Basismaatregelen Informatiebeveiliging

Questions and Answers

Wat is de verantwoordelijk van een werknemer met betrekking tot BYOD-apparaten?

De werknemer hoeft zich geen zorgen te maken over beveiligingspatches.

De werknemer is verantwoordelijk voor het up-to-date houden van het device. (correct)

De werknemer mag persoonlijke informatie op het apparaat bewaren.

More Than Gifts is verantwoordelijk voor de beveiliging van BYOD-apparaten.

Wat moet een werknemer doen als zijn/haar laptop zoek is of gestolen?

Wachten tot de laptop is teruggevonden.

Dit melden bij de IT-afdeling. (correct)

Direct een nieuwe laptop aanvragen.

De IT-afdeling negeren omdat het zijn/haar eigen apparaat is.

Waarom is het belangrijk dat vertrouwelijke informatie altijd beveiligd wordt opgeslagen?

Omdat het werknemers anders niet kan ontslaan.

Om de waarde van de apparatuur te verhogen.

Om juridische problemen voor het bedrijf te voorkomen. (correct)

Omdat het bedrijf geen toegang heeft tot deze informatie.

Wat moet er gedaan worden als een werknemer zijn/haar bedrijfsmiddelen retourneert bij beëindiging van het dienstverband?

Alle fysieke bedrijfsmiddelen moeten aan de IT-afdeling worden teruggegeven.

Wat is een vereiste voor het gebruik van MacBooks binnen het bedrijf?

Alleen met een sterk wachtwoord of biometrische beveiliging mag worden ingelogd.

Wat wordt er van jou verwacht bij het constateren van een beveiligingsprobleem?

Je licht het management tijdig in bij een beveiligingsprobleem.

Wat wordt bedoeld met het 'Tenzij' beleid?

Uitzonderingen zijn toegestaan met voorafgaande schriftelijke toestemming.

Waar kan je de huisregels en gedragscode vinden?

In de Kennis app van More Than Gifts.

Wat is geen verwacht gedrag volgens de informatiebeveiligingsmaatregelen?

Ongeoorloofd toegang vragen tot vertrouwelijke informatie.

Waarom is professionele grondhouding belangrijk voor de medewerkers?

Het maakt gedetailleerde instructies overbodig.

Wat kan je verwachten van More Than Gifts op het gebied van informatiebeveiliging?

Hulp bij het vergroten van jouw bewustzijn en kennis.

Wat betekent het als je iets onduidelijk vindt volgens de gedragscode?

Je moet dit vooraf aangeven.

Wat is de belangrijkste reden voor informatieclassificatie binnen een organisatie?

Het beheren van toegang en beveiligingsmaatregelen voor verschillende soorten informatie.

Welke maatregel is niet van toepassing op de overdracht van vertrouwelijke informatie?

Vrije overdracht via elke communicatiewerf.

Welke example valt onder 'zeer vertrouwelijke informatie' volgens de classificatie?

Personeelsdossiers en contracten.

Wat is een vereiste voor het labelen van informatie in documenten?

Documenten moeten voorzien zijn van classificatie, versienummer, status en een eigenaar.

Welke maatregel wordt genomen voor de veilige toegang tot het More Than Gifts pand?

De toegang wordt beveiligd door een EVVA Airkey cilinder.

Wat is de rol van een applicatie-eigenaar met betrekking tot informatieclassificatie?

Ze zijn verantwoordelijk voor het classificeren van data.

Welke beveiligingsmaatregelen zijn vereist voor vertrouwelijke informatie volgens de classificatiesystemen?

Encryptie van bestanden en logging van toegang.

Welke categorie bevat informatie die voor iedereen toegankelijk is zonder beperkingen?

Openbare informatie.

Wat is een belangrijke eigenschap van de beveiliging van kantoren, ruimtes en faciliteiten?

Fysieke beveiliging is niet noodzakelijk vanwege cloudservices.

Wat moet een medewerker doen als hij een beveiligingsincident ontdekt?

Het netwerk uitschakelen en het incident melden

Wie is verantwoordelijk voor beveiligingsincidenten veroorzaakt door een bezoeker?

