INLOGGEN
Meeting-Table-Share-board.Banner.jpg

Online samenwerken met Share-board.

Ontmoeten, delen, bewaren en inspireren.


Het Information Security Management System (ISMS) van Share-board


Dit ISMS voldoet aan ISO271001 en NEN7510 en is gecertificeerd door Kiwa in oktober 2017. Zie hier de certificaten.


ISMS 01.0 Beleid en Doelstelling

Het doel van de beveiliging is beschreven op website-pagina Beveiliging en Privacy van Share-board.nl.


ISMS 02.0 De Functionele setting van de Gebruikers

Gebruikers loggen in via een browser vanaf een computer, tablet of smartphone op de Share-board browser-applicatie (SAAS). Een initiële Gebruiker registreert zich op Share-board en start daarmee een nieuw Share-board-team en is direct de Beheerder van dat Share-board-team. De Beheerder kan andere Gebruikers als Teamleden uitnodigen. Andere Teamleden zijn vrijwel altijd bekenden, zoals collega’s, partners, leden en bestuursleden in een professionele of semi-professionele samenwerkingssituaties. Wanneer de genodigden de uitnodiging als Teamlid accepteren kunnen zij inloggen en onderling informatie delen en bewerken als in een Closed-User-Group. De essentie is dat in elk Share-board-team de Teamleden/Gebruikers elkaar kennen, elkaar uitnodigen om deel te nemen, gegevens delen en bewerken en documenten delen en vertrouwelijkheid verwachten in meer of mindere mate. Een Gebruiker kan in meerdere SB-Teams tegelijk actief zijn. Elk SB-Team is gesloten tov de andere SB-Teams. De website (share-board.nl) beschrijft enkele typische toepassingen. Lees bij Support welke Gebruikers er zijn en Lees hier wat de Verantwoordelijkheden zijn.


ISMS 03.0 De Betrokken Actoren van Share-board

De Actoren zijn De Gebruikers (zie ISMS 2.0), De Engineers, De Directie en de Security-Officer.

1. De Engineers zijn (1.1) de Ontwikkel-Engineers, zij richten zich op de Applicatie-ontwikkeling van Share-board, het Applicatiebeheer en het functionele (server-)beheer en (1.2) de Hosting-Engineers voeren het technisch beheer uit van de servers. Share-board huurt (1.3) Security-experts in als point-expertise ter ondersteuning, testen en advisering. 2. De Directie van Share-board BV zijn de beide Directieleden van Share-board BV en zijn verantwoordelijk voor het ISMS. 3. De Directieleden zijn beiden beslissingsbevoegd en onderling uitwisselbaar. 4. De rol van Security-officer wordt door één van de directieleden ingevuld. Zie ISMS 03.1 voor de daadwerkelijke actoren. Locaties. De Engineers werken vanuit de werklocaties van Actoren of vanuit hun thuiswerkplek. De Directie en de Security-officer werken vanuit en vanuit de thuiswerkplek en verschillende kantoren in het land.


ISMS 04.0 De Technische setting.

Artikel ISMS 04.0 Share-board’s Configuratie (rechts) beschrijft de technische opzet van Share-board.


ISMS 05.0 Het onderwerp van de ISMS.

De Productiedata is het onderwerp van dit ISMS. De Productiedata bevindt zich alleen op de servers van de Productie-omgeving. Productiedata bestaat uit content (gegevens opgeslagen in de database), de sleutel-database, de privé mail/chat-berichten, de e-mails die van en naar de Gebruikers worden gestuurd, de mutatielogs (ISMS 18.10) en de door Gebruikers geuploade en te downloade bestanden. Het toevoegen, aanpassen, downloaden en verwijderen van Productiedata met de Share-board-applicatie, is het gebruiken van Share-board en is een verantwoordelijkheid van de Gebruikers zelf. Share-board faciliteert het bewerken door de Gebruikers van Productiedata. De Engineers en de Security-officer van Share-board kunnen - technisch gezien - bij de Productiedata, doch enkel om bij te dragen aan de Doelen; zij veranderen nimmer de inhoud van de Productiedata. Lees verder bij Artikel ISMS 11.0 Organisatorische maatregelen.


