requirements for all suppliers, and conduct regular audits to ensure compliance.
* **Develop a Business Continuity and Disaster Recovery Plan:** As the organization acknowledges the lack of a plan for system outages, creating and testing these plans is critical. This involves identifying critical systems, establishing recovery time objectives (RTOs), and outlining procedures for restoring operations.
* **Conduct Regular Security Audits and Risk Assessments:** Implement a program of regular security audits and risk assessments to proactively identify vulnerabilities, monitor compliance, and drive continuous improvement.
**By addressing these recommendations, the childcare organization can significantly strengthen its security posture, protect sensitive information, and mitigate potential risks.**

52
Clients/DAK/Opdracht DAK.md Normal file
View file

@ -0,0 +1,52 @@
Zie ook: [Uitvraag DAK](Uitvraag%20DAK.md), [Vervolgopdracht DAK](Vervolgopdracht%20DAK.md)
Getekend 15 november 2024
![](Opdracht%20Dak%20aan%20TSW.docx)
Op basis van de vraagstelling en wat besproken is, bieden wij de volgende interventies aan:
- [Risico-inventarisatie](Risico-inventarisatie%20DAK.md)
- [Business Impact Analyse](BIA%20Workshop%20DAK.md)
- [Incident Respons en Herstelplan](IRP%20Workshop%20DAK.md)
- [Pentest op de IT-omgevingen](Pentest%20DAK.md)
Deze interventies zijn hieronder uitgewerkt.
[Planning per 14 januari 2025](Planning%20DAK%2014012025%201.md)
| **Risico-inventarisatie** | |
| ------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Doel:** | Inzicht krijgen in het actuele risicolandschap van de organisatie m.b.t. de veiligheid van informatie: Beschikbaarheid, Vertrouwelijkheid en Integriteit (BVI) |
| **Hoe:** | Door middel van interviews met IT-medewerkers en applicatiebeheerders worden de bekende risicos in kaart gebracht. |
| **Interviewees:** | - IT-beheerders<br>- Applicatiebeheerders<br>- N.t.b. |
| **Benodigde informatie:** | - Organogram<br>- Systeemlandschap en kroonjuwelen<br>- Overzicht dienstverleners en geleverde diensten (SLAs [[1]])<br>- Relevante bevindingen Due Dilligence onderzoek |
| **Resultaat:** | Risicoregister |
| **Business Impact Analyse** | |
| --------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Doel:** | Inzicht krijgen in de kritische bedrijfsfuncties en hun afhankelijkheid van informatiesystemen en dienstverleners, zodat prioriteiten voor noodoplossingen en herstel kunnen worden bepaald, als basis voor Incident Respons en Herstelplannen. |
| **Hoe:** | In een workshop van 3 uur worden de kritische bedrijfsprocessen en hun onderliggende systemen en afhankelijkheden geïdentificeerd. De impact van het wegvallen van de systemen wordt in kaart gebracht, en er worden doelen bepaald voor maximale downtime en dataverlies. |
| **Deelnemers:** | - Manager bedrijfsvoering<br>- Senior medewerkers Planning & Administratie, HR, Finance (afhankelijk van organogram)<br>- IT-beheerders / Applicatiebeheerders (n.t.b.) |
| **Benodigde informatie:** | - Resultaten workshop risico-inventarisatie<br>- Bedrijfsproces Reis van het Kind (customer journey)<br>- Bedrijfsproces Reis van de Medewerker (employee journey) |
| **Resultaat:** | Analyse van de kritische bedrijfsfuncties en hun afhankelijkheid van informatiesystemen en dienstverleners, samen met prioriteiten voor noodoplossingen en herstel |
| **Incident Respons en Herstelplan** | |
| ----------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Hoe:** | In een workshop van 3 uur worden mogelijke noodoplossingen geïnventariseerd, en welke stappen genomen moeten worden om weer terug te keren naar de normale situatie. Ook worden de daarvoor benodigde mensen, middelen en partijen geïdentificeerd. |
| **Deelnemers:** | - Manager bedrijfsvoering<br>- IT beheerders<br>- Applicatiebeheerders |
| **Benodigde informatie:** | - Resultaten workshop Business Impact Analyse |
| **Resultaat:** | - Incident Respons Plan (continuïteit van kritische bedrijfsfuncties in een noodsituatie)<br>- Herstelplan (terugkeer naar de normale situatie) |
| **Pen-test** | |
| ------------------------- | ------------------------------------------------------------------------------------------------------------------------------------- |
| **Hoe:** | Uit te voeren door een gespecialiseerde partij. Uit drie leverancierspresentaties en offertes kiezen we de partij die het beste past. |
| **Benodigde informatie:** | - N.t.b. |
| **Resultaat:** | Inzicht in de kwetsbaarheden van de IT-omgeving, en prioritering van remediërende maatregelen |
| **Bandbreedte kosten:** | €7.500 €35.000, afhankelijk van leverancier en scope<br>+ 1 dag trajectbegeleiding |
---
[[1]] Bedragen en andere concurrentiegevoelige informatie mogen worden weggelakt

BIN
Clients/DAK/Opdracht Dak aan TSW.docx Normal file
View file

Binary file not shown.

80
Clients/DAK/Pentest DAK rapport Vitaen.md Normal file
View file

@ -0,0 +1,80 @@
# Rapportage Penetratietest DAK Kindercentra
## Scope
- Locatie kinderdagverblijf (Lamgroen 18, 2511 XE Den Haag)
- Locatie Servicekantoor (Maanweg 174, 2516 AB Den Haag)
- Azure omgeving
- Externe componenten DAK
## Gehanteerde richtlijnen
- [OWASP ASVS](https://owasp.org/www-project-application-security-verification-standard/) Application Security Verification Standard
- [OWASP API Security Project](https://owasp.org/www-project-api-security/
- [OWASP Secure Headers Project](https://owasp.org/www-project-secure-headers) )
- NCSC-NL - [ICT-beveiligingsrichtlijnen](https://www.ncsc.nl/documenten/publicaties/2021/januari/19/ict-beveiligingsrichtlijnen-voor-transport-layer-security-2.1) voor Transport Layer Security (TLS)
- [MITRE ATT&CK®](https://attack.mitre.org) Matrix for Enterprise
- [OSSTMM 3](https://www.isecom.org/OSSTMM.3.pdf) Open Source Security Testing Methodology
- [PTES](http://www.pentest-standard.org/index.php/Main_Page) Penetration Testing Execution Standard
- [NIST (SP) 800-115](https://csrc.nist.gov/pubs/sp/800/115/final), Technical Guide to Information Security Testing and Assessment
Kwetsbaarheden gescoord volgens het Common Vulnerability Scoring System ([CVSS versie 3.x](https://nvd.nist.gov/vuln-metrics/cvss)).
## Bevindingen
| Identifcatie | Naam bevinding | Risicoclassificatie |
| ------------ | -------------------------------------------------- | ------------------- |
| ID: F.11 | Kerberoastable Domain Admin Account | Hoog |
| ID: F.1 | WP-Cron beschikbaar | Medium |
| ID: F.8 | Service Accounts met domain admin rechten | Medium |
| ID: F.3 | Users.json beschikbaar voor anonieme gebruikers | Laag |
| ID: F.4 | Toegang tot xml-rpc.php voor anonieme gebruikers | Laag |
| ID: F.10 | Kerberoastable service accounts | Laag |
| ID: F.12 | Web applicatie draaiend op port 80 | Laag |
| ID: F.2 | DMARC: Quarantine/Reject policy niet geconVgureerd | Informatief |
| ID: F.5 | Missende security headers | Informatief |
| ID: F.6 | Default Admin account actief binnen Azure | Informatief |
| ID: F.7 | Applicatiegeheim met te lange einddatum | Informatief |
| ID: F.9 | Verouderde Servers | Informatief |
**Mijn mening**
- F.8, F.10 en F.11 gaan alledrie over Service Accounts met onnodig hoge rechten. Mogelijk een structurele fout in de benadering van Service Accounts beleidsvorming lijkt me verstandig. Zou voor mijn begrip graag uitleg willen waarom de risicoclassificatie van F.8 'medium' is
- F.10 en F.11 draaien beiden om Kerberoasting maar F.10 heeft RC 'Laag' en F.11 heeft RC 'Hoog'. Waarom?
- F12: welke web applicatie is dit? Want als dit gevoelige gegevens betreft vind ik het niet RC 'Laag'
- F1, F4 gerelateerd aan de implementatie van de website is dit door een partner gedaan? Dit is wat betreft informatiebeveiliging een aandachtspunt voor het leveranciersmanagement
- F6: standaard admin account op Azure actief. Zie F1, F4.
- F7: applicatiegeheim Zorgmail met ongebruikelijk lange geldigheidstermijn in Azure. Wie heeft dit ingesteld? Mogelijk zelfde als F1, F4 en F6. Ik weet niet wat de gevolgen kunnen zijn van een kwetsbaarheid op Zorgmail Domeinboek.
### F.11 Kerberoastable Domain Admin Account
Voor het gebruik van de SA_VEEAM backup software is een Domain Administrator account aangemaakt. Dit geeft directe toegang geeft tot de volledige Active Directory-omgeving. Een aanvaller kan hiermee back-ups manipuleren, verwijderen of zelfs de volledige Active Directory overnemen. Het principe van least privilege lijkt niet te zijn toegepast
Volgens Vitaen is dit 'in de meeste gevallen niet noodzakelijk en verhoogt het aanvalsoppervlak aanzienlijk':
>Aangezien dit account vatbaar is voor een [Kerberoasting](../../Corpus/Sparks/Kerberoasting.md) aanval, is het mogelijk gebleken de wachtwoord hash te bemachtigen. Het bleek echter niet mogelijk in de korte tijd dat de opdracht plaatsvond, om hiervan het wachtwoord te brute-forcen.
**Oplossingsrichting**
> Vitaen adviseert om het principe van least privilege toe te passen: service accounts mogen alleen de rechten krijgen die strikt noodzakelijk zijn voor hun functionaliteit. Waar mogelijk moeten alternatieve oplossingen zoals Managed Service Accounts (MSA) of Group Managed Service Accounts (gMSA) worden gebruikt, die automatisch wachtwoorden roteren en minder risicovol zijn. Daarnaast moet het gebruik van service accounts met verhoogde rechten actief worden gemonitord en gelogd, zodat afwijkend gedrag direct wordt opgemerkt.
NOTA BENE: F.10 draait ook om Kerberoasting maar heeft RC 'Laag'. Waarom? Bij de oplossingsrichting aldaar wordt ook het 'monitoren van Kerberos-verzoeken op verdachte activiteiten' genoemd.
### F.1 WP-Cron beschikbaar
WP-Cron.php is een virtueel cron systeem dat wordt gebruikt door WordPress om geplande taken uit te voeren. Dit endpoint is publiekelijk toegankelijk, wat aanvallers in staat stelt om ongeautoriseerde cron-taken uit te voeren wat kan resulteren in een Denial-of-Service (DoS)-aanval.
**Oplossingsrichting**
> Vitaen adviseert om de toegang tot WP-Cron.php door middel van IP-restricties of authenticatie te beperken. Alternatief kan WP-Cron.php uitgeschakeld worden in de WordPress-conVguratie (wpconVg.php) en vervangen worden door de server-gebaseerde cron om geplande taken uit te voeren. Dit voorkomt ongewenste toegang en minimaliseert de kans op misbruik.
### F.8 Service Accounts with domain admin rechten
> Meerdere service accounts beschikken over Domain Admin-rechten. (...) Het toekennen van dergelijke hoge privileges aanzienlijke risicos met zich mee.
Bij compromittering van (deze) account(s) kan een aanvaller:
> volledige controle over de Active Directory kan verkrijgen. Dit opent de deur naar privilege escalation, laterale beweging binnen het netwerk en zelfs volledige overname van de IT-infrastructuur. Bovendien worden service accounts vaak uitgesloten van multi-factor authenticatie (MFA), wat het risico op misbruik verder vergroot.
**Oplossingsrichting**
> Vitaen adviseert om het principe van least privilege toe te passen: service accounts mogen alleen de rechten krijgen die strikt noodzakelijk zijn voor hun functionaliteit. Waar mogelijk moeten alternatieve oplossingen zoals Managed Service Accounts (MSA) of Group Managed Service Accounts (gMSA) worden gebruikt, die automatisch wachtwoorden roteren en minder risicovol zijn. Daarnaast moet het gebruik van service accounts met verhoogde rechten actief worden gemonitord en gelogd, zodat afwijkend gedrag direct wordt opgemerkt.
![](20250309%20Rapportage%20security%20assessment%20DAK%20v1.0.pdf)

68
Clients/DAK/Pentest DAK.md Normal file
View file

@ -0,0 +1,68 @@
## Uitgenodigde partijen:
- [Vitaen](https://vitaen.nl) (v/h [Cocoon](https://www.cocoon.nl/))
- [Holm Security](bear://x-callback-url/open-note?id=DAAF7921-CB06-4007-8C65-F75014A65786)
- [Inducem](bear://x-callback-url/open-note?id=91504CCE-FCE4-4F36-A3E9-CE7B67EE182A)
- [SecuResult](https://securesult.nl)
De keuze is gevallen op Vitaen.
De [rapportage](Pentest%20DAK%20rapport%20Vitaen.md) is opgeleverd op 19 maart 2025.
## Uitvraag
Beste <naam>,
namens mijn opdrachtgever, DAK Kindercentra (Den Haag) wil ik jullie uitnodigen deel te nemen aan het selectietraject voor het uitvoeren van een pen-test.
De hoofdvragen waar we een antwoord op zoeken, zijn:
1. hoe makkelijk/moeilijk is het om bij informatie/resources van DAK te komen?
2. wat zijn de meest urgente risicos?
3. met welke praktisch implementeerbare maatregelen kunnen deze risicos gemitigeerd worden?
Om deze vragen te beantwoorden stelt DAK een budget van max. 5 factureerbare dagen beschikbaar voor het uitvoeren van de testen en het opstellen van de rapportage.
Onze vragen aan jullie:
1. Hoe willen jullie dit aanpakken?
2. Wat hebben jullie daarvoor nodig van DAK?
3. Wat gaan jullie hiervoor in rekening brengen?
4. Wanneer kan de test uitgevoerd worden?
5. Welke referenties en kwalificaties kunnen jullie overleggen?
**Scope**
Binnen de scope van deze scan vallen:
1. Het uitvoeren van een test op/vanaf het Servicekantoor te Voorburg
2. Het uitvoeren van een test op/vanaf één van de eigen kinderopvang locaties
3. Het uitvoeren van een test op/vanaf één van de IKC locaties
De lokale infrastructuur op de eigen locaties is in opdracht van DAK geïmplementeerd door Informatel. De lokale infrastructuur op de IKC locaties is onder beheer van derden (hier wordt de kinderopvang geboden vanuit een school met een eigen infrastructuur).
De belangrijkste informatie-assets zijn:
- On-premise op het Servicekantoor te Voorburg:
- Citrix
- Fileserver
- SQL server
- Applicatieservers
- As a Service van externe leveranciers:
- MS365, incl. en Azure, EntraID en Intune (door Eshgrow)
- Jaamo
- AFAS
- TopDesk
- Collaboration VoIP
Jaamo, AFAS, Topdesk en Collaboration zijn zelf geen onderwerp van de pentest, de door Eshgrow geleverde Microsoft omgeving is dat wèl. We noemen deze systemen omdat bijvangst hierover wel interessant is (login informatie die jullie op onze systemen aantreffen bijvoorbeeld).
**Nadere afstemming**
Als het voor de beantwoording van de vragen zinvol is om nader contact te hebben, kunnen we hiervoor een Teams call plannen in week 4.
Jullie antwoorden op de hierboven gestelde vragen ontvangen wij graag uiterlijk eind week 5.
Voordat nadere informatie verstrekt wordt, zullen we jullie vragen een NDA te ondertekenen.

30
Clients/DAK/Planning DAK 14012025 1.md Normal file
View file

@ -0,0 +1,30 @@
∏Tabel
| **Activiteit** | Wk01 | Wk02 | **Wk03** | Wk04 | Wk05 | Wk06 | Wk07 | Wk08 | Wk09 | Wk10 | Wk11 | Wk12 | Wk13 | Wk14 | Wk15 | Wk16 | Wk17 | Wk18 | Wk19 | Wk20 | |
|-------------------------------------|------|------|----------|------|------|------|------|------|------|------|------|------|------|------|------|------|------|------|------|------|---|
| **Risico-inventarisatie** | | | | | | | | | | | | | | | | | | | | | |
| Interviews | | | | | | | | | | | | | | | | | | | | | |
| Opleveren rapportage | | | | | | | | | | | | | | | | | | | | | |
| | | | | | | | | | | | | | | | | | | | | | |
| **Business Impact Analyse** | | | | | | | | | | | | | | | | | | | | | |
| Workshop | | | X | | | | | | | | | | | | | | | | | | |
| | | | | | | | | | | | | | | | | | | | | | |
| **Incident Respons en Herstelplan** | | | | | | | | | | | | | | | | | | | | | |
| Workshop | | | | X | | | | | | | | | | | | | | | | | |
| Opleveren concept IR-plan | | | | | | X | | | | | | | | | | | | | | | |
| Bespreken met DAK | | | | | | | X | | | | | | | | | | | | | | |
| Opleveren IR-plan | | | | | | | | X | | | | | | | | | | | | | |
| Bespreken herstelprocedure IT | | | | | | | X | | | | | | | | | | | | | | |
| Opleveren concept Herstelplan IT | | | | | | | | X | | | | | | | | | | | | | |
| Bespreken met DAK | | | | | | | | | 0 | X | | | | | | | | | | | |
| Opleveren Herstelplan IT | | | | | | | | | | | X | | | | | | | | | | |
| | | | | | | | | | | | | | | | | | | | | | |
| **Pentest** | | | | | | | | | | | | | | | | | | | | | |
| Bepalen scope | | | X | | | | | | | | | | | | | | | | | | |
| Uitsturen uitvraag | | | X | | | | | | | | | | | | | | | | | | |
| Presentatie leveranciers | | | | | X | | | | | | | | | | | | | | | | |
| Offertes | | | | | | X | | | | | | | | | | | | | | | |
| Opdrachtverlening | | | | | | | X | | | | | | | | | | | | | | |
| Uitvoeren Test | | | | | | | | | X | X | | | | | | | | | | | |
| Rapportage | | | | | | | | | | | X | | | | | | | | | | |
| Realiseren hoge prio bevindingen | | | | | | | | | | | X | X | X | X | X | X | X | X | X | X | |

30
Clients/DAK/Planning DAK 14012025.md Normal file
View file

@ -0,0 +1,30 @@
Tabel
| **Activiteit** | Wk01 | Wk02 | **Wk03** | Wk04 | Wk05 | Wk06 | Wk07 | Wk08 | Wk09 | Wk10 | Wk11 | Wk12 | Wk13 | Wk14 | Wk15 | Wk16 | Wk17 | Wk18 | Wk19 | Wk20 | |
| ----------------------------------- | ---- | ---- | -------- | ---- | ---- | ---- | ---- | ---- | ---- | ---- | ---- | ---- | ---- | ---- | ---- | ---- | ---- | ---- | ---- | ---- | --- |
| **Risico-inventarisatie** | | | | | | | | | | | | | | | | | | | | | |
| Interviews | | | | | | | | | | | | | | | | | | | | | |
| Opleveren rapportage | | | | | | | | | | | | | | | | | | | | | |
| | | | | | | | | | | | | | | | | | | | | | |
| **Business Impact Analyse** | | | | | | | | | | | | | | | | | | | | | |
| Workshop | | | X | | | | | | | | | | | | | | | | | | |
| | | | | | | | | | | | | | | | | | | | | | |
| **Incident Respons en Herstelplan** | | | | | | | | | | | | | | | | | | | | | |
| Workshop | | | | X | | | | | | | | | | | | | | | | | |
| Opleveren concept IR-plan | | | | | | X | | | | | | | | | | | | | | | |
| Bespreken met DAK | | | | | | | X | | | | | | | | | | | | | | |
| Opleveren IR-plan | | | | | | | | X | | | | | | | | | | | | | |
| Bespreken herstelprocedure IT | | | | | | | X | | | | | | | | | | | | | | |
| Opleveren concept Herstelplan IT | | | | | | | | X | | | | | | | | | | | | | |
| Bespreken met DAK | | | | | | | | | 0 | X | | | | | | | | | | | |
| Opleveren Herstelplan IT | | | | | | | | | | | X | | | | | | | | | | |
| | | | | | | | | | | | | | | | | | | | | | |
| **Pentest** | | | | | | | | | | | | | | | | | | | | | |
| Bepalen scope | | | X | | | | | | | | | | | | | | | | | | |
| Uitsturen uitvraag | | | X | | | | | | | | | | | | | | | | | | |
| Presentatie leveranciers | | | | | X | | | | | | | | | | | | | | | | |
| Offertes | | | | | | X | | | | | | | | | | | | | | | |
| Opdrachtverlening | | | | | | | X | | | | | | | | | | | | | | |
| Uitvoeren Test | | | | | | | | | X | X | | | | | | | | | | | |
| Rapportage | | | | | | | | | | | X | | | | | | | | | | |
| Realiseren hoge prio bevindingen | | | | | | | | | | | X | X | X | X | X | X | X | X | X | X | |

BIN
Clients/DAK/Presentatie BIA voor DAK Kindercentra 13 januari 2025.key Normal file
View file

Binary file not shown.

20
Clients/DAK/Risico-inventarisatie DAK.md Normal file
View file

@ -0,0 +1,20 @@
Datum: XX januari 2025
In het kader van:
- [Opdracht DAK](Opdracht%20DAK.md)
Gebaseerd op:
- XXX
Resultaten:
- RI rapport
- RI Excel
Zie ook:
[Vervolgopdracht DAK](Vervolgopdracht%20DAK.md)

39
Clients/DAK/Uittreksel Due Dilligence en Accountantsrapportage DAK.md Normal file
View file

@ -0,0 +1,39 @@
![](Due%20Dilligence%20en%20Accountantsrapportage%20DAK.pdf)
## Accountantsrapportage
De belangrijkste applicaties "zijn standaard softwareoplossingen en worden afgenomen op basis van Software as a Service. Dit betekent dat Dak Kindercentra voor deze oplossingen grotendeels wordt ontzorgd met betrekking tot IT-beheersmaatregelen, waaronder ontwikkeling en uitrol van updates, back-up & recovery en beveiliging van deze online oplossingen.
"adviseren wij Dak Kindercentra zelf de monitoring van deze oplossingen en bijbehorende diensten van de leveranciers aan te scherpen. (...) "Dit kan onder andere door het jaarlijks opvragen van derdenverklaringen (AFAS isae3402), uitoefenen van het recht op audit en/of het periodiek laten rapporteren over de diensten en prestaties (vb. SLR)."
(cyber)weerbaarheid te vergroten door:
- periodieke risicoanalyse
- uitgangspunten en randvoorwaarden vastleggen in een informatiebeveiligingsbeleid.
- invoeren van een Plan-Do-Check-Act cyclus
- beheersmaatregelen formaliseren en documenteren
- cf ISO 27001 en NIS 2
Zorgen over continuïteit van leverancier Jaamo.
Hoge prio bevindingen:
- operationele gebruikers hebben admin richten in AFAS, Jaamo en Factuur+
## Due Dilligence
Gebrek aan structuur (van de ICT organisatie) en documentatie vergroot de kans op inconsistenties, inefficiencies en beveiligingsrisico's. Om deze problematiek het hoofd te bieden, is het van belang om beleid en procedures te standaardiseren en een duidelijke documentatiestructuur te creëren.
Geen aantoonbare naleving van relevante beveiligingsnormen en wet- en regelgeving.
Integraties tussen software applicaties zijn niet gedocumenteerd. Voor ontwikkeling en beheer wordt vertrouwd op de leveranciers.
Hoog risico:
- gebrek aan systematische risicobeheersprocessen
- onvoldoende disaster recovery planning
- Gebruikersautorisatie niet op orde inloggen met een gedeeld locatie-account dat ook toegang geeft tot de Exchange accounts, zonder MFA of SSO
- DD: backup systeem is niet imuun
- implementeer een roterend systeem van wisselende externe harde schijven, opslag extern
- overweeg een clouddienst voor 'immutable backups' (kunnen niet gewijzigd worden, geeft extra bescherming tegen ransomware-aanvallen)
Medium risico:
- zorg voor continue netwerkmonitoring (niet alleen PRTG) maar ook SIEM [RK: uitbesteden]
- onboarding is niet geautomatiseerd (HR->AAD), doe regelmatige audits op gebruikersrechten
- training van personeel

1
Clients/DAK/Uitvraag DAK.md Normal file
View file

@ -0,0 +1 @@
![](Uitvraag%20DAK.xlsx)

BIN
Clients/DAK/Uitvraag DAK.xlsx Normal file
View file

Binary file not shown.

