A.1 — Beheersdoelstellingen en beheersmaatregelen
|
Hoe myDRE kan helpen / wat is de verantwoordelijkheid voor de Tenant of Accountable van een Workspace
|
A.5 Informatie beveligingsbeleid
|
|
|
A.5.1 Aansturing door de directie van de informatiebeveliging
|
|
|
A.5.1.1
|
Beleidsregels voor informatiebeveiliging
|
anDREa heeft op support.mydre.org al haar beleid staan. De Tenant moet zelf haar beleid aan anDREa communiceren, daar waar mogelijk kan anDREa aangeven wat de fit/gap is.
|
A.5.1.2
|
Beoordeling van het informatiebeveiligingsbeleid
|
anDREa beoordeelt periodiek (op zijn minst jaarlijks) en bij elk beveiligingsincident haar beleid opnieuw.
|
A.6 Organiseren van informatiebeveiliging
|
|
|
A.6.1 Interne Organisatie
|
|
|
A.6.1.1
|
Rollen en verantwoordelijkheden bij informatiebeveiliging
|
Zie Definition of (Security) Roles and Responsibilies en de anDREa Roles & Responsibilities matrix. Dit kan als aanvulling gezien worden op wat de Tenant zelf moet regelen.
|
A.6.1.2
|
Scheiding van taken
|
Zie Definition of (Security) Roles and Responsibilies en de anDREa Roles & Responsibilities matrix. Dit kan als aanvulling gezien worden op wat de Tenant zelf moet regelen. |
A.6.1.3
|
Contact met overheidsinstanties
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.6.1.4
|
Contact met speciale belangengroepen
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.6.1.5
|
Informatiebeveiliging in projectbeheer
|
anDREa beheert geen projecten met data van Tenants.
|
A.6.2 Mobile appartuur en telewerken
|
|
|
A.6.2.1
|
Beleid voor mobiele apparatuur
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.6.2.2
|
Telewerken
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
|
|
|
|
A.7.1 Voorafgaand aan het dienstverband
|
|
|
A.7.1.1
|
Screening
|
Dit is alleen van toepassing op Research Support Team leden welke door de eigen Tenant zijn aangesteld.
|
A.7.1.2
|
Arbeidsvoorwaarden
|
Dit is alleen van toepassing op Research Support Team leden welke door de eigen Tenant zijn aangesteld.
|
A.7.2 Tijdens het dienstverband
|
|
|
A.7.2.1
|
Diretieverantwoordelijkheden
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.7.2.2
|
Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging
|
Iemand kan alleen een Research Support Team lid worden als deze een werkrelatie heeft met de Tenant en als er een training en quiz is afgerond en een Research Support agreement is ondertekend. Dit laatste omvat ook kennis hebben van relevante policies en procedures.
|
A.7.2.3
|
Disciplinaire procedure
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.7.3 Beëindiging en wijziging van dienstverband
|
|
|
A.7.3.1
|
Beëindiging of wijziging van verantwoordelijkheden van het dienstverband
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.8 Beheer van bedrijfsmiddelen
|
|
|
A.8.1 Verantwoordelijkheid voor bedrijfsmiddelen
|
|
|
A.8.1.1
|
Inventariseren van bedrijfsmiddelen
|
Alle Workspaces staan in een Azure Subscription (onder de billing account) van een Tenant. Alle storage en compute resources, inclusief wie hiervan gebruik maakt zijn hiermee bekend. Tevens kan beroep gedaan worden op logging om historie te bekijken.
|
A.8.1.2
|
Eigendom van bedrijfsmiddelen
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.8.1.3
|
Aanvaardbaar gebruik van bedrijfsmiddelen
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.8.1.4
|
Teruggeven van bedrijfsmiddelen
|
Workspaces en alle resources (compute, storage, data) zijn altijd in-control van de Tenant.
|
A.8.2 Informatieclassificatie
|
|
|
A.8.2.1
|
Classificatie van informatie
|
Dit moet de Tenant zelf inrichten. Voor myDRE is alle data in een Workspace per definitie als Hoog Vertrouwelijk geclassificeerd. Voor meer informatie zie CIA/BIV classification.
