BWBR0031368
Geldig vanaf 2012-03-23
Artikel 3
Beleidsregels Informatiebeveiligingsbeleid C2000
1. De implementatie en naleving van de beveiligingsmaatregelen bij de gebruikers worden jaarlijks getoetst door de eigenaar.
2. De gebruiker implementeert in beginsel de maatregelen (zie Bijlage 2). De gebruiker mag alleen hiervan afwijken indien hij voldoende kan motiveren dat een vergelijkbaar basis beveiligingsniveau wordt gerealiseerd.
3. De beheerder gebruikt de vastgelegde beveiligingseisen als richtsnoer voor zijn eigen risicobeheersingproces om zo te waarborgen dat aan de eisen wordt voldaan.
4. Door te voldoen aan de beveiligingseisen, zijn de gebruikers en de beheerder in overeenstemming met dit beleid.
5. Partijen zijn verplicht jaarlijks te rapporteren aan de beheerder over de status van de implementatie van de voor hen verplichte beveiligingsmaatregelen.
6. Alle C2000 eindgebruikers en personen werkzaam voor het C2000 communicatienetwerk of binnen een betrokken partij worden op de hoogte gebracht over hun verantwoordelijkheden rond informatiebeveiliging en hebben daarvoor training gekregen.
7. Door middel van formele afspraken met partijen betrokken bij het C2000 communicatienetwerk is geborgd dat dit informatiebeveiligingsbeleid en de daaruit voorvloeiende beheersmaatregelen van toepassing zijn op de medewerkers werkzaam binnen deze partijen.
8. Het gebruik van leveranciers of het overdragen van taken aan overige partijen ontslaat de partij niet van de bij hem belegde verantwoordelijkheid: In het geval dat een leverancier een verplichte beveiligingsmaatregel niet implementeert, is de partij die gebruik maakt van de leverancier hier direct verantwoordelijk voor.
9. Alle personen die het C2000 communicatienetwerk gebruiken, beheren of onderhouden (waaronder leveranciers), melden via de binnen de eigen organisatie aangewezen beveiligingsfunctionaris, de beveiligingsincidenten bij het operationeel-beveiligingsbeheer.
2. De gebruiker implementeert in beginsel de maatregelen (zie Bijlage 2). De gebruiker mag alleen hiervan afwijken indien hij voldoende kan motiveren dat een vergelijkbaar basis beveiligingsniveau wordt gerealiseerd.
3. De beheerder gebruikt de vastgelegde beveiligingseisen als richtsnoer voor zijn eigen risicobeheersingproces om zo te waarborgen dat aan de eisen wordt voldaan.
4. Door te voldoen aan de beveiligingseisen, zijn de gebruikers en de beheerder in overeenstemming met dit beleid.
5. Partijen zijn verplicht jaarlijks te rapporteren aan de beheerder over de status van de implementatie van de voor hen verplichte beveiligingsmaatregelen.
6. Alle C2000 eindgebruikers en personen werkzaam voor het C2000 communicatienetwerk of binnen een betrokken partij worden op de hoogte gebracht over hun verantwoordelijkheden rond informatiebeveiliging en hebben daarvoor training gekregen.
7. Door middel van formele afspraken met partijen betrokken bij het C2000 communicatienetwerk is geborgd dat dit informatiebeveiligingsbeleid en de daaruit voorvloeiende beheersmaatregelen van toepassing zijn op de medewerkers werkzaam binnen deze partijen.
8. Het gebruik van leveranciers of het overdragen van taken aan overige partijen ontslaat de partij niet van de bij hem belegde verantwoordelijkheid: In het geval dat een leverancier een verplichte beveiligingsmaatregel niet implementeert, is de partij die gebruik maakt van de leverancier hier direct verantwoordelijk voor.
9. Alle personen die het C2000 communicatienetwerk gebruiken, beheren of onderhouden (waaronder leveranciers), melden via de binnen de eigen organisatie aangewezen beveiligingsfunctionaris, de beveiligingsincidenten bij het operationeel-beveiligingsbeheer.