19
Clients/DAK/Vervolgopdracht DAK.md Normal file
View file

@ -0,0 +1,19 @@
In de afgelopen 2 maanden hebben we belangrijke stappen gezet in het verbeteren van de informatieveiligheid voor DAK Kindercentra, door het uitvoeren van een risico inventarisatie, een business impact analyse, en het opstellen van een incident respons plan. We staan op het punt een pentest te laten uitvoeren om de kwaliteit van de bescherming tegen externe dreigingen te toetsen.
Uit de risico inventarisatie is onder andere naar voren gekomen, dat het bij DAK ontbreekt aan beleid voor informatiebeveiliging, iets dat ook al is gesignaleerd in de due dilligence- en accountantsrapportage.
Het hebben van een informatiebeveiligingsbeleid is van groot belang om de continuïteit van de onderneming te waarborgen en adequaat beschermen te bieden tegen reputatieschade en aansprakelijkheidstelling door datalekken. Wetgevers, toezichthouders en verzekeraars zetten dit daarom hoog op de agenda.
De risico inventarisatie laat zien dat 3 gebieden in het bijzonder aandacht behoeven: het managen van toegangs- en beheersrechten, het managen van leveranciers, en het sturen op informatieveiligheid met een PDCA cyclus voor risicomanagement.
Met deze notitie doe ik een voorstel voor het opstellen en borgen van beleid op de gebieden die op dit moment de meeste aandacht nodig hebben.
![](Voorstel%20beleidsvorming%20informatiebeveiliging%20voor%20Dak%20kindercentra.docx)
### Bronnen voor deze notitie
- [](Voorstel%20vervolg%20DAK.bike)
- [Dataclassificatie volgens TLP](../../Corpus/Standards/ISO27x/Implementation%20Products/Dataclassificatie%20volgens%20TLP.md#Introductietekst)
- [Selectie en implementatie van Technologie bij Humankind](../Humankind/Selectie%20en%20implementatie%20van%20Technologie%20bij%20Humankind.md) maar niet alle details
- management overzicht ISO 27001 / [NIS 2](../Humankind/NIS%202%20voor%20Humankind.md)
- Gebruik [NIS 2 Directive and ISO 27001-2022](../../Corpus/Standards/NIS%202/NIS%202%20Directive%20and%20ISO%2027001-2022.md), dit bevat een mooie gebiedsindeling en link naar de ISO
- Maatregelen Excel met groen gemarkeerde artikelnummers

BIN
Clients/DAK/Voorstel beleidsvorming informatiebeveiliging voor Dak kindercentra.docx Normal file
View file

Binary file not shown.

225
Clients/DAK/Voorstel vervolg DAK.bike Normal file
View file

@ -0,0 +1,225 @@
<?xml version="1.0" encoding="UTF-8"?>
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta charset="utf-8"/>
</head>
<body>
<ul id="_fBuF2-D">
<li id="ww" data-type="heading">
<p>Beleid voor toegangs- en beheersrechten</p>
<ul>
<li id="AQ">
<p>3.1c, 4.3a, 4.3c, 4.3d, 5.1d</p>
</li>
<li id="Fce">
<p>Formuleer beleid voor het toekennen van rechten in overeenstemming met functiebeschrijvingen</p>
</li>
<li id="Dv">
<p>Voor toegang tot applicaties, fileservers en mappen/kanalen op SharePoint / Teams</p>
</li>
<li id="0v">
<p><span>obv </span><em>dataclassificatie-schema</em></p>
<ul>
<li id="yAS">
<p>3.1a</p>
</li>
<li id="fEf">
<p>rekening houdend met de risk appetite van de organisatie</p>
</li>
</ul>
</li>
<li id="Ch">
<p>in overeenstemming met het functiehuis van DAK</p>
</li>
<li id="tF">
<p>Rekening houdend met rechtenmatrices binnen de applicaties</p>
</li>
<li id="zp">
<p>Incl. proces voor toekennen, wijziging, ontnemen van rechten, periodieke controles</p>
</li>
<li id="9F">
<p>Inclusief bijbehorende rollen TBV</p>
</li>
<li id="qc">
<p>Beleid voor de omgang met geclassificeerde data door medewerkers</p>
<ul>
<li id="Xbe">
<p>3.1b, 3.1c</p>
</li>
</ul>
</li>
</ul>
</li>
<li id="nq" data-type="heading">
<p>Leveranciersmanagement</p>
<ul>
<li id="PF">
<p>5.2a, 4.7c (koppelingen)</p>
</li>
<li id="Q_3">
<p>Voor de gehele cyclus (zie Obsidian) - zit patch management daar ook bij?</p>
</li>
<li id="lIH">
<p>met duidelijke verantwoordelijkheden, heldere veiligheidseisen, en audits op naleving van afspraken</p>
</li>
</ul>
</li>
<li id="4mX" data-type="heading">
<p>Informatiebeveiligingsbeleid</p>
<ul>
<li id="BeE">
<p>5.4a, 5.5a</p>
</li>
<li id="mst">
<p>voor het inrichten van (de sturing op) informatieveiligheid </p>
</li>
<li id="dZq">
<p>Sturen op IV door een PDCA cyclus voor RM</p>
</li>
<li id="OXe">
<p>Met ISO 27001 als kapstok</p>
</li>
<li id="ITM">
<p>Eerst voor de meest pregnante onderwerpen HH en MH</p>
</li>
<li id="c6">
<p>Rolbeschrijvingen m.b.t. informatieveiligheid</p>
<ul>
<li id="_Aj">
<p>5.1 a-d</p>
</li>
<li id="Nap">
<p>Asset ownership</p>
</li>
<li id="Pz">
<p>Risk ownership</p>
</li>
<li id="XG">
<p>RACI voor Security Management</p>
</li>
</ul>
</li>
<li id="wV-">
<p>Implementeren risicomanagement voor informatieveiligheid</p>
<ul>
<li id="j9X">
<p>5.3 a-c</p>
</li>
</ul>
</li>
</ul>
</li>
<li id="m0a">
<p/>
</li>
<li id="cdw">
<p><strong>Bovenstaande zijn de meest pregnante; missende beleidsonderwerpen zijn:</strong></p>
<ul>
<li id="zpX">
<p>Onboarding medewerkers en tijdelijk personeel</p>
<ul>
<li id="xe_">
<p>Training en instructie m.b.t. informatieveiligheid</p>
</li>
<li id="Xdw">
<p>Bruikleen- en geheimhoudingsovereenkomst</p>
</li>
<li id="gOV">
<p>Gebruik van apparatuur en omgang met informatie</p>
</li>
<li id="UG5">
<p>Gebruik VPN en Anti-Malware</p>
</li>
<li id="5uG">
<p>Whitelisting/blacklisting van apps en services</p>
</li>
</ul>
</li>
<li id="tni">
<p>Richtlijnen en procedures voor informatieveiligheid in projecten</p>
</li>
<li id="Sq4">
<p>Melden van risico's en incidenten (intern)</p>
</li>
<li id="Ow">
<p>Detectie en rapportering van incidenten (SOC)</p>
</li>
<li id="UmX">
<p>Backup &amp; Restore</p>
</li>
<li id="RT">
<p>Patch management</p>
</li>
<li id="id">
<p>Devicemanagement</p>
</li>
<li id="Ey">
<p>Noodvoorzieningen en redundantie</p>
</li>
<li id="vbf">
<p>Toegang tot gebouwen en ruimtes</p>
</li>
<li id="U_9">
<p/>
</li>
</ul>
</li>
<li id="74g">
<p/>
</li>
<li id="3C" data-type="heading">
<p>Begeleiding pentest</p>
<ul>
<li id="8b">
<p>2.1b</p>
</li>
<li id="yX">
<p/>
</li>
<li id="_k">
<p/>
</li>
</ul>
</li>
<li id="nK">
<p/>
</li>
<li id="V7">
<p/>
</li>
<li id="cr">
<p>Use Bike to record and process your ideas. You'll need to spend a little time learning Bike to get the most out of it.</p>
</li>
<li id="Omp">
<p/>
</li>
<li id="95Q" data-type="task">
<p><a href="https://www.hogbaysoftware.com/bike">Watch intro movie</a></p>
</li>
<li id="-5Z" data-type="task">
<p><a href="https://bikeguide.hogbaysoftware.com">Browse the User's Guide</a></p>
</li>
<li id="do-" data-type="task">
<p><a href="https://bikeguide.hogbaysoftware.com/keyboard-shortcuts">Learn the keyboard shortcuts</a></p>
</li>
<li id="Bp" data-type="task">
<p><a href="https://www.hogbaysoftware.com/posts/bike-rich-text/">Learn Bike's innovative rich text editing</a></p>
</li>
<li id="b1D">
<p/>
</li>
<li id="um">
<p>Feel free to delete this text. Uncheck "Show Welcome in new documents" in Bike's preferences to stop including this text in new outlines.</p>
</li>
<li id="Sd">
<p/>
</li>
<li id="lg">
<p>Thanks,</p>
</li>
<li id="Ca">
<p>Jesse</p>
</li>
</ul>
</body>
</html>

24
Clients/DAK/_Project DAK Kindercentra.md Normal file
View file

@ -0,0 +1,24 @@
**Projectoverzicht**
- Intake gesprek
- [Opdracht](Opdracht%20DAK.md)
- [Risico-inventarisatie](Risico-inventarisatie%20DAK.md)
- Uitvraag in Excel obv [Uitvraag](../../Corpus/Standards/ISO27x/Implementation%20Products/Uitvraag.md)
- Risk Interviews:
- Debbie en Leon
- Bert en Fasco
- Eric
- Patricia en Charlotte
- [Uittreksel Due Dilligence en Accountantsrapportage DAK](Uittreksel%20Due%20Dilligence%20en%20Accountantsrapportage%20DAK.md)
- [LLM destillatie risk interviews](LLM%20destillatie%20risk%20interviews%20DAK.md)
- [Rapport risico-inventarisatie](Risico-inventarisatie%20DAK.md)
- [Business Impact Analyse](BIA%20Workshop%20DAK.md)
- [Incident Respons en Herstelplan](IRP%20Workshop%20DAK.md)
- [Pen-test](Pentest%20DAK.md)
- [Inventarisatie beheer SaaS applicaties](Inventarisatie%20beheer%20SaaS%20applicaties%20DAK.md)
- [Vervolgopdracht DAK](Vervolgopdracht%20DAK.md) (voorstel)
- Opdracht Collectief Kinderopvang

471
Clients/Gastenhuis/Gastenhuis Projectaanpak.canvas Normal file
View file

@ -0,0 +1,471 @@
{
"nodes":[
{"id":"09f6d6c1e8efb6e6","type":"group","x":-460,"y":1080,"width":1160,"height":620,"label":"Beleid voor Uitvoering (H8)"},
{"id":"7a48b34c6273cdae","type":"group","x":-460,"y":-580,"width":1160,"height":540,"label":"Context, Strategie en Leiderschap (H4, H5)"},
{"id":"6110ac3efe0e4494","type":"group","x":-460,"y":560,"width":1160,"height":400,"label":"PDCA voor Risicomanagement met de Canvas Methode (H8.2, H8.3)"},
{"id":"07178dd4253722ab","type":"group","x":-460,"y":80,"width":1160,"height":360,"label":"Risico's en Maatregelen (H6)"},
{"id":"288cd10d35aa383a","type":"group","x":300,"y":1800,"width":400,"height":360,"label":"Evaluatie en Verbetering (H9, H10)"},
{"id":"1520dd2bd87611ec","type":"group","x":-80,"y":1800,"width":339,"height":360,"label":"Documentatie (H7.5)"},
{"id":"1cd9769688fd69c3","type":"group","x":-460,"y":1800,"width":330,"height":360,"label":"Ondersteuning (H7.1-4)"},
{
"id":"82679ef2d10465f6",
"type":"text",
"text":"Asset Inventarisatie (A5.9)",
"styleAttributes":{},
"x":320,
"y":110,
"width":340,
"height":80
},
{
"id":"90146875843a9610",
"type":"text",
"text":"Dataclassificatie (A5.12)",
"styleAttributes":{},
"x":320,
"y":220,
"width":340,
"height":80
},
{
"id":"f967f99a6d088039",
"type":"text",
"text":"Rollen en Verantw.heden (A5.2-5.4)",
"styleAttributes":{},
"x":-50,
"y":330,
"width":340,
"height":80
},
{
"id":"53437152acfbfaa1",
"type":"text",
"text":"Planning Maatregelen (H8.1)",
"styleAttributes":{},
"x":320,
"y":330,
"width":340,
"height":80
},
{
"id":"4c92dc5b2f76a9a5",
"type":"text",
"text":"Risicoinventarisatie (H6.1.2)",
"styleAttributes":{},
"x":-50,
"y":110,
"width":340,
"height":80
},
{
"id":"4db47e26ac77f040",
"type":"text",
"text":"Penetratie test (A5.35, A8.8)",
"styleAttributes":{
"textAlign":null
},
"x":-420,
"y":220,
"width":340,
"height":80
},
{
"id":"872cfd9071333367",
"type":"text",
"text":"Risicoanalyse (H6.1.2)",
"styleAttributes":{},
"x":-50,
"y":220,
"width":340,
"height":80
},
{
"id":"40e49243a6b68dcb",
"type":"text",
"text":"Identificeren Maatregelen (H6.1.3)",
"styleAttributes":{},
"x":-420,
"y":330,
"width":340,
"height":80
},
{
"id":"464dfc9a3def80c2",
"type":"text",
"text":"Dreigingsanalyse (A5.7)",
"styleAttributes":{},
"x":-420,
"y":110,
"width":340,
"height":80
},
{
"id":"41e3b0bc38d8de84",
"type":"text",
"text":"SWOT analyse (H4.1)",
"styleAttributes":{},
"x":-420,
"y":-340,
"width":340,
"height":80
},
{
"id":"763fb2036c5dbdde",
"type":"text",
"text":"DESTEP analyse (H4.2)",
"styleAttributes":{},
"x":-50,
"y":-340,
"width":340,
"height":80
},
{
"id":"c8f64dbe95f776d2",
"type":"text",
"text":"Planning ISMS (H6.1.1)",
"styleAttributes":{"textAlign":"center"},
"x":-420,
"y":-140,
"width":1080,
"height":60
},
{
"id":"047bf657e7c0381f",
"type":"text",
"text":"Functiehuis (H4.1)",
"styleAttributes":{},
"x":-420,
"y":-240,
"width":340,
"height":80
},
{
"id":"a3402198a7fa4e49",
"type":"text",
"text":"Bedrijfsprocessen (H4.1)",
"styleAttributes":{},
"x":-50,
"y":-240,
"width":340,
"height":80
},
{
"id":"0b7306dec1c85f8d",
"type":"text",
"text":"Stakeholder analyse (H4.2)",
"styleAttributes":{},
"x":320,
"y":-340,
"width":340,
"height":80
},
{
"id":"4d7c1e2e9e3b5995",
"type":"text",
"text":"Wet- en Regelgeving\n(H4.2, A5.31-34)",
"styleAttributes":{},
"x":320,
"y":-240,
"width":340,
"height":80
},
{
"id":"39689fc26569c699",
"type":"text",
"text":"Besturingsmodel (H4.1)",
"styleAttributes":{},
"x":-50,
"y":-440,
"width":340,
"height":80
},
{
"id":"a36ad925134021b2",
"type":"text",
"text":"Management Workshop\n(H7.3, A6.3, A6.9)",
"styleAttributes":{},
"x":320,
"y":-440,
"width":340,
"height":80
},
{
"id":"2706559829c7a060",
"type":"text",
"text":"Risicobereidheid (H6.1.2)",
"styleAttributes":{},
"x":-420,
"y":-440,
"width":340,
"height":80
},
{
"id":"1f0798149501d740",
"type":"text",
"text":"Bepalen Doelstellingen (H6.2)",
"styleAttributes":{},
"x":-420,
"y":-540,
"width":340,
"height":80
},
{
"id":"f0b8fe39fe16ba4e",
"type":"text",
"text":"Bepalen Scope (H4.3)",
"styleAttributes":{},
"x":-50,
"y":-540,
"width":340,
"height":80
},
{
"id":"6a322f5cf5bd3f6a",
"type":"text",
"text":"Informatiebeveiligingsbeleid (H5.2)",
"styleAttributes":{},
"x":320,
"y":-540,
"width":340,
"height":80
},
{
"id":"549f8f6976e2591a",
"type":"text",
"text":"Documentatie (H7.5.2)",
"styleAttributes":{},
"x":-60,
"y":1840,
"width":280,
"height":80
},
{
"id":"a2d22052ff7096c5",
"type":"text",
"text":"Review kalender (H7.5.2)",
"styleAttributes":{},
"x":-60,
"y":1940,
"width":280,
"height":80
},
{
"id":"0968542472225677",
"type":"text",
"text":"Communicatieplan (H7.4)",
"styleAttributes":{},
"x":-60,
"y":2040,
"width":280,
"height":80
},
{
"id":"273d40cfef57c393",
"type":"text",
"text":"Audits en Reviews (H9.2, A.5.35-36)",
"styleAttributes":{},
"x":320,
"y":1840,
"width":280,
"height":80
},
{
"id":"28b11a96eef5c2b0",
"type":"text",
"text":"Management Review (H9.3)",
"styleAttributes":{},
"x":320,
"y":1940,
"width":280,
"height":80
},
{
"id":"0a5dc3ad69ffafc2",
"type":"text",
"text":"Beschikbaarstellen Middelen (H7.1)",
"styleAttributes":{},
"x":-440,
"y":1840,
"width":280,
"height":80
},
{
"id":"1e34a0d420b8cfcd",
"type":"text",
"text":"Competenties (H7.2)",
"styleAttributes":{},
"x":-440,
"y":1940,
"width":280,
"height":80
},
{
"id":"13dcb395f4d8f739",
"type":"text",
"text":"Afwijkingen en Correcties (H10.1)",
"styleAttributes":{},
"x":320,
"y":2040,
"width":280,
"height":80
},
{
"id":"d5be08d2d1baa414",
"type":"text",
"text":"Toegangsbeleid\n(A5.15-18, A8.2-5)",
"styleAttributes":{},
"x":-420,
"y":1344,
"width":340,
"height":80
},
{
"id":"314b04a8959f6fb5",
"type":"text",
"text":"Device management\n(A7.9-7.10, A8.1, 8.7)",
"styleAttributes":{},
"x":-420,
"y":1445,
"width":340,
"height":90
},
{
"id":"572c91765b41f7f3",
"type":"text",
"text":"Selectie en implementatie van technologie (A5.8, A5.23, A8.26-33, A.5.38-39, A7.13-14)",
"styleAttributes":{},
"x":-40,
"y":1344,
"width":340,
"height":80
},
{
"id":"79a0be9c6f598831",
"type":"text",
"text":"Leveranciersmanagement (A5.19-A5.23, A8.29)",
"styleAttributes":{},
"x":320,
"y":1344,
"width":340,
"height":80
},
{
"id":"68a6efa1a776c676",
"type":"text",
"text":"Fysieke beveiliging\n(A7.1-7.8, 7.12)",
"styleAttributes":{},
"x":-40,
"y":1445,
"width":340,
"height":90
},
{
"id":"d3b8c88bc841e209",
"type":"text",
"text":"Business Impact Analyse (A5.29-5.30)",
"styleAttributes":{},
"x":-40,
"y":1120,
"width":340,
"height":80
},
{
"id":"853301ab7242b5ef",
"type":"text",
"text":"Gebruikersbeleid\n(A5.10-14, A5.37, A5.40, A6.7-6.8, A7.7, A8.24)",
"styleAttributes":{},
"x":-40,
"y":1235,
"width":340,
"height":80
},
{
"id":"1e6b25bf6dcb833e",
"type":"text",
"text":"Bedrijfscontinuïteitsplan (A5.29-5.30, A5.42, A7.11)",
"styleAttributes":{},
"x":320,
"y":1120,
"width":340,
"height":80
},
{
"id":"94c365431ffd100e",
"type":"text",
"text":"Bewustzijn en training\n(H7.3, A6.3)",
"styleAttributes":{},
"x":320,
"y":1235,
"width":340,
"height":80
},
{
"id":"eaa3c32d191b350e",
"type":"text",
"text":"Personeelsbeleid\n(A6.1-6.6)",
"styleAttributes":{},
"x":-420,
"y":1235,
"width":340,
"height":80
},
{
"id":"4184e9e168fd5fdf",
"type":"text",
"text":"Beleid overige maatregelen (A5.1)",
"styleAttributes":{},
"x":-420,
"y":1565,
"width":340,
"height":90
},
{
"id":"6273a5aafc2f54d2",
"type":"text",
"text":"ICT Beheer (A8.7-8.35)",
"styleAttributes":{},
"x":320,
"y":1445,
"width":340,
"height":90
},
{
"id":"360024c970e70d34",
"type":"text",
"text":"Implementatie maatregelen (H8.3)",
"styleAttributes":{"textAlign":"center"},
"x":-40,
"y":1565,
"width":700,
"height":90
},
{
"id":"ff8f4d59b9462109",
"type":"text",
"text":"Incidentenbeheer \n(A5.24-29, A5.43, A6.8)",
"styleAttributes":{},
"x":-420,
"y":1120,
"width":340,
"height":80
},
{
"id":"8cf31932e32c4d1c",
"type":"text",
"text":"Continue verbetering (H10.1)",
"styleAttributes":{"textAlign":"center"},
"x":-408,
"y":880,
"width":1068,
"height":60
},
{"id":"ddfc9917c2c7fc66","type":"file","file":"iso27diy-corp/Corpus/Attachments/Canvas Cyclus.png","x":-408,"y":620,"width":278,"height":200},
{"id":"27d02011ccccb4c0","type":"file","file":"iso27diy-corp/Corpus/Attachments/Canvas Cyclus.png","x":-19,"y":620,"width":278,"height":200},
{"id":"6c394a4088d586b3","type":"file","file":"iso27diy-corp/Corpus/Attachments/Canvas Cyclus.png","x":382,"y":620,"width":278,"height":200}
],
"edges":[],
"metadata":{
"version":"1.0-1.0",
"frontmatter":{}
}
}

