Gedragsregels.

Page 1

2012 Verklaring Gedragsregels Cloud Computing

VERKLARING GEDRAGSREGELS VOOR <YYY>, SYTEEM <ZZZ>

[VERKLARING GEDRAGSREGELS <JAMBO>] Dit document is bedoeld om als akkoordverklaring te worden gebruikt door cloud service providers, third party taxateurs makelaars, aannemers van Cloud Computing projecten, en voor werknemers of externen bij de overheid en andere organisaties die gebruik willen maken van Cloud Compting Gedragsregels.

29 juli 2012

[VERKLARING GEDRAGSREGELS <JAMBO>]

Inhoudsopgave

Gebruik Verklaring Gedragsregels ...................................................... 3 Cloud Computing Gedragsregels......................................................... 4 Gedragsregels voor Interne Gebruikers ........................................... 5 Gedragsregels voor Externe Gebruikers .......................................... 9

2

Jambo ConsultancyŠ

29 juli 2012

[VERKLARING GEDRAGSREGELS <JAMBO>]

Gebruik Verklaring Gedragsregels Dit document, Verklaring Gedragsregels, is bedoeld om als akkoordverklaring te worden gebruikt door cloud service providers, third party taxateurs makelaars, aannemers van Cloud Computing projecten, en voor werknemers of externen bij de overheid en andere organisaties die gebruik willen maken van Cloud Compting Gedragsregels. Een voorbeeld van gedragsregels voor zowel interne gebruikers als externe gebruikers staan op de volgende pagina's. U hoeft zich niet exacte aan deze opgestelde regels te houden. Ze zijn bedoeld als voorbeelden. Om uw Cloud systeem voldoende te beveiligen dient de CSP deze naar eigen inzicht en ervaring aan te passen. Houd er rekening mee dat er bepaalde regels zijn die wel van toepassing kunnen zijn op interne gebruikers en weer niet van toepassing op externe gebruikers en vice versa. Deze Verklaring Gedragsregels kan worden ondertekend op papier of b.v. elektronisch bij de eerste login. Hoe dan ook, de organisatie dient deze ondertekende verklaringen te bewaren om een onafhankelijke beoordelaar in staat te stellen te controleren of de gedragsregels door alle gebruikers zijn gelezen en geaccepteerd. Deze verklaring is opgesteld door Jambo Consultancy naar voorbeeld van FEDRAM (“US Computer Fraud and Abuse Act” & “US Privacy Act, 5 USC 552a”) en kan naar eigen inzicht, wetgeving en ervaring worden aangepast. Dit document maakt gebruikt van de tekens <XXX> voor bedrijfsnaam, <ZZZ> voor systeemnaam en <telefoonnummer> voor contactnummer en is door –zoek e en vervang- direct te gebruiken. Het is verstandig het document eerst definitief te maken of van een digitale handtekening te voorzien, alvorens het in gebruik te nemen.

3

Jambo Consultancy©

29 juli 2012

[VERKLARING GEDRAGSREGELS <JAMBO>]

Cloud Computing Gedragsregels De gedragsregels beschrijven de veiligheidsmaatregelen, de verantwoordelijkheden en bepaalde verwachtingen over het gedrag van gebruikers waar het het navolgen van veiligheidspolicies, -standaarden en procedures betreft. Veiligheidsaudits in de Cloud vereisen dat Cloud Service Providers gedragsregels implementeren. Er zijn vaak verschillende gedragsregels van toepassing op interne en externe gebruikers. Interne gebruikers zijn medewerkers van uw organisatie, met inbegrip van werkaannemers/inhuur. Externe gebruikers zijn alle mensen en instanties die toegang hebben tot uw eigen systeem en die geen werknemer of werkaannemer zijn. Externe gebruikers kunnen klanten, partners, of prospects met demo accounts zijn. CSP medewerkers die toegang hebben tot <Informatie System Name> ondertekenen de interne gedragsregels. Als de CSP bepalingen voor rekening van een klant komt, waaronder ook het beheer van accounts, is het de verantwoordelijkheid van CSP om ervoor te zorgen dat degene die te maken krijgen met de veiligheidsbepalingen van CPS dat de externe gedragsregels worden ondertekend. Als CPS een managerslicentie verleent aan een individuele klant dan is het de verantwoordelijkheid van die klant om ervoor te zorgen dat zijn gebruikers de CSP gedragsregels krijgen en onderteken. Degene die de gebruiker van het licentieadres is, is verantwoordelijk voor het verstrekken en ondertekenen van de gedragsregels.