ISMS 06.0 De wet, standaarden en richtlijnen.

Share-board voldoet aan de (AVG) Algemene Verordening Gegevens, waarbij we ook voldoen aan de voorwaarden om Bijzondere Persoonsgegevens (volgens de oude WbP) te laten bewerken door Gebruikers. Het ISMS van Share-board voldoet aan ISO27001 en NEN7510, inclusief NEN7512 (gegevensuitwisseling) en NEN7513 (logging).


ISMS 07.0 De Reikwijdte en de normering van de Doelstellingen.

Het ISMS richt zich op de (07.1) Beschikbaarheid, (07.2) Vertrouwelijkheid en (07.3) Integriteit van de Productiedata.


De Reikwijdte (scope) van de ISO27001: betreft de privacybescherming van natuurlijke personen en de beveiliging van bedrijfsgevoelige informatie en (bijzondere) persoonsgegevens die door Gebruikers onderling worden gedeeld en bewerkt in Share-board teneinde vertrouwelijk te kunnen samenwerken.


De Reikwijdte (scope) van de NEN7510: betreft de privacybescherming van natuurlijke personen en de beveiliging van patientengegevens die door zorgprofessionals onderling worden gedeeld en bewerkt in Share-board bij het gezamenlijk verlenen van zorg.


ISMS 07.1 De Beschikbaarheid (data accessibility) normeren we als ‘voldoende hoog’ met een streven naar een beschikbaarheid van 98% per maand. Gebruikers beperken zich voornamelijk tot Nederland of Europa die tijdens kantooruren (CET) en ’s avonds gebruik maken van Share-board. Vooralsnog verwachten we geen klanten die high availability (24/7) verlangen. De hoster levert een beschikbaarheid van > 99% per maand. Een normale beschikbaarheid van 98% betekent dat het systeem enkele uren per maand, bij voorbeeld tussen 08.00 en 11.00 voor updates even uit de lucht is. We nemen de ruimte van 98% om gepland onderhoud (nieuwe releases, bug fixes en updates) aan de randen van de dag uit te voeren; bij uitzondering ’s nachts of in het weekend.

De Productiedata wordt elke dag (04.00) gebackup-ed naar een andere beveiligde locatie. Theoretisch kunnen Gebruikers maximaal ca 23 uur kwijt zijn als gevolg van een Restore na een crash van de VPS. De betrouwbaarheid van de VPS-en zijn zeer hoog. Dit heeft tot dusver nog nooit plaatsgevonden en er is geen reden om aan te nemen dat dat binnenkort wel gaat gebeuren. Ongepland storingsonderhoud worden z.s.m. uitgevoerd. De pagina Onderhoud op de website (zie rechts https://www.share-board.nl/onderhoud/) geeft de gerealiseerde Beschikbaarheid over de laatste maanden: de effectieve beschikbaarheid is ver boven 99,5%.

ISMS 07.2 De Vertrouwelijkheid (nothing goes out) normeren we als ‘zeer hoog’ met een normering als: het voldoen aan de AVG. We willen ook Gebruikers bedienen die een ’high secure’ omgeving nodig hebben, zoals professionals in de zorgsector. Bijzondere Persoonsgegevens (volgens de oude WBP) kunnen door Share-board worden gefaciliteerd. We nemen dan ook stevige beveiligingsmaatregelen, waaronder het versleutelen van de Productiedata.

ISMS 07.3 De Integriteit (no data changed) normeren we als ‘zeer hoog’. Voor high secure toepassingen is data-integriteit een belangrijk aspect. Share-board past alleen legale en robuuste software toe (ISMS 11.4) en Productiedata verlaat nimmer de betrokken databases (ISMS 11.1). Share-board muteert niet zelfstandig en inhoudelijk de Productiedata, anders dan het faciliteren van bewerkingen door de Gebruikers. Alle gegevensmutaties worden gelogd (ISMS 18.10). Eventuele integriteitsproblemen, waarvan overigens de kans heel erg klein is, zijn daarmee toch herleidbaar en herstelbaar.


