Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Vraag

Arbodienst

CompuCase als Leverancier Arbodienst toepassingen.

1.1 Is geheimhouding van personeel contractueel vastgelegd?

Arbodienst legt geheimhoudingseisen vast in arbeidsovereenkomsten.

CompuCase heeft geheimhoudingseisen vastgelegd in in arbeidsovereenkomsten.

2.0 Werkt de leverancier conform AVG eisen ? (richtsnoeren van de AP)

Arbodienst en leverancier sluiten een verwerkersovereenkomst af met AVG eisen.

De AVG verwerkersovereenkomst is een bijlage van de dienstverlenings-overeenkomst van CompuCase.

2.1 Is de leverancier ISO 27001 gecertificeerd.

Arbodienst vereist dit van leverancier

CompuCase is ISO 27001 gecertificeerd door DNV.

2.2 Is er met de leverancier een dienstverleningsovereenkomst (Engels: Service Level Agreement) gesloten?

Arbodienst en leverancier sluiten een dienstverleningsovereenkomst (EN: SLA).

CompuCase levert haar diensten conform haar dienstverleningsovereenkomst (SLA) aan arbodiensten.

2.3 Is er per leverancier een verwerkersovereenkomst afgesloten?

Arbodienst en leverancier sluiten een verwerkersovereenkomst

CompuCase levert haar diensten conform de AVG verwerkersovereenkomst (bijlage van de dienstverleningsovereenkomst).

2.4 Zijn er informatiebeveiligingseisen met leveranciers overeengekomen ?

Arbodienst sluit een dienstverleningsovereenkomst (EN: SLA) met leverancier met informatiebeveiligingseisen.

CompuCase levert haar diensten conform haar dienstverleningsovereenkomst waarin informatiebeveiliging-eisen zijn opgenomen waaronder beschikbaarheid en vertrouwelijkheid, alles in lijn met ISO 27001.

2.5 Wordt de overeengekomen informatiebeveiligingseisen in samenspraak met leveranciers gemonitord, beoordeeld en ge-audit?

Arbodienst beoordeelt de overeengekomen informatiebeveiligingseisen.

CompuCase rapporteert regelmatig de resultaten van haar dienstverlening inclusief beschikbaarheid en vertrouwelijkheid van haar arbodienst-toepassingen. DNV audit CompuCase jaarlijks aan de hand van ISO 27001 eisen.

3.0 Locaties met IT-werkzaamheden.

Arbodienst beveiligt de locaties waar IT-werkzaamheden worden uitgevoerd

CompuCase toepassingen zijn volledig SAAS. De data bevinden zich in Oracle Cloud Solutions (binnen Europa). De fysieke locaties beperken zich tot werkplekken zonder opslag van vertrouwelijke informatie.

4.0 De arbodienst zelf heeft passende technische en organisatorische maatregelen om persoonlijke gezondheidsinformatie veilig te houden.

Arbodienst heeft passende technische en organisatorische maatregelen genomen

De aan CompuCase toevertrouwde persoonlijke gezondheidsinformatie zijn ondergebracht in Oracle Cloud Solutions. Zowel Oracle als CompuCase zijn ISO 27001 gecertificeerd.

4.1 De arbodienst behoort regelmatig een risicoanalyse informatiebeveiliging uit te voeren.

De arbodienst voert regelmatig een risicoanalyse informatiebeveiliging uit

CompuCase heeft een managementsysteem voor informatiebeveiliging (ISMS) wat voldoet aan ISO 27001 normeisen inclusief risicoanalyse.

4.2 De risicoanalyse behoort input te leveren voor Informatiebeveiliging

De arbodienst gebruikt de resultaten van de risicoanalyse als input voor het managen van haarinformatiebeveiliging

CompuCase heeft een managementsysteem voor informatiebeveiliging (ISMS) wat voldoet aan ISO 27001 normeisen inclusief managen van resultaten van de risicoanalyse.

4.3a De arbodienst behoort informatiebeveiliging procesmatig in te richten

De arbodienst heeft informatiebeveiliging procesmatig in te richten

CompuCase heeft een procesmatig ingericht managementsysteem voor informatiebeveiliging. (ISO 27001 certificering)

4.3b De arbodienst behoort een wijzigingsproces informatiebeveiliging in te richten

4.3b De arbodienst heeft een wijzigingsproces informatiebeveiliging.

CompuCase voert wijzigingen en verbeteringen (releasemanagement) in systemen en CompuCase toepassingen inclusief informatiebeveiliging procesmatig uit. (ISO 27001 certificering)

4.3c De arbodienst behoort uitbestede informatiebeveiliging processen te beheersen

4.3c De arbodienst heeft uitbestede informatiebeveiliging processen beheerst middels een dienstverleningsovereenkomst (EN: SLA).

