Applicatie
| Maatregel | Toelichting | Werking binnen Software Cloud |
| Account blokkering | Na een aantal foutieve inlog pogingen wordt het account geblokkeerd. Activering van het account is alleen mogelijk via de servicedesk. | Accounts worden na 5 foutieve pogingen geblokkeerd voor 30 minuten. Binnen die periode kan alleen de servicedesk de blokkering opheffen. |
| Inrichten test omgeving | Inrichten van een testomgeving om aanpassingen aan de applicatie eerste kunnen testen alvorens deze in productie genomen worden, volgens een testplan of update procedure. De organisatie heeft richtlijnen ten aanzien van het gebruik van testgegevens. | Ja, Reasult werkt confrom OTAP. O en T worden door en bij Reasult uitgevoerd. A en P staan in de hosted omgeving en worden gezamenlijk met [Klant] doorlopen. |
| Onderhoudscontracten | Voor applicaties zijn onderhoudscontracten afgesloten. De overeengekomen responstijden van de leverancier zijn overeenkomstig de eisen die gesteld worden vanuit de classificatie. | De contracten zijn ingericht in Freshdesk en hierop wordt maandelijks gerapporteerd. |
| Toegang op basis van actuele behoefte via Role based Access | Toegang tot een applicatie wordt bepaald door de eigenaar van de applicatie, die gebruikers laat toevoegen aan een gebruikersgroep. Individuele gebruikers worden niet apart toegevoegd. Als gebruikers van rol wisselen of uit dienst gaan dienen de oude rechten afgenomen te worden, zodat gebruikers alleen op basis van hun huidige rechten toegang hebben. | Correct. Afgedekt in de gebruikersdefinities van Reaturn AM en TM. |
| Toegang op basis van multi factor authentication | Een beheerder kan alleen toegang krijgen tot een applicatie door middel van een gebruikersgebonden account met twee-factor authenticatie, bijvoorbeeld een token, biometrische autorisatie, certificaat of vpn-pasje. | Alle klanten worden via het BHP ontsloten, waarvoor 2FA en een persoonlijk account nodig is. ISO en ISAE controles zijn ingeregeld om dit te controleren. E.e.a. kan afwijken als er nadrukkelijke andere designkeuzes worden gemaakt (AVR) |
| Toegangsregeling via IT beheer | De verantwoordelijke voor informatiebeveiliging is verantwoordelijk voor het verlenen van toegang van medewerkers tot applicaties. De technische afhandeling hiervan wordt uitgevoerd door ICT beheer. | Correct. Procedures zijn vastgelegd in het Information Security beleid en worden geaudit als onderdeel van ISAE3402. |
| Updates en nieuwe versies van applicaties door ICT beheer | De applicaties kunnen technisch alleen beheerd en onderhouden worden door daartoe geautoriseerde medewerkers. | De gegevens van [Klant] staan in de hosted omgeving bij SLTN. Dit netwerk is volledig gescheiden van het Reasult netwerk. Toegang is alleen mogelijk door geautoriseerde medwerkers, met de juiste rechten. |
| Virtualisatie van de applicatie | Door virtualisatie kan een applicatie relatief snel overgezet worden naar een andere server. | Correct. Alle servers zijn virtueel. |
Externe toegang
| Maatregel | Toelichting | Werking binnen Software Cloud |
| Beveiligde verbinding leveranciers | Leveranciers die via een externe verbinding onderhoud plegen op systemen van de organisatie, maken gebruik van een encrypted verbinding op basis van multi-factor authentication. | Ja, Reasult en SLTN verrichten onderhoud op basis van een encrypted verbinding via een VPN tunnel. |
| Beveiligde verbinding eindgebruikers | Eindgebruikers die extern toegang nodig hebben tot applicaties dienen gebruik te maken van een beveiligde verbinding. | Ja, gebruikers kunnen alleen dmv een tweevoudige beveiliging inloggen en werken over beveiligde verbindingen. |