4

Jambo ConsultancyŠ

29 juli 2012

[VERKLARING GEDRAGSREGELS <JAMBO>]

Gedragsregels voor Interne Gebruikers o U moet voldoen aan het auteursrecht en site licenties van software eigenaar. o U mag alleen gegevens verwerken die betrekking hebben op de aangeboden functionele diensten en die mogen worden bewerkt op het systeem. o U moet alle inbreuk op de veiligheid of te verwachten incidenten aan de IT afdeling rapporteren. o U moet direct stoppen met het gebruiken van systeembronnen die tekenen van besmetting met een virus of andere malware laten zien en bij het vermoeden van een incident. o U moet onbevoegd personeel in uw werkgebied weren. o U mag alleen die gegevens bewerken waartoe vergunning is verleend. o U dient direct contact op te nemen met uw <XXX> manager als de toegang tot systeembronnen anders is dan verwacht en zoals is vereist om uw taak goed uit te voeren. o U moet een computer security awareness training en privacy awareness training bijwonen, zoals wordt verlangt door <XXX>. o U moet toegangseisen voor uw gebruikers en de gebruikers toegangsparameters, samen met uw <XXX> manager coĂśrdineren. o U moet ervoor zorgen dat de toegang tot applicatiespecifieke gevoelige gegevens is beschermd, gebaseerd op uw functie. o U moet zich tegen afval, verlies, misbruik, onbevoegde gebruikers en verduistering van data beschermen. o U moet ervoor zorgen dat de toegang alleen wordt toegewezen op basis van uw <XXX> manager goedkeuring. o U moet zich vertrouwd maken met speciale eisen aangaande de toegang tot, de bescherming van, en het gebruik van gegevens, met inbegrip Privacy Act eisen, het auteursrecht eisen, en de aankoop van gevoelige gegevens. o U moet ervoor zorgen dat gevoelige elektronische informatie (inclusief bijlagen) worden afgedrukt en opgeslagen volgens <XXX> beleid en normen. 5

Jambo ConsultancyŠ

29 juli 2012

[VERKLARING GEDRAGSREGELS <JAMBO>]

o U moet ervoor zorgen dat gevoelige, vertrouwelijke en beschermde informatie verzonden naar een fax of printer wordt behandeld op een veilige manier, bijvoorbeeld door het blad dat hierover informatie bevat te bedekken tijdens het faxen. o U moet ervoor zorgen dat de harde kopieĂŤn van vertrouwelijke en eigen informatie wordt vernietigd (nadat het niet meer nodig is). o U moet ervoor zorgen dat vertrouwelijke en gepatenteerde informatie is beveiligd tegen toegang door onbevoegden door het gebruik van encryptie, volgens de normen van <XXX>, bij het verzenden via de elektronische weg (telecommunicatie netwerken, e-mail en / of fax). o U mag geen geheime informatie in strijd met de nationale veiligheid over het systeem van <XXX> verwerken, om welke reden dan ook. o U mag door <XXX> niet goedgekeurde software niet installeren op het systeem. Alleen door <XXX> aangewezen personen zijn bevoegd om software te laden. o U mag extra hardware of randapparatuur niet toevoegen aan het systeem. Alleen aangewezen personeel mag direct de hardware op het systeem installeren. o U mag niet hardware of software op <XXX> systemen, netwerken, of interfaces her-configureren. o U mag alleen van <XXX> draadloze toegangsbeleid gebruik maken. o U mag geen informatie ophalen voor iemand die niet bevoegd is om die informatie te openen. o U mag niet de computermiddelen van de faciliteit verwijderen, zonder voorafgaande toestemming. Middelen mogen alleen verwijderd worden voor officieel gebruik. o U moet controleren of de verklaring van de uitgever van de webbrowsers niet is ingetrokken. o U moet ervoor zorgen dat de web browsers controleert op handtekeningen op gedownloade bestanden. o U moet ervoor zorgen dat webbrowsers leeg afsluit en tijdelijke internetbestanden zijn verwijderd. o U moet ervoor zorgen dat webbrowsers Secure Socket Layer (SSL) versie 3.0 (of hoger) en Transport Layer Security (TLS) 1.0 (of hoger) gebruiken. 6