CompuCase levert haar diensten conform haar dienstverleningsovereenkomst. CompuCase heeft op haar beurt een overeenkomst met Oracle en een managementsysteem om de dienstverlening te monitoren en te beheersen. (ISO 27001 certificering)

4.4 De arbodienst behoort de risicobeoordelingen regelmatig te herzien.

De arbodienst herziet de risicobeoordelingen regelmatig.

CompuCase herziet de risicobeoordelingen regelmatig bij grote en kleine wijzigen en tenminste jaarlijks. (ISO 27001 certificering)

4.5 De arbodienst behoort (indien noodzakelijk) aan de hand van risicobeoordelingen verbeterplannen uit te voeren.

De arbodienst voert verbeterplannen uit aan de hand van de resultaten van risicobeoordelingen.

CompuCase voert regelmatig verbeteringen uit, al dan niet voortkomend uit risicobeoordelingen (ISO 27001 certificering)

4.6 De arbodienst behoort te beschikken over een jaarlijks geactualiseerde DPIA (AVG)

De arbodienst beschikt over een jaarlijks geactualiseerde DPIA (AVG)

CompuCase beschikt over een jaarlijks geactualiseerde DPIA (AVG).(ISO 27001 certificering)

4.7 De arbodienst behoort over een geactualiseerd verwerkingsregister te beschikken.

De arbodienst beschikt over een actueel verwerkingsregister.

CompuCase beschikt over een actueel verwerkingsregister. (ISO 27001 certificering)

5.1 De arbodienst behoort te beschikken over een adequaat informatiebeveiliging.

De arbodienst beschikt over een actueel informatiebeveiliging.

CompuCase beschikt over een actueel informatiebeveiliging.

5.2 De arbodienst behoort over een incidentmanagement proces IB te beschikken

De arbodienst beschikt over een incidentmanagement proces IB

CompuCase beschikt over een incidentmanagementproces IB

5.3 De arbodienst behoort te beschikken over een bedrijfscontinuiteit-proces incl. IB aspecten.

De arbodienst beschikt over een bedrijfscontinuiteit-proces incl. IB aspecten

CompuCase beschikt over een bedrijfscontinuiteit-proces incl. IB aspecten

5.4 De arbodienst behoort de werking van technische middelen te monitoren en te controleren incl. IB aspecten

De arbodienst controleert de werking van technische middelen middels monitoring en verbetert deze waar nodig.

CompuCase controleert de werking van technische middelen middels monitoring en verbetert deze waar nodig in samenspraak met Oarcle

5.5 De arbodienst behoort een actueel beeld te hebben van geldende wet en regelgeving incl. IB aspecten en de implicaties ervan.

De arbodienst heeft een actueel beeld te hebben van geldende wet en regelgeving incl. IB aspecten en de implicaties ervan.

CompuCase heeft een actueel beeld te hebben van geldende wet en regelgeving incl. IB aspecten en de implicaties ervan.

5.6 De arbodienst behoort een overzicht te hebben van informatie-verwerkende middelen

De arbodienst heeft een overzicht van informatie-verwerkende middelen

CompuCase heeft een actueel overzicht van informatie-verwerkende middelen

5.7 De arbodienst behoort een procedure te volgen voor uitgifte en inname bedrijfsmiddelen, en bijbehorende toegangsrechten.

De arbodienst volgt een procedure voor uitgifte en inname bedrijfsmiddelen, en bijbehorende toegangsrechten.

CompuCase volgt een procedure voor uitgifte en inname bedrijfsmiddelen, en bijbehorende toegangsrechten.

5.8 De arbodienst behoort bedrijfsmiddelen te classificeren en waar nodig middelen te labelen.

De arbodienst classificeert bedrijfsmiddelen en waar nodig labelt deze middelen.

CompuCase classificeert bedrijfsmiddelen en waar nodig labelt deze middelen.

5.9 De arbodienst behoort netwerken passend te beveiligen

De arbodienst heeft netwerken passend beveiligd.

CompuCase heeft netwerken passend beveiligd.

5.10 De arbodienst behoort beleid te hebben voor gebruik van mobiele apparatuur (met gevoelige info)

De arbodienst heeft beleid voor gebruik van mobiele apparatuur.

CompuCase maakt geen gebruik van mobiele apparatuur (met gevoelige info arbodiensten)

5.11 De arbodienst behoort mobiele apparatuur (met gevoelige info) te versleutelen.

De arbodienst heeft mobiele apparatuur (met gevoelige info) versleuteld.

CompuCase heeft mobiele apparatuur versleuteld, maar heeft geen gevoelige info op mobiele devices.