| Logging | Alle externe toegang gelogd, zodat bij incidenten na te gaan is of dit veroorzaakt werd door een persoon die gebruik maken van externe toegang. Bij incidenten kan er worden overgegaan op monitoring. | De inlog- / uitlogmomenten van alle personen op de hosted omgeving zijn bekend vanuit de log-files. (via syslog server) |
| Toegang medewerkers leveranciers | Leveranciers dienen aan te geven welke van hun medewerkers toegang hebben tot de systemen waar de gegevens van [Klant] zijn opgeslagen en hoe de integriteit en vertrouwelijkheid van de gegevens gewaarborgd wordt. | Deze gegevens zijn opvraagbaar. De procedures hieromtrent zijn bekend bij Reasult. |
| Toegang op basis van multi factor authentication | Medewerkers die vanaf huis toegang nodig hebben tot applicaties dienen gebruik te maken van een gebruikersgebonden account met twee-factor authenticatie | Correct. Externe gebruikers dienen in te loggen via een gebruikers account plus een token. Medewerkers van [Klant] die thuiswerken bereiken de applicaties door eerst via een VPN verbinding naar [Klant] en vandaar via een VPN verbinding naar de hosted omgeving. |
GDPR Gerelateerd
| Maatregel | Toelichting | Werking binnen Software Cloud |
| Anonimiseren/pseudonimiseren van gegevens | Persoonsgegevens zijn geanonimiseerd zodat deze niet meer herleidbaar zijn naar een persoon. Ook binnen backups zijn deze persoonsgegevens geanonimiseerd. | Er zijn geen namen van huurders/eigenaars vastgelegd in Reasult systemen. Wel adressen en huurprijzen. Deze worden niet geanonimiseerd vastgelegd in systemen of backups. Backups worden wel encrypted opgeslagen. |
| Dataminimalisatie | Er worden niet meer persoonsgegevens verzameld dan noodzakelijk voor het doel van de verwerking. | Correct. |
| Dataportabiliteit | Persoonsgegevens dienen voor overdracht op een veilige, gestructureerde en in een gangbaar formaat te worden aangeboden. | [Klant] heeft toegang tot alle gegevens in Reasult applicaties. Bij additionele, geautoriseerde aanvragen zal Reasult afstemmen welk formaat door [Klant] gevraagd wordt. |
| Inzage van gegevens | De aanvrager heeft de mogelijkheid zijn/haar eigen persoonsgegevens in te zien welke worden verzameld en opgeslagen. | Ja, [Klant] kan alle data zien in de hosted omgeving. Daarnaast hebben wij namen en e-mailadressen van medewerkers. Deze worden maandelijks in de SLR gerapporteerd. |
Gegevens
| Maatregel | Toelichting | Werking binnen Software Cloud |
| Backup inrichting | Gegevens van [Klant] worden volledig gescheiden van andere klanten gebackupped. | Correct. Backupgegevens worden volledig gescheiden gehouden per klant.Backup data wordt wel op 1 server opgeslagen |
| Back-up encryptie | Backups dienen encrypted opgeslagen te worden. | Ja, is in het verleden op verzoek van [Klant] aantoonbaar aangepast. |
| Cryptographic key management | Er is een beleid en procedure beschikbaar welke beschrijft hoe om te gaan met het genereren, wijzigen, intrekken, vernietigen, verspreiden, certificeren, opslaan, gebruik en archivering (key lifecycle) ten behoeve van bescherming van de keys tegen ongewenste/onbevoegde aanpassing en openbaring. | Optioneel: Intern worden de key/accountgegevens opgeslagen in een digitale kluis. Alleen geautoriseerde personen hebben toegang tot deze kluis. |
| Distributie van gegevens | Distributie van data is alleen toegestaan met toestemming van de eigenaar van de gegevens. | De gegevens van [Klant] verlaten nimmer de hosted omgeving. Als er wel reden is om de database naar Reasult over te halen dan wordt er conform afspraak altijd expliciet toestemming bij [Klant] hiervoor gevraagd, met de condities voor gebruik. |
| Eigenaarschap data | Met de cloudeigenaar of sourcingspartner moet overeen gekomen zijn, dat de data ten alle tijden eigendom van [Klant] blijft en de gegevens toegankelijk blijven voor [Klant]. | Contractueel vastgelegd. |