|
A.8.2.2
|
Informatie labelen
|
Dit moet de Tenant zelf inrichten. Voor myDRE is alle data in een Workspace per definitie als Hoog Vertrouwelijk geclassificeerd. Voor meer informatie zie CIA/BIV classification
Toegang is uitsluitend met MFA en en number matching, actor data at-rest en in-transit zijn encrypted. Productiedata wordt niet gebruikt bij ontwikkeling of testen.
|
A.8.2.3
|
Behandelen van bedrijfsmiddelen
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.8.3 Behandelen van media
|
|
|
A.8.3.1
|
Beheer van verwijderbare media
|
https://www.microsoft.com/en-us/trust-center/privacy/data-management
|
A.8.3.2
|
Verwijderen van media
|
https://www.microsoft.com/en-us/trust-center/privacy/data-management
|
A.8.3.3
|
Media fysiek overdragen
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
|
|
|
|
A.9.1 Bedrijfseisen voor toegangsbeveiliging
|
|
|
A.9.1.1
|
Beleid voor toegangsbeveiliging
|
anDREa heeft op support.mydre.org al haar beleid staan. De Tenant moet zelf haar beleid aan anDREa communiceren, daar waar mogelijk kan anDREa aangeven wat de fit/gap is.
Alleen de door Accountable geautoriseerde mensen hebben toegang tot een Workspace.
|
A.9.1.2
|
Toegang tot netwerken en netwerkdiensten
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.9.2 Beheer van toegangsrechten van gebruikers
|
|
|
A.9.2.1
|
Registratie en afmelden van gebruikers
|
De Accountable van een Workspace is hiervoor verantwoordelijk. Workspace leden die door de Accountable de rol Privileged Member hebben gekregen, kunnen dit gedelegeerd doen. Iemand van het Research Support Team kan namens een door de Tenant gemandateerde persoon dit ook doen.
|
A.9.2.2
|
Gebruikers toegang verlenen
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.9.2.3
|
Beheren van speciale toegangsrechten
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.9.2.4
|
Beheer van geheime authenticatie-informatie van gebruikers
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.9.2.5
|
Beoordeling van toegangsrechten van gebruikers
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.9.2.6
|
Toegangsrechten intrekken of aanpassen
|
De Accountable van een Workspace is hiervoor verantwoordelijk. Workspace leden die door de Accountable de rol Privileged Member hebben gekregen, kunnen dit gedelegeerd doen. Iemand van het Research Support Team kan namens een door de Tenant gemandateerde persoon dit ook doen.
|
A.9.3 Verantwoordelijkheden van gebruikers
|
|
|
A.9.3.1
|
Geheime authenticatieinformatie gebruiken
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.9.4 Toegangsbeveiliging van systeem en toepassing
|
|
|
A.9.4.1
|
Beperking toegang tot informatie
|
De identiteit moet altijd door de Accountable of Privileged Member van een Workspace worden vastgesteld.
Toegang tot een Workspace is altijd middels MFA en number matching. |
A.9.4.2
|
Beveiligde inlogprocedures
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.9.4.3
|
Systeem voor wachtwoordbeheer
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.9.4.4
|
Speciale systeemhulpmiddelen gebruiken
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.9.4.5
|
Toegangsbeveiliging op programmabroncode
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
|
|
|
|
A.10.1 Cryptografische beheersmaatregelen
|
|
|
A.10.1.1
|
Beleid inzake het gebruik van cryptografische beheersmaatregelen
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.10.1.2
|
Sleutelbeheer
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.11 Fysieke beveiliging en beveiliging van de omgeving
|
|
|
A.11.1 Beveiligde gebieden
|
|
|
A.11.1.1
|
Fysieke beveiligingszone
|
https://www.microsoft.com/en-us/trust-center/privacy/data-management
|
A.11.1.2
|
Fysieke toegangsbeveiliging
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.11.1.3
|
Kantoren, ruimten en faciliteiten beveiligen
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.11.1.4
|
Beschermen tegen bedreigingen van buitenaf
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.11.1.5
|
Werken in beveiligde gebieden
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.11.1.6
|
Laad- en loslocatie
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
|
|
|
|
A.11.2.1
|
Plaatsing en bescherming van apparatuur
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.11.2.2
|
Nutsvoorzieningen
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.11.2.3
|
Beveiliging van bekabeling
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.11.2.4
|
Onderhoud van apparatuur
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.11.2.5
|
Verwijdering van bedrijfsmiddelen
|
https://www.microsoft.com/en-us/trust-center/privacy/data-management
|
A.11.2.6
|
Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein
|
https://www.microsoft.com/en-us/trust-center/privacy/data-management
|
A.11.2.7
|
Veilig verwijderen of hergebruiken van apparatuur
|
https://www.microsoft.com/en-us/trust-center/privacy/data-management