Een More Than Gifts medewerker

Wat is een vereiste als een medewerker thuis wil werken?

De werkplek moet ergonomisch verantwoord zijn

Wanneer moet een beveiligingsincident bij het Managementteam (MT) worden gemeld?

Bij dreigende verstoring van de beschikbaarheid

Wat is de juiste actie na het ontdekken van een beveiligingsincident op je werkplekdevice?

De internetverbinding verbreken

Welke van de onderstaande maatregelen is relevant voor veilig thuiswerken?

Ervoor zorgen dat bedrijfsinformatie niet zichtbaar is voor derden

Wat betekent de term 'informatiebeveiligingsincident'?

Een schending van het More Than Gifts beveiligingsbeleid

Welke rol heeft de CEO van More Than Gifts met betrekking tot Airkey sleutels?

Beheren van de administratie van de Airkey sleutels

Wat moeten medewerkers gebruiken als ze op afstand werken in een openbare ruimte?

VPN-software voor een beveiligde verbinding

Wat moet een medewerker doen als hij een schending van het beveiligingsbeleid opmerkt?

Het melden aan de informatiebeveiligingsmanager

Wat zijn de gevolgen voor een werknemer die de gedragscode schendt?

De werkgever kan passende maatregelen nemen afhankelijk van de ernst van de schending.

Wat is een vereiste voor wachtwoorden volgens het informatiebeveiligingsbeleid?

Wachtwoorden moeten veilig worden opgeslagen in een systeem.

Welke actie moet onmiddellijk worden ondernomen bij verlies van een 2FA-sleutel?

Je moet het onmiddellijk melden aan de IT-afdeling.

Wat is de rol van de HR-afdeling tijdens het proces van identiteitsbeheer?

Zij beheren de volledige levenscyclus van identiteiten.

Wat houdt het 'need-to-know' principe in?

Toegang tot informatie is beperkt tot geautoriseerde medewerkers op basis van hun rol.

Wat is een vereiste voor medewerkers bij toegang tot gevoelige gegevens?

Medewerkers moeten 2FA activeren en de sleutel veilig houden.

Welke training is verplicht bij indiensttreding?

Een training die de bewustwording van informatiebeveiliging vergroot.

Wat is een vereiste voor de beoordeling na de training in informatiebeveiliging?

Een voldoende beoordeling betekent dat de training succesvol is afgerond.

Wat moet een gebruiker doen na het creëren van een account?

Zij moeten hun tijdelijk wachtwoord onmiddellijk wijzigen.

Wat is de noodzaak voor bedieningsinstructies in de organisatie?

Ze zijn nodig voor documentatie en beschikbaarheid voor personeel.

Study Notes

Informatiebeveiligingsmaatregelen (Baseline)

• Doel: Vastleggen van basismaatregelen voor informatiebeveiliging bij More Than Gifts. Document wordt continu geüpdate. Regelmatig controleren op updates.
• Verantwoordelijkheid: Iedere medewerker is verantwoordelijk voor informatiebeveiliging. Professionele houding en verantwoordelijkheid nemen. Onduidelijkheden melden vooraf. Eventuele problemen aan het management melden. Collega’s ondersteunen bij veiligheidsrichtlijnen. Uitzonderingen vereisen schriftelijke toestemming van een manager (of achteraf bij noodzaak).
• Verwachtingen van More Than Gifts: Ondersteuning bij kennisvergroting, professionele werkgever met continuïteit, waardering voor medewerkers en faciliterende werksetting.
• ISO27001: Het bedrijf volgt de norm en legt beveiligingsmaatregelen vast in lijn met de norm; 93 beheersmaatregelen zijn van toepassing.
• Organisatie van de Baseline: Hoofdstuk 1 & 2 voor iedereen, hoofdstuk 3 voor IT-medewerkers met account, en verdere hoofdstukken voor medewerkers met verhoogde IT-rechten.

Informatieclassificatie

• Doel: Risicoberekening voor vertrouwelijkheid, integriteit, en beschikbaarheid van informatie.