| Encryptie van datatransmissie | Gegevens dienen binnen de gehele keten versleuteld getransporteerd te worden. | Correct. Met uitzondering van mails die een eindgebruiker triggert in Reaturn TM rondom specifieke rapportages |
| Encryptie van gegevens op verwijderbare media | Om te voorkomen dat gegevensdragers los uitgelezen kunnen worden. | BitLocker encryptie is alleen van toepassing op verwijderbare media. Binnen VM's niet standaard maar dit kan ingesteld worden. |
| Exclusieve toegang databases | Medewerkers van de beheerpartner hebben alleen toegang tot de data van databases waar ze op basis van behoefte toegang voor dienen te hebben. Toegang kan alleen plaatsvinden via de applicaties. | Medewerkers van Reasult en SLTN hebben alleen toegang tot de databases/VM's waarop zij services dienen te verlenen. |
| Filesysteem | Professioneel filesysteem, dat een hoge beschikbaarheid biedt. | Geregeld, contractueel vastgelegd. Wordt maandelijks op gerapporteerd in de SLR. |
| Fysieke opslag | Er moet bekend zijn waar de data zich fysiek bevindt. | Alle servers staan in de datacentres van SLTN"dataplace utrecht (productie) en dataplace brabant (uitwijk), waar stroomuitval volledig afgedekt is met UPS en eigen generatoren. |
| Onweerlegbaarheid | Het is altijd terug te vinden hoe en door wie gegevens gewijzigd zijn, ook indien dit plaatsvindt door een beheerder. Dit geldt voor specifieke velden. | De aanpassingen die via de applicaties lopen worden gelogd in een audit trail. Evenals de import van gegevens. De aanpassingen die een admin direct in een dbase uitvoert, in opdracht van zijn echter niet altijd gedocumenteerd. |
| Persoonsgegevens | Een Privacy Impact Analyse heeft plaatsgevonden om te bepalen of er persoonsgegevens worden verwerkt binnen de oplossing. Indien er persoonsgegevens worden verwerkt, dient er in samenspraak met de Compliance Officer van [Klant] een verwerkersovereenkomst ondertekend te worden. Verwachte evidence: een ondertekende verwerkersovereenkomst. | Er is een verwerkersovereenkomst tussen [Klant] en Reasult ondertekend. |
| Professioneel database systeem | Applicaties dienen gebruik te maken van professioneel database systeem. In outsourcingssituatie sourcingspartner dient dit aan te tonen. | Reasult werkt met Microsoft SQL-Server voor de [Klant] gegevens, alsmede voor eigen systemen. |
| Schijfencryptie | Clients en servers dienen voorzien te zijn van schijfencryptie, zodat gestolen of anderzijds gebruikte clients of servers geen bron van informatie kunnen zijn. | Alle clients zijn conform het Information Security beleid voorzien van encryptie. Zelfs de databasesevers van [Klant] in het datacenter zijn voorzien van schijfencryptie. |
| Toegang tot databases via management tools, zoals SQL+ | Het is niet toegestaan om rechtstreeks op de database gegevens aan te passen, behalve voor geautoriseerde medewerkers gebruik makend van het standaardprotocol van ICT beheer. | Correct. Alleen geautoriseerde technisch consultants mogen na toestemming van [Klant] database scripts draaien. |
Netwerk
| Maatregel | Toelichting | Werking binnen Software Cloud |
| Anti virus en Spam filters | Toepassing van anti virus en Spamfilter om externe aanvallen tegen te gaan. | Ja. Wordt jaarlijks als onderdeel van de ISAE ook geaudit. |
| Configuratie Beheer | Configuratie van alle infrastructuur elementen en wijzigingen daarop dienen vastgelegd worden in een configuratie-Beheer-systeem. | Basisregistratie van de diensten en de wijzigingen geschiedt in de SLTN servicedesk tool. Operationele informatie is vastgelegd in de SLTN beheerwiki voor specifieke documentatie. |