471
Clients/Gastenhuis/Gastenhuis Projectaanpak.canvas copy Normal file
View file

@ -0,0 +1,471 @@
{
"nodes":[
{"id":"09f6d6c1e8efb6e6","type":"group","x":-460,"y":1080,"width":1160,"height":620,"label":"Beleid voor Uitvoering (H8)"},
{"id":"7a48b34c6273cdae","type":"group","x":-460,"y":-580,"width":1160,"height":540,"label":"Context, Strategie en Leiderschap (H4, H5)"},
{"id":"6110ac3efe0e4494","type":"group","x":-460,"y":560,"width":1160,"height":400,"label":"PDCA voor Risicomanagement met de Canvas Methode (H8.2, H8.3)"},
{"id":"07178dd4253722ab","type":"group","x":-460,"y":80,"width":1160,"height":360,"label":"Risico's en Maatregelen (H6)"},
{"id":"288cd10d35aa383a","type":"group","x":300,"y":1800,"width":400,"height":360,"label":"Evaluatie en Verbetering (H9, H10)"},
{"id":"1520dd2bd87611ec","type":"group","x":-80,"y":1800,"width":339,"height":360,"label":"Documentatie (H7.5)"},
{"id":"1cd9769688fd69c3","type":"group","x":-460,"y":1800,"width":330,"height":360,"label":"Ondersteuning (H7.1-4)"},
{
"id":"82679ef2d10465f6",
"type":"text",
"text":"Asset Inventarisatie (A5.9)",
"styleAttributes":{},
"x":320,
"y":110,
"width":340,
"height":80
},
{
"id":"90146875843a9610",
"type":"text",
"text":"Dataclassificatie (A5.12)",
"styleAttributes":{},
"x":320,
"y":220,
"width":340,
"height":80
},
{
"id":"f967f99a6d088039",
"type":"text",
"text":"Rollen en Verantw.heden (A5.2-5.4)",
"styleAttributes":{},
"x":-50,
"y":330,
"width":340,
"height":80
},
{
"id":"53437152acfbfaa1",
"type":"text",
"text":"Planning Maatregelen (H8.1)",
"styleAttributes":{},
"x":320,
"y":330,
"width":340,
"height":80
},
{
"id":"4c92dc5b2f76a9a5",
"type":"text",
"text":"Risicoinventarisatie (H6.1.2)",
"styleAttributes":{},
"x":-50,
"y":110,
"width":340,
"height":80
},
{
"id":"4db47e26ac77f040",
"type":"text",
"text":"Penetratie test (A5.35, A8.8)",
"styleAttributes":{
"textAlign":null
},
"x":-420,
"y":220,
"width":340,
"height":80
},
{
"id":"872cfd9071333367",
"type":"text",
"text":"Risicoanalyse (H6.1.2)",
"styleAttributes":{},
"x":-50,
"y":220,
"width":340,
"height":80
},
{
"id":"40e49243a6b68dcb",
"type":"text",
"text":"Identificeren Maatregelen (H6.1.3)",
"styleAttributes":{},
"x":-420,
"y":330,
"width":340,
"height":80
},
{
"id":"464dfc9a3def80c2",
"type":"text",
"text":"Dreigingsanalyse (A5.7)",
"styleAttributes":{},
"x":-420,
"y":110,
"width":340,
"height":80
},
{
"id":"41e3b0bc38d8de84",
"type":"text",
"text":"SWOT analyse (H4.1)",
"styleAttributes":{},
"x":-420,
"y":-340,
"width":340,
"height":80
},
{
"id":"763fb2036c5dbdde",
"type":"text",
"text":"DESTEP analyse (H4.2)",
"styleAttributes":{},
"x":-50,
"y":-340,
"width":340,
"height":80
},
{
"id":"c8f64dbe95f776d2",
"type":"text",
"text":"Planning ISMS (H6.1.1)",
"styleAttributes":{"textAlign":"center"},
"x":-420,
"y":-140,
"width":1080,
"height":60
},
{
"id":"047bf657e7c0381f",
"type":"text",
"text":"Functiehuis (H4.1)",
"styleAttributes":{},
"x":-420,
"y":-240,
"width":340,
"height":80
},
{
"id":"a3402198a7fa4e49",
"type":"text",
"text":"Bedrijfsprocessen (H4.1)",
"styleAttributes":{},
"x":-50,
"y":-240,
"width":340,
"height":80
},
{
"id":"0b7306dec1c85f8d",
"type":"text",
"text":"Stakeholder analyse (H4.2)",
"styleAttributes":{},
"x":320,
"y":-340,
"width":340,
"height":80
},
{
"id":"4d7c1e2e9e3b5995",
"type":"text",
"text":"Wet- en Regelgeving\n(H4.2, A5.31-34)",
"styleAttributes":{},
"x":320,
"y":-240,
"width":340,
"height":80
},
{
"id":"39689fc26569c699",
"type":"text",
"text":"Besturingsmodel (H4.1)",
"styleAttributes":{},
"x":-50,
"y":-440,
"width":340,
"height":80
},
{
"id":"a36ad925134021b2",
"type":"text",
"text":"Management Workshop\n(H7.3, A6.3, A6.9)",
"styleAttributes":{},
"x":320,
"y":-440,
"width":340,
"height":80
},
{
"id":"2706559829c7a060",
"type":"text",
"text":"Risicobereidheid (H6.1.2)",
"styleAttributes":{},
"x":-420,
"y":-440,
"width":340,
"height":80
},
{
"id":"1f0798149501d740",
"type":"text",
"text":"Bepalen Doelstellingen (H6.2)",
"styleAttributes":{},
"x":-420,
"y":-540,
"width":340,
"height":80
},
{
"id":"f0b8fe39fe16ba4e",
"type":"text",
"text":"Bepalen Scope (H4.3)",
"styleAttributes":{},
"x":-50,
"y":-540,
"width":340,
"height":80
},
{
"id":"6a322f5cf5bd3f6a",
"type":"text",
"text":"Informatiebeveiligingsbeleid (H5.2)",
"styleAttributes":{},
"x":320,
"y":-540,
"width":340,
"height":80
},
{
"id":"549f8f6976e2591a",
"type":"text",
"text":"Documentatie (H7.5.2)",
"styleAttributes":{},
"x":-60,
"y":1840,
"width":280,
"height":80
},
{
"id":"a2d22052ff7096c5",
"type":"text",
"text":"Review kalender (H7.5.2)",
"styleAttributes":{},
"x":-60,
"y":1940,
"width":280,
"height":80
},
{
"id":"0968542472225677",
"type":"text",
"text":"Communicatieplan (H7.4)",
"styleAttributes":{},
"x":-60,
"y":2040,
"width":280,
"height":80
},
{
"id":"273d40cfef57c393",
"type":"text",
"text":"Audits en Reviews (H9.2, A.5.35-36)",
"styleAttributes":{},
"x":320,
"y":1840,
"width":280,
"height":80
},
{
"id":"28b11a96eef5c2b0",
"type":"text",
"text":"Management Review (H9.3)",
"styleAttributes":{},
"x":320,
"y":1940,
"width":280,
"height":80
},
{
"id":"0a5dc3ad69ffafc2",
"type":"text",
"text":"Beschikbaarstellen Middelen (H7.1)",
"styleAttributes":{},
"x":-440,
"y":1840,
"width":280,
"height":80
},
{
"id":"1e34a0d420b8cfcd",
"type":"text",
"text":"Competenties (H7.2)",
"styleAttributes":{},
"x":-440,
"y":1940,
"width":280,
"height":80
},
{
"id":"13dcb395f4d8f739",
"type":"text",
"text":"Afwijkingen en Correcties (H10.1)",
"styleAttributes":{},
"x":320,
"y":2040,
"width":280,
"height":80
},
{
"id":"d5be08d2d1baa414",
"type":"text",
"text":"Toegangsbeleid\n(A5.15-18, A8.2-5)",
"styleAttributes":{},
"x":-420,
"y":1344,
"width":340,
"height":80
},
{
"id":"314b04a8959f6fb5",
"type":"text",
"text":"Device management\n(A7.9-7.10, A8.1, 8.7)",
"styleAttributes":{},
"x":-420,
"y":1445,
"width":340,
"height":90
},
{
"id":"572c91765b41f7f3",
"type":"text",
"text":"Selectie en implementatie van technologie (A5.8, A5.23, A8.26-33, A.5.38-39, A7.13-14)",
"styleAttributes":{},
"x":-40,
"y":1344,
"width":340,
"height":80
},
{
"id":"79a0be9c6f598831",
"type":"text",
"text":"Leveranciersmanagement (A5.19-A5.23, A8.29)",
"styleAttributes":{},
"x":320,
"y":1344,
"width":340,
"height":80
},
{
"id":"68a6efa1a776c676",
"type":"text",
"text":"Fysieke beveiliging\n(A7.1-7.8, 7.12)",
"styleAttributes":{},
"x":-40,
"y":1445,
"width":340,
"height":90
},
{
"id":"d3b8c88bc841e209",
"type":"text",
"text":"Business Impact Analyse (A5.29-5.30)",
"styleAttributes":{},
"x":-40,
"y":1120,
"width":340,
"height":80
},
{
"id":"853301ab7242b5ef",
"type":"text",
"text":"Gebruikersbeleid\n(A5.10-14, A5.37, A5.40, A6.7-6.8, A7.7, A8.24)",
"styleAttributes":{},
"x":-40,
"y":1235,
"width":340,
"height":80
},
{
"id":"1e6b25bf6dcb833e",
"type":"text",
"text":"Bedrijfscontinuïteitsplan (A5.29-5.30, A5.42, A7.11)",
"styleAttributes":{},
"x":320,
"y":1120,
"width":340,
"height":80
},
{
"id":"94c365431ffd100e",
"type":"text",
"text":"Bewustzijn en training\n(H7.3, A6.3)",
"styleAttributes":{},
"x":320,
"y":1235,
"width":340,
"height":80
},
{
"id":"eaa3c32d191b350e",
"type":"text",
"text":"Personeelsbeleid\n(A6.1-6.6)",
"styleAttributes":{},
"x":-420,
"y":1235,
"width":340,
"height":80
},
{
"id":"4184e9e168fd5fdf",
"type":"text",
"text":"Beleid overige maatregelen (A5.1)",
"styleAttributes":{},
"x":-420,
"y":1565,
"width":340,
"height":90
},
{
"id":"6273a5aafc2f54d2",
"type":"text",
"text":"ICT Beheer (A8.7-8.35)",
"styleAttributes":{},
"x":320,
"y":1445,
"width":340,
"height":90
},
{
"id":"360024c970e70d34",
"type":"text",
"text":"Implementatie maatregelen (H8.3)",
"styleAttributes":{"textAlign":"center"},
"x":-40,
"y":1565,
"width":700,
"height":90
},
{
"id":"ff8f4d59b9462109",
"type":"text",
"text":"Incidentenbeheer \n(A5.24-29, A5.43, A6.8)",
"styleAttributes":{},
"x":-420,
"y":1120,
"width":340,
"height":80
},
{
"id":"8cf31932e32c4d1c",
"type":"text",
"text":"Continue verbetering (H10.1)",
"styleAttributes":{"textAlign":"center"},
"x":-408,
"y":880,
"width":1068,
"height":60
},
{"id":"ddfc9917c2c7fc66","type":"file","file":"📎 Attachments/Canvas Cyclus.png","x":-408,"y":620,"width":278,"height":200},
{"id":"27d02011ccccb4c0","type":"file","file":"📎 Attachments/Canvas Cyclus.png","x":-19,"y":620,"width":278,"height":200},
{"id":"6c394a4088d586b3","type":"file","file":"📎 Attachments/Canvas Cyclus.png","x":382,"y":620,"width":278,"height":200}
],
"edges":[],
"metadata":{
"version":"1.0-1.0",
"frontmatter":{}
}
}

41
Clients/Gastenhuis/Gastenhuis kennismaking.md Normal file
View file

@ -0,0 +1,41 @@
---
tags:
- client/Gastenhuis
created: 2025-06-11
---
11 juni 2025
René Leideritz, kwaliteit, innovatie en zorginkoop
Mark Stevenaar, bestuurder/CFO, portefeuillehouder IT
via Onno Adolfs van Sigra.
Willen NEN 7510, vallen naar eigen mening als zorgorganisatie onder NIS 2
Kwaliteitsmanagement ISO 9001 gecertificeerd
400 man, 30 locaties, 30 medewerkers op kantoor
Bewust zeer kleine overhead
Operationeel MT, 4 regiomanagers olv de operationeel directeur
Decentrale werving van klanten en medewerkers
Groeistrategie
Uitdagingen zijn beleidsvorming, decentrale organisatie 'blinde vlekken, zicht en controle'
Interne IT manager (freelance 3 dagen per week): accountbeheer, SSO, active directory
Privacy Officer
2 applicatiebeheerders
IT MSP is [Steenkamp](https://steenkampict.nl)
MSSP is [Eye Security](https://www.eye.security/solutions)
AFAS voor HR
ONS van Nedap voor clientdossier en administratie
Axxerion FMIS QLink
Na even nadenken volgen er nog zo'n 6 applicaties
Belangrijke vraag is wie er toegang moeten krijgen tot ONS: de rijdende tandarts, fysio, huisarts, etc.

78
Clients/Gastenhuis/Voorstel Gastenhuis.md Normal file
View file

@ -0,0 +1,78 @@
---
tags:
- client/Gastenhuis
created: 2025-11-19
---
## Aanleiding
Het Gastenhuis is als zorginstelling verplicht te voldoen aan de NEN 7510 en de NIS 2. Het management heeft vastgesteld dat er intern onvoldoende capaciteit is, om het managementsysteem op te zetten en de maatregelen te implementeren, waarmee aan die verplichting voldaan wordt. Daarom zoekt Het Gastenhuis projectbegeleiding en advisering met als doel een NEN 7510 certificering te behalen, en de aanvullende zaken te implementeren die nodig zijn vanuit de NIS 2.
## Situatie
_Het Gastenhuis biedt een liefdevol thuis aan mensen met dementie en recht op 24-uurs zorg. Kleinschalig, open en midden in de maatschappij met locaties door heel Nederland.”_
Om dit te kunnen bieden heeft Het Gastenhuis er voor gekozen de 'overhead' zo klein mogelijk te houden. Dit uit zich onder andere in een, in verhouding, klein hoofdkantoor[^1] en aan de regio's gedelegeerde verantwoordelijkheden[^2]. De werving van klanten en medewerkers, bijvoorbeeld, is decentraal belegd.
Als uitdagingen voor het implementeren van de NEN 7510 en de NIS 2 worden beleidsvorming genoemd en het beperkte zicht op risico's in de decentrale organisatie.
## Relevante organisatiekenmerken
In het gesprek tussen René Leideritz, Mark Stevenaar en Richard Kranendonk op 11 juni jl. zijn de volgende zaken benoemd:
- Het Gastenhuis heeft een ISO 9001 certificering voor haar kwaliteitsmanagement de organisatie is dus bekend met het systematisch en gedocumenteerd beheersen van risico's en heeft daarin een hoge procesvolwassenheid.
- Er is ongeveer 400 man personeel, verdeeld over 30 locaties en het hoofdkantoor.
- Besluiten worden genomen in het Operationeel MT, bestaande uit 4 regiomanagers o.l.v. de operationeel directeur.
- Er is een Privacy Officer en een interne IT manager, die zich voornamelijk richt op het beheer van accounts, de Active Directory, en de implementatie van SSO.
- De belangrijkste applicaties zijn AFAS-HR, Nedap-ONS en Axxerion.
- Er zijn 2 applicatiebeheerders.
- Het beheer van de werkplekken en de Microsoft omgeving is belegd bij Steenkamp Automatisering.
- Eye Security levert IT-beveiligingsdiensten.
## Uitgangspunten voorstel
Voor de implementatie van NEN 7510 en de NIS 2 binnen Het Gastenhuis stellen we de volgende uitgangspunten voor:
- Procesgerelateerde risico's worden zoveel mogelijk opgepakt waar ze ontstaan: in de regio's; technische risico's worden centraal gemanaged.
- Hiervoor wordt de Canvas Methode voor Informatieveiligheid ingezet, waarmee zowel centraal als decentraal een PDCA-cyclus[^3] voor voortdurende verbetering geïmplementeerd wordt.
- Introductie van een eenvoudig rapportage-model voor zicht op decentrale risico's en maatregelen (onderdeel van de Canvas Methode).
- Centrale beleidsvorming, gedragen door de regio's (via het Operationeel MT).
- Hanteren van een groeimodel: starten met beleidsvorming en implementatie op onderwerpen waar de organisatie direct voordeel van heeft. Gaandeweg vullen we de details in conform Bijlage A / NEN 7510-2.
- Werken met wat er al is: op veel onderdelen zal al werk verricht zijn (bijv. vanuit ISO 9001), we gebruiken dat om verder op te bouwen.
De scope van het bovenstaande is uiteraard informatieveiligheid.
## Aanpak
- Context
- functieboek
- processenboek
- applicatielandschap
- governance model
- Asset inventarisatie
- Strategie
- risicobereidheid
- Risico-inventarisatie
- gebruik van openbare dreigingsanalyses en best practices
- interviews met stakeholders
- Inventarisatie 'prior work'
## Ontwikkelaanpak
We doen een risicoanalyse. We schrijven op hoe we dat gedaan hebben, en wie er verantwoordelijk is. (Daarbij sluiten we aan op wat er al aan rollen in de organisatie beschreven is) Dan hebben we een Beleid Risico analyse. Daarin staat ook periodiek gaan herhalen, dat schrijven we op de kalender
Zelfde voorbeeld voor data classificatie
Waarom schrijf ik steeds we? Isms is cyclus. Dat betekent dat jullie de activiteiten periodiek moeten herhalen, en dus zelf moeten kunnen uitvoeren (als je overhead wil besparen). De beste manier is jullie actief te betrekken in de totstandkoming. Ook voor het draagvlak en vergroten van awareness en eigenaarschap
Door de inzet van de Canvas Methode voor Informatieveiligheid ontstaat ook het bewustzijn van de noodzaak van de maatregelen, het belang daarvan voor de continuiteit en de zorg, dichtg op de eigen processen, en eigenaarscahp.
## Plaatje
Opmerking: naamgeving en indeling zijn licht gewijzigd voor de duidelijkheid van dit diagram
## Bijlage: de Canvas Methode voor Informatieveiligheid
[^1]: ca. 30 medewerkers in Amsterdam.
[^2]: thans 4 regio's en evenzoveel regiodirecteuren.
[^3]: Plan - Do - Check - Act, ook wel de Deming Cyclus

BIN
Clients/Humankind/240827 Gesprek Robin Alma.pdf Normal file
View file

Binary file not shown.

BIN
Clients/Humankind/241202 Risico inventarisatie Humankind.docx Normal file
View file

Binary file not shown.