Jambo ConsultancyŠ

29 juli 2012

o o

o o o o o o o o

7

[VERKLARING GEDRAGSREGELS <JAMBO>]

SSL en TLS moeten gebruik maken van een minimum van 128-bit, encryptie. U moet ervoor zorgen dat de webbrowsers waarschuwingen voor ongeldige site-certificaten geeft. U moet ervoor zorgen dat de webbrowsers waarschuwen indien de gebruiker tussen beveiligde en niet-beveiligde modus aan het veranderen is. U moet ervoor zorgen dat de webbrowsers waarschuwen indien het wordt omgeleid. U moet ervoor zorgen dat webbrowsers geen toegang hebben tot het mogelijk maken van gegevensbronnen over domeinen heen. U moet ervoor zorgen dat de webbrowsers geen navigatie van subframes kunnen maken, binnen de verschillende domeinen. U moet voorkomen dat de webbrowsers de indiening van nietgecodeerde kritische vormen van gegevensoverdracht mogelijk maken. U moet zorgen dat uw <XXX> webbrowservenster wordt afgesloten, alvorens te navigeren naar andere sites / domeinen. U mag informatie over klanten niet op een systeem dat niet het eigendom is van <XXX> zetten. U moet ervoor zorgen dat gevoelige informatie zich beperkt voor teamleden op een “need-to-know” basis. U begrijpt dat een ieder die informatie verkrijgt van een computer aangesloten op het internet dat in strijd is met het computergebruik van haar werkgever, in strijd met de “Computer Fraud and Abuse Act”is.

Jambo Consultancy©

29 juli 2012

[VERKLARING GEDRAGSREGELS <JAMBO>]

AANVAARDING EN HANDTEKENING Ik heb het bovenstaande gedragsregels voor interne gebruikers van <XXX> systemen en netwerken gelezen. Door mijn elektronische aanvaarding en/of handtekening hieronder, erken ik en ga ik ermee akkoord dat mijn toegang tot alle <XXX> systemen en netwerken wordt gedekt door, en onderworpen is aan dergelijke regels. Verder heb ik erkent en aanvaard dat elke schending door mij van deze regels mij kan onderwerpen aan civiele en / of strafrechtelijke acties en dat <XXX> zich het recht voorbehoudt om naar eigen goeddunken, mijn toegangsrechten tot de <XXX> systemen te beĂŤindigen, te annuleren of op te schorten op elk gewenst moment, zonder voorafgaande kennisgeving.

Naam: Handtekening: Plaats en datum: Opmerkingen:

8

Jambo ConsultancyŠ

29 juli 2012

[VERKLARING GEDRAGSREGELS <JAMBO>]

Gedragsregels voor Externe Gebruikers o U dient alleen geautoriseerde activiteiten op het systeem uit te voeren. o Uw niveau van toegang tot systemen en netwerken in handen van <XXX> is beperkt om ervoor te zorgen dat uw toegang niet meer is dan nodig om uw wettelijke of toegewezen taken uit te voeren. Als u denkt dat u wordt overbodige toegang wordt verleend dan moet u onmiddellijk de <XXX> Operations Center <telefoonnummer> bellen. o U mag de vertrouwelijkheid van login gegevens, zoals uw wachtwoord. niet onthullen aan anderen, een <XXX> werknemer mag u nooit vragen om deze te onthullen. o U moet de juiste logon/logoff procedures hanteren. U moet handmatig inloggen op uw sessie en niet je wachtwoord lokaal op uw systeem bewaren of gebruik maken van automatische login mogelijkheden. U dient onmiddellijk uit te loggen als een toegang tot een sessie niet meer nodig is. Als een afmelding functie niet beschikbaar is, moet u uw browser afsluit. Laat uw computer niet onbeheerd achter als je ingelogd bent in het systeem. o U moet alle veiligheidsincidenten of te verwachten incidenten (bijvoorbeeld verloren wachtwoorden, onjuiste of verdachte handelingen) in verband met <XXX> systemen en netwerken tot de <XXX> Operations Center <telefoonnummer> rapporteren. o U mag geen ongeoorloofde interfaces tussen systemen, netwerken en toepassingen die eigendom zijn van <XXX> maken. o Op uw toegang tot systemen en netwerken in handen van <XXX> zijn alle nationale wetten, met inbegrip van maar niet beperkt tot, de “Privacy Act, 5 USC 552a”, van toepassing. <XXX> systeem houdt zich aan de individuele Privacy Act informatie. Uw toegang tot <XXX> systemen vormt uw toestemming voor het ophalen en openbaarmaking van de informatie in het kader van uw geautoriseerde toegang, met inachtneming van de Privacy Act, en thans geldende staats en nationale wetten. o U moet systeembronnen tegen afval, verlies, misbruik, onbevoegd gebruik of openbaarmaking, en verduistering bewaken. 9