|
A.11.2.8
|
Onbeheerde gebruikersapparatuur
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.11.2.9
|
‘Clear desk’- en ‘clear screen’-beleid
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.12 Beveiliging bedrijfsvoering
|
|
|
A.12.1 Bedieningsprocedures en verantwoordelijkheden
|
|
|
A.12.1.1
|
Gedocumenteerde bedieningsprocedures
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.12.1.2
|
Wijzigingsbeheer
|
Wijzigingen die worden doorgevoerd op myDRE hebben betrekking op gebruiksfunctionaliteit. Dit staat volledig los van de data die in een Workspace zit. Veranderingen die impact op security hebben worden volgens een Security Impact Assessment beoordeeld.
|
A.12.1.3
|
Capaciteitsbeheer
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.12.1.4
|
Scheiding van ontwikkel-, testen productieomgevingen
|
myDRE heeft volledig gescheiden ontwikkel-, test-, acceptatie- en productieomgeving.
|
|
|
|
|
A.12.3.1
|
Back-up van informatie
|
De Share van een Workspace wordt elke 24 uur immutable gesnapshot, 30 dagen rollend. Voor meer informatie zie CIA/BIV classification. |
A.12.4 Verslaglegging en monitoren
|
|
|
A.12.4.1
|
Gebeurtenissen registreren
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.12.4.2
|
Beschermen van informatie in logbestanden
|
|
A.12.4.3
|
Logbestanden van beheerders en operators
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.12.4.4
|
Kloksynchronisatie
|
https://docs.microsoft.com/en-us/azure/virtual-machines/windows/time-sync
|
A.12.5 Beheersing van operationele software
|
|
|
A.12.5.1
|
Software installeren op operationele systemen
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.12.6 Beheer van technische kwetsbaarheden
|
|
|
A.12.6.1
|
Beheer van technische kwetsbaarheden
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.12.6.2
|
Beperkingen voor het installeren van software
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.12.7 Overwegingen betreffende audits van informatiesystemen
|
|
|
A.12.7.1
|
Beheersmaatregelen betreffende audits van informatiesystemen
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.13 Communicatiebeveiliging
|
|
|
A.13.1 Beheer van netwerkbeveiliging
|
|
|
A.13.1.1
|
Beheersmaatregelen voor netwerken
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.13.1.2
|
Beveiliging van netwerkdiensten
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.13.1.3
|
Scheiding in netwerken
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.13.2 Informatietransport
|
|
|
A.13.2.1
|
Beleid en procedures voor informatietransport
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.13.2.2
|
Overeenkomsten over informatietransport
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.13.2.3
|
Elektronische berichten
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.13.2.4
|
Vertrouwelijkheids- of geheimhoudingsovereenkomst
|
De Accountable van een Workspace dient te zorgen voor de benodigde NDAs, DTAs en Verwerkingsovereenkomsten
|
A.14 Acquisitie, ontwikkeling en onderhoud van informatiesystemen
|
|
|
A.14.1 Beveiligingseisen voor informatiesystemen
|
|
|
A.14.1.1
|
Analyse en specificatie van informatiebeveiligingseisen
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.14.1.1.1
|
Zorgontvangers op unieke wijze identificeren
|
Dit is aan de Tenant en/of Accountable van een Workspace om dit te operationaliseren
|
A.14.1.1.2
|
Validatie van outputgegevens
|
Dit is aan de Tenant en/of Accountable van een Workspace om dit te operationaliseren
|
A.14.1.2
|
Toepassingen op openbare netwerken beveiligen
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.14.1.3
|
Transacties van toepassingen beschermen
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.14.1.3.1
|
Openbaar beschikbare gezondheidsinformatie
|
Archivering is mogelijk. |
A.14.2 Beveiliging in ontwikkelings- en ondersteunende processen
|
|
|
A.14.2.1
|
Beleid voor beveiligd ontwikkelen
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.14.2.2
|
Procedures voor wijzigingsbeheer met betrekking tot systemen
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.14.2.3
|
Technische beoordeling van toepassingen na wijzigingen besturingsplatform
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.14.2.4
|
Beperkingen op wijzigingen aan softwarepakketten
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.14.2.5
|
Principes voor engineering van beveiligde systemen
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.14.2.6
|
Beveiligde ontwikkelomgeving
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.14.2.7
|
Uitbestede softwareontwikkeling
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.14.2.8
|
Testen van systeembeveiliging
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.14.2.9
|
Systeemacceptatietests
|
Wijzigingen die worden doorgevoerd op myDRE hebben betrekking op gebruiksfunctionaliteit. Dit staat volledig los van de data die in een Workspace zit.