82
Clients/Humankind/241204 Acties uit Risico inventarisatie Humankind.csv Normal file
View file

@ -0,0 +1,82 @@
Paragraaf;Gebied;Kwetsbaarheid;Risico's;B;V;I;Actie;Urgentie;Belang;Actiehouder;Opmerkingen
2,1;Toegangsbeheer;Onvolledige implementatie MFA op gebruikersaccounts;Toegang door onbevoegden;;X;;2.1.1 Monitoren voortgang;Laag;Hoog;;Uitrol over de PM-accounts wordt afgerond in Q1 2025
;;;;;X;;2.1.2 Instellen her-autenticatie op onbekende locaties;Midden;Midden;;
;;;;;X;;2.1.3 Implementeren biometrische autenticatie;Laag;Laag;;
;;;;;;;;;;;
2,2;Toegangsbeheer;User provisioning op de Microsoft omgeving vanuit Mercash;Toegang door onbevoegden, Uitsluiting van bevoegden, Vervuiling van registraties, Onterechte licentiekosten;X;X;X;2.2.1 Identificeren van assets waartoe op deze wijze toegang wordt verleend;Hoog;Hoog;;
;;;;X;X;X;2.2.2 Periodiek monitoren resultaten script;Midden;Hoog;;
;;;;X;X;X;2.2.3 Opstellen rechten & rollen matrix;Hoog;Hoog;;
;;;;X;X;X;2.2.4 Beleid op beheer R&R matrix;Midden;Hoog;;
;;;;;;;;;;;
2,3;Toegangsbeheer;Inconsistenties tussen Active Directory (AD) and EntraID;Toegang door onbevoegden;;X;;2.3.1 Review van de policies in de Active Directory (AD) en EntraID;Hoog;Hoog;;
;;;;;X;;2.3.2 Beleid opstellen voor wachtwoordexpiratie en autenticatie;Hoog;Hoog;;
;;;;;X;;2.3.3 Implementeren van het beleid voor wachtwoordexpiratie en autenticatie ;Hoog;Hoog;;
;;;;;X;;2.3.4 ('Migratiepad' opgenomen bij 5.1 SaaS applicaties);;;;
;;;;;;;;;;;
2,4;Toegangsbeheer;Beperkt zicht op beheeraccounts op verschillende omgevingen;Toegang door onbevoegden;;X;;2.4.1 Beheeraccounts in kaart brengen;Hoog;Hoog;;Welke beheeraccounts zijn er, welke rechten die geven, wie er van gebruik maken, en waarom dat nodig is.
;;;;;X;;2.4.2 Overbodige accounts afsluiten;Hoog;Hoog;;
;;;;;X;;2.4.3 Beheeraccounts afdoende beveiligen;Hoog;Hoog;;
;;;;;X;;2.4.4 Beleid formuleren voor beheeraccounts;Midden;Hoog;RK;
;;;;;;;;;;;
2,5;Toegangsbeheer;Locatie accounts;Toegang door onbevoegden;;X;;2.5.1 Uitzoeken tot welke omgevingen/assets locatieaccounts toegang krijgen;Hoog;Hoog;;
;;;;;X;;2.5.2 Uitzoeken of ex-medewerkers toegang kunnen krijgen met een locatieaccount;Hoog;Hoog;;
;;;;;X;;2.5.3 Beleid opstellen voor autenticatie op locatieaccounts;Hoog;Hoog;;
;;;;;X;;2.5.4 Implementeren van het beleid voor autenticatie op locatieaccounts;Hoog;Hoog;;
;;;;;;;;;;;
2,6;Toegangsbeheer;Decentrale toegangsverlening voor SaaS applicaties;Toegang door onbevoegden;;X;X;2.6.1 In kaart brengen door wie, en op welke gronden, rechten toegekend worden in de verschillende applicaties;Laag;Midden;;
;;;;;;;2.6.2 In kaart brengen welke mogelijkheden de verschillende applicaties bieden in hun rechtenstructuur;Laag;Midden;;
;;;;;;;2.6.3 Opstellen van een overkoepelend beleid voor de toekenning van rechten volgens het least privilege / need to know principe;Laag;Midden;RK;
;;;;;;;2.6.4 Opstellen van beleid per applicatie, congruent met het overkoepelende beleid;Laag;Midden;RK;
;;;;;;;;;;;
3,1;Toegangsbeheer;Gast accounts op Teams/SharePoint;Toegang door onbevoegden;;X;;3.1.1 Instellen dat alleen medewerkers van Humankind gastgebruikers mogen aanmaken;Hoog;Hoog;;
;;;;;X;;3.1.2 Instellen van automatische expiratie op gast accounts;Hoog;Hoog;;
;;;;;X;;3.1.3 Instellen van beperkt geldigheid van invite/share links;Hoog;Hoog;;
;;;;;X;;3.1.4 Beleid opstellen voor het beheren van Teams groepen en SharePoint sites;Midden;Hoog;RK;m.n. rond het toevoegen van (gast-) gebruikers: rechten, toegang tot informatie, vertrouwelijkheid (geheimhoudingsverklaring indien noodzakelijk), het afsluiten van projectomgevingen en het verwijderen van (gast) accounts.
;;;;;;;;;;;
3,2;Omgang met vertrouwelijke informatie;Data sharing options in Teams;Toegang door onbevoegden, datalekken;;X;;3.2.1 Uitzetten van Teams data sharing naar services buiten het beheer van Humankind;Midden;Midden;;
;;;;;;;;;;;
3,3;Omgang met vertrouwelijke informatie;Geen regels voor het classificeren van data;Toegang door onbevoegden, datalekken;;X;;3.3.1 Dataclassificatie opstellen;Midden;Hoog;RK;
;Omgang met vertrouwelijke informatie;Geen regels voor de omgang met geclassificeerde data;;;X;;3.3.2 Beleid formuleren t.a.v. omgang met vertrouwelijke informatie;Laag;Hoog;RK;M.n. SharePoint, Teams en Outlook
;Omgang met vertrouwelijke informatie;Geen regels voor het gebruik van niet-gemandateerde software;;X;X;;3.3.3 ('Beleid opstellen' opgenomen bij 5.2 Ongemandateerde SaaS applicaties;Midden;Hoog;RK;
;;;;;;;;;;;
3,4;Omgang met vertrouwelijke informatie;Data uit Beaufort op SharePoint;Toegang door onbevoegden, datalekken;;X;;3.4.1 Onderzoeken of Beaufort data voldoende beveiligd is;Hoog;Hoog;;
;;;;;X;;3.4.2 Onderzoeken of online toegang tot Beaufort data noodzakelijk is;Hoog;Hoog;;
;;;;;X;;3.4.3 Beaufort data verplaatsen naar een beter beveiligde omgeving indien nodig;Hoog;Hoog;;
;;;;;;;;;;;
3,5;Omgang met vertrouwelijke informatie;Onbeveiligd printen;Toegang door onbevoegden, datalekken;;X;;3.5.1 Bepalen praktische implementatie voor beveiligd printen;Midden;Hoog;;Standaard aan, of met keuze 'gevoelige informatie'
;;;;;X;;3.5.2 Beveiligd printen implementeren;Midden;Hoog;;
;;;;;;;;;;;
4,1;Device management;Geen EDM op Apple devices;Compromitering van assets;X;X;;4.1.1 Uitzoeken hoe EDM toegepast kan worden op Apple devices;Midden;Midden;;
;;;;;;;4.1.2 Implementeren EDM op Apple devices;Midden;Midden;;
;;;;;;;;;;;
4,2;Netwerkbeveiliging;Onbekende devices op Humankind netwerk;Toegang tot netwerken;;X;;4.2.1 Ilionx vragen of onbekende devices toegang kunnen krijgen tot de Humankind services;Laag;Midden;;en zo ja, of er indicaties zijn dat dit gebeurt
;;;;;;;;;;;
5,1;Toegangsbeheer;SaaS applicaties zonder SSO en/of MFA;Verhoogde kwetsbaarheid voor hacking/phishing attacks;X;X;X;5.1.1 Implementeren gebruik Password manager;Hoog;Hoog;;
;;;;X;X;X;5.1.2 Uitzoeken welke applicaties aan EntraID SSO gekoppeld kunnen worden;Hoog;Hoog;;Via dit mechanisme MFA afdwingen
;;;;X;X;X;5.1.3 Uitzoeken welke applicaties voorzien in een eigen MFA mechanisme en hiervan gebruik maken.;Hoog;Hoog;;
;;;;X;X;X;5.1.4 Opstellen van een migratiepad van de verschillende applicaties naar EntraID (of alternatief);Hoog;Hoog;;
;;;;X;X;X;5.1.5 Onderzoeken of aanvullende maatregelen nodig en mogelijk zijn voor de resterende applicaties;Hoog;Hoog;;
;;;;;;;;;;;
5,2;Omgang met vertrouwelijke informatie;Geen regels voor het gebruik van niet-gemandateerde software;Datalekken, verlies van toegang;X;X;;5.2.1 Beleid opstellen en communiceren voor het gebruik van niet door Humankind beheerde software en services;Midden;Hoog;RK;
;;;;;;;;;;;
6,1;Bedrijfscontinuïteit;Geen incident response procedure en herstelplan;Verlies van productiviteit en data;X;;;6.1.1 Uitvoeren van een Business Impact Analyse ;Hoog;Hoog;RK;
;;;;;;;6.1.2 Opstellen van een Incident Response & Recovery Procedure;Hoog;Hoog;RK;
;;;;;;;;;;;
6,2;IKC;Dienstverlening aan partners in IKCs;Datalekken, aansprakelijkheid;;;;6.2.1 Onderzoeken van welke infrastructuur en services van Humankind externe partijen gebruik maken;Laag;Midden;;
;;;;;;;6.2.2 In kaart brengen randvoorwaarden en technische/juridische risico's;Laag;Midden;;
;;;;;;;;;;;
6,3;Overnames;Risico's bij overnames;Verborgen / onbekende risico's;X;X;X;6.3.1 Opstellen methode voor InfoSec due dilligence;Midden;Hoog;;
;;;;;;;;;;;
6,4;Leveranciersmanagement;Afhankelijkheid van Ilionx;Continuiteit;;;;6.4.1 Borgen kwaliteit van dienstverlening;;;;
;;;;;;;;;;;
6,5;Leveranciersmanagement;Gebrek aan toegang tot logs of monitoring tools;Geen inzage in performance / compliance;;;;6.5.1 Noodzaak / wenselijkheid bepalen;Midden;Hoog;;
;;;;;;;6.5.2 Afstemmen met Ilionx;Midden;Hoog;;Na opstellen basis informatiebeveiligingsbeleid
;;;;;;;;;;;
6,6;Communicatie;Beperkte informatiedeling over security issues en initiatieven;;;;;6.6.1 Interne communicatie over security issues en initiativen verbeteren;;;FW;
;;;;;;;;;;;
;;;;;;;;;;;
;;;;;;;;;;;
;;;;;;;;;;;
;;;;;;;;;;;
;;ROADMAP;;;;;;;;;
;;FIT/GAP;;;;;;;;;
1 Paragraaf Gebied Kwetsbaarheid Risico's B V I Actie Urgentie Belang Actiehouder Opmerkingen
2 2,1 Toegangsbeheer Onvolledige implementatie MFA op gebruikersaccounts Toegang door onbevoegden X 2.1.1 Monitoren voortgang Laag Hoog Uitrol over de PM-accounts wordt afgerond in Q1 2025
3 X 2.1.2 Instellen her-autenticatie op onbekende locaties Midden Midden
4 X 2.1.3 Implementeren biometrische autenticatie Laag Laag
5
6 2,2 Toegangsbeheer User provisioning op de Microsoft omgeving vanuit Mercash Toegang door onbevoegden, Uitsluiting van bevoegden, Vervuiling van registraties, Onterechte licentiekosten X X X 2.2.1 Identificeren van assets waartoe op deze wijze toegang wordt verleend Hoog Hoog
7 X X X 2.2.2 Periodiek monitoren resultaten script Midden Hoog
8 X X X 2.2.3 Opstellen rechten & rollen matrix Hoog Hoog
9 X X X 2.2.4 Beleid op beheer R&R matrix Midden Hoog
10
11 2,3 Toegangsbeheer Inconsistenties tussen Active Directory (AD) and EntraID Toegang door onbevoegden X 2.3.1 Review van de policies in de Active Directory (AD) en EntraID Hoog Hoog
12 X 2.3.2 Beleid opstellen voor wachtwoordexpiratie en autenticatie Hoog Hoog
13 X 2.3.3 Implementeren van het beleid voor wachtwoordexpiratie en autenticatie Hoog Hoog
14 X 2.3.4 ('Migratiepad' opgenomen bij 5.1 SaaS applicaties)
15
16 2,4 Toegangsbeheer Beperkt zicht op beheeraccounts op verschillende omgevingen Toegang door onbevoegden X 2.4.1 Beheeraccounts in kaart brengen Hoog Hoog Welke beheeraccounts zijn er, welke rechten die geven, wie er van gebruik maken, en waarom dat nodig is.
17 X 2.4.2 Overbodige accounts afsluiten Hoog Hoog
18 X 2.4.3 Beheeraccounts afdoende beveiligen Hoog Hoog
19 X 2.4.4 Beleid formuleren voor beheeraccounts Midden Hoog RK
20
21 2,5 Toegangsbeheer Locatie accounts Toegang door onbevoegden X 2.5.1 Uitzoeken tot welke omgevingen/assets locatieaccounts toegang krijgen Hoog Hoog
22 X 2.5.2 Uitzoeken of ex-medewerkers toegang kunnen krijgen met een locatieaccount Hoog Hoog
23 X 2.5.3 Beleid opstellen voor autenticatie op locatieaccounts Hoog Hoog
24 X 2.5.4 Implementeren van het beleid voor autenticatie op locatieaccounts Hoog Hoog
25
26 2,6 Toegangsbeheer Decentrale toegangsverlening voor SaaS applicaties Toegang door onbevoegden X X 2.6.1 In kaart brengen door wie, en op welke gronden, rechten toegekend worden in de verschillende applicaties Laag Midden
27 2.6.2 In kaart brengen welke mogelijkheden de verschillende applicaties bieden in hun rechtenstructuur Laag Midden
28 2.6.3 Opstellen van een overkoepelend beleid voor de toekenning van rechten volgens het least privilege / need to know principe Laag Midden RK
29 2.6.4 Opstellen van beleid per applicatie, congruent met het overkoepelende beleid Laag Midden RK
30
31 3,1 Toegangsbeheer Gast accounts op Teams/SharePoint Toegang door onbevoegden X 3.1.1 Instellen dat alleen medewerkers van Humankind gastgebruikers mogen aanmaken Hoog Hoog
32 X 3.1.2 Instellen van automatische expiratie op gast accounts Hoog Hoog
33 X 3.1.3 Instellen van beperkt geldigheid van invite/share links Hoog Hoog
34 X 3.1.4 Beleid opstellen voor het beheren van Teams groepen en SharePoint sites Midden Hoog RK m.n. rond het toevoegen van (gast-) gebruikers: rechten, toegang tot informatie, vertrouwelijkheid (geheimhoudingsverklaring indien noodzakelijk), het afsluiten van projectomgevingen en het verwijderen van (gast) accounts.
35
36 3,2 Omgang met vertrouwelijke informatie Data sharing options in Teams Toegang door onbevoegden, datalekken X 3.2.1 Uitzetten van Teams data sharing naar services buiten het beheer van Humankind Midden Midden
37
38 3,3 Omgang met vertrouwelijke informatie Geen regels voor het classificeren van data Toegang door onbevoegden, datalekken X 3.3.1 Dataclassificatie opstellen Midden Hoog RK
39 Omgang met vertrouwelijke informatie Geen regels voor de omgang met geclassificeerde data X 3.3.2 Beleid formuleren t.a.v. omgang met vertrouwelijke informatie Laag Hoog RK M.n. SharePoint, Teams en Outlook
40 Omgang met vertrouwelijke informatie Geen regels voor het gebruik van niet-gemandateerde software X X 3.3.3 ('Beleid opstellen' opgenomen bij 5.2 Ongemandateerde SaaS applicaties Midden Hoog RK
41
42 3,4 Omgang met vertrouwelijke informatie Data uit Beaufort op SharePoint Toegang door onbevoegden, datalekken X 3.4.1 Onderzoeken of Beaufort data voldoende beveiligd is Hoog Hoog
43 X 3.4.2 Onderzoeken of online toegang tot Beaufort data noodzakelijk is Hoog Hoog
44 X 3.4.3 Beaufort data verplaatsen naar een beter beveiligde omgeving indien nodig Hoog Hoog
45
46 3,5 Omgang met vertrouwelijke informatie Onbeveiligd printen Toegang door onbevoegden, datalekken X 3.5.1 Bepalen praktische implementatie voor beveiligd printen Midden Hoog Standaard aan, of met keuze 'gevoelige informatie'
47 X 3.5.2 Beveiligd printen implementeren Midden Hoog
48
49 4,1 Device management Geen EDM op Apple devices Compromitering van assets X X 4.1.1 Uitzoeken hoe EDM toegepast kan worden op Apple devices Midden Midden
50 4.1.2 Implementeren EDM op Apple devices Midden Midden
51
52 4,2 Netwerkbeveiliging Onbekende devices op Humankind netwerk Toegang tot netwerken X 4.2.1 Ilionx vragen of onbekende devices toegang kunnen krijgen tot de Humankind services Laag Midden en zo ja, of er indicaties zijn dat dit gebeurt
53
54 5,1 Toegangsbeheer SaaS applicaties zonder SSO en/of MFA Verhoogde kwetsbaarheid voor hacking/phishing attacks X X X 5.1.1 Implementeren gebruik Password manager Hoog Hoog
55 X X X 5.1.2 Uitzoeken welke applicaties aan EntraID SSO gekoppeld kunnen worden Hoog Hoog Via dit mechanisme MFA afdwingen
56 X X X 5.1.3 Uitzoeken welke applicaties voorzien in een eigen MFA mechanisme en hiervan gebruik maken. Hoog Hoog
57 X X X 5.1.4 Opstellen van een migratiepad van de verschillende applicaties naar EntraID (of alternatief) Hoog Hoog
58 X X X 5.1.5 Onderzoeken of aanvullende maatregelen nodig en mogelijk zijn voor de resterende applicaties Hoog Hoog
59
60 5,2 Omgang met vertrouwelijke informatie Geen regels voor het gebruik van niet-gemandateerde software Datalekken, verlies van toegang X X 5.2.1 Beleid opstellen en communiceren voor het gebruik van niet door Humankind beheerde software en services Midden Hoog RK
61
62 6,1 Bedrijfscontinuteit Geen incident response procedure en herstelplan Verlies van productiviteit en data X 6.1.1 Uitvoeren van een Business Impact Analyse Hoog Hoog RK
63 6.1.2 Opstellen van een Incident Response & Recovery Procedure Hoog Hoog RK
64
65 6,2 IKC Dienstverlening aan partners in IKCs Datalekken, aansprakelijkheid 6.2.1 Onderzoeken van welke infrastructuur en services van Humankind externe partijen gebruik maken Laag Midden
66 6.2.2 In kaart brengen randvoorwaarden en technische/juridische risico's Laag Midden
67
68 6,3 Overnames Risico's bij overnames Verborgen / onbekende risico's X X X 6.3.1 Opstellen methode voor InfoSec due dilligence Midden Hoog
69
70 6,4 Leveranciersmanagement Afhankelijkheid van Ilionx Continuiteit 6.4.1 Borgen kwaliteit van dienstverlening
71
72 6,5 Leveranciersmanagement Gebrek aan toegang tot logs of monitoring tools Geen inzage in performance / compliance 6.5.1 Noodzaak / wenselijkheid bepalen Midden Hoog
73 6.5.2 Afstemmen met Ilionx Midden Hoog Na opstellen basis informatiebeveiligingsbeleid
74
75 6,6 Communicatie Beperkte informatiedeling over security issues en initiatieven 6.6.1 Interne communicatie over security issues en initiativen verbeteren FW
76
77
78
79
80
81 ROADMAP
82 FIT/GAP

BIN
Clients/Humankind/24203 - Montese - Management Samenvatting - 20241220.pdf Normal file
View file

Binary file not shown.

BIN
Clients/Humankind/24203 - Montese - Rapportage - 20241220.pdf Normal file
View file

Binary file not shown.

BIN
Clients/Humankind/250321 Appendix Selectie en implementatie van Technologie.docx Normal file
View file

Binary file not shown.

BIN
Clients/Humankind/250321 Selectie en implementatie van Technologie.docx Normal file
View file

Binary file not shown.

BIN
Clients/Humankind/Aanbieding HK Calculatie.numbers Normal file
View file

Binary file not shown.

22
Clients/Humankind/Aanbiedingen van leveranciers pentest Humankind.md Normal file
View file

@ -0,0 +1,22 @@
### EightFence
Heeft zich teruggetrokken nadat ze zich realiseerden dat Ilionx in dezelfde branche opereerde als zijzelf, en vanwege de verstoorde relatie tussen Humankind en Ilionx.
![](EightFence%20intakeformulier%20BLANCO.docx)
![](EightFence%20intakeformulier%20240808.docx)
## Securesult
[](Securesult%20Presentatie-HumanKind_kort.pdf)
[](Securesult%20Voorstel%20nulmeting%20en%20analyse%20leveranciersdiensten%20v1.0.pdf)
## NFIR
[](NFIR%20pentest%20presentatie.pdf)
[](NFIR%20Pentest%20-%20Voorbeeld%20Rapportage%20Webapplicatie%20-%202024-06-11%20(2).pdf)
[](NFIR%20Penetration%20Testing%20Execution%20Standard%20(PTES)%20(4).pdf)
[](NFIR%20CIS%20Critical%20Security%20Controls_v8.pdf)
[](NFIR%20BV_Vrijwaringsverklaring_Humankind_20241023.pdf)
[](NFIR%20BV_Offerte%20CIS%20Controls_Humankind_20241009.pdf)
[](NFIR%20BV_Offerte%20Pentest_Humankind_20241023.pdf)
## Vergelijking
![](Vergelijking%20presentaties%20pentest%208%20oktober%202024.xlsx)

58
Clients/Humankind/Actielijst Risico inventarisatie Humankind.md Normal file
View file

@ -0,0 +1,58 @@
![](241204%20Acties%20uit%20Risico%20inventarisatie%20Humankind.csv)
Acties liggen voor nu (12 december 2024) op het vlak van beleidsvorming.
## Scope o.b.v. risico inventarisatie
- Dataclassificatie en omgang met geclassificeerde data (Actielijst 3.3)
- Beheer van van Teams groepen en SharePoint sites (Actielijst 3.1) m.n. rond het toevoegen van (gast-) gebruikers: rechten, toegang tot informatie, vertrouwelijkheid (geheimhoudingsverklaring indien noodzakelijk), het afsluiten van projectomgevingen en het verwijderen van (gast) accounts.
- Toegangsverlening tot SaaS applicaties (Actielijst 2.6)
- Beheer van admin-accounts op de verschillende applicaties en omgevingen (Actielijst 2.4)
- Richtlijnen voor gebruik van niet-gemandateerde software (Actielijst 5.2)
- Bedrijfscontinuïteit: BIA, IRP/DRP (Actielijst 6.1)
## Aanpak
**Starten met de basis: Dataclassificatie en omgang met gevoelige gegevens**
Zie wellicht ook [architectuurdocument](OrgFit%20Architectuurprincipes%20Humankind.md)
1. Vaststellen van de verschillende niveaus o.b.v. impact op continuïteit, financiën, reputatie en compliance (wet- en regelgeving, intern beleid).
- [ ] Richard, met Insiyah en Francis 3.3.1  3.3.2 WEEK3
2. identificeren van voorbeelden van geclassificeerde informatie binnen Humankind
- Voorbeelddocumenten verzamelen aan de hand van de ORGfit Informatiematrix en evt. screenshots van de belangrijkste applicaties
- [ ] Gaston (voorbeelddocumenten) WEEK 6
- Toekennen van classificatie (in overleg)
- [ ] Richard doet voorzet WEEK 7
- opstellen van algemene richtlijnen per classificatieniveau (voor gebruik, opslag, delen en verwijderen van informatie)
- [ ] *stelt Richard in algemeenheid op* SESSIE WEEK 8
3. vertalen in richtlijnen voor de verschillende applicaties en devices, te beginnen met Teams, SharePoint en de belangrijkste applicaties
- Afstemmen met de FuBes en IT consultants, ook voor draagvlak
4. Voorstel opleveren en besluit nemen
5. Voorstel voor borgen van het beheer in de organisatie
**Toegangsverlening tot SharePoint, Teams en SaaS applicaties**
1. Definiëren van de verschillende rollen m.b.t. informatie (data owner, data steward, applicatiebeheerder, IT beheerder, eindgebruiker) en hun taken/verantwoordelijkheden
- [ ] Overkoepelend afspreken met Mendy, Roxanne obv architectuurprincipes uit governance werkgroep van Beter Sturen
2. Bepalen need to know en need to edit voor de verschillende gegevensverzamelingen i.r.t. het functiehuis van Humankind (update van de ORGfit Informatiematrix?)
3. Bepalen van de noodzakelijke _beheersrechten_ op systemen (least privilege)
4. Toewijzen van de informatie-rollen aan functies/rollen binnen Humankind
5. Voorstel voor borgen van het beheer in de organisatie
**Richtlijnen voor gebruik van niet-gemandateerde software**
- Op basis van best practices
- Definiëren wat gemandateerde software is (white listing),
- Ophalen welke niet gemandateerde software gebruikt worden (via Ilionx)
- [ ] Tom levert lijst aan met white listing software 
- [ ] Richard levert lijst van Universiteit van Leiden als voorbeeld. 
- [ ] Richard neemt tablet-beleid van Mediawijsheid mee in beleid 
- [ ] Gaston zoekt op wat er al is op het gebied van Mediabeleid (youtube etc)
**Bedrijfscontinuïteit**
- Business Impact Analyse: organiseren workshop
- [ ] Deelnemers workshop nodig
- [ ] Francis vraagt : Is er al een impactanalyse voor de accountant? Back-up en recovery?
- [ ] Plannen en uitnodigen workshop door Gaston, ondersteunt door Francis: Business controller, AMP, Manager finance &control, regiodirecteur, FB kidsvison, FB ouderapp, FB Mercash, Manager Faciltair, Manager IM, Manager HR,
- [ ] Afstemmen met directeur bedrijfsvoering voor akkoord.
- Disaster Recovery Procedure: organiseren workshop
- [ ] Vervolg op eerdere workshop, plannen na de eerste.

BIN
Clients/Humankind/Appendix Selectie en implementatie van Technologie.docx Normal file
View file

Binary file not shown.

BIN
Clients/Humankind/Architectuurprincipes Humankind 2024.pdf Normal file
View file

Binary file not shown.

57
Clients/Humankind/Autorisatiematrix HK.md Normal file
View file

@ -0,0 +1,57 @@
# Voorstel aanpak Toegangsbeleid applicaties
## Uitgangspunten
Binnen Humankind verwerken we grote hoeveelheden informatie in veel verschillende applicaties (bij een recente telling zaten we op ongeveer 85 verschillende). Een aanzienlijk deel van die informatie is vertrouwelijk en privacy gevoelig. Daarom is het van belang dat toegang tot vertrouwelijke informatie beperkt wordt tot de mensen die de informatie nodig hebben. Dit is het 'need to know' principe. De achterliggende gedachte is simpel: hoe meer mensen een 'geheim' weten, des te groter de kans dat het uitlekt.
Het is ook verstandig om mensen niet méér rechten te geven in applicaties dan nodig is. De integriteit van informatie loopt gevaar als rechten te breed gesteld zijn denk aan het wijzigen van salarisgegevens, het goedkeuren van inkoopfacturen, of het toevoegen of verwijderen van gebruikers in een systeem. Dit is het 'least privilege' principe.
Deze twee principes vormen de basis voor het toegangsbeleid van Humankind. Vanuit deze principes bouwen we een 'Rechtenmatrix', waarin is vastgelegd welke informatie toegankelijk moet zijn voor welke functies en rollen.
**Reikwijdte**
Deze aanzet tot beleidsvorming richt zich vooral op de verschillende SaaS applicaties. De rechtenmatrix voor de Microsoft omgeving (w/o SharePoint) is onderdeel van het project van Data4.
**Noodzaak**
Het is voor de afdeling Informatiemanagement praktisch onuitvoerbaar om het rechtenbeheer te voeren over alle applicaties die binnen Humankind gebruikt worden. Daarom is het beheer van rechten voor applicaties buiten de Microsoft omgeving gedelegeerd aan de Functioneel Beheerders. Vanuit het oogpunt van informatiebeveiliging is het verstandig als ze hiervoor duidelijke richtlijnen kunnen volgen, die beleidsmatig zijn vastgesteld.
## Opbouwen van de rechtenmatrix
De eerste stap is te kijken naar de verschillende functies/rollen in de organisatie, en welke informatie er nodig is om de bijbehorende werkzaamheden goed uit te voeren. Daarna bepaal je welke rechten iemand nodig heeft op de verschillende applicaties die hij/zij bij zijn/haar werk moet gebruiken.
Uitgangspunten daarvoor zijn:
- het Functieboek van Management en Organisatie
- het Processenhuis uit het programma Beter Sturen, waarin per afdeling is vastgelegd welke processen er worden aangestuurd en uitgevoerd
Stappen:
1. Bekijk per functie uit het Functieboek, welke werkzaamheden daarbij horen (het Processenhuis kan daarbij helpen)
2. Bepaal op basis van de werkzaamheden welke gegevens *minimaal* nodig zijn om ze uit te voeren ('need to know'), en uit welke applicaties die gegevens moeten komen
3. Bepaal welke rechten in ieder systeem nodig zijn, om het werk dat bij de functie hoort te kunnen uitvoeren.
Om de rechten in te delen, kun je een zgn. BREAD matrix[^1] maken. De letters staan voor:
- **Browse**: overzichten bekijken, maar niet de details (denk aan personeelsoverzichten, maar niet de gegevens van individuen, vaak om privacy-redenen )
- **Read**: bekijken of inzien, ook van details
- **Edit**: wijzigen
- **Add**: invoeren of aanmaken
- **Delete**: verwijderen
Evt. Execute / Approve toevoegen.
Soms zul je er nog een opmerking bij moeten zetten, bijv.: 'Alleen voor zijn/haar locatie'.
Je komt dan uit op tabellen als hieronder (bijvoorbeeld):
![](CleanShot%202025-06-02%20at%2016.36.31.png)
Wat er boven de kolommen staat, kan ws. het best bepaald worden door de functioneel beheerders, omdat zij weten hoe de applicatie is ingericht.
## Vervolg
Ik stel voor:
- de bovenstaande uitgangspunten en aanpak beschrijven als beleidsstuk (ter goedkeuring door de juiste personen) daarin moet ook het proces beschreven worden voor het uitdelen en ontnemen van rechten, en een steekproefsgewijze periodieke controle of rechten in de applicaties overeenkomen met de matrix.
- de matrix opstellen en invullen, samen met de functioneel beheerders van de verschillende applicaties.
[^1]: Dit is een variant op de CRUD matrix; ik vind de begrippen uit BREAD aansprekender voor niet-technische mensen.
![](Voorbeeld%20BREAD%20CRUD%20matrix.xlsx)

BIN
Clients/Humankind/Autorisatiematrix.xlsx Normal file
View file

Binary file not shown.

BIN
Clients/Humankind/BIA HK.xlsx Normal file
View file

Binary file not shown.