• Classificatiesysteem (4-stappen):

  • Openbare Informatie: Geen vertrouwelijkheidseisen; minimale beveiliging (toegangsbeheer).
  • Interne Informatie: Alleen intern; basisbeveiliging (toegang beperkt tot medewerkers, wachtwoordbeveiliging). Alleen in Microsoft Sharepoint op te slaan.
  • Vertrouwelijke Informatie: Gevoelige informatie; beperkte toegang, MFA, bestanden encryptie, logging.
  • Zeer Vertrouwelijke Informatie: Kritieke informatie; strenge beperking, verplichte MFA, beperkt aantal medewerkers met toegang, logging.

• Verantwoordelijkheid: Applicatie-eigenaar/data-eigenaar is verantwoordelijk voor classificatie.

Labelen van informatie

• Procedures: Ontwikkel en implementeer procedures voor het toepassen van het classificatieschema.
• Elementen labels: Classificatie, versienummer, status, en eigenaar op documenten (presentaties, pdf's etc.).
• Versienummering: V01, V02 etc. voor concepten, V10, V20 etc. voor definitieve versies. Status vermelden (concept, goedgekeurd).
• Distributie: Alleen goedgekeurde versies naar de klant.

Overdragen van informatie

• Openbare informatie: Geen extra restricties buiten de algemene bedrijfsregels en gedragscode.
• Interne informatie: Via interne zakelijke kanalen: Office 365 (Sharepoint, Teams, Mail), ERP-systeem (Odoo), en bedrijfsrooster.
• Vertrouwelijke/Zeer vertrouwelijke informatie: Beveiligingsmaatregelen zijn afhankelijk van de classificatie (zie tabel informatieclassificatie). Deel enkel de link met het document, niet het document zelf.
• Personeelsgegevens: Gebruik Sharepoint-optie 'bestandaanvraag' voor externe verzoeken.

Gebouw - Bezoekers

• Toegang: EVVA Airkey-cilinder, elektronisch bedienbare roldeur, hek (automatisch).
• Werkuren: Automatica openen/sluiten van hek, 07:00-18:00.
• Toegang medewerkers: Elektronische Airkey.
• Buiten kantooruren: Alarmcode + app voor hek opening.
• Bezoekers: Onder begeleiding van werknemer; verantwoordelijkheid voor incidenten.
• WiFi: Gastnetwerk voor bezoekers.
• Opslag MacBooks: Slot, bij aangewezen gebouwbeheerder.

Melden van beveiliging incidents

• Meldingsplicht: Beveiligingsincidenten onmiddellijk melden.

• Soorten Meldingen:

  • Beschikbaarheidsproblemen: Directe melding aan het MT.
  • Overige incidenten: Aan de informatiebeveiligingsmanager (IB-manager).
  • Anonieme melding: Via brief aan het secretariaat.

• Definitie incident: Verstoring vertrouwelijkheid, integriteit, of beschikbaarheid.

• Voorbeelden incidenten: Schending beveiligingsbeleid, toegangspogingen, DDoS-aanvallen, malware, ongeautoriseerde data-toegang.

Thuiswerken

• Vereist toestemming: Leidinggevende. Outlook agenda gebruiken.
• Aanbevolen: Functies waar thuiswerken de productiviteit kan bevorderen.
• Veiligheid: Veilige thuiswerkplek (ergonomie, omgeving), geen zichtbaarheid voor derden, gebruik goedgekeurde hardware/software, beveiligde internetconnectie.
• VPN: Verplicht gebruik in openbare ruimtes.
• Software: Updates en antivirus verplicht.
• Bereikbaarheid: Binnen werkuren. Communicatie & feedback van leidinggevenden.
• Melding incidenten: Direct melden aan de IB-manager.
• Intellectuele Eigendom: Illegale software of auteursrechtelijk materiaal niet gebruiken of distribueren zonder toestemming.

Sancties bij overtredingen

• Disciplinaire procedure: Procedures die worden gevolgd bij overtredingen van het informatiebeveiligingsbeleid.
• Passende maatregelen: Afhankelijk van de ernst van de overtreding. Zie ook arbeidscontract.