5.12 De arbodienst behoort wijzingen aan software procesmatig uit te voeren

De arbodienst voert de wijzingen aan software procesmatig uit.

CompuCase kent een uitgebreide wijzigingsprocedure (inclusief systeem en gebruikers-tests. Upgrades worden waar nodig tijdig en automatisch uitgevoerd op servers door Oracle Cloud services. CompuCase toepassing voor arbodiensten wijzingen worden aangekondigd middels release notes

5.13 De arbodienst behoort Speciale rechten o.a. administrators rechten te minimaliseren en extreem goed te bewaken.

De arbodienst minimaliseert speciale rechten o.a. administrators rechten en bewaakt deze goed.

De door CompuCase toegepaste Oracle Cloud Services kent een zeer geavanceerd systeem voor administrators toegang (Cloud guard, Basition, 2FA, Root of trust, Key Identity and Access Management incl. breaking glass).

5.14 De arbodienst dient regels op te stellen access management (incl, 2FA,)

De arbodienst heeft regels voor access management met minimaal 2FA.

Oracle Cloud Services is uitsluitend te benaderen middels Cloud Guard, Basition, (2FA, Tokens etc)

5.15 De Arbodienst dient tenminste 2FA toe te passen

De Arbodienst past minimaal 2FA toe

CompuCase applicaties zijn uitsluitend te benaderen middels 2FA

5.16 De Arbodienst dient haar systemen te voorzien van anti-virus en malware beveiliging

De Arbodienst heeft haar systemen voorzien van anti-virus en malware beveiliging.

CompuCase maakt gebruik van werkplekken voorzien van anti-virus en malware beveiliging. Daarnaast is Oracle Coud Services voorzien van uitgebreide anti-virus en malware beveiliging en is actief in treath hunting.

5.17 De arbodienst dient een passend backup beleid te voeren.

De Arbodienst voert een actief backupbeleid

CompuCase maakt gebruik van Oracle Cloud services welke is voorzien van een geavanceerd data protection system.

5.18 De arbodienst dient relevante gebeurtenissen in IT-systemen te registreren, te bewaard en regelmatig te beoordelen?

De arbodienst registreert, bewaart en beoordeelt relevante gebeurtenissen in IT-systemen

Compucase toepassing kent een uitgebreide registratie van gebruikersactiviteiten. Relevante gebeurtenissen wordt automatisch gemeld. Daarnaast kent Oracle Cloud services een uitgebreid logging en monitoring systeem. Verder controleert CompuCase de beschikbaarheid van de toepassing continue.

5.19 De arbodienst ontwikkelt zelf (verzuim)applicaties.

De arbodienst kan zelf (verzuim)applicaties ontwikkelen dan-wel gebruik maken van CompuCase verzuimapplicaties

5.20 De ontwikkelaar van (verzuim)applicaties dient het ontwikkelproces beleidsmatig en procesmatig uit te voeren.

nvt

CompuCase ontwikkelt haar toepassing met behulp van Oracle Business Rules.

5.21 De ontwikkelaar dient bij de ontwikkeling eisen voor informatiebeveiliging te integreren

nvt

CompuCase ontwikkelt Oracle Business Rules en Oracle Cloud services waarin eisen voor informatiebeveiliging zijn geïntegreerd.

5.22 De ontwikkelaar dient principes voor de engineering van beveiligde systemen te integreren

nvt

CompuCase ontwikkelt Oracle Business Rules en Oracle Cloud services waarin eisen (en in de praktijk gangbare technologieën)voor beveiligde systemen zijn geïntegreerd.

5.23 De ontwikkelaar dient de ontwikkel, test en acceptatie-omgeving adequaat te beveiligen indien van toepassing.

nvt

CompuCase ontwikkelt uitsluitend gebruik makend van Oracle Business Rules en Oracle Cloud services en hanteert OTAP

5.24 De ontwikkelaar dient nieuwe versies en wijzingen beheerst door te voeren

nvt

CompuCase ontwikkelt uitsluitend gebruik makend van Ontwikkel, Test, Acceptatie en Productieomgeving.





5
5.24 Procedures voor wijzigingsbeheer met betrekking tot systemen - Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling moeten worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer.

NEN 7510-1 A14.2.2
<toelichting>
5.25 Testen van systeembeveiliging, systeemacceptatietests en Bescherming van testgegevens - Tijdens ontwikkelactiviteiten moet de beveiligings‐ functionaliteit worden getest. Voor nieuwe informatiesystemen, upgrades en nieuwe versies moeten programma’s voor het uitvoeren van acceptatietests en gerelateerde criteria worden vastgesteld. Testgegevens moeten zorgvuldig worden gekozen, beschermd en gecontroleerd.

NEN 7510-1 A14.2.8
<toelichting>




...