| Firewalls | Inzet van firewalls om externe hackers tegen te houden. Zowel een centrale firewall als individuele firewalls op systemen. | Geregeld. Wordt ook jaarlijks getest door een externe ethical hacker. |
| Gepland onderhoud | Gepland onderhoud valt buiten kantoortijden | Dit is meestal het geval. Echter, upgrades van Reasult apps of van OS of databases worden in overleg met [Klant] ook binnen kantoortijden gepland. |
| Logboek | Operationeel beheer dient een logboek bij te houden waarin aangegeven wordt welke activiteiten zijn uitgevoerd, welke problemen zijn gedetecteerd en welke correctieve acties daarop zijn uitgevoerd. Dit omvat onder meer gedetecteerde storingen, overdracht naar collega's, openstaande attentiepunten, afsluiten en starten van programma's, et cetera. | Issues worden gelogd in de servicedesk tooling van SLTN resp. Reasult en zijn daarmee traceable |
| Monitoring ongebruikelijke activiteiten | De infrastructuur dient voortdurend gemonitord te worden op het optreden van ongebruikelijke activiteiten middels een IDS (Intrusion Detection System) en/of IPS (Intrusion Prevention System). Deze activiteiten dienen onderzocht te worden en gerapporteerd. | Ja, is standaard onderdeel van de Checkpoint firewall. |
| Netwerk Partitionering | Het netwerk is gepartitioneerd. Zo is het Wireless LAN is gescheiden van het interne LAN en is het interne lan opgedeeld in diverse Virtual LANs. | JA, zeker WLAN, maar SLTN wil ook interne LAN in DC scheiden |
| Netwerkelementen zijn aangesloten op een UPS | Kort durende stroomuitval heeft geen consequenties voor de beschikbaarheid van netwerkelementen | Alle servers staan in de datacentres van SLTN"dataplace utrecht (productie) en dataplace brabant (uitwijk), waar stroomuitval volledig afgedekt is met UPS en eigen generatoren. |
| Onderhoudscontracten | Onderhoudscontracten op alle belangrijke netwerkcomponenten, zowel op de hardware als de bijbehorende firmware en instellingen | Correct. |
| Redundantie | Het netwerk is voor kritische onderdelen redundant uitgevoerd, of de onderdelen ter vervanging zijn onmiddellijk beschikbaar. | De gehele SLTNcloud infrastructuur is meervoudig redundant uitgevoerd. Kritische componenten zijn gedekt met een 7 x 24 uur onderhoudscontract. |
| Zonering netwerk | Het interne netwerk heeft een algemene zone en een vertrouwelijke zone. De vertrouwelijke zone is gescheiden met een firewall van de algemene zone. Systemen met applicaties en databases met vertrouwelijkheid geheim of integriteit hoog zijn aangesloten op de vertrouwelijke zone van het netwerk. | De gegevens van [Klant] staan in de hosted omgeving bij SLTN. Dit netwerk is volledig gescheiden van het Reasult netwerk. |
Organisatorisch
| Maatregel | Toelichting | Werking binnen Software Cloud |
| Afspraken rondom borging van vertrouwelijkheid en integriteit | Met de sourcingspartner worden afspraken gemaakt over hoe men periodiek kan aantonen dat de vertrouwelijkheid en integriteit van applicaties geborgd wordt. Afspraken zijn hier afhankelijk van het niveau van integriteit vertrouwelijkheid dat is toegekend aan een applicatie. | [Klant] en Reasult hebben regelmatig overleg over vertrouwelijkheid en integriteit van applicaties. Naast procedures zet zowel SLTN als Reasult tooling in om aspecten van integriteit aan te tonen en te kunnen reageren op nieuwe problemen. |
| Alertheid ten aanzien van unieke kennis | Binnen de organisatie dient een cultuur van kennisdeling gestimuleerd te worden. Managers en medewerkers binnen de organisatie dienen alert te zijn op aanwezigheid van unieke kennis bij medewerkers en maatregelen te treffen (zoals overdracht, bijscholing, creëren van gedeelde verantwoordelijkheid) indien deze situatie is ontstaan of dreigt te ontstaan. | Reasult is altijd gericht op het delen van kennis tussen tenminste twee personen. Hier wordt ook in het aannamebeleid rekening mee gehouden. |