|
|
|
|
|
A.14.3.1
|
Bescherming van testgegevens
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.15 Leveranciersrelaties
|
|
|
A.15.1 Informatiebeveiliging in leveranciersrelaties
|
|
|
A.15.1.1
|
Informatiebeveiligingsbeleid voor leveranciersrelaties
|
Dit is aan de Tenant om hieraan invulling te geven.
anDREa koopt geen diensten in of outsourced zaken die van invloed zijn op de data in een Workspace. |
A.15.1.2
|
Opnemen van beveiligingsaspecten in leveranciersovereenkomsten
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.15.1.3
|
Toeleveringsketen van informatie- en communicatietechnologie
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.15.2 Beheer van dienstverlening van leveranciers
|
|
|
A.15.2.1
|
Monitoring en beoordeling van dienstverlening van leveranciers
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.15.2.2
|
Beheer van veranderingen in dienstverlening van
leveranciers |
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.16 Beheer van informatiebeveiligingsincidenten
|
|
|
A.16.1 Beheer van informatiebeveiligingsincidenten en -verbeteringen
|
|
|
A.16.1.1
|
Verantwoordelijkheden en
procedures |
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.16.1.2
|
Rapportage van informatiebeveiligingsgebeurtenissen
|
anDREa rapporteert maandelijks in CTO Reports en jaarlijks in de Security Management Report. Deze zijn te vinden in anDREa Public Management Reports. |
A.16.1.3
|
Rapportage van zwakke plekken in de informatiebeveiliging
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.16.1.4
|
Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.16.1.5
|
Respons op informatiebeveiligingsincidenten
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.16.1.6
|
Lering uit informatiebeveiligingsincidenten
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.16.1.7
|
Verzamelen van bewijsmateriaal
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.17 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
|
|
|
A.17.1 Informatiebeveiligingscontinuïteit
|
|
|
A.17.1.1
|
Informatiebeveiligingscontinuïteit plannen
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.17.1.2
|
Informatiebeveiligingscontinuïteit implementeren
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.17.1.3
|
Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.17.2 Redundante componenten
|
|
|
A.17.2.1
|
Beschikbaarheid van informatieverwerkende faciliteiten
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
|
|
|
|
A.18.1 Naleving van wettelijke en contractuele eisen
|
|
|
A.18.1.1
|
Vaststellen van toepasselijke wetgeving en contractuele eisen
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.18.1.2
|
Intellectuele-eigendomsrechten
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.18.1.3
|
Beschermen van registraties
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.18.1.4
|
Privacy en bescherming van persoonsgegevens
|
Dit is de verantwoordelijkheid van de Accountable van een Workspace
|
A.18.1.5
|
Voorschriften voor het gebruik van cryptografische beheersmaatregelen
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.18.2 Informatiebeveiligingsbeoordelingen
|
|
|
A.18.2.1
|
Onafhankelijke beoordeling van informatiebeveiliging
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.18.2.2
|
Naleving van beveiligingsbeleid en -normen
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
A.18.2.3
|
Beoordeling van technische naleving
|
Geen zorgspecifieke beheersmaatregel van toepassing
|