ISMS 08.0 Risico-analyse.

Risico-analyse (RA) is bedoeld om de kans en impact van security-risico’s te bepalen en op basis daarvan vast te stellen welke maatregelen nodig zijn om de doelen te halen. De Security-Officer initieert minstens één maal per jaar een actualisatie van de risico-analyse. Zie rechts het artikel 'ISMS 08.0 Jaarlijkse risico-analyse': het geeft de opzet en resultaten van de uitgevoerde risico-analyses.


ISMS 09.0 Keuze van de Maatregelen.

Maatregelen zijn een gevolg van of gebaseerd op adviezen, evaluaties, audits, testen, best practices, de wet, standaarden en richtlijnen. Maatregelen zijn bedoeld om de Doelen te halen. De mate waarin Risico's worden gelopen c.q. de Doelen met een redelijk kans bedreigen, bepalen de keuzes voor de Maatregelen. Maatregelen zijn technologisch of organisatorisch van aard. De Directieleden beoordelen de Risico’s en stellen de Maatregelen vast.


ISMS 10.0 Technologische maatregelen.

De volgende technologische maatregelen gelden.

ISMS 10.1 De programmatuur van Share-board-applicatie is ontworpen met het Security-by-design-principe. Artikel ISMS 10.1 geeft die principes.

ISMS 10.2 Beveiligde verbindingen (HTTPS, FTPS, SSH). Lees verder in artikel ISMS 10.4 Share-board’s Configuratie.

ISMS 10.3 Backup- en Restore.

ISMS 10.3.1. Backup. De gehele Linux-omgeving wordt gebackuped, inclusief DirectAdmin-, Firewall-, instellingen, volgens het schema: een keer per dag een incremental backup om 04.00, een keer per week een full backup en een keer maand full backup. Een backup locked de database voor delen van seconden. De Hoster laat automatisch de backup’s uitvoeren om 04.00 naar andere fysieke locatie van Hoster.

ISMS 10.3.2. Restore. Na een eventuele crash van de Productieserver voert Hoster de complete restore van de gehele server uit. De Engineers zetten enkele bestanden of één database terug, indien nodig.

ISMS 10.4. Share-board’s Configuratie beschrijft de technische (server) configuratie en de gekozen opzet en zie artikel ISMS 10.4.6. Encryptie van Productiedata. Bestanden en de content in de Productiedatabase is versleuteld met EAS-256-hash.

ISMS 10.5 Logging. Alle mutaties worden gelogd. Lees bij ISMS 18.10 Logging. Dossierplicht.


ISMS 11.0 Organisatorische maatregelen.

Maatregelen zijn een gevolg van de adviezen, evaluaties, audits en testen. De volgende organisatorische maatregelen zijn reeds genomen. We maken Afspraken en volgen Processen. De Afspraken en Processen zijn onderwerp van evaluatie van het ISMS. Dit ISMS bevat ook onderdelen die als ‘Informatief’ worden geduid. De informatieve onderdelen zijn bedoeld om dit ISMS en de Maatregelen te duiden, maar zijn geen onderdeel van de ISMS. De volgende Organisatorische maatregelen gelden:

ISMS 11.1 De Betrokken Actoren maken geen kopiën van de Productiedata (afspraak). De Productiedata bevindt zich op de Productie.db, Sleutel.db, Logs.db en Bestanden.db., Zie artikel ISMS 04.4. Dat betekent dat de Test- en ontwikkelomgevingen geen Productiedata bevat; security-by-design-principe. Er wordt geen gebruik gemaakt van (losse of andere) media.

ISMS 11.2 Elk kwartaal wordt de inhoud en proces van het ISMS geëvalueerd. Artikel ISMS 17.0 beschrijft het evaluatieproces.