| Audit | Beveiligingsmaatregelen dienen regulier ge-audit te worden. Reportages over de problemen dienen aan [Klant] gerapporteerd te worden. Audits kunnen zowel door interne als door externe partijen worden uitgevoerd en omvatten controles op de aanwezigheid en toepassing van procedures alsook technische controles (bv ‘ethical hacking’) | Pentesten worden jaarlijks uitgevoerd door een externe partij, uitkomsten en opvolging wordt over gerapporteerd. Wordt ook jaarlijks als onderdeel van de ISAE geaudit. |
| Autorisatietabel | Voor toegang tot de applicaties wordt een tabel met rollen en toegangsrechten vastgelegd. Hier wordt aangegeven welke rollen er zijn en tot welke applicaties deze rollen toegang hebben. Er is een standaardprocedure voor het aanpassen van deze tabel. | Reasult heeft een autorisatiematrix. Wordt als onderdeel van de ISAE ook geaudit. |
| Back-up procedure | Backup dient beschreven te zijn, inclusief herstelprocedures. Deze herstelprocedures dienen regelmatig getest te worden. | Ja, is afgedekt en wordt gecontroleerd ook als onderdeel van de ISAE 3402 audits. |
| Beleid ten aanzien van ICT-hulpmiddelen | De organisatie dient een beleid te hebben ten aanzien van het gebruik van ICT-hulpmiddelen. | Ja, vervat in het Information Security document, gedeeld met [Klant] |
| Continuïteitsplannen | Plannen voor uitwijk en het instellen van stand-by systemen worden regulier getest en gecontroleerd of deze aan de doelstellingen voldoen. | Er is een uitwijkplan dat jaarlijks wordt getest met SLTN. Wordt gecontroleerd ook als onderdeel van de ISAE 3402 audits. |
| Cultuur van kennisdeling | Bij het ingebruikname van nieuwe software of het toepassen van updates dient een standaardprocedure gevolgd te worden, die afhankelijk is van het continuïteitniveau van de applicatie. Deze procedure kan omvatten: testen van de nieuwe software of hardware in een test omgeving, toepassing van een testprotocol, proefconversies, opleiding van gebruikers. De procedure dient operationeel te zijn in verhouding tot de risico's die de wijziging met zich meebrengt. Deze risico inschatting kan in samenspraak met de leverancier tot stand komen. | Is gedekt in DAP tussen [Klant] en Reasult |
| Eenduidige verantwoordelijkheid | Verantwoordelijkheden ten aanzien van beveiliging dienen eenduidig belegd te zijn binnen een rol van waaruit regie kan worden uitgevoerd, zoals een IT manager, Security Officer of binnen Directie. | Correct. Vastgelegd in het Information Security document. Pierre Breuls is Security Officer binnen Reasult. |
| Evaluatie beveiligingsbeleid | Het beleid, uitvoering van het beleid en bijbehorende maatregelen dient regulier geëvalueerd te worden en, waar nodig, bijgesteld. | Wordt jaarlijks geevalueerd en waarnodig bijgesteld, tevens in relatie tot ISAE 3402 certificering |
| Functiescheiding | Bij het toekennen van taken en verantwoordelijkheden dient een scheiding aangebracht te worden tussen de bepalende, controlerende en uitvoerende functies en ook binnen systeemontwikkeling (ontwikkeling, testen, acceptatie, en productie) en beheer. | OTAP principes worden toegepast, alsmede splitsing tussen bepalende en uitvoerende functies, door de toekenning van rechten en door vastlegging van procedures zoals beschreven in het Information Security document. |
| Fysieke toegangsbeveiliging | De hosting provider kan inzage verschaffen in een recentelijk audit rapport (bijvoorbeeld ISO 27001 of ISAE 3402 SOC Type II) welke toetsing van fysieke toegangscontrole weergeeft. | ISAE 3402, Type II rapportage is beschikbaar voor Reasult. Voor de hosting provider is dat de ISO 27001 verklaring. |