Toegang tot het More Than Gifts netwerk

• Indiensttreding: Verplichte training op informatiebeveiliging bij aanvang.
• Beoordeling training: Passende beoordeling.
• Training link: Gegeven in de tekst.
• Identificatie & accounts: Toewijzing van een gebruikersidentiteit bij indiensttreding (gebruikersnaam, wachtwoord, en toegangsrechten).
• Aanpassingen: Herschikking van rechten bij functiewijzigingen of promotie.

Wachtwoordbeleid

• Sterk wachtwoord: 10+ karakters, geen onderdeel van gebruikersnaam, minimum: 1 hoofdletter, 1 kleine letter, 1 cijfer, 1 vreemd teken.
• Opslag: 1Password.
• 2FA: Verplicht voor kritieke systemen en gevoelige gegevens. Toegewezen via beveiligd proces.
• Verlies 2FA: Onmiddellijk melden aan IT. Gebruikers zijn verantwoordelijk.
• Wachtwoorden: Alleen bekend bij de gebruiker, nooit opschrijven of verzenden in plain text.
• Reset wachtwoord: Alleen via gebruiker zelf , directe leidinggevende , of IT-afdeling.
• Nieuw wachtwoord van administrator: Mag direct een persoonlijk wachtwoord zijn.
• Eerste keer inloggen: Tijdelijk wachtwoord direct wijzigen.

Mobiele en werkplek devices

• MacBooks: bedrijfseigendom.
• BYOD's: Prive eigendom, maar More Than Gifts-informatie is bezit van More Than Gifts.
• Risico’s BYOD: Groter risico op data-lekkage dan met bedrijfstechnologie.
• BYOD beveiliging: Medewerkers zijn verantwoordelijk voor updates.
• Verlies device: Direct melden aan IT voor back-ups en wissen gegevens.
• Beveiliging Devices: Pincode (min 6 cijfers of 4) of biometrische beveiliging verplicht.
• Bijverkoop/Weggeven devices: Alle (bedrijf)informatie veilig verwijderen.
• Niet-bedrijfsinformatie op devices: Niet toegestaan.

Clean Desk en Clear Screen

• Clear desk policy: Papieren documenten en opslagmedia veilig opbergen.
• Clear screen policy: Scherm vergrendelen bij verlaten werkplek.

Applicaties, aanschaf en beheer

• Applicatie eigenaar: Aangewezen voor applicaties/systemen, met verantwoordelijkheid voor beveiligingseisen; toegangscontrole, autorisatie, encryptie, logging, back-ups, monitoring, etc.
• Classificering: Bepaald door de eigenaar.
• Registratie: Opname in een applicatie register.

Beperking toegang tot informatie

• Minimum rechten: Enig toegestaan toegang.

Inventarisatie bedrijfsmiddelen

• Inventarislijst: Van alle bedrijfsmiddelen, met eigenaren, bij te houden en te updaten .

Sharepoint

• Site eigenaren: Aangewezen voor elke site, met verantwoordelijkheid voor toegang en rechten gebruikers.
• Max. eigenaren: Maximaal 2 eigenaren per site.
• Sharepoint beheerder: Verantwoordelijk voor creatie van sites en toezicht op toegang.

OneDrive

• Doel: Opslaan van persoonlijke zakelijke informatie.
• Toegang: Alle medewerkers.
• Persoonlijk zakelijk gebruik: Bestanden (oa. onkostendeclaraties, rapporten) alleen voor de medewerker.

Privacy

• Privacy bescherming: Volgende geldende wet & regelgeving.
• Toegang tot informatie: Behouden in geval van verdenking van incidenten.

Description

Dit quiz vraagt naar de basismaatregelen voor informatiebeveiliging die zijn vastgesteld bij More Than Gifts. Test je kennis over de verantwoordelijkheden van medewerkers, ISO27001 normen en de organisatie van de baseline. Blijf op de hoogte van de veiligheidsrichtlijnen en documentatie.