Jambo Consultancy©

29 juli 2012

[VERKLARING GEDRAGSREGELS <JAMBO>]

o U mag geen geheime informatie in strijd met de nationale veiligheid over het systeem van <XXX> verwerken, om welke reden dan ook. o U mag niet zoeken naar en informatie onthullen die wordt gehost door <XXX>, tenzij in overeenstemming met wat nodig is om uw wettelijke of toegewezen taken uit te voeren. o U mag geen informatie opvragen, of op enige andere wijze verstrekken van aan iemand die niet bevoegd is om die informatie te openen. o U moet ervoor zorgen dat Web browsers Secure Socket Layer (SSL) versie 3.0 (of hoger) en Transport Layer Security (TLS) 1.0 (of hoger) worden gebruikt. SSL en TLS moeten gebruik maken van een minimum van 256bit, encryptie. o U moet ervoor zorgen dat uw webbrowser is geconfigureerd om te waarschuwen voor ongeldige site certificaten. o U moet ervoor zorgen dat de webbrowsers waarschuwen indien de gebruiker tussen beveiligde en niet-beveiligde modus aan het veranderen is. o U moet ervoor zorgen dat de webbrowsers waarschuwen indien het wordt omgeleid. o U moet ervoor zorgen dat webbrowsers geen toegang hebben tot het mogelijk maken van gegevensbronnen over domeinen heen. o U moet ervoor zorgen dat de webbrowsers geen navigatie van subframes kunnen maken, binnen de verschillende domeinen. o U moet voorkomen dat de webbrowsers de indiening van nietgecodeerde kritische vormen van gegevensoverdracht mogelijk maken. o U moet zorgen dat uw <XXX> webbrowservenster wordt afgesloten, alvorens te navigeren naar andere sites / domeinen. o Door uw handtekening hieronder te zetten of door elektronische acceptatie bijvoorbeeld door te klikken op een aanvaardingknop op het scherm, gaat u akkoord met deze regels. o U begrijpt dat een ieder die informatie verkrijgt van een computer aangesloten op het internet en in strijd met computergebruik van haar werkgevers regels is, in strijd met de Computer Fraud and Abuse Act is. o U gaat ermee akkoord de <XXX> Chief Information Security Officer of de <XXX> Operations Center <telefoonnummer> te contacteren indien u een van deze regels niet begrijpt. 10

Jambo ConsultancyŠ

29 juli 2012

[VERKLARING GEDRAGSREGELS <JAMBO>]

AANVAARDING EN HANDTEKENING Ik heb het bovenstaande gedragsregels voor externe gebruikers van <XXX> systemen en netwerken gelezen. Door mijn elektronische aanvaarding en/of handtekening hieronder, erken ik en ga ik ermee akkoord dat mijn toegang tot alle <XXX> systemen en netwerken wordt gedekt door, en onderworpen is aan dergelijke regels. Verder heb ik erkent en aanvaard dat elke schending door mij van deze regels mij kan onderwerpen aan civiele en / of strafrechtelijke acties en dat <XXX> zich het recht voorbehoudt om naar eigen goeddunken, mijn toegangsrechten tot de <XXX> systemen te beĂŤindigen, te annuleren of op te schorten op elk gewenst moment, zonder voorafgaande kennisgeving.

Naam: Handtekening: Plaats en datum: Opmerkingen:

11

Jambo ConsultancyŠ

29 juli 2012

12

[VERKLARING GEDRAGSREGELS <JAMBO>]

Jambo Consultancy©

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.