29
Clients/Humankind/BIA en DRP Sessies HK.md Normal file
View file

@ -0,0 +1,29 @@
# BIA en DRP Sessies Humankind
Gebaseerd op:
- [BIA Workshop](../../Corpus/Standards/ISO27x/Implementation%20Products/BIA%20Workshop.md)
- [DRP Workshop](../../Corpus/Standards/ISO27x/Implementation%20Products/DRP%20Workshop.md)
## Uitnodiging (via Gaston)
We zijn belangrijke stappen aan het zetten in het inrichten van onze informatiebeveiliging. Zo hebben we in de afgelopen maanden een pentest laten uitvoeren, hebben we een risico-inventarisatie gedaan, en zijn we de belangrijkste punten daaruit aan het opvolgen.
Eén van de aandachtspunten is het opstellen van een Bedrijfscontinuïteitsplan: stel dat er nou toch iets mis gaat op ICT gebied, hoe kunnen we er dan voor zorgen dat de bedrijfsvoering er zo min mogelijk last van heeft, en hoe komen we zo snel mogelijk terug naar de normale situatie.
We hebben Richard Kranendonk gevraagd ons te helpen een eerste versie van zo'n plan op te stellen. Dat doen we in de vorm van een aantal besprekingen met een workshop-achtig karakter om te bepalen welke systemen het belangrijkst zijn voor de verschillende bedrijfsfuncties, en hoe we eventuele uitval zouden kunnen ondervangen.
## Mail met korte uitleg
Wat kun je verwachten?
Binnen het project informatiebeveiliging kijken we ook naar de beschikbaarheid van systemen, en welke impact het op bedrijfsprocessen heeft als een systeem uitvalt (vandaar de term Business Impact Analyse). Dat helpt ons om noodplannen op te stellen voor als zich grote storingen voordoen. 
Dat wil ik ook met jullie doen voor <processen/afdelingen>.
Je hoeft niets voor te bereiden.
## Resultaten interviews
![](BIA%20HK.xlsx)

27
Clients/Humankind/Bedrijfscontinuïteitsplan Humankind.md Normal file
View file

@ -0,0 +1,27 @@
[template doc](../../Corpus/📚️%20Literature%20notes/BCP_Bedrijfscontinuïteitsplanning.md)
Bedrijfscontinuïteitsplan:
- Continuering kritische processen bij uitval van middelen
- Herstelplan
Aanpak:
1. Analyse (processen, assets en bedreigingen)
2. Planning maatregelen
3. Testen: scenario's simuleren en aanpassingen maken
4. Implementatie maatregelen
5. Testen maatregelen
6. Periodiek oefenen van scenario's, aanpassen waar nodig
1. **Analyse:** -> Teams Call met Mendy, vragen uitzetten
- Bepalen bedrijfskritische processen (prioriteiten bepalen) en informatie-assets
- Dreigingsanalyse
- Belangen stakeholders, wet- en regelgeving, compliance verplichtingen
- Bepalen minimaal acceptabel niveau van functioneren tijdens verstoringen (tov Normaal)
- Analyseren processen en afhankelijkheden
- intern en extern, mensen en middelen, systemen en verbindingen
In call 15 juli, gevraagd om inzicht in:
- systeemlandschap
- dataverzamelingen vs bedrijfsprocessen
- rollen

BIN
Clients/Humankind/Bedrijfsfuncties en Applicaties.xlsx Normal file
View file

Binary file not shown.

14
Clients/Humankind/Beleid voor Gebruik van SaaS HK.md Normal file
View file

@ -0,0 +1,14 @@
# Beleid voor Gebruik van Software-as-a-Service
## Grondslag
Uit de [Procedure Digitaal gebruikersbeleid, versie 0.1](Procedure%20Digitaal%20gebruikersbeleid%20HK.md):
> Bij Humankind kiezen wij bewust voor Microsoft Teams als ons platform voor bedrijfscommunicatie, vanwege de veiligheid die het biedt. We sluiten andere applicaties uit. In tegenstelling tot andere platforms, waar de controle over gegevens en beveiliging beperkter is, beschikt Microsoft Teams over geavanceerde beveiligingsfuncties. Deze functies stellen ons in staat om vertrouwelijke informatie te beschermen tegen ongeautoriseerde toegang en mogelijke datalekken en beschikt over uitgebreide controle- en beheeropties. Dit verzekert ons en jou van een optimale bescherming van gegevens en helpt ons te voldoen aan wettelijke verplichtingen, zoals die van de AVG (Algemene Verordening Gegevensbescherming).
>
> *de procedure bevat een lijst met standaardapplicaties*
Er is een standaardlijst met applicaties (zie appendix, bestaande uit 'breedte' applicaties en functiespecifieke / afdelingsspecifieke applicaties, tabel met naam-doel-ITeigenaar-FuBe). Deze lijst ligt ten grondslag aan de lijst in het Digitaal Gebruikersbeleid. Het gebruik van andere applicaties is niet toegestaan, tenzij .... De procedure voor 'tenzij' is gebaseerd op het Beleid Selectie en Implementatie van Technologie (wellicht een light versie hiervan)
**Versie 29 mei 2025**
![](Gebruik%20van%20Software-as-a-Service%20250529.docx)

17
Clients/Humankind/Benoemde risico's Humankind.md Normal file
View file

@ -0,0 +1,17 @@
In gesprekken benoemde risico's
Opnemen in Risico Register
Zie [Risk Register Format](../../Corpus/Sparks/Risk%20Register%20Format.md)
- Belangrijkste risicos zitten bij email en gebruik van Teams (gastaccounts, policies, etc.), daarover komen de meeste incidentmeldingen. 80% van de attack vectors lopen via mail.
- Updates KidsVision en Mercash (zitten op dezelfde database). KidsVision gaat volgend jaar vanuit de cloud geleverd worden, Mercash blijft on premise (i.e. bij Ilionx).
- Uitdagingen op toegangsbeheer
- Geldende wet- en regelgeving nog niet in kaart gebracht
- Betrokkenheid directie, afweging belangen
- Gebruik van infrastructuur partners
- Directeur vertelt terloops over enkele tientallen ungemanagede devices op het netwerk, gedoneerd door ouders en anderen. We kunnen die wel detecteren.
- SLA Security Monitoring Ilionx is een black box, geen beeld bij kwaliteit van de monitoring.
- Geen recovery/continuity targets afgesproken met Ilionx (MTD, RTO, RPO)
- Security nieuwe SaaS leveranciers

13
Clients/Humankind/Besturingsmodel informatiebeveiliging Humankind.md Normal file
View file

@ -0,0 +1,13 @@
Relevante brondocumenten:
[OrgFit Afspraken Procesmanagement Humankind](OrgFit%20Afspraken%20Procesmanagement%20Humankind.md)
[OrgFit Architectuurprincipes Humankind](OrgFit%20Architectuurprincipes%20Humankind.md)
**Uit [Gesprek met Robin Alma](Gesprek%20met%20Robin%20Alma%20Humankind%20240827.md):**
- Eénhoofdige Raad van Bestuur (i.e. Robin).
- Integraal bestuur door het Directie Overleg, dat gezamenlijk verantwoordelijk is voor het totaal. Besluitvorming door consensus.
- Het DO is dus uiteindelijk risico-eigenaar (en besluit over acceptatie)
- De directeur bedrijfsvoering is portefeuillehouder voor informatieveiligheid.
- Er wordt een Stuurgroep Informatieveiligheid opgezet met daarin John (projecteigenaar), Roxanne, Florine en Robin. Daarin nemen we de besluiten. Als dat breder besproken moet worden, komt het in het DO.
*Noot: op later moment bepalen welke risicos in het DO geaccepteerd moeten worden, en welke in lagen daaronder. Mogelijke factoren zijn de risicoscore (m.n. hoogte en rijkwijdte van de impact).*

30
Clients/Humankind/Big RASCI matrix Humankind.md Normal file
View file

@ -0,0 +1,30 @@
## Idee voor opdeling
| Task | R | A | S | C | I |
| --------------------- | --- | --- | --- | --- | --- |
| Opstellen van beleid | | | | | |
| Goedkeuren van beleid | | | | | |
| Vertalen van beleid | | | | | |
Voor legenda zie [RASCI Matrix](../../Corpus/Sparks/RASCI%20Matrix.md)
**Management**
- eindverantwoordelijk voor IB
- verantwoordelijk voor beleid
- vertalen van beleid naar richtlijnen gebruik en beheer voor specifieke oplossingen en situaties
- eigenaarschap informatie
- eigenaarschap risicos
- risicobeoordeling (niet door deze eigenaar zelf), periodiek en voor nieuwe oplossingen, uitbreidingen, koppelingen, belangrijke wijzigingen in de configuratie.
**Uitvoerend**
- verantwoordelijk voor beheer
- verantwoordelijk voor configuratie veiligheidsinstellingen
- controle op uitvoering
- toegangsbeheer
- rechtenstructuur binnen oplossing
- toekenning van rechten aan gebruikers
- controle op uitvoering
- contact met de leverancier voor support
- contact met de leverancier over incidenten
- contact met de leverancier over update en patches, met aandacht voor mogelijke verstoring (apart beleid voor patch management)
- management van de contracten/slas in de operationele fase

21
Clients/Humankind/Calculatie Humankind uit opdracht 6 juni 2024.md Normal file
View file

@ -0,0 +1,21 @@
![](Aanbieding%20HK%20Calculatie.numbers)
Uit [Opdracht Humankind 6 juni 2024](Opdracht%20Humankind%206%20juni%202024.md)
| **DELIVERABLES** | | | |
| -------------------------------------------------------------------------------------------------------- | --- | -------- | -------------- |
| **Fase I. Randvoorwaarden** | | | |
| [Check op Basisveiligheid](../../Corpus/Sparks/Check%20op%20Basisveiligheid%20Humankind.md) | | Stelpost | € 15.000 |
| [[Management Workshops Humankind\|Management Workshops (2x) Sturen op Risicos met de Canvas Methode]] | | | € 2.400 |
| [Vaststellen Leidende principes en doelen](Leidende%20principes%20en%20doelen%20Humankind.md) | 1 | € 1.100 | € 1.100 |
| _Totaal (ex. Stelpost)_ | | | **_€ 18.500_** |
| | | | |
| **Fase II. Structuur** | | | |
| Besturingsmodel | 1 | € 1.100 | € 1.100 |
| Informatieveiligheidsbeleid | 3 | € 1.100 | € 3.300 |
| Meerjarenplan | 1 | € 1.100 | € 1.100 |
| Risico identificatie | 3 | € 1.100 | € 3.300 |
| Fit/Gap analyse | 2 | € 1.100 | € 2.200 |
| Implementatieplan maatregelen | 3 | € 1.100 | € 3.300 |
| _Totaal_ | | | **_€ 14.300_** |

BIN
Clients/Humankind/CleanShot 2025-06-02 at 16.36.31.png Normal file
View file

Binary file not shown.
Side by side

After

Width:  |  Height:  |  Size: 42 KiB

13
Clients/Humankind/Contractvoorwaarden voor leveranciers HK.md Normal file
View file

@ -0,0 +1,13 @@
# Contractvoorwaarden voor leveranciers
**Doel**
Borgen van een overeengekomen niveau van informatiebeveiliging in leveranciersrelaties, door duidelijkheid te scheppen over de verplichtingen van beide partijen om te voldoen aan relevante informatiebeveiligingseisen.
**Procedure**
Bij het opstellen van contracten wordt de inhoud door (nader te bepalen) gecontroleerd t.o.v. de [Basislijst Contractvoorwaarden](Lijst%20Contractvoorwaarden%20HK.md). Bij afwijkingen van deze lijst wordt de leverancier gevraagd de contractvoorwaarden overeenkomstig aan te passen.
Wanneer de leverancier dit niet kan of wil doen, wordt in opdracht van het Directieteam een Risicoanalyse uitgevoerd door een ICT Consultant, volgens een daarvoor (nog op te stellen) vastgestelde procedure. Het directieteam neemt de resultaten hiervan mee in haar besluitvorming en documenteert de redenen voor het besluit.
**Register**
Humankind houdt een register bij van afspraken met externe partijen (bijv. contracten, een memorandum van overeenstemming, overeenkomsten voor het delen van informatie) waaruit duidelijk wordt welke informatie gedeeld wordt met welke partijen.

BIN
Clients/Humankind/Dataclassificatie Humankind 20250502.xlsx Normal file
View file

Binary file not shown.

BIN
Clients/Humankind/Dataclassificatie Humankind 20250515.xlsx Normal file
View file

Binary file not shown.

63
Clients/Humankind/Dataclassificatie Humankind.md Normal file
View file

@ -0,0 +1,63 @@
# Dataclassificatie Humankind
Sessie 20 maart 2025
Aanwezig:
- Roxanne Kokol
- Francis Willemsen
- Robin Alma
- Florine Vinkesteijn
### Introductietekst
Binnen het project zijn we bezig met het opstellen van informatiebeveiligingsbeleid. Goed beleid is risicogebaseerd. Daarbij is het handig om te bepalen op welke gebieden de risicobereidheid van de organisatie laag is (bijv. reputatie, compliance, financieel, continuïteit van de processen) en hoe de mate van impact gekwalificeerd en/of gekwantificeerd kan worden.
Dit past ook binnen de Governancecode Kinderopvang, beginsel 6, Verantwoording en beheersing:
“Het bestuur en het interne toezicht (geeft inzicht in) risicobereidheid en -beheersing”.
Deze classificering kan vervolgens gebruikt worden als basis om risicobeheersmaatregelen te kiezen in dit geval binnen het domein van informatiebeveiliging.
## Tekst op voorblad van de matrix
### Dataclassificatie en Maatregelen Humankind
Versie 2 mei 2025
**Het Traffic Light Protocol**
Het Traffic Light Protocol (TLP) van FIRST.org is binnen het vakgebied informatiebeveiliging een standaard voor het vaststellen van beveiligingsniveaus.
TLP onderscheid 4 niveaus: CLEAR / Openbaar, GREEN / Intern, AMBER / Vertrouwelijk en RED / Zeer vertrouwelijk of geheim.
Met deze 4 niveaus kun je de informatie en systemen binnen de organisatie rangschikken van openbaar tot geheim.
Vervolgens kun je per niveau maatregelen vaststellen, die van toepassing (moeten) zijn op de informatie en de systemen waarop deze informatie leeft.
Dat maakt het makkelijker om er beleid voor op te stellen, en helpt medewerkers te bepalen wat ze wel of niet mogen (of moeten) met de informatie waarmee ze werken.
**Totstandkoming van dit document**
1. Op 20 maart 2025 zijn met de bestuurder en de manager bedrijfsvoering de onderwerpen bepaald waarop de negatieve impact van incidenten het zwaarst weegt. Dat zijn: Continuïteit van de bedrijfsvoering, Welzijn van de kinderen, Inzetbaarheid van medewerkers, Reputatie en Financieel. Per onderwerp is de risicobereidheid bepaald, met een kwalificatie van de relatieve ernst van incidenten. *Dit vind je op het tabblad Impact.*
2. Met het Privacyteam is gekeken hoe de binnen de organisatie bestaande documenten en informatie past op de indeling in niveaus, en waar deze informatie voorkomt. Met Informatiemanagement hebben we dit gedaan voor de informatie die betrekking heeft op ons ICT landschap en de beveiliging daarvan. *Dit vind je op het tabblad Info-typen.*
3. Met Informatiemanagement is bepaald welke beschermende maatregelen vervolgens horen bij de verschillende niveaus. *Dit vind je op het tabblad Maatregelen.*
## Dataclassificatie matrix
**Actuele versie**
![](Dataclassificatie%20Humankind%2020250515.xlsx)
Issue:
Informatie uit de categorieën Geheim of Vertrouwelijk moeten ook gedeeld kunnen worden buiten de organisatie, alleen met een zeer beperkte groep. Bijv. de accountant, of de ouders van een kind.
Daarvoor moet je dan ook waarborgen inbouwen, maar daarbij doen zich een aantal vragen voor:
- Waar leg je de verantwoordelijkheid?
- op welk moment in het proces tref je de waarborgen?
- hoe ga je controleren of de waarborgen ook worden nageleefd?
- wie gaat het controleren, en op welk moment?
Waarborgen kunnen zijn:
- alleen toegang met MFA (zoals bij Zivver of Zorgmail)
- alleen toegang na een getekende geheimhoudingsverklaring
- alleen toegang vanaf een gemanaged device
- alleen toegang om een device met een recente build van het OS
- downloaden niet mogelijk.
**Eerdere versies**
Eerste versie incl. alle (voor HK niet relevante) voorbeelden
![](TLP_Impact_matrix_HK.xlsx)
![Versie 2 mei 2025](Dataclassificatie%20Humankind%2020250502.xlsx)

22
Clients/Humankind/Destillatie leidende principes Humankind.md Normal file
View file

@ -0,0 +1,22 @@
**Uit [Gesprek met Robin Alma](Gesprek%20met%20Robin%20Alma%20Humankind%20240827.md):**
Bedrijfsstrategie:
*Missie is een bijdrage leveren voor ieder kind, m.n. voor de kinderen waar we het verschil kunnen maken, door maatwerk voor kwetsbare kinderen, samen met partners.*
Daarvoor is nodig:
- kwalitatief, effectief en tevreden personeel
- samenwerking met partners
Uitgangspunt is creatief en in gezamenlijkheid ontwikkelen van oplossingen die voor alle partijen acceptabel en werkbaar zijn.
**Doelen t.a.v. Informatieveiligheid:**
- bescherming van kind-data
- optimale samenwerking rond het kind
- continuïteit van de kernprocessen
- flexibiliteit in lokale oplossingen
- blijvend alert op risicos en passende maatregelen
**Risico eigenaarschap**
- Besluiten worden genomen in de Stuurgroep Informatieveiligheid, alles wat breder besproken moet worden, komt het in het DO.
- Het DO is uiteindelijk risico-eigenaar (en besluit over acceptatie)

BIN
Clients/Humankind/Digitaal gebruikersbeleid Humankind.pdf Normal file
View file

Binary file not shown.

BIN
Clients/Humankind/EightFence intakeformulier 240808.docx Normal file
View file

Binary file not shown.

BIN
Clients/Humankind/EightFence intakeformulier BLANCO.docx Normal file
View file

Binary file not shown.

20
Clients/Humankind/Eisen aan ICT oplossingen uit de Architectuurprincipes Humankind.md Normal file
View file

@ -0,0 +1,20 @@
# Eisen aan ICT oplossingen uit de Architectuurprincipes
- Oplossingen moeten bijdragen aan de efficiëntie en effectiviteit van ondersteunende IT processen.
- De gegevens en informatie over klanten moeten beter beveiligd worden.
- Oplossingen moeten bijdragen aan het ondersteunen van de kindontwikkeling.
- Koppelingen tussen systemen worden beperkt tot alleen de noodzakelijke gegevensuitwisselingen.
- Alle gegevensuitwisseling vindt versleuteld plaats.
- Koppelingen tussen gegevensverwerkende systemen verlopen via één contactpunt (dataplatform).
- Er wordt ingezet op single-sign-on en multi-factor authenticatie als standaard.
- Onpersoonlijke accounts worden alleen toegestaan indien strikt noodzakelijk en zijn onderwerp van streng beleid.
- Leveranciers moeten het gebruik van persoonlijke accounts voor elke gebruiker ondersteunen en strikte beleidsregels implementeren voor niet-persoonlijke accounts.
- Logboeken worden bijgehouden voor traceerbaarheid.
- Maatwerk wordt zoveel mogelijk voorkomen
- Humankind kiest voor standaard applicaties voor bedrijfsvoering die bewezen zijn in de praktijk en in gebruik zijn bij meerdere organisaties.
- Eigen eisen aan deze applicaties worden beoordeeld op hun belang om te voorkomen dat standaard applicaties alsnog worden omgevormd tot maatwerk.
- Er worden zakelijke edities van ICT-hardware aangeschaft in plaats van consumentenversies.
- Er is een voorkeur voor web-gebaseerde applicaties die ook toegankelijk zijn van buiten de instelling. Cloudoplossingen hebben de voorkeur en afwijkingen van deze aanpak moeten goed worden onderbouwd en goedgekeurd door de architectuurboard.
- Leveranciers moeten zich houden aan het principe van een enkel gegevensmodel, samen met toegangsbeveiliging.
- Leveranciers moeten ervoor zorgen dat hun oplossingen voldoen aan de Nederlandse wet- en regelgeving, inclusief beveiligings- en privacywetten.
- Nieuwe ontwerpen moeten gebaseerd zijn op schaalbare dienstverlening, waarbij horizontale schaalbaarheid eenvoudig te realiseren moet zijn. Schaalbaarheid moet een criterium zijn bij de selectie van SaaS/PaaS-leveranciers.

17
Clients/Humankind/Eisen aan leveranciers en samenwerking uit de Architectuurprincipes Humankind.md Normal file
View file

@ -0,0 +1,17 @@
## Eisen aan leveranciers en samenwerking uit de Architectuurprincipes Humankind
**Beleidspunten vanuit de Architectuurprincipes**
- Humankind gebruikt een lijst met voorkeursleveranciers en streeft ernaar om de relaties en product roadmaps van deze leveranciers actief te onderhouden en te beïnvloeden.
- **Applicatiebeheer en Technisch beheer** worden zoveel mogelijk buiten Humankind belegd.
- **Contractuele afspraken** moeten expliciet data- en kennisoverdracht omvatten.
- Leveranciers moeten bijdragen aan de stabiliteit van de ICT infrastructuur.
- Leveranciers moeten **meebewegen met de technologische ontwikkelingen**.
- Er is aandacht voor **compliancy** en leveranciers moeten voldoen aan wet- en regelgeving.
- **Data- en kennisoverdracht** moeten expliciet worden opgenomen in contractuele overeenkomsten.
- **Toegang tot gegevens** moet beperkt zijn tot bevoegd personeel.
- **Interne en externe audits** worden uitgevoerd en verbeterpunten worden gestructureerd aangepakt.
- Leveranciers moeten ervoor zorgen dat Humankind over de juiste licenties beschikt voor alle ICT-producten en -diensten.
- - Bij het gebruik van clouddiensten moet rekening worden gehouden met het risico van "lock-in" bij de leverancier.

BIN
Clients/Humankind/Gebruik van Software-as-a-Service 250529.docx Normal file
View file

Binary file not shown.