| Gebruikersprocedures voor uniform gebruik van gegevensvelden | Gegevensvelden binnen applicatie dienen op een uniforme manier ingevuld te worden. Deze dienen te worden opgenomen in gebruikersprocedures. De functioneel beheerder dient daarop toe te zien. Gebruikers dienen gewezen te worden op mogelijke fouten die gemaakt worden. In samenspraak met business en de functioneel beheerder dienen eenduidige afspraken over het gebruik van gegevens binnen applicaties gemaakt te worden. Binnen de applicatie dienen (waar mogelijk) integriteitcontroles te worden uitgevoerd. | Reasult geeft in handleidingen en in trainingen aan hoe gegevens ingevuld dienen te worden. Reasult Business Consultants zijn betrokken bij implementatie en migratietrajecten. Daarnaast zijn er invoercontrolles in de Reasult apps. |
| Paswoord en sleutelmanagement | Paswoorden en encryptiesleutels dienen op een standaard wijze beschermd en opgeslagen te worden. Paswoorden en sleutels zijn alleen toegankelijk voor daartoe geautoriseerde personen. Alle standaard paswoorden voor pakketten of databases worden vervangen door eigen paswoorden. | Gedekt. Alle wachtwoorden zitten in een versleutelde wachtwoordmanager waar alleen geauthoriseerde medewerkers toegang toe hebben. |
| Penetratietests | Penetratietests worden jaarlijks op kosten van de leverancier uitgevoerd door een externe, onafhankelijke externe partij, waarbij minimaal de OWASP top 10 binnen de scope valt. | Gedekt. Wordt jaarlijks uitgevoerd, momenteel door Nerdconomy. |
| Procedure afhandelen beveiligingsincidenten | Het optreden van beveiligingsincidenten dient continue gemonitord te worden. Bij het optreden van de beveiligingsincidenten dient via een standaardprocedure gewerkt te worden, afhankelijk van de zwaarte van het incident. De procedure omvat ook aan wie en met welke frequentie hierover gerapporteerd wordt. | SLTN een een Security NOC die rapporteert beveiligingsincidenten aan SLTN Managed Services. Met Ivanti Security controls kunnen we de status per server rapporteren en voorzien van een patch update. |
| Procedure buiten kantoor werken | Zowel eindgebruikers als beheerders dienen zich bewust te zijn van de beveiliging risico’s die buiten kantoor werken met zich meebrengt. | Is afgedekt in het Information Security document en de interne uitleg daaromtrent. |
| Procedure gebruikers autorisatie | Gebruikers dienen expliciet geautoriseerd te worden door de verantwoordelijke voor informatiebeveiliging. | Is afgedekt in het Information Security document en de procedure rondom de authorisatiematrix. Wordt gecontroleerd binnen de ISAE 3420 audits. |
| Procedure ingebruikname nieuwe software of hardware of toepassing van updates | Applicatie- en technisch beheer dienen voortdurend bijgeschoold te worden naar aanleiding van de nieuwste ontwikkelingen. De maatregelen dienen proportioneel te zijn ten opzichte van het afbreukrisico. | JA, persoon heeft kennis en ervaring van de producten die gebruikt worden binnen de omgeving. SLTN heeft voor nagenoeg alle leveranciers de hoogste partner status op basis van certificeringen. |
| Procedure management van gebruikers accounts | De (beheer)organisatie dient op een standaard manier om te gaan gebruikersaccounts. Wachtwoorden dienen geforceerd periodiek te worden gewijzigd en aan complexiteitsvereisten te voldoen. Accounts dienen persoonsgebonden te zijn en mogen niet met andere personen worden gedeeld. | Afgedekt in company policies voor zowel Reasult als SLTN |
| Procedure opstellen, onderhoud van en toegang tot documentatie | Geselecteerde documentatie moet up-to-date zijn en worden opgeslagen in een beveiligde omgeving. Documentatie is alleen toegankelijk voor daartoe geautoriseerde personen en is beschikbaar op een eenduidig vastgestelde locatie. | Voor procedures is dit inderdaad het geval, bij Reasult en SLTN |