ISMS 11.3 De Betrokken Actoren bevestigen het Security-protocol persoonlijk en expliciet (afspraak).

ISMS 11.4 Share-board maakt alleen gebruik van legale software (afspraak). De gelicenceerde en OpenSource-software die op wordt toegepast zijn gegeven in ISMS 04.0 Share-board’s Configuratie. Eventuele Opensource-software of free-ware wordt uitsluitend gebruikt indien de software een onbesproken imago heeft en/of de leveranciers van onbesproken zijn. Bovendien - en van groot belang - de encryptie toegepast op de Productiedata, sluit beinvloeding door (externe) software uit.

ISMS 11.5 Security-officer geeft de wachtwoorden uit van de Engineers (proces).


ISMS 12.0 Algemene principes (informatief).

De algemene principes die we voor (het ontwerp en de exploitatie van) Share-board hanteren, zijn: by-design, safety- en quality-first, limit-the-access (need-to-have), don’t-copy, simplicity, koppeling en samenhang. Deze principes dragen bij aan de onderhoudbaarheid, de robuustheid en de fault-tolerance van de Share-board; bijdragend aan de Doelen van de informatiebeveiliging. De Betrokken Actoren kunnen deze principes (impliciet of expliciet) gebruiken in de onderlinge communicatie en bij het maken van keuzes.


ISMS 13.0 Handhaven.

De Betrokken Actoren werken samen in een dedicated en transparante werkomgeving. Eventuele afwijkingen van de Afspraken en Processen worden direct gecommuniceerd, leiden tot correcties en kunnen leiden tot Verbetersuggesties. We maken zelf ook gebruik van Share-board, waardoor afspraken meteen vastliggen en traceerbaar zijn. De Betrokken Actoren maken elkaar gevraagd of ongevraagd attent op het op handhaven of verbeteren van de beveiliging en/of de beveiligingsmaatregelen om de Doelen te (blijven) halen. De Betrokken Actoren bevestigen het ISMS-Protocol persoonlijk. Zie bijlage ISMS 11.3.


ISMS 14.0 Verbeterplanning

De Betrokken Actoren brengen Verbetersuggesties in, voor het ISMS 14.0 Verbeterplanning. De manier waarop is gegeven in ISMS 15.0. Verbetersuggesties zijn adviezen, aanbevelingen, (nieuwe) (de facto) standaarden of regelgeving en best practices en worden ingebracht door Betrokken Actoren of adviseurs, auditors of testers. Een Directielid beoordeelt a.d.h.v. de Doelen of en hoe de Verbetersuggesties direct, vertraagd of niet worden ingevoerd. De beoordeling vindt plaats tijdens de Kwartaalevaluaties (ISMS 17.0) of zo veel eerder dan nodig geacht. De in te voeren Verbetersuggesties leiden tot preventieve of correctieve Maatregelen en vormen het ISMS 14.0 Verbeterplanning: een overzicht van de gerealiseerde, geplande en (nog) te plannen verbeteringen.


ISMS 15.0 Interne communicatie en vastlegging.

De Betrokken Actoren werken zelf ook samen met Share-board in het team: SB-Techniek. Alle communicatie en vastlegging inclusief alle onderdelen van dit ISMS, zijn ingebed in het team 'SB-Techniek' zelf. De uitvoering en de vastlegging gaan zo hand-in-hand. Aanpassingen in het ISMS worden expliciet en inhoudelijk besproken in een Kwartaalevaluatie-meeting met alle Betrokken Actoren. Via ISMS 13.0 Handhaven en ISMS 17.0 Kwartaalevaluaties borgt de implementatie. De Betrokken Actoren zijn alle zeer bewust van het belang en bevestigen het ISMS 11.3 Protocol persoonlijk.


ISMS 16.0 Externe communicatie.