55
Clients/Humankind/Gesprek met Robin Alma Humankind 240827.md Normal file
View file

@ -0,0 +1,55 @@
## Gesprek met Robin Alma, 27 augustus 2024
![](240827%20Gesprek%20Robin%20Alma.pdf)
### Strategische speerpunten
HK wil een bijdrage leveren voor ieder kind, m.n. voor de kinderen waar ze het verschil kan maken, door maatwerk voor kwetsbare kinderen, samen met partners.
Hiervoor is nodig:
- Goed personeel
- werving in een krappe markt
- kwaliteit van personeel (o.a. door academie voor zij-instromers)
- mensen effectief laten werken
- zorgen dat ze willen blijven
- Samenwerking met partners
- scholen (80%)
- welzijn
- jeugdzorg
- gemeenten
Groei is geen doel op zich, maar het is wel van belang om in een bepaalde regio een voldoende groot marktaandeel te hebben, i.v.m. de positie t.o.v. partners.
### Doelen informatieveiligheid
Niet gespecificeerd want dat is “niet strategisch” (is natuurlijk ook zo).
Maar ik denk aan:
- duidelijkheid over security posture (specifiek: bescherming van kinddata, continuïteit van processen)
- veiligheid is een randvoorwaarde, een enabler van de kernprocessen
- flexibel zijn in het bieden van lokale oplossingen
- optimale samenwerking rond het kind[^1]
- langdurig scherp blijven op risicos en passende maatregelen
### Compliance
We zijn natuurlijk verplicht ons te houden aan geldende wet- en regelgeving.
Daarnaast kiezen we ervoor om kaders als de NIS 2 en ERG voor duurzaamheid[^2]
### Besturingsmodel
Er is een éénhoofdige Raad van Bestuur (i.e. Robin).
Daarom hebben we gekozen voor integraal bestuur door het Directie Overleg (daar zitten de regiodirecteuren niet in). De directie is gezamenlijk verantwoordelijk voor het totaal. Besluitvorming door consensus. Die directeur HR kan bijvoorbeeld niet zeggen: ik ben van HR, dus we doen het zó. Als men het niet met elkaar eens kan worden, neemt Robin het besluit.
Binnen de directie is de directeur bedrijfsvoering (Roxanne) de portefeuillehouder voor informatieveiligheid.
Risico-acceptatie wordt dus in principe genomen in het directieoverleg.
*Noot: op later moment bepalen welke risicos in het DO geaccepteerd moeten worden, en welke in lagen daaronder. Mogelijke factoren zijn de risicoscore (m.n. hoogte en rijkwijdte van de impact).*
Voor het project informatieveiligheid is een stuurgroep opgezet, met daarin John (projecteigenaar), Roxanne, Florine en Robin. Daarin nemen we de besluiten. Als dat breder besproken moet worden, komt het in het DO.
*De presentatie Architectuur Principes (mei 2020, versie 0.3 concept) kent Robin niet, die is sowieso ingehaald door de Architectuurprincipes zoals bepaald in het traject Orgfit uit 2023.*
-> Uitgangspunt is creatief en in gezamenlijkheid ontwikkelen van oplossingen die voor alle partijen acceptabel en werkbaar zijn.
[^1]: we hebben eerder verkenningen gedaan voor de ontwikkeling van een centraal kinddossier, maar dat is afgeblazen als niet realistisch
[^2]: mogelijk CSR - Corporate Social Responsibility of RBC - Responsible Business Conduct

19
Clients/Humankind/Governance in Architectuurprincipes Humankind.md Normal file
View file

@ -0,0 +1,19 @@
# Passages over Governance (versie mei 2020)
Proceseigenaren en data-eigenaren: Waar zitten die in het Organogram?
O.02 Alle processen hebben een eigenaar die eindverantwoordelijk is voor (de kwaliteit van) de output
- opdrachtgever voor projecten
- aanspreekpunt voor veranderingen
- aanspreekpunt voor calamiteiten
- verantwoordelijk voor functioneel beheer
- eigenaar van de noodzakelijke brongegevens (tenzij uit andere applicaties)
- Opdrachtgever van het Architectuurboard (sheet 51) *kunnen zij dan een beslissing van het Architectuurboard overrulen?*
D.02 Kwaliteitsborging
- Voor elke gegevensverzameling is een eigenaar aangewezen die verantwoordelijk is voor de kwaliteit en beschikbaarheid van de gegevens.
- Borging: “Proceseigenaren zijn verantwoordelijk voor de kwaliteit van de gegevens” inconsistent tenzij de eigenaar van de gegevensverzameling altijd de proceseigenaar is.
D.03 Risicoclassificatie gegevens
- Gegevens zijn door de gegevenseigenaar voorzien van een BIV classificatie (Beschikbaarheid, Integriteit en Vertrouwelijkheid).
- Maatregelen worden ook gebaseerd op een risico-analyse vanuit bedrijfsprocesperspectief.
- Naleving van informatiebeveiligingsmaatregelen is een verantwoordelijkheid van alle betrokkenen en wordt onder meer geborgd door periodieke interne en externe audits.

83
Clients/Humankind/Herijking project 14 november 2024.md Normal file
View file

@ -0,0 +1,83 @@
*Nodig door vertrek John Keulen, komst Roxanne Kokol, benoeming Francis Willemsen tot Programmamanager ICT Roadmap.*
Deliverables:
- Inhuizen Servicedesk
- [Risicoanalyse Humankind](Risicoanalyse%20Humankind.md)
- Fit/gap analyse
- Implementatieplan
- Informatiebeveiligingsbeleid
Uit de oorspronkelijke opdracht resterende 10 dagen kunnen bijv. besteed kunnen worden aan:
- Risicomanagement bij de transities uit de Roadmap ICT
- Ontwikkeling van de capaciteiten om invulling te geven aan het informatiebeveiligingsbeleid
- Verbetering van sturing en rapportage op informatiebeveiliging i.s.m. Ilionx
- Awareness training van medewerkers en management
- Borging van het beleid in de organisatie.
## Document Herijking
![](Herijking%20project%20informatiebeveiliging%20Humankind%20november%202024.docx)
### Aanleiding
In juni 2024 is mij door het Bestuur van Humankind de opdracht gegund om de informatieveiligheid van de organisatie naar een hoger plan te brengen.
Mijn voorstel van destijds was gebaseerd op een uitvraag, en bijsturing daarop, van de Manager Informatie Management John Keulen.
De daarin gegeven aanpak was product gebaseerd, en bestond in hoofdlijnen uit:
- Een check op basisveiligheid door een onafhankelijke partij
- Managementworkshops voor bewustwording en eigenaarschap
- Workshops voor risico analyse
- Het produceren van beleidsstukken op verschillende relevante onderwerpen.
### Bijstelling opdracht
Naar aanleiding van verschillende ontwikkelingen in de organisatie (o.a. een wisseling van management) heb ik op 18 oktober jl. een overleg gehad met Roxanne Kokol, Francis Willemsen en Mendy Peeters, waarin mijn bijdrage op korte termijn als volgt gevraagd werd:
- Ondersteunen van Mendy bij het inrichten van de incidentenprocedure rond het inhuizen van de Servicedesk, en het verzorgen van een awareness training
- Helderheid scheppen m.b.t. een aantal eerder gesignaleerde risicos door interviews met medewerkers
- Een [notitie](NIS%202%20voor%20Humankind.md) opstellen over de gevolgen van NIS 2 voor Humankind
- Uitvoeren van een fit/gap analyse tussen bestaande beleidsstukken en het ISO 27001 framework
- Opstellen van een implementatieplan o.b.v. de fit/gap analyse
Besloten is dat de deliverables uit Fase II[[1]](#_ftn1) onderdeel worden van het op te stellen informatiebeveiligingsbeleid.
Het ontwikkelen van de benodigde capaciteiten in de organisatie (fase III) komt aan de orde in het implementatieplan.
Daarmee verandert de opdracht van karakter, nl. van “lever vastgestelde producten op een aantal themas”, naar:
**“Help ons Humankind veiliger te maken.”**
Dat doe ik met veel plezier en ik denk dat deze benadering uiteindelijk effectiever is bij de transities waar Humankind nu voor staat.
### Invulling budget
Op verzoek van Francis Willemsen maak ik een inschatting van wat er binnen de huidige opdracht gerealiseerd kan worden.
In de oorspronkelijke aanbieding is €34.300 gebudgeteerd voor fase I t/m III[[2]](#_ftn2). Daarop is t/m oktober €6.050 gefactureerd, wat betekent dat de budgetruimte per 1 november €28.250 bedraagt, overeenkomend met ongeveer 26 dagen.
| | |
| -------------------------------- | --------------- |
| | **Inschatting** |
| **Inhuizen Servicedesk** | 3 |
| **Risico inventarisatie** | 3 |
| **Fit/gap analyse** | 2 |
| **Implementatieplan** | 3 |
| **Informatiebeveiligingsbeleid** | 5 |
| **TOTAAL** | 16 |
_Stand per 1 november, in dagen_
Hiermee resteren er nog 10 dagen die bijv. besteed kunnen worden aan:
- Risicomanagement bij de transities uit de Roadmap ICT
- Ontwikkeling van de capaciteiten om invulling te geven aan het informatiebeveiligingsbeleid
- Verbetering van sturing en rapportage op informatiebeveiliging i.s.m. Ilionx
- Awareness training van medewerkers en management
- Borging van het beleid in de organisatie.
---
[[1]](#_ftnref1) O.a. besturingsmodel, risicomanagement, incident response, leveranciersmanagement, sturing op informatieveiligheid en helderheid voor toezichthouders
[[2]](#_ftnref2) €3.500 + €14.300 + €16.500, excl. stelpost voor pentest

BIN
Clients/Humankind/Herijking project informatiebeveiliging Humankind november 2024.docx Normal file
View file

Binary file not shown.

19
Clients/Humankind/Humankind project inhuizen Servicedesk.md Normal file
View file

@ -0,0 +1,19 @@
Volgens ChatGPT (d.d. 21 oktober 2024)
### In the ITIL framework, what parts are relevant to the functions of a IT user support desk?
In the ITIL (Information Technology Infrastructure Library) framework, the IT user support desk is primarily related to the Service Operation stage. This encompasses several processes and functions that are key to effectively running a support desk. Here are the main components:
1. **Incident Management:** This process is crucial for a support desk as it focuses on restoring normal service operation as quickly as possible following an incident, which is any disruption or potential disruption in service.
2. **Request Fulfillment:** This involves handling service requests from users, such as requests for information, advice, or access to services that are standardized and pre-defined.
3. **Access Management:** This process is responsible for granting authorized users the right to use a service while preventing access to unauthorized users. It supports the execution of policies defined in Information Security Management.
4. **Problem Management:** While not directly operated by the service desk, this process is closely related, as it involves the identification and management of the root causes of incidents. The service desk often escalates problems to this function.
5. **IT Operations Management:** Although mostly responsible for managing the day-to-day routine tasks related to IT operations, it interfaces with the service desk for coordination of activities and resolution of issues.
6. **Service Desk Function:** The service desk is a key function under ITIL's Service Operation phase. It serves as the single point of contact between the service provider and the users for daily IT activities, which includes dealing with incidents and service requests.
Together, these processes and functions ensure that the IT support desk can efficiently manage and resolve user issues, thereby maintaining high levels of service quality and user satisfaction.

BIN
Clients/Humankind/Informatiebeveiligingsbeleid Humankind.docx Normal file
View file

Binary file not shown.

47
Clients/Humankind/Informatiebeveiligingsbeleid Humankind.md Normal file
View file

@ -0,0 +1,47 @@
![](Informatiebeveiligingsbeleid%20Humankind.docx)
(Deze versie nog zonder opmerkingen van Informatiemanagement)
# Informatiebeveiligingsbeleid Humankind
*Voorgaande hoofdstukken ongewijzigd overgenomen uit [Informatiebeveiligingsbeleid ISO 27001](../../Corpus/Standards/ISO27x/Implementation%20Products/Informatiebeveiligingsbeleid%20ISO%2027001.md)*
## 4. Rollen en verantwoordelijkheden
### 4.1 Raad van Bestuur
De Raad van Bestuur zal strategisch toezicht houden op het informatiebeveiligingsprogramma van de organisatie en de betrokkenheid van de organisatie bij informatiebeveiliging aantonen door:
- jaarlijkse herziening en goedkeuring van het Informatiebeveiligingsbeleid en belangrijke beveiligingsinitiatieven;
- waarborgen dat er voldoende middelen worden toegewezen aan het informatiebeveiligingsprogramma;
- toezicht op belangrijke beveiligingsrisico's en -incidenten door middel van regelmatige rapportage;
- herziening van jaarlijkse statistieken en beoordelingen van de effectiviteit van het beveiligingsprogramma;
- goedkeuring van de risicoacceptatie en -tolerantieniveaus van de organisatie met betrekking tot informatiebeveiliging.
### 4.2 Uitvoerend management
Het uitvoerend management, inclusief de Directeur Bedrijfsvoering en het Directie Team, is verantwoordelijk voor:
- het creëren en onderhouden van een sterke beveiligingscultuur in de hele organisatie;
- het goedkeuren van informatiebeveiligingsstrategieën, -beleid en -initiatieven;
- waarborgen dat informatiebeveiligingseisen worden geïntegreerd in de processen van de organisatie;
- het toewijzen van voldoende middelen (financiële, personele en technische) om effectieve beveiligingsmaatregelen te handhaven;
- het driemaandelijks herzien van beveiligingsprestatiestatistieken en risico-indicatoren;
- ondersteuning van cross-functionele coördinatie voor beveiligingsinitiatieven;
- waarborgen dat beveiligingsoverwegingen worden meegenomen in de bedrijfsplanning en -besluitvorming.
### 4.3 Chief Information Security Officer (CISO)
*Noot: de rol van CISO wordt tijdelijk waargenomen door de Manager IM.*
De CISO heeft de directe operationele verantwoordelijkheid voor het informatiebeveiligingsprogramma en zal:
- de informatiebeveiligingsstrategie en -beleidsregels van de organisatie ontwikkelen en onderhouden;
- toezicht houden op de implementatie en werking van beveiligingsmaatregelen in de hele organisatie;
- de beveiligingsstatus, -risico's en -problemen rapporteren aan het uitvoerend management en de Raad van Bestuur;
- het informatiebeveiligingsteam en de beveiligingsoperaties beheren.
## 5. Bestuurdersverklaring
Het bestuur van [Organisatienaam] verplicht zich tot het bewaken en continue verbeteren van de kwaliteit van de informatiebeveiliging in de bedrijfsvoering, door de implementatie en het beheer van richtlijnen, procedures en maatregelen zoals benoemd in dit informatiebeveiligingsbeleid.
**Handtekening en naam Bestuurder:**

BIN
Clients/Humankind/Informatiematrix.xlsx Normal file
View file

Binary file not shown.

24
Clients/Humankind/Inleiding leveranciersmanagement HK.md Normal file
View file

@ -0,0 +1,24 @@
# Inleiding
Het hebben van een informatiebeveiligingsbeleid is van groot belang om de continuïteit van de onderneming te waarborgen en adequaat beschermen te bieden tegen reputatieschade en aansprakelijkheidstelling door datalekken. Wetgevers, toezichthouders en verzekeraars zetten dit daarom hoog op de agenda.
Dit document is een eerste aanzet daartoe. De inhoud moet getoetst worden aan, en aangevuld worden op basis van, beleid en managementstructuren die al in de organisatie aanwezig zijn.
Voor de rolverdeling m.b.t. het sturen op informatieveiligheid heb ik mij gebaseerd op het document Architectuurprincipes Humankind uit 2024. Hierin worden enkele aanwijzingen gegeven voor de verdeling van verantwoordelijkheden op ICT gebied, en een gesprek dat ik op 27 augustus 2024 gevoerd heb met Robin Alma.
Hieruit heb ik afgeleid:
- De Bestuurder is aansprakelijk voor adequate informatiebeveiliging, cf. wet- en regelgeving;
- Het Directieteam is risico-eigenaar, en in die rol neemt het besluiten over de acceptatie van restrisico's (d.w.z. of de risicobeheersende maatregelen voldoende zijn);
- Het Directieteam stelt het beleid vast, en laat zich hierbij adviseren door de ICT Consultants, de Functionaris Gegevensbescherming en het Privacyteam, en externe adviseurs;
- Proceseigenaren zijn verantwoordelijk voor de beschikbaarheid en integriteit van gegevens (de verantwoordelijkheid voor de implementatie van risicobeperkende maatregelen daarvoor ligt bij de afdeling I&A). De Proceseigenaren zijn de opdrachtgever van het Architectuurboard;
- Het Architectuurboard is verantwoordelijk voor compliance met principes en beleid op ICT gebied (en dus ook op het gebied van informatiebeveiliging), en laat zich hierbij adviseren door de ICT-consultants. Afwijkingen moeten worden goedgekeurd door de Proceseigenaren;
- Het Projectmanagement Office (PMO) bewaakt het toepassen van het beleid in projecten;
- De afdeling Informatie & Automatisering (I&A) is, onder leiding van de Manager Informatiemanagement (Manager IM), verantwoordelijk voor het beheer van de ICT middelen en diensten en het leveranciersmanagement;
- De Functioneel Beheerders zijn verantwoordelijk voor de configuratie van applicaties conform het vastgestelde beleid, en adviseren de Proceseigenaren hierover. Proceseigenaren zijn verantwoordelijk voor de correcte inrichting van het functioneel beheer.;
- Medewerkers ('gebruikers') zijn verantwoordelijk voor correct gebruik van de ICT middelen, in lijn met relevant beleid.
Uit de risico inventarisatie is naar voren gekomen dat er bij Humankind nauwelijks beleid is voor het beheer van informatiebeveiliging en risicobeheersing. Om een begin te maken, dat meteen meerwaarde kan hebben voor de organisatie, heb ik in overleg met Francis Willemsen gekozen voor het onderdeel leveranciersmanagement. Het sturen op informatieveiligheid in de relatie met leveranciers is een essentieel onderdeel voor een organisatie die de levering van ICT voorzieningen grotendeels heeft uitbesteed aan externe partijen in een 'cloud first' strategie. Bovendien staan hierin verschillende grote veranderingen op stapel vanuit de Roadmap ICT.
De in dit document voorgestelde maatregelen zijn gebaseerd op best practice frameworks (specifiek ISO 27001), de Governancecode Kinderopvang, de Risico-inventarisatie en de pen-test (beiden uitgevoerd in december 2024).
Richard Kranendonk, 5 februari 2024

39
Clients/Humankind/Kenmerken Humankind.md Normal file
View file

@ -0,0 +1,39 @@
> **Van:** Insiyah Arsiwalla
> **Verzonden:** ma 14 april 2025 13:34
> **Aan:** richard@thinkingsecurity.works
> **CC:** Francis Willemsen <franciswillemsen@Humankind.nl>
> **Onderwerp:** Kosten onderbreking opvang
>
> Dag Richard,
>
> De jaaromzet 2024 Humankind bedraagt circa 200 mio.  Dit is exclusief subsidies en exclusief Droomplaats c.s. die van 2025 juridisch gefuseerd zijn met Humankind.
>
> Ook de omzet van Struin is niet meegenomen. Vanuit power BI tref je hierbij een overzicht aan van de locaties.
![](image002.png)
>
> Het klopt idd dat het van heel veel variabelen afhangt.
>
> Ik zal bij applicatiebeheer vragen hoeveel locaties we gesloten hebben en wat de kosten zijn en geef je dan een update
> On 14 Apr 2025, at 14:33, Insiyah Arsiwalla <insiyaharsiwalla@humankind.nl> wrote:
>
>
>
> Richard,
>
> Ik heb zojuist met Applicatiebeheer gesproken. Er zijn teveel variabelen om eenduidig een antwoord op jouw omzetdervingsvraag te geven.
>
> Een locatie heeft meerdere groepen. Er is KDV of BSO of beide, er zijn verschillende grootte, dagen, tarieven etc etc
>
> Mocht je je vraag specifieker kunnen maken, dan kunnen we iets uitzoeken.
> Oja,
>
> Alle locaties dicht voor één dag 900k
>
> **Grootte disclaimer: ik vind deze inschatting te grof om in verdere analyses / risico inschattingen te gebruiken !**
>
> Gr Insiyah

2
Clients/Humankind/Leidende principes en doelen Humankind.md Normal file
View file

@ -0,0 +1,2 @@
[Gesprek met Robin Alma, 27 augustus 2024](Gesprek%20met%20Robin%20Alma%20Humankind%20240827.md)
[Destillatie leidende principes Humankind](Destillatie%20leidende%20principes%20Humankind.md)

113
Clients/Humankind/Lijst Contractvoorwaarden HK.md Normal file
View file

@ -0,0 +1,113 @@
# Basislijst Contractvoorwaarden
**Beheer**
De Basislijst Contractvoorwaarden wordt beheerd door het Architectuurboard. Wijzigingen moeten worden vastgesteld in het Directieteam, op basis van een Risicoanalyse volgens een daarvoor (nog op te stellen) vastgestelde procedure en een DPIA (indien noodzakelijk te bepalen door het Privacyteam).
Deze lijst wordt regelmatig beoordeeld, gevalideerd en bijgewerkt om te garanderen dat ze nog steeds vereist zijn en geschikt zijn voor het doel en dat ze relevante clausules over informatiebeveiliging bevatten.
## Voorwaarden
Informatiebeveiliging in leveranciersrelaties
*Opmerking: het onderstaande is overgenomen uit ISO 27002:2022, A 5.19 Informatiebeveiliging in leveranciersrelaties. Humankind van hieruit een selectie maken en dit (laten) herschrijven in een vorm die passend is.
a) het vaststellen en documenteren van de soorten leveranciers, bijv. ICT-diensten, logistieke voorzieningen, financiële diensten, ICT-infrastructuurcomponenten die gevolgen kunnen hebben voor de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie van de organisatie;
b) het vaststellen hoe leveranciers worden geëvalueerd en geselecteerd op basis van de gevoeligheid van informatie, producten en diensten (bijvet marktanalyse, referenties van klanten, beoordeling van documenten, beoordelingen op locatie, certificeringen);
c) het evalueren en selecteren van producten of diensten van een leverancier met toereikende beheersmaatregelen voor informatiebeveiliging en deze beoordelen; met name de juistheid en volledigheid van de door de leverancier geïmplementeerde beheersmaatregelen die de integriteit van de informatie van, en de informatieverwerking door, de leverancier en daarmee de informatiebeveiliging van de organisatie garanderen;
d) het definiëren van de informatie, ICT-diensten en fysieke infrastructuur van de organisatie waartoe leveranciers toegang hebben en die ze kunnen monitoren, beheersen of gebruiken;
e) het definiëren van de door leveranciers geleverde soorten ICT-infrastructuurcomponenten en -diensten die van invloed kunnen zijn op de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie van de organisatie
f) het beoordelen en beheren van de informatiebeveiligingsrisico's in verband met:
1) het gebruik door leveranciers van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie, met inbegrip van risico\'s die uitgaan van mogelijk kwaadwillig personeel van de leverancier;
2) storingen of kwetsbaarheden van de door de leveranciers geleverde producten (met inbegrip van softwarecomponenten en subcomponenten die in deze producten worden gebruikt) of diensten;
g) het monitoren van het voldoen aan vastgestelde informatiebeveiligingseisen voor elke soort leverancier en elke soort toegang, met inbegrip van beoordeling van derden en productvalidatie;
h) het beperken van het niet voldoen door een leverancier ongeacht of dit is opgemerkt door monitoring of door andere middelen;
i) het omgaan met incidenten en noodsituaties die verband houden met producten en diensten van leveranciers, met inbegrip van verantwoordelijkheden van zowel de organisatie als van de leveranciers;
j) veerkracht- en, indien nodig, herstel- en calamiteitenmaatregelen om de beschikbaarheid te bewerkstelligen van de informatie van, en de informatieverwerking door, de leverancier en als gevolg daarvan de beschikbaarheid van de informatie van de organisatie;
k) bewustwording en training voor het personeel van de organisatie dat contacten onderhoudt met personeel van de leverancier betreffende passende regels van betrokkenheid, onderwerpspecifieke beleidsregels, processen en procedures en gedrag, gebaseerd op het type leverancier en het soort toegang dat de leverancier heeft tot systemen en informatie van de organisatie;
l) het beheren van het nodige transport van informatie, gerelateerde bedrijfsmiddelen en al het andere dat moet worden veranderd, en waarborgen dat informatiebeveiliging tijdens de gehele transportperiode wordt gehandhaafd;
m) eisen om veilige beëindiging van de leveranciersrelatie te bewerkstelligen, met inbegrip van:
1) het intrekken van toegangsrechten;
2) het omgaan met informatie;
3) het vaststellen van de eigendom van intellectuele eigendom die tijdens de verbintenis is ontwikkeld;
4) de overdraagbaarheid van informatie in geval van verandering van leverancier of 'insourcing';
5) beheer van registraties;
6) het retourneren van bedrijfsmiddelen;
7) beveiligde verwijdering van informatie en andere gerelateerde bedrijfsmiddelen;
8) voortdurende geheimhoudingseisen;
n) het niveau van beveiliging van personeel en fysieke beveiliging dat wordt verwacht van personeel en faciliteiten van de leverancier.
Er behoort te worden nagedacht over de procedures voor het voortzetten van de verwerking van informatie indien de leverancier zijn producten of diensten niet meer kan leveren (bijv. als gevolg van een incident, omdat de leverancier zijn bedrijf heeft gestaakt, of bepaalde onderdelen niet meer levert als gevolg van technologische ontwikkelingen) om vertraging bij het regelen van vervangende producten of diensten te voorkomen (bijv. door van tevoren een alternatieve leverancier aan te wijzen of altijd gebruik te maken van alternatieve leveranciers).
### Informatiebeveiliging in leveranciersovereenkomsten
*Opmerking: het onderstaande is overgenomen uit ISO 27002:2022, A 5.20 Adresseren van informatiebeveiliging in leveranciersovereenkomsten. Humankind van hieruit een selectie maken en dit (laten) herschrijven in een vorm die passend is.*
In een contract met een leverancier van ICT-oplossingen of diensten moeten de volgende onderwerpen geadresseerd worden:
a) omschrijving van de te verstrekken of te benaderen informatie en methoden om de informatie te verschaffen of toegankelijk te maken;
b) classificatie van de informatie in overeenstemming met het classificatieschema van de organisatie (zie 5.10, 5.12, 5.13);
c) mapping tussen het eigen classificatieschema van de organisatie en het classificatieschema van de leverancier;
d) eisen van wet- en regelgeving, statutaire en contractuele eisen, met inbegrip van gegevensbescherming, het omgaan met persoonsgegevens, rechten van intellectuele eigendom en auteursrecht, en een beschrijving van hoe wordt gewaarborgd dat eraan wordt voldaan;
e) de verplichting van elke contractpartij om overeengekomen beheersmaatregelen te implementeren, met inbegrip van toegangsbeveiliging, prestatiebeoordeling, monitoren, melden, rapportage en auditen en de verplichtingen van de leverancier om te voldoen aan de informatiebeveiligingseisen van de organisatie;
f) de regels van aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen, met inbegrip van onaanvaardbaar gebruik indien noodzakelijk;
g) procedures of voorwaarden voor autorisatie en voor het intrekken van de autorisatie voor het gebruik van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie door personeel van de leverancier (bijvan de hand van een specifieke lijst van personeel van leveranciers dat bevoegd is om de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie te gebruiken);
h) informatiebeveiligingseisen met betrekking tot de ICT-infrastructuur van de leverancier; met name minimale informatiebeveiligingseisen voor elk type informatie en elk type toegang, te gebruiken als basis voor individuele overeenkomsten met leveranciers op basis van de bedrijfsbehoeften en risicocriteria van de organisatie;
i) schadeloosstellingen en herstel indien de contractant niet aan de eisen voldoet;
j) eisen voor incidentbeheer en -procedures (in het bijzonder notificatie en samenwerking tijdens herstel van het incident);
k) trainings- en bewustwordingseisen voor specifieke procedures en informatiebeveiligingseisen (bijv. voor incidentresponsprocedures, autorisatieprocedures);
l) relevante voorzieningen voor uitbesteding, met inbegrip van de te implementeren beheersmaatregelen, zoals een overeenkomst over de inzet van onderleveranciers (bijvisen dat voor hen dezelfde verplichtingen gelden als voor de leverancier, eisen dat er een lijst van onderleveranciers wordt verstrekt en kennisgeving telkens voordat er iets verandert);
m) relevante contacten, met inbegrip van een contactpersoon voor aangelegenheden betreffende informatiebeveiliging;
n) screeningeisen, indien wettelijk toegestaan, voor het personeel van leveranciers, met inbegrip van verantwoordelijkheden voor het uitvoeren van de screening en kennisgevingsprocedures indien de screening niet is voltooid of de resultaten aanleiding geven tot twijfel of bezorgdheid;
o) de bewijs- en borgingsmechanismen van attesten van derden voor relevante informatiebeveiligingseisen met betrekking tot de processen van leveranciers en een onafhankelijk rapport over de doeltreffendheid van beheersmaatregelen;
p) het recht om de processen en beheersmaatregelen van de leverancier in verband met de overeenkomst te auditen;
q) verplichting van de leverancier om periodiek een rapport te verstrekken over de doeltreffendheid van beheersmaatregelen, en overeenkomst over tijdige correctie van relevante kwesties die in het rapport aan de orde worden gesteld;
r) procedures voor het oplossen van defecten en conflicten;
s) voorzien in back-up die is afgestemd op de behoeften van de organisatie (wat betreft frequentie en type en opslaglocatie);
t) het bewerkstelligen van de beschikbaarheid van een alternatieve faciliteit (dzoodherstellocatie) waarvoor niet dezelfde dreigingen gelden als voor de primaire faciliteit en overwegingen met betrekking tot alternatieve beheersmaatregelen waarop wordt teruggevallen indien de primaire beheersmaatregelen falen;
u) de beschikking over een proces voor wijzigingsbeheer dat bewerkstelligt dat de organisatie vooraf op de hoogte wordt gebracht en de mogelijkheid heeft om wijzigingen niet te aanvaarden;
v) fysieke beveiligingsbeheersmaatregelen die passen bij de classificatie van de informatie;
w) beheersmaatregelen voor overdragen van informatie om de informatie te beschermen tijdens fysiek transport of tijdens logische overdracht;
x) beëindigingsclausules bij het afsluiten van de overeenkomst, met inbegrip van beheer van registraties, het retourneren van bedrijfsmiddelen, beveiligde verwijdering van informatie en andere gerelateerde bedrijfsmiddelen en eventuele doorlopende geheimhoudingsverplichtingen;
y) het voorzien in een methode om de door de leverancier opgeslagen informatie van de organisatie op beveiligde wijze te vernietigen zodra die informatie niet meer nodig is;
z) het bewerkstelligen van ondersteuning bij de overdracht aan een andere leverancier of aan de organisatie zelf bij het einde van de overeenkomst.