| Procedure toegang door derden en verantwoordelijkheid uitbestedingspartijen | Er dient een duidelijke procedure te zijn hoe om te gaan met toegang tot vertrouwelijke gegevens door derden (ingehuurd personeel, onderhoudspersoneel van leveranciers, uitbestede diensten, etc.). Deze procedure geldt ook voor monitoring op afstand, waarbij een leverancier via een externe verbinding monitoring of onderhoudswerkzaamheden uitvoeren. | Uitsluitend gecertificeerd en gescreend personeel krijgt toegang tot de productie-omgevingen van klanten van SLTN. Dit is beschreven in ‘KD0069 Informatie Beveiligings Policies SLTN’ en KD0021 Handboek kwaliteit en informatieveiligheid’, onderdelen van het KMS conform ISO27001. Dit geldt zowel voor medewerkers van SLTN als voor eventuele derden die wij, na goedkeuring, toegang verlenen. |
| Procedure vernietigen verwijderbare media | De procedure beschrijft de wijze waarop met verwijderbare media wordt omgegaan, voor de verschillende vertrouwelijkheidniveaus. Verwacht wordt dat verwijderbare media, welke gegevens van [Klant] bevat, op een gecertificeerde manier wordt vernietigd. | Correct. Vastgelegd in het Information Security document. |
| Procedure verwijderen van apparatuur | De procedure beschrijft de wijze waarop met verwijderde apparatuur dient te worden omgegaan. Verwacht wordt dat apparatuur, welke gegevens van [Klant] bevat, op een gecertificeerde manier wordt vernietigd. | Coorect. Afgedekt in de ISO 27001 procedures van SLTN |
| Systeem hardening | Operating systems en toepassingen worden uitgerold volgens interne build of hardening standaarden.Bijvoorbeeld door het verwijderen van onnodige services, dichtzetten van ongebruikte poorten, wijzigen van standaard wachtwoorden, hernoemen van standaard accountnamen, etc. | Correct. |
| Training en test | Gebruikers en beheerders dienen goed op de hoogte zijn van het gebruik en configuratie van applicaties, netwerkomgevingen en servers. Voor applicaties met integriteit hoog dienen gebruikers een opleiding te hebben gevolgd en een test te hebben afgelegd of dienen gebruik te kunnen maken van de diensten van een mentor | Reasult geeft via business en technisch consultants kennis overdracht en trainingen aangaande Reasult software. |
| Uitwijk | Uitwijkcontracten intern, of met een externe leverancier, om applicaties, in het geval van calamiteiten, weer snel en binnen de wettelijke termijnen beschikbaar te kunnen stellen. Uitwijk procedures dienen regulier getest te worden. | Is optioneel. SLTN heeft vanuit de datacenter Dataplace Brabant en Dataplace Utrecht de mogelijkheid om diverse Cloud oplossingen te bieden die volledig voldoen aan uw wensen en eisen m.b.t. capaciteit, performance en functionaliteit. Bij de SLTN Zerto DRaaS dienst heeft u als klant de maximale garantie m.b.t. een snelle en 100% gegarandeerde succesvolle uitwijk van uw productie omgeving op basis van een R.P.O (recovery point objective) van enkele seconden. |
| Verklaring vertrouwelijkheid | Alle medewerkers vanuit beheer die specifieke rechten hebben ten aanzien van toegang en configuratie van de ICT omgeving dienen een vertrouwelijkheid verklaring te ondertekenen en op de hoogte te worden gebracht van de sancties bij overtreding. Voor externe medewerkers kan dit afgestemd worden via een Non Disclosure Agreement en het inkoopcontract met de leverancier. | Geregeld, zowel bij SLTN als Reasult. |
| Vier-ogen principe | Voor kritische onderhouds- en herstelactiviteiten dient het vier-ogen principe te worden toegepast. Een persoon voert de activiteiten uit, een tweede persoon controleert en accordeert. Er dient hier onderscheid te worden gemaakt naar bijvoorbeeld de back-up van bedrijfsgegevens (SAP) of de back-up van gegevens van een individuele medewerker. | Bij kritische onderhouds- en herstelacties wordt er altijd een controle uitgevoerd door een tweede persoon (meestal functioneel of technisch business consultant). |