ISMS 16.1. De webpagina ‘ISMS’ toont de inhoud van hoofdartikelen van dit ISMS en van het artikel ISMS 18.0 High secure samenwerken (zoals in de zorg). De onderliggende artikelen van dit ISMS worden niet algemeen gepubliceerd om beveiligingsredenen, maar kunnen desgevraagd worden getoond.

ISMS 16.2. De Security-Officer mailt direct de betrokken Beheerders als vertegenwoodigers van de Gebruikers in het geval van (een serieus vermoeden van) een inbreuk op de Vertrouwelijkheid en/of de Integriteit van de Productiedata zich voordoet. De Engineers starten een onderzoek naar de oorzaak en eventueel worden extra Maatregelen genomen. De Security-officer houdt de Beheerders van de betrokken teams op de hoogte tijdens en aan het einde van het onderzoek, totdat de eventuele Maatregelen zijn genomen of het issue wordt gesloten.


ISMS 17.0 Kwartaalevaluaties: evaluaties, testen en/of audits. PDAC-verbetercirkel.

De Security-Officer initieert ISMS-Kwartaalevaluaties in de vorm van interne evaluaties en/of testen en/of audits.

De Kwartaalevaluaties worden gehouden met de Directieleden en de Engineers. Bij de Kwartaalevaluaties worden minstens het behalen van de doelen, de resultaten van het Verbeterplan en eventueel (delen of het gehele) ISMS geëvalueerd en waar nodig bijgesteld en geactualiseerd.

De constateringen, registraties of bevindingen over de Doelen worden verzameld en vastgesteld in SB-Techniek als Initiatief of Actie door de Engineers, die ook gebruik maken van de constateringen, registraties of bevindingen van de Hoster. Preventief of correctief worden externe audits of tests uitgevoerd, al of niet door derde partijen (specialisten), gericht op het behalen en/of handhaven of verbeteren van de Doelen.

De Security-Officer legt de Agendapunten, de Besluiten en de Acties vast in een Kwartaalevaluatie-Meetingverslag.


ISMS 18.0 High secure samenwerken (zoals in de zorg).

Het artikel ISMS 18.0 ‘High secure samenwerken zoals in de zorg’ staat openbaar op de website-pagina (/beveiliging/isms/isms18-0) geeft de uitleg en enkele nadere instructies op het toepassen van Share-board vanuit de essentie van deze normen. Zie de bijlage de link https://www.share-board.nl/beveiliging/isms/isms18.

Zie in de bijlagen de artikelen ISMS 18.1, 18.2, 18.3, 18.4 en 18.5. Deze bevatten respectievelijk de Statements of Applicability/Verklaring van Toepassing (SOA/VVT):

ISMS 18.11 SOA ISO27001:2013. De norm voor informatiebeveiliging.

ISMS 18.12 SOA NEN7510:2011. Informatiebeveiliging voor de zorg.

ISMS 18.13 SOA NEN7512:2015. Gegevensuitwisseling.

ISMS 18.14 SOA NEN7513:2010. Logging

ISMS 18.15 SOA Bijlage A van ISO27001 (Normatief kader).


ISMS 19.0 Directiebeoordeling

De directie van SB houdt elke januari een beoordeling van het functioneren van het ISMS. De directie beoordeelt de status van eerdere Directiebeoordelingen; de validiteit van het beleid (doel en middelen) en het ISMS tegen ontwikkelingen (trends) in de markt, wet/regelgeving, technologie, maatschappij en dreigingsbeeld; de effectiviteit van het ISMS in termen van de resultaten van monitoren en meten, afwijkingen en corrigerende maatregelen en risicobeoordelingen en uitgevoerd risicomitigaties; De effectiviteit van informatiebeveiligingsprestaties ten aanzien van de resultaten vs doelen en de feedback van stakeholders (gebruikers en medewerkers). De. directie neemt concrete besluiten en legt die vast als input voor het ISMS 14.0 Verbeterplanning. Zie verder Notitie ISMS 19.0 Directiebeoordeling.



Share-board BV

16 november 2018