30
Clients/Humankind/Lijst Eisen aan leveranciers HK.md Normal file
View file

@ -0,0 +1,30 @@
Deze tekst is gebaseerd op:
- [Programma van Eisen Ubeoo ATS](../../Corpus/Attachments/Ubeeo%20ATS%20PvE%20240315.xlsx)
- [Eisen aan leveranciers en samenwerking uit de Architectuurprincipes Humankind](Eisen%20aan%20leveranciers%20en%20samenwerking%20uit%20de%20Architectuurprincipes%20Humankind.md)
# Basislijst Eisen en Wensen ICT leveranciers
Bij deze lijst is uitgegaan van de ketenverantwoordelijkheid die aan een organisatie wordt opgelegd vanuit wettelijke kaders als de AVG en de NIS 2. Het principe van ketenverantwoordelijkheid is, dat een organisatie aan haar leveranciers dezelfde veiligheidseisen stelt, als waar ze zelf aan gehouden is door wet- en regelgeving, of die ze zichzelf oplegt voor de dienstverlening aan haar klanten.
**Beheer Basislijst Eisen en Wensen ICT Leveranciers**
De Basislijst Eisen en Wensen ICT Leveranciers HK wordt beheerd door het Architectuurboard. Wijzigingen moeten worden vastgesteld in het Directieteam, op basis van een Risicoanalyse volgens een daarvoor (nog op te stellen) vastgestelde procedure en een DPIA (indien noodzakelijk te bepalen door het Privacyteam).
## Eisen en wensen
1. De leverancier is bereid een SLA (service level agreement) af te sluiten met garanties ten aanzien van performance en beschikbaarheid van het systeem
2. De leverancier is bereid een Verwerkingsovereenkomst conform de AVG (Algemene Verordening Gegevensbescherming) te tekenen
3. De leverancier beschikt over een geldige ISO 27001 / NEN 7510 certificering (of vergelijkbaar), met een toepassingsgebied dat alle onderdelen van de organisatie omvat, die betrokken zijn bij de levering van het systeem/de dienst.
4. De leverancier garandeert continuïteit in ondersteuning, door vaste personen met voldoende kennis van onze organisatie en de specifieke toepassing van de geleverde oplossingen
5. Leverancier stelt een implementatieplan beschikbaar, waarin naast de verantwoordelijkheden van de leverancier ook duidelijk omschreven wordt wat de leverancier verwacht van de opdrachtgever en welke tijdsinspanning nodig is van opdrachtgever
6. De leverancier zorgt voor training van beheerders en gebruikers van het systeem.
7. Trainingen worden in het Nederlands gegeven, documentatie is in het Nederlands beschikbaar.
8. Leverancier faciliteert een open roadmap waarin organisaties, die met het systeem werken, aantoonbaar invloed hebben op de roadmap van het nieuwe systeem.
9. De leverancier volgt in het ontwikkelen van functionaliteit blijvend de laatste ontwikkelingen op het gebied waarvoor het systeem/de dienst een oplossing biedt.
10. De leverancier is bereid de door Humankind gevraagde screening van personeel uit te (laten) voeren, zoals een VOG.
11. De leverancier is bereid betrokken medewerkers een door Humankind voorgelegde geheimhoudingsverklaring te laten tekenen.
12. De leverancier laat regelmatig (tenminste ieder jaar en bij grote wijzigingen) pentesten uitvoeren door een onafhankelijke partij, , en is bereid inzage te geven in de resultaten daarvan en de manier waarop deze worden opgevolgd.
13. De leverancier kan een recente pentest overleggen (niet ouder dan een jaar).
14. De leverancier heeft een gedocumenteerd en getest incident response plan.
15. De leverancier heeft maatregelen getroffen waardoor de levering van de dienst voortgezet kan worden, als zij daar zelf niet langer toe in staat is of wil zijn.

55
Clients/Humankind/Lijst Eisen en Wensen ICT oplossingen HK.md Normal file
View file

@ -0,0 +1,55 @@
Deze tekst is gebaseerd op:
- [Eisen aan ICT oplossingen uit de Architectuurprincipes Humankind](Eisen%20aan%20ICT%20oplossingen%20uit%20de%20Architectuurprincipes%20Humankind.md)
- [Ubeoo ATS vendor selection Humankind](Ubeoo%20ATS%20vendor%20selection%20Humankind.md)
- - [OWASP Top 10 CI-CD Security Risks](../../Corpus/Standards/other/OWASP%20Top%2010%20CI-CD%20Security%20Risks.md)
- - [Rapportage Pentest](Rapportage%20pentest%20Humankind%20door%20NFIR.md)
- [Actielijst pentest](https://groei.sharepoint.com/:x:/r/sites/ProjectInformatiebeveiliging/_layouts/15/Doc.aspx?sourcedoc=%7B800D2B49-6303-407B-9A0B-6E17DFC5E9DB%7D&file=Acties%20Pentest.xlsx&action=default&mobileredirect=true)
- [Risicoanalyse Humankind](Risicoanalyse%20Humankind.md)
- Checklists Gerardus Blokdyk
# Basislijst Eisen en Wensen ICT oplossingen
**Beheer**
De Basislijst Eisen en Wensen ICT oplossingen wordt beheerd door het Architectuurboard. Wijzigingen moeten worden vastgesteld in het Directieteam, op basis van een Risicoanalyse volgens een daarvoor (nog op te stellen) vastgestelde procedure en een DPIA (indien noodzakelijk te bepalen door het Privacyteam).
De eisen en wensen aan een ICT oplossing zijn afhankelijk van de soorten informatie die met het systeem moeten worden verwerkt. Dit is geclassificeerd in de (nog op te stellen) Data classificatie matrix.
Bepaald moet worden welke punten gelden als knock-out criteria.
Van deze lijst mag alleen afgeweken worden onder de voorwaarden die beschreven zijn in de procedure [Specificatie van eisen en wensen](Specificatie%20van%20eisen%20HK.md).
## Algemene eisen en wensen
1. Oplossingen moeten bijdragen aan de efficiëntie en effectiviteit van ondersteunende IT processen.
2. De gegevens en informatie over klanten moeten beter beveiligd worden.
3. Oplossingen moeten bijdragen aan het ondersteunen van de kindontwikkeling.
4. Koppelingen tussen systemen worden beperkt tot alleen de noodzakelijke gegevensuitwisselingen.
5. Koppelingen tussen gegevensverwerkende systemen verlopen via één contactpunt (dataplatform).
6. Onpersoonlijke accounts worden alleen toegestaan indien strikt noodzakelijk en zijn onderwerp van streng beleid (nader te bepalen).
7. Leveranciers moeten het gebruik van persoonlijke accounts voor elke gebruiker ondersteunen en strikte beleidsregels implementeren voor niet-persoonlijke accounts.
8. Leveranciers moeten ervoor zorgen dat hun oplossingen voldoen aan de Nederlandse wet- en regelgeving, inclusief beveiligings- en privacywetten.
9. Persoonsgegevens worden opgeslagen en verwerkt in een gebied dat valt onder jurisdictie van de EU.
10. Bij opslag en verwerking wordt het principe van minimalisatie toegepast.
11. Voor het functioneel beheer van het systeem is geen programmeerkennis nodig.
12. Het systeem beschikt over een online kennisbank (bijvoorbeeld in de vorm van een wiki, instructievideos of online handleidingen) zowel voor de inrichting als het gebruik van het systeem. De content is gebruiksvriendelijk samengesteld en vereist weinig kennis van het systeem om te begrijpen door gebruikers.
## Technische eisen en wensen
1. Alle gegevensverkeer tussen (andere systemen in gebruik bij) Humankind en de systemen van de leverancier wordt versleuteld (methode en key-length nader bepalen).
2. De oplossing moet gekoppeld kunnen worden aan Single-Sign-on van Microsoft.
3. De oplossing moet Multi-factor autenticatie (MFA) via Microsoft EntraID ondersteunen.
4. Logboeken worden bijgehouden voor traceerbaarheid.
5. De oplossing zoals geleverd mag geen maatwerk bevatten specifiek voor Humankind.
6. De oplossing zoals geleverd moet in gebruik zijn bij meerdere organisaties.
7. De oplossing wordt via het web binnen een browser aangeboden en moet toegankelijk zijn van buiten de locaties van Humankind.
8. De oplossing moet gebaseerd zijn op schaalbare dienstverlening, waarbij horizontale schaalbaarheid eenvoudig te realiseren moet zijn.
9. Beheers- en toegangsrechten moeten geconfigureerd worden op basis van door Humankind te definiëren rollen (RBAC), waarbij het 'least privilege' principe kan worden gevolgd.
10. Alle toegangssleutels worden in versleutelde vorm opgeslagen.
11. Alle data wordt in versleutelde vorm opgeslagen.
12. Het systeem biedt gedocumenteerde API's om additionele koppelingen te kunnen bouwen.
13. API's zijn beveiligd met een authenticatie mechanisme, encryptie en data validation.
14. Het systeem biedt een standaard sourcing extensie voor de belangrijkste browsers.
15. Het systeem voorziet in een testomgeving (sandbox) om nieuwe features te testen en te trainen.
16. Het systeem voldoet aan alle Nederlandse wet- en regelgeving op het gebied van gegevensbescherming en -beveiliging.
17. Het systeem biedt voorzieningen om persoonsgegevens automatisch te verwijderen of te anonimiseren op basis van een in te stellen retentietermijn.
18. Het systeem is beveiligd tegen de meest voorkomende kwetsbaarheden voor web applicaties zoals geïdentificeerd in de courante versie van de OWASP Top 10

14
Clients/Humankind/Management samenvatting pentest Humankind door NFIR.md Normal file
View file

@ -0,0 +1,14 @@
**Belangrijkste bevindingen**
Hieronder worden de belangrijkste kwetsbaarheden kort benoemd.
1. Hoog: Via password spraying, een methode om één wachtwoord te proberen op alle gebruikers, is het wachtwoord van 94 gebruikers achterhaald.
2. Hoog: Daarnaast is via password spraying vastgesteld dat de gebruikersnaam (default) gelijk is aan het wachtwoord.
3. Hoog: Een registersleutel binnen de Group Policy van Humankind bevat AutoAdminLogon credentials van het account BSO.
4. Hoog: Het gebruik van multifactorauthenticatie (MFA) is niet verplicht voor alle gebruikers. Voor admin accounts is er een uitzondering gemaakt.
Tijdens het onderzoek is vastgesteld dat het niet mogelijk was om extern en intern toegang te verkrijgen tot de infrastructuur. Wel zijn er onveilige wachtwoorden aangetroffen.
![](24203%20-%20Montese%20-%20Management%20Samenvatting%20-%2020241220.pdf)

50
Clients/Humankind/Management samenvatting pentest Humankind door RK.md Normal file
View file

@ -0,0 +1,50 @@
*mail 23 december*
Beste Roxanne, Francis, Mendy en Tom,
Afgelopen [vrijdag](canary:event?ts=756990005.00) heeft Mathijs van der Pol de resultaten van de pentest gepubliceerd op het beveiligde portal van NFIR.
Belangrijkste bevinding:
_**Tijdens het onderzoek is vastgesteld dat het niet mogelijk was om extern en intern toegang te verkrijgen tot de infrastructuur. Wel zijn er onveilige wachtwoorden aangetroffen.**_
We kunnen dus met een gerust gevoel de feestdagen in!
Hieronder een samenvatting van het geconstateerde, met iets meer info dan de management rapportage.
NFIR rapporteert in vier categorieën: hoog, gemiddeld, laag en info.
**Hoog**
Er zijn 4 kwetsbaarheden in deze categorie. Twee daarvan betreffen het gebruik van gemakkelijk te raden wachtwoorden (94 gevallen). 
De derde is m.i. een configuratiefout (wachtwoordgegevens opgenomen in een registersleutel) die denk ik eenvoudig kan worden opgelost.
Tot slot is geconstateerd dat MFA niet volledig is uitgerold (was al bekend, wordt actie op ondernomen) 
**Gemiddeld**
De kwetsbaarheden van in deze categorie betreffen vooral configuraties van systemen, die ws. eenvoudig verholpen kunnen worden.
Acties (voorstel RK):
- vaststellen wie voor deze configuraties verantwoordelijk is (Humankind, Ilionx of derden)
- review van configuratie-beleid en richtlijnen
- borgen van de naleving 
Op verschillende systemen is verouderde software aangetroffen.
Acties (voorstel RK):
- vaststellen wie verantwoordelijk is voor het updaten van deze software (Humankind, Ilionx of derden)
- updaten van de software, of zoeken naar alternatieven als het gaat om software die niet meer door de leverancier onderhouden wordt (end-of-life)
- review en evt. aanscherpen van het patchbeleid
- borgen van de naleving
Op SharePoint zijn documenten aangetroffen met instructies voor het inloggen op systemen en externe websites, _inclusief gebruikersnamen en wachtwoorden._ Deze documenten zijn toegankelijk voor iedereen met een Humankind wachtwoord. Dit wijst op onvoldoende bewustzijn bij medewerkers, onvoldoende richtlijnen voor de omgang met gevoelige informatie, en een te ruime toegangsmatrix voor informatie op SharePoint.
Dit zijn risicos die al door ons gesignaleerd zijn en waarop verbeteracties zijn geïdentificeerd.
Voor de categorieën laag en info verwijs ik naar de volledige rapportage op het [portal van NFIR](https://nfir.sharepoint.com/:f:/s/24203/EqR2LuUSeYFDp4QSrkOFToIBEkkm-7HCnwn4HgUqRPtuLA?e=GfWzxt).
De management samenvatting van NFIR heb ik bijgesloten.

BIN
Clients/Humankind/NFIR BV_Offerte CIS Controls_Humankind_20241009.pdf Normal file
View file

Binary file not shown.

BIN
Clients/Humankind/NFIR BV_Offerte Pentest_Humankind_20241023.pdf Normal file
View file

Binary file not shown.

BIN
Clients/Humankind/NFIR BV_Vrijwaringsverklaring_Humankind_20241023.pdf Normal file
View file

Binary file not shown.

BIN
Clients/Humankind/NFIR CIS Critical Security Controls_v8.pdf Normal file
View file

Binary file not shown.

BIN
Clients/Humankind/NFIR Penetration Testing Execution Standard (PTES) (4).pdf Normal file
View file

Binary file not shown.

BIN
Clients/Humankind/NFIR Pentest - Voorbeeld Rapportage Webapplicatie - 2024-06-11 (2).pdf Normal file
View file

Binary file not shown.

BIN
Clients/Humankind/NFIR pentest presentatie.pdf Normal file
View file

Binary file not shown.

BIN
Clients/Humankind/NIS 2 voor Humankind.docx Normal file
View file

Binary file not shown.

129
Clients/Humankind/NIS 2 voor Humankind.md Normal file
View file

@ -0,0 +1,129 @@
# NIS 2 voor Humankind
22 oktober 2024
-> Onderstaande tekst als [Word document](NIS%202%20voor%20Humankind.docx) en als [PDF](NIS%202%20voor%20Humankind.pdf)
## Inleiding
**Wat is de NIS 2?**
De NIS 2 (Network and Information Security directive) is een Europese richtlijn met als doel in voor de samenleving essentiële en belangrijke sectoren de continuïteit van dienstverlening en bescherming van informatie te waarborgen.
**Tijdslijn**
De richtlijn is op Europees niveau op 16 januari 2023 in werking getreden, met een deadline voor nationale omzettingswetten in de lidstaten van 17 oktober 2024. Alleen België en Kroatië hebben dat gehaald Nederland verwacht dat de wet pas in het tweede of derde kwartaal van 2025 in werking kan treden, omdat 'de omzetting naar nationale wetgeving een omvangrijk en complex traject is'.
**Toepassingsgebied**
De richtlijn heeft essentiële en belangrijke sectoren gedefinieerd waarvoor de NIS 2 gaat gelden vanaf een bepaalde organisatiegrootte. De Gezondheidszorg valt hier onder, onderwijs en kinderopvang vooralsnog niet. Er is voor Humankind dus vooralsnog geen verplichting aan de NIS 2 te voldoen.
## Verplichtingen voor organisaties onder de NIS 2
De NIS 2 kent aan organisaties een Zorgplicht, Meldplicht en Registratieplicht toe.
De Registratieplicht houdt in dat organisaties waarop de richtlijn van toepassing is, zich moeten registreren in het entiteitenregister. De website van het Nationaal Cyber Security Centrum (NCSC, Min. van Justitie en Veiligheid) geeft hierover [meer informatie](https://www.ncsc.nl/over-ncsc/wettelijke-taak/wat-gaat-de-nis2-richtlijn-betekenen-voor-uw-organisatie/registreren).
Op de Zorgplicht en Meldplicht ga ik hieronder verder in.
### Zorgplicht
Hoewel de nationale omzettingswet dus nog niet gepubliceerd is, en nadere, sectorspecifieke regels nog gesteld kunnen worden, weten we al wel dat de zorgplicht in lijn zal zijn met bestaande kaders als de BIO ([Baseline Informatiebeveiliging Overheid](https://www.bio-overheid.nl/category/producten?product=BIO)) en de ISO 27002[^1].
Verschillende websites van de overheid geven ook informatie over wat we kunnen verwachten. De website van het NCSC is m.i. de meest complete en gestructureerde hiervan.
Vanuit de richtlijn wordt in ieder geval verwacht dat de organisatie robuuste risicomanagement processen inricht. De richtlijn benadrukt daarbij het cyclische karakter van risicomanagement, dus het steeds opnieuw doorlopen van de cyclus risico-identificatie, -analyse, treffen van maatregelen, beoordeling van de effectiviteit, aanbrengen van verbetering (een PDCA cyclus).
Passend informatiebeveiligingsbeleid, en controle op en rapportage over de naleving daarvan, is ook een vereiste.         
De website van het NCSC vult dit verder in met een stappenplan waarvan de hoofdstappen zijn: 1) Risicoanalyse, 2) Maatregelen en 3) Incidentrespons.
#### Risicoanalyse
- Identificeer de processen en systemen die noodzakelijk zijn om de doelen van de organisatie te vervullen
- Identificeer dreigingen voor de Beschikbaarheid, Vertrouwelijkheid en Integriteit
- Beoordeel of huidige maatregelen (technisch en organisatorisch) voldoende bescherming bieden
- Prioriteer de risicos mbv een Risicomatrix (kans x impact)
- Wijs risico-eigenaren aan en bepaal hun mandaat en verantwoordelijkheden
#### Maatregelen
Maatregelen moeten passend en adequaat zijn, op basis van de voorgaande risicoanalyse.
De website van de NCSC noemt als voorbeelden van maatregelen:
- Beleg het eigenaarschap van informatie en risicos
- Bevorder veilig gedrag en een cultuur waarin incidenten veilig gemeld en verwerkt kunnen worden
- Veranker de risicomanagementcyclus in de organisatie door het juist beleggen van verantwoordelijkheden
- Organiseer identiteits- en toegangsbeheer.
#### Incidentrespons
- Organisaties moeten een incident respons plan (IRP) opstellen over hoe te reageren in het geval van ersntige verstoringen, en daarvan te herstellen en trerug te keren naar business as usual.
- Organisaties moeten procedures ontwikkelen voor het detecteren, monitoren, oplossen en melden van incidenten. 
#### Toeleveringsketen
Omdat grote delen van de informatiehuishouding uitbesteed worden aan leveranciers (IT dienstverleners, Software-as-a-Service, etc.), is de organisatie ook verantwoordelijk voor het bewaken van de veiligheid van de toeleveringsketen.
De richtlijn verwacht dat de volgende activiteiten aantoonbaar worden uitgevoerd:
- evalueren van de beveiligingsmaatregelen van leveranciers en de kwaliteit van hun producten en diensten
- opnemen van risicomanagement-maatregelen in de contracten met leveranciers
- de leveranciers contractueel verplichten dat zij op hun beurt de veiligheid van hun leveranciers waarborgen
- beleid en basiseisen opstellen voor de selectie van leveranciers.
## Meldplicht
De richtlijn schrijft voor dat NIS2-organisaties significante incidenten moeten melden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder (NSCS). Significant zijn incidenten die een ernstige operationele verstoring van de diensten of financiële verliezen voor de organisatie (kunnen) veroorzaken, of (kunnen) leiden tot aanzienlijke materiële of immateriële schade bij andere organisaties. De exacte drempelwaarden worden nog uitgewerkt.
## Verantwoordelijkheid bestuur
De NIS 2 benadrukt de verantwoordelijkheid en aansprakelijkheid van het bestuur van de organisatie in het borgen van informatiebeveiliging. Hieronder vallen:
- het goedkeuren van maatregelen
- zorgdragen voor de effectieve implementatie van maatregelen
- het bewaken van de uitvoering van deze maatregelen
- leiderschap tonen t.a.v. initiatieven op het gebied van informatiebeveiliging
Het bestuur kan wel de verantwoordelijkheden op dit vlak delegeren, maar niet de aansprakelijkheid in uiterste gevallen kunnen bestuurders persoonlijk aansprakelijk worden gesteld voor het verzaken van hun plichten.
Het management van een organisatie is verplicht zich te laten trainen op het gebied van  risicomanagement en de impact van cybersecurity risicos op dienstverlening en bescherming van informatie.
Daarnaast moet het management zorgen voor regelmatige training van de werknemers op dit gebied. Hiermee erkent de richtlijn dat informatieveiligheid collectieve inzet vergt van alle werknemers.
## Verhouding van deze verplichtingen tot het Project Informatiebeveiliging
Omdat ISO 27001 / 27002 binnen ons project als richtlijn wordt gebruikt, komen vrijwel alle verplichten uit de NIS 2 aan de orde. De kwaliteit van de uitvoering hiervan binnen de organisatie is natuurlijk bepalend.
In onderstaande tabel worden de verplichtingen uit de richtlijn afgezet tegen de producten uit de aanbieding voor dit project.
Cyclisch risicomanagement, **Prioritering risicos**
| | |
| -------------------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------- |
| **Verplichting NIS 2** | **Product uit de Aanbieding van dit project** |
| **Cyclisch risicomanagement** | III. Risicomanagement<br><br>IV. Implementatie PDCA cyclus met de Canvas Methode |
| **Informatiebeveiligingsbeleid** | I. Leidende principes en doelen vaststellen<br><br>II. Beleid op hoofdlijnen |
| **Risicoanalyse** | |
| **Identificeren van kritieke processen en systemen** | I. Calamiteitenplan (onderdeel van …) |
| **Identificeren dreigingen voor de Beschikbaarheid, Vertrouwelijkheid en Integriteit** | I. Calamiteitenplan (onderdeel van …) |
| **Beoordelen adequaatheid van maatregelen** | II. Risico analyse<br><br>II. Fit/gap analyse t.o.v. framework |
| **Prioritering risicos** | II. Risico analyse |
| **Bepalen risico-eigenaren** | II. Besturingsmodel |
| **Maatregelen** | |
| **Bepalen informatie-eigenaren** | Onderdeel van OrgFit programma |
| **Bevorder veilig gedrag en een cultuur** | _Management moet voorwaarden scheppen;_<br><br>IV. Implementatie PDCA cyclus met de Canvas Methode |
| **Beleggen van verantwoordelijkheden** | III. Capaciteiten ontwikkelen (onderdeel van …) |
| **Identiteits- en toegangsbeheer** | II. Implementatieplan maatregelen (onderdeel van …) |
| **Incidentrespons** | I. Calamiteitenplan (onderdeel van …) |
| **Toeleveringsketen** | III. Leveranciersmanagement |
| **Meldplicht** | |
| **Bestuursverantwoordelijkheid** | |
| **Goedkeuren, implementeren en bewaking van maatregelen** | III. Sturing op informatieveiligheid |
| **Leiderschap** | _Managementverantwoordelijkheid_ |
| **Training management** | I. Workshop Sturen op Risicos |
| **Training van werknemers** | II. Implementatieplan maatregelen (onderdeel van …) |
---
[^1]: De ISO 27002 is een nadere uitwerking van de maatregelen die in de Annex A van de ISO 27001 benoemd worden. Voor ons project Informatiebeveiliging gebruiken we de ISO 27001/27002 als kapstok. De BIO is ook gebaseerd op de ISO 27001 / 27002.