Server
| Maatregel | Toelichting | Werking binnen Software Cloud |
| Actuele onderhoudscontracten op servers en besturingssystemen | Update van software zorgt ervoor dat de beschikbaarheid hoger wordt en dat de risico's voor inbraak afnemen. Onderhoudscontracten zorgen ervoor dat updates beschikbaar zijn. | Reasult en SLTN dragen gezamenlijk zorg voor het updaten van relevante software. Conform afspraak met [Klant] worden patches ieder weekend doorgevoerd, m.u.v. kritische patches die onmiddelijke aandacht behoeven. |
| De servers zijn aangesloten op een UPS | Kort durende stroomuitval heeft geen consequenties voor de beschikbaarheid van de servers | Alle servers staan in de datacentres van SLTN"dataplace utrecht (productie) en dataplace brabant (uitwijk), waar stroomuitval volledig afgedekt is met UPS en eigen generatoren. |
| Denial of Service maatregelen | Protocollen en technologieen zijn van kracht die bescherming bieden tegen DDoS aanvallen. | SLTN monitoringtools dedecteren exceptioneel verkeer waarop direct actie ondernomen kan worden. SLTN levert standaard een anti-DDOS dienst op basis van de internet dienst die Reasult afneemt |
| Inzet van server virtualisatie | Virtualisatie van servers biedt de mogelijkheid om snel weer online te zijn bij een storing. Baseline, maar voor specifieke diensten kan een uitzondering worden gemaakt. | Alle applicaties en databases aangaande [Klant] staan in de hosted omgeving op gevirtualiseerde servers. |
| Maatregelen hoge beschikbaarheid | Sourcingspartners dienen aan te tonen hoe men de hoge beschikbaarheid van servers waarborgt en welke maatregelen daartoe getroffen worden (redundantie, clustering, stand-by options). | Is geregeld, contractueel vastgelegd en wordt op gerapporteerd. Werking via VEAAM ONE |
| Servers staan in een afgesloten en optimaal geconditioneerde ruimte. Ruimte is alleen toegankelijk voor ICT beheer | Fysieke toegang tot de server is beperkt om risico op inbraak te minimaliseren en beschikbaarheid te maximaliseren | De STLNcloud staat in gecertificeerde datacenter m.b.t. fysieke beveiliging. Zie www.dataplace.com/nl |
| Servers zijn aangesloten op een noodaggregaat | Ook langdurige stroomuitval kan op deze wijze ondervangen worden. | Alle servers staan in de datacentres van SLTN"dataplace utrecht (productie) en dataplace brabant (uitwijk), waar stroomuitval volledig afgedekt is met UPS en eigen generatoren. |
| System documentatie paswoorden | System documentatie en System Administrator paswoorden worden opgeslagen in afgesloten ruimtes en alleen voor daartoe geautoriseerde medewerkers toegankelijk. | Alle system admin wachtwoorden worden in een wachtwoorddatabase opgeslagen die door encryptie beveiligd is. |
| Toegang tot besturingssystemen is alleen mogelijk voor geautoriseerde personen. | Netwerk toegang tot de server is beperkt om risico's op inbraak te minimaliseren en beschikbaarheid te maximaliseren | Correct. Besturingssysteem is afgeschermd voor alle gebruikers, behalve admins. |
| Updates en nieuwe versies | Updates en nieuwe versies van besturingssystemen worden eerst getest in een aparte omgeving alvorens ze op een gecontroleerde wijze in productie te nemen. Hiermee wordt voorkomen dat gepland onderhoud voor continuïteit problemen zorgt. Bij het in productie gaan van veranderingen wordt ervoor gezorgd dat er een roll-back scenario aanwezig is en dat de relevante specialisten stand-by zijn. | Nieuwe versies van besturingssystemen en databases worden eerst in ACC getest voordat ze naar PROD gaan. Patches van Microsoft worden wel meteen doorgevoerd. |