BIN
Clients/Humankind/NIS 2 voor Humankind.pdf Normal file
View file

Binary file not shown.

16
Clients/Humankind/Offboarding ICT leveranciers HK.md Normal file
View file

@ -0,0 +1,16 @@
# Offboarding ICT leveranciers
**Doel**
Een overeengekomen niveau van informatiebeveiliging in stand houden bij de beëindiging van de projectfase.
**Procedure**
De Procedure Offboarding is in wezen het terugdraaien van de rechten en bevoegdheden van (medewerkers van) de leverancier nadat het project is beëindigd.
De projectleider ziet er op toe dat de voor het project verleende rechten en voorzieningen worden teruggedraaid. Deze rechten en voorzieningen zijn beschreven in de Inventarisatie uit de [Procedure Onboarding](Onboarding%20van%20leveranciers%20HK.md).
1. Verleende toegang tot systemen, infrastructuur en locaties wordt teruggetrokken
2. Databases, bestanden en documenten (en door de leverancier hiervan gemaakte kopieën) worden teruggegeven of vernietigd cf. het daartoe opgestelde beleid
3. Toegang tot systemen van Humankind wordt beperkt tot wat nodig is gedurende de operationele fase van het systeem
4. Eventuele tijdelijke voorzieningen die ten behoeve van of gedurende de projectfase gecreëerd zijn worden opgeheven cq. ontmanteld
5. Databases, bestanden en documenten die ten behoeve van of gedurende de projectfase gecreëerd zijn worden vernietigd of gearchiveerd cf. het daartoe opgestelde beleid
6. Het terugtrekken van de toegang en bevoegdheden van (medewerkers van) de leverancier wordt gecommuniceerd aan belanghebbenden

23
Clients/Humankind/Onboarding van leveranciers HK.md Normal file
View file

@ -0,0 +1,23 @@
# Onboarding van leveranciers
**Doel**
Een overeengekomen niveau van informatiebeveiliging in stand houden gedurende de samenwerking met leveranciers.
**Procedure**
Wanneer aan een leverancier opdracht is verleend voor het leveren van een oplossing of dienst, zal in de meeste gevallen sprake zijn van een implementatie- of introductietraject. Medewerkers van Humankind gaan samenwerken met medewerkers van de leverancier en wisselen hierbij informatie uit. Medewerkers van de leverancier komen op bezoek op fysieke locaties van Humankind. De leverancier krijgt informatie over de systemen van Humankind en de beveiliging daarvan, en zal in veel gevallen toegang krijgen tot sommige van die systemen.
Een ICT consultant moet vooraf met de leverancier een Inventarisatie Onboarding opstellen, waarin aandacht besteed wordt aan de onderstaande onderwerpen:
- Het Plan van Aanpak van de leverancier en daaruit volgende risico's voor de Beschikbaarheid, Vertrouwelijkheid en Integriteit van informatie
- Gevraagde toegang tot systemen, infrastructuur en locaties deze moet noodzakelijk zijn voor het uitvoeren van de dienstverlening en zoveel mogelijk beperkt worden in termen van reikwijdte en tijdsduur (least privilege / need to know), en bij beëindiging van het project worden ontnomen (zie de [Offboarding ICT leveranciers HK|Procedure Offboarding](Offboarding%20ICT%20leveranciers%20HK.md))
- Verstrekking van databases, bestanden en documenten t.b.v. tests, migraties en conversies
- Beveiligingsmaatregelen van de leverancier op test- en acceptatieomgevingen (met aandacht voor anonimisering/pseudonimisering)
- Transport naar, en opslag en verwerking van gegevens van Humankind door de leverancier
- Controle op risicobeperkende maatregelen op basis van het data-classificatieschema van Humankind (nog op te stellen)
- Mogelijke impact op de Beschikbaarheid, Vertrouwelijkheid en Integriteit van informatie van tooling die door de leverancier tijdens het implementatieproject gebruikt wordt
- Benodigde antecedentenonderzoeken van personeel dat toegang krijgt tot locaties en systemen (VOG verklaring)
- Het tekenen van geheimhoudingsverklaringen (NDA)
- Procedures voor het afhandelen van incidenten en verstoringen, gerelateerd aan de tooling en dienstverlening van de leverancier, waaronder afspraken over de wederzijdse verantwoordelijkheden.
- Continuïteits- en herstelmaatregelen bij onderbreking of verstoring van de dienstverlening
- Voorwaarden voor acceptatie en inbeheername (binnen de scope van dit document voor zover deze betrekking hebben, of impact hebben op, de beveiliging van informatie)
De ICT consultant documenteert dit en laat de Inventarisatie Onboarding accorderen door de Manager IM.

52
Clients/Humankind/Opdracht Humankind 6 juni 2024.md Normal file
View file

@ -0,0 +1,52 @@
-> [Door klant getekende PDF](Opdracht%20Humankind%20aan%20TSW%20Fase%201%20en%202%20GETEKEND.pdf)
Zie ook:
- [_Project Humankind kinderopvang MoC](_Project%20Humankind%20kinderopvang%20MoC.md)
Uitdagingen:
1. Opstellen van een passend informatiebeveiligingsbeleid en meerjarenplan
2. Nemen van werkbare maatregelen o.b.v. actuele en specifieke risicos
3. Managen van de voor dit domein relevante leveranciers
4. Verzekeren van actieve betrokkenheid van management en medewerkers
5. Inrichten van de besturing op informatieveiligheid
## Opdracht Fase 1 en 2
### Fase 1 Randvoorwaarden scheppen voor ontwikkeling
A. Voorzien in basisveiligheid door:
- [Check op Basisveiligheid](../../Corpus/Sparks/Check%20op%20Basisveiligheid%20Humankind.md) door een onafhankelijke Partij
- Bescherming tegen actuele externe dreigingen
- [[Verzekering beschikbaarheid Humankind|Verzekering beschikbaarheid]]:
- Backups en noodvoorzieningen
- [Calamiteitenplan](Bedrijfscontinuïteitsplan%20Humankind.md) (o.a. ransomware)
B. Kweken van Bewustzijn en Buy-in van management door [[Management Workshops Humankind|workshops Sturen op Risicos met de Canvas Methode]]
C. [Vaststellen van leidende principes en doelen](Leidende%20principes%20en%20doelen%20Humankind.md)
### Fase II Structuur aanbrengen
- Bepalen van eigenaarschap van risicos en maatregelen, rolverdeling en managementproces ([Besturingsmodel](Besturingsmodel%20informatiebeveiliging%20Humankind.md))
- Opstellen [Beleid op hoofdlijnen](Informatiebeveiligingsbeleid%20Humankind.md)
- Opstellen Meerjarenplan
- Uitvoeren [Risicoanalyse](Risicoanalyse%20Humankind.md)
- Fit/gap analyse t.o.v. referentie-framework
- Opstellen implementatieplan maatregelen
## Fase 3 en 4
### Fase III Capaciteiten ontwikkelen
Capaciteiten ontwikkelen op het moment dat ze nodig zijn, o.b.v. het implementatieplan:
- Risicomanagement
- Incident Response
- Leveranciersmanagement
- Sturing op informatieveiligheid
- Helderheid voor toezichthouders
### Fase IV Borging
- Integreren van de sturing op informatieveiligheid in het managementsysteem van Humankind
- Sturing op bewustzijn en gedrag en implementatie van een PDCA cyclus voor continue verbetering o.b.v. de Canvas Methode voor Informatieveiligheid
- Casus-gerichte advisering aan, en in opdracht van, de informatiemanager (o.a. toepassing van maatregelen en wijzigingen in systeemlandschap)
- Monitoren van en rapporteren over dienstverlening security
- Actieve advisering m.b.t. relevante ontwikkelingen in de buitenwereld

BIN
Clients/Humankind/Opdracht Humankind aan TSW Fase 1 en 2 GETEKEND.pdf Normal file
View file

Binary file not shown.

36
Clients/Humankind/Operationele fase HK.md Normal file
View file

@ -0,0 +1,36 @@
# Informatiebeveiliging in de operationele fase
De operationele fase start met de ingebruikname door de Manager IM, na overdracht vanuit het implementatieproject door de projectleider.
**Doel**
Een overeengekomen niveau van informatiebeveiliging in stand houden gedurende het gebruik van de oplossing of afname van de dienstverlening.
**Procedure**
De Manager IM controleert of is voldaan aan de voorwaarden voor acceptatie en inbeheername, zoals opgenomen in de Inventarisatie Onboarding (binnen de scope van dit document voor zover deze betrekking hebben, of impact hebben op, de beveiliging van informatie).
Na akkoord voor inbeheername begint de operationele fase.
**Vast te stellen beleid**
Voor de operationele fase moet nog op veel gebieden beleid worden vastgesteld. Voor zover mij bekend is dat beleid binnen Humankind nog niet aanwezig. Wel worden veel van de activiteiten die hierbinnen vallen op operationeel niveau uitgevoerd door de afdeling ICT/Informatiemanagement.
Binnen een ISO 27001 compliant Information Security Management System (ISMS) moet beleid geiïmplementeerd zijn op de volgende onderwerpen:
1. Risicobeheersing, met aandacht voor:
- compliance met wet- en regelgeving en intern beleid
- datalekken
- juridische en contractuele verplichtingen
- licenties
- intellectueel eigendom
- kwetsbaarheden en dreigingen
2. Toegangsbeheer
3. Incidentmanagement
4. Logging en Monitoring
5. Capaciteitsmanagement
6. Verandermanagement (patches, updates, releases)
7. Configuratiemanagement
8. Bewaken van de leveranciersrelatie (w/o bewaken van performance, contractvoorwaarden en audits)
9. Bedrijfscontinuïteit (incident respons plannen, noodvoorzieningen en herstelplannen)
10. Omgang met informatie en apparatuur
11. Beveiliging van apparatuur ('Endpoint Security')
12. Netwerkbeveiliging

118
Clients/Humankind/OrgFit Afspraken Procesmanagement Humankind.md Normal file
View file

@ -0,0 +1,118 @@
## Samenvatting
**Rollen binnen Procesmanagement**
- Proceseigenaren zorgen voor effectieve werking van een proces en verbetering waar mogelijk. Dit is de manager/directeur die in de operatie voor dat proces verantwoordelijk is. Vastgelegd in het Processenhuis.
- Procesbegeleiders (1 of 2 per afdeling) brengen huidige en gewenste processen in kaart en organiseert hiervoor sessies.
- Procesmodelleurs leggen de processen vast in Engage (software). Dit zijn functioneel beheerders en PMO-ers.
- Team Processen is de centrale aanjager en vraagbaak en eigenaar van het processenhuis.
- *"Samenstelling: Businesscontoller (Vera Colen?), FB-er Engage (Monique Steijen), ntb????"*
Een format voor de procesbeschrijvingen is hieronder gegeven.
## Originele tekst
In de dynamische wereld van hedendaagse organisaties vormt procesmanagement een onmisbare schakel voor het optimaliseren van efficiëntie, het verbeteren van kwaliteit en het waarborgen van continue groei. Voor organisaties die een start maken met procesmanagement en het systematisch vastleggen van hun processen, zijn zorgvuldig gedefinieerde randvoorwaarden en basisvereisten cruciaal.
**Randvoorwaarden voor Procesmanagement:**
_Leiderschap en Betrokkenheid:_ Een toegewijd leiderschap dat de filosofie van procesmanagement omarmt, is van essentieel belang. Leiders moeten niet alleen de waarde van procesoptimalisatie begrijpen, maar ook actief betrokken zijn bij het begeleiden en ondersteunen van het procesmanagementinitiatief.
_Cultuur van Continue Verbetering:_ Het creëren van een cultuur waarin medewerkers gemotiveerd zijn om voortdurend verbeteringen voor te stellen en te omarmen, is een cruciale randvoorwaarde. Dit bevordert een dynamische omgeving die veranderingen verwelkomt en zich aanpast aan nieuwe inzichten.
_Competentieontwikkeling:_ Het trainen en ontwikkelen van medewerkers op het gebied van procesmanagement is een randvoorwaarde. Hierbij is niet alleen aandacht voor technische vaardigheden noodzakelijk, maar ook voor soft skills zoals communicatie en samenwerking.
**Rollen binnen procesmanagement:**
_De proceseigenaren:_  Het waarborgen van de effectieve werking van een proces en waar mogelijk initiatief nemen tot het verbeteren. Dit is de leidinggevende (manager/directeur) die in de operatie verantwoordelijk is voor de juiste (effectief en efficiënt) uitvoering van het proces. Bij gedeelde verantwoordelijkheid wordt in overleg bepaald wie de rol van proceseigenaar neemt. Deze eigenaren zijn vastgelegd in het processenhuis Humankind (in Engage) 
_De procesbegeleiders:_  
Faciliteren het in kaart brengen van huidige en gewenste processen. Uitgangspunt is dat de proceseigenaren zelf het initiatief nemen voor het vastleggen van hun processen. Door binnen elke (staf-)afdeling een of twee procesbegeleiders te hebben zijn we in staat om snel en efficiënt het proces expliciet te maken met een vergelijkbare werkwijze. Dit kan zowel gaan om de huidige als de gewenste werkwijze. De procesbegeleider organiseert, bereidt de sessies voor, begeleidt de sessie en werkt het proces in concept uit.
De procesbegeleider heeft de mogelijkheid om processen vast te leggen in Engage.   
_De procesmodelleurs:_  
We kiezen er in deze fase voor om het vastleggen van de processen in Engage bij een beperkt aantal mensen te leggen. Zo bouwen we kennis op en borgen we uniformiteit in de wijze van vastlegging. Voor deze rol heeft Humankind besloten die te beleggen bij functioneel beheerders en PMO-ers. Zij worden binnenkort opgeleid in het gebruik van Engage en de wijze waarop Humankind haar processen wil vastleggen en publiceren van de processen op Groei 
. Het PMO neemt deze werkwijze integraal op in de projecten. Daarvoor zullen de PMO-ers zowel als procesbegeleider als ook als procesmodelleur worden geïnstrueerd. 
_Team processen:_ 
Zeker in de eerste fase is het belangrijk om een plek als centrale aanjager en vraagbaak te hebben. Verantwoordelijk voor:  
Het stimuleren en faciliteren van het gebruik van processen en het door ontwikkelen van procesmanagement binnen Humankind.  
Eigenaar van het processenhuis van Humankind als kapstok voor de ontwikkeling.  
Samenstelling: Businesscontoller (Vera Colen?), FB-er Engage (Monique Steijen), ntb???? 
### Format procesbeschrijvingen
Bij het optekenen van een proces is het van belang om zorgvuldig te werk te gaan en alle relevante informatie vast te leggen. Hier is een lijst met de gemaakte afspraken binnen Humankind waar je aan moet denken bij het optekenen van een proces:
**Procesnaam en Doelstelling**
Geef het proces een duidelijke naam die de kern van de activiteit weerspiegelt. Definieer de hoofddoelstelling van het proces.
**Betrokken Stakeholders**
Identificeer alle interne en externe belanghebbenden die bij het proces zijn betrokken. Noteer hun specifieke rollen en verantwoordelijkheden.
**Processchema**
Maak een visueel overzicht van het proces. Visualiseer de stappen in het proces en de onderlinge relaties.
**Processtappen**
Beschrijf elke afzonderlijke stap in het proces. Specificeer de volgorde en de WAT van de stap. De HOE wordt niet beschreven in een processtap.
**Beschrijving van Activiteiten**
Geef gedetailleerde informatie over de uit te voeren activiteiten in elke processtap. Houd rekening met benodigde resources en competenties.
**Technologische Ondersteuning**
Specificeer eventuele technologische tools die het proces ondersteunen. Zorg voor integratie met bestaande systemen indien nodig.
**Proceseigenaar**
Benoem een verantwoordelijke persoon als eigenaar van het proces. Wijs een aanspreekpunt aan voor vragen en optimalisatiesuggesties.
**Documentatieversie en Datum**
Houd de versie van de documentatie bij. Voorzie elke versie van een datum om de actualiteit te waarborgen.
**Goedkeuring en Review**
Zorg voor goedkeuring van de betrokken partijen voordat het proces wordt geïmplementeerd. Plan regelmatige reviews om het proces te evalueren en indien nodig bij te werken.
Deze lijst biedt een solide basis voor het optekenen van een proces en zorgt ervoor dat alle cruciale elementen worden vastgelegd. Het is belangrijk om flexibel te blijven en de documentatie regelmatig bij te werken om veranderingen in de organisatie te weerspiegelen.
In de toekomst kunnen we de basis processen uitbreiden met onder andere
**Risico's en Controles**
Analyseer mogelijke risico's die het proces kunnen beïnvloeden. Definieer interne controles om risico's te beheersen.
**Tijdlijnen en Doorlooptijden**
Geef de geschatte tijd aan die nodig is voor elke processtap. Bepaal de totale doorlooptijd van het proces.
**Kwaliteitsnormen en Prestatie-Indicatoren**
Stel kwaliteitsnormen vast die het proces moet behalen. Bepaal meetbare prestatie-indicatoren om de effectiviteit te monitoren.
**Inputs en Outputs**
Documenteer duidelijk welke inputs het proces ontvangt en welke outputs het oplevert. Identificeer de bronnen van inputs en de bestemming van outputs.
**Informatiestromen**
Beschrijf hoe informatie door het proces stroomt. Identificeer communicatiekanalen en documentatievereisten.
**Basisvoorwaarden voor het houden van een procesworkshop:**
1. **Identificeer de Stakeholders:** Een grondig begrip van wie er betrokken is bij het proces is essentieel. Stakeholders moeten worden geïdentificeerd en betrokken bij het vastleggen van hun specifieke rollen en verantwoordelijkheden.
2. **Betrek Medewerkers Actief**: De mensen die dagelijks bij de processen betrokken zijn, hebben waardevolle inzichten. Het actief betrekken van medewerkers bij het optekenen van processen verbetert de nauwkeurigheid en acceptatie.

11
Clients/Humankind/OrgFit Architectuurprincipes Humankind.md Normal file
View file

@ -0,0 +1,11 @@
![](Architectuurprincipes%20Humankind%202024.pdf)
[Structuur Architectuurprincipes Humankind](Structuur%20Architectuurprincipes%20Humankind.md)
[Governance in Architectuurprincipes Humankind](Governance%20in%20Architectuurprincipes%20Humankind.md)
[Rollen en verantwoordelijkheden uit Architectuurprincipes Humankind](Rollen%20en%20verantwoordelijkheden%20uit%20Architectuurprincipes%20Humankind.md)
[Security in Architectuurprincipes Humankind](Security%20in%20Architectuurprincipes%20Humankind.md)
[Eisen aan leveranciers en samenwerking uit de Architectuurprincipes Humankind](Eisen%20aan%20leveranciers%20en%20samenwerking%20uit%20de%20Architectuurprincipes%20Humankind.md)
[Eisen aan ICT oplossingen uit de Architectuurprincipes Humankind](Eisen%20aan%20ICT%20oplossingen%20uit%20de%20Architectuurprincipes%20Humankind.md)

12
Clients/Humankind/OrgFit Autorisatiematrix Humankind.md Normal file
View file

@ -0,0 +1,12 @@
![](Autorisatiematrix.xlsx)
- Tabblad Matrix: functiehuis vs applicaties; niet ingevuld
- Tabblad Rollen definities; niet ingevuld
- Tabblad Overzicht gebruikers Stichting: per gebruiker (op naam) het licentietype, profiel, gebruikersgroepen en machtigingensets (AD, misschien?)
- Tabblad Permission Sets: de machtigingensets en hun benaming
- Tabblad Permissions: CRUD matrix per machtigingenset en objectnaam
- Tabblad Tenant Permissions: zelfde als Permissions maar dan op Tenant niveau?
- Tabblad Access Control - moeilijk
- Tabblad User Setup per gebruiker welke rechten deze heeft, vermoedelijk voor KidsVision
- Tabblad User Effective Permissions lijkt op voorgaande

Some files were not shown because too many files have changed in this diff Show more