INLOGGEN
Meeting-Table-Share-board.Banner.jpg

Online samenwerken met Share-board.

Ontmoeten, delen, bewaren en inspireren.


Het Information Security Management System (ISMS) van Share-board


Dit ISMS voldoet aan ISO271001 en NEN7510 en is gecertificeerd door Kiwa in oktober 2017. Zie hier de certificaten. Dit ISMS is bijgewerkt op 18 februari 2019.



ISMS 01.0 Beleid en Doelstelling

Het doel van de beveiliging is ook beschreven op website-pagina Beveiliging en Privacy van Share-board.nl. De formele tekst volgt hieronder.


Artikel ISMS 1.1 Doel van de organisatie

Het doel van Share-board is om gebruikers makkelijk en veilig te kunnen laten samenwerken, tevreden klanten te houden en voldoende winst te kunnen maken voor een duurzame dienstverlening en doorontwikkeling van product en dienst. De MVO-doelstelling van Share-board is vertaald naar het feit dat gebruikers van non-profit-organisaties geen gebruikersfee hoeven te betalen.


Artikel ISMS 1.2 Context (maatschappij, technologie en kaders).

Privacy en security worden steeds belangrijker worden. Dit is een algemene trend in de markt en in de maatschappij. Met name bij professionele gebruikers. Dreigingen op het internet en misstappen van technologiebedrijven geven een gevoel van wantrouwen en onveiligheid in de cyberspace. Het ncsc.nl (nctv.nl) geeft elk jaar een actueel dreigingsbeeld lees verder het dreigingsbeeld door NCSC. Share-board dient te voldoen aan de wetgeving en aan marktstandaarden omwille van het vertrouwen van klanten in de dienst.


Artikel ISMS 1.3 Doel en beleid van de informatiebeveiliging.

Share-board wil de veilige haven zijn. De vertrouwelijkheid van content en van persoonsgegevens is bij Share-board vanzelfsprekend. Share-board is geschikt en wil geschikt blijven voor gebruikers in high-secure marktsegmenten zoals de zorgsector, overheden en high-tech-bedrijven; waar de vertrouwelijkheid van eminent belang is. Voor Share-board is security ook een competitief voordeel omdat concurrenten (nog) nauwelijks high-security-maatregelen hebben genomen (september 2016).


Artikel ISMS 1.4 Beveiligingsdoelstelling

Share-board biedt een goed beveiligd platform om zeer vertrouwelijk informatie te kunnen delen en te kunnen samenwerken in een vertrouwde omgeving. Privacy en security worden terecht steeds belangrijker gevonden in de markt en de maatschappij. We hebben Share-board geschikt gemaakt voor high-secure professionele toepassingen, als industrie, dienstverlening, overheid en de zorg. Wij maken ons sterk dat gegevens van gebruikers, minstens even goed of beter beveiligd zijn dan bij hen zelf. Artikel ISMS 7.0 ‘De normering en realisatie’ geeft de doelnormeringen en de realisatie per maand.


Artikel ISMS 1.5 Privacydoelstelling

Share-board respecteert de privacy van gebruikers. Share-board heeft maatregelen genomen om hier invulling aan te geven. Share-Board is ondermeer geschikt voor het bewerken van 'Bijzondere persoonsgegevens' zoals patienten/gezondheidsgegevens. Share-board voldoet aan de AVG (GDPR) en aan de NEN7510. Lees hier de maatregelen voor het beschermen van de privacy.

Lees hier de gegevens die Share-board verwerkt en de verantwoordelijkheden gebruikers zelf. Artikel ISMS 7.0 ‘De normering en realisatie’ geeft de doelnormeringen en de realisatie per maand.


Artikel ISMS 1.6 De reikwijdte

De reikwijdte van het ISMS is gedefinieerd in de artikelen:

ISMS 2.0 De Functionele setting

ISMS 3.0 De Betrokken Actoren

ISMS 4.0 De Technische setting

ISMS 5.0 Het onderwerp van de ISMS


Artikel ISMS 1.7 De vastlegging van het ISMS

Het ISMS is op topniveau gepubliceerd op de website van Share-board. De volledige ISMS is vastgelegd als artikelen in het Share-board-werkteam voor de Engineers, Security-Officer en Directie, genaamd: SB-Techniek. Vanwege de specifieke rollen en verantwoordelijkheden - ook van Gebruikers - in het kader van de AVG zijn expliciet de type (persoons)gegevens, rollen en vertrouwelijkheidsniveaus op de websitepagina https://www.share-board.nl/gegevens/.


Artikel ISMS 1.8 Toepassingsgebied

De teksten van de Toepassingsgebieden zijn de tekst zoals op de certificaten zijn vermeld.

Artikel ISMS 1.8.1 Toepassingsgebied NEN7510

Het ISMS van Share-board betreft de informatiebeveiliging en de privacybescherming van patiëntengegevens en/of bedrijfsgevoelige informatie alsmede de persoonsgegevens van de gebruikers zelf, die door gebruikers aan Share-board worden toevertrouwd om onderling makkelijk en vertrouwelijk te kunnen samenwerken.

Artikel ISMS 1.8.2 Toepassingsgebied IS27001

Het ISMS van Share-board betreft de informatiebeveiliging en de privacybescherming van bedrijfsgevoelige informatie en/of bijzondere persoonsgegevens alsmede de persoonsgegevens van de gebruikers zelf, die door gebruikers aan Share-board worden toevertrouwd om onderling makkelijk en vertrouwelijk te kunnen samenwerken.



ISMS 2.0 De Functionele setting van de gebruikers

Klanten zijn zakelijk professionele gebruikers zoals projectteams, managementteams en samenwerkingsverbanden. Klanten zijn ook semi-professionele gebruikers als besturen en commissies voor bijvoorbeeld verenigingen en stichtingen. Gebruikers loggen in via een browser vanaf een computer, tablet of smartphone op de Share-board browser-applicatie (SAAS). Een initiële gebruiker registreert zich op Share-board en start daarmee een nieuw Share-board-team en is direct de beheerder van dat Share-board-team. De beheerder kan andere gebruikers als Teamleden uitnodigen. Andere Teamleden zijn collega’s, partners, medewerkers en bestuursleden in professionele en semi-professionele samenwerkingssituaties. Wanneer de genodigden de uitnodiging accepteren kunnen zij onderling informatie delen en bewerken als in een Closed-User-Group.De website (share-board.nl) beschrijft de voordelen en de verschillende toepassingen. De support-site (support.share-board.nl) legt uit hoe je het gebruikt. De essentie is dat in elk Share-board-team de Teamleden/Gebruikers elkaar kennen, elkaar uitnodigen om deel te nemen, gegevens delen en bewerken en documenten delen en vertrouwelijkheid verwachten. Een Teamlid/Gebruiker kan in meerdere Share-board-teams tegelijk actief zijn. Elk Share-board-team is gesloten ten opzichte van andere teams. De website (share-board.nl) beschrijft enkele typische toepassingen. Lees bij Support welke Gebruikers er zijn en Lees hier wat de Verantwoordelijkheden zijn.



ISMS 03.0 De Betrokken Actoren van Share-board

De Actoren zijn De Gebruikers, De Engineers, De Directie en de Security-Officer. Voor Gebruikers zie ISMS 2.0. De Engineers zijn (1) de Ontwikkel-Engineers, zij richten zich op de Applicatie-ontwikkeling, het Applicatiebeheer en het functionele (server-)beheer en (2) de Hosting-Engineers voeren het technisch beheer uit van de servers. Share-board huurt Security-experts in als point-expertise ter ondersteuning, testen en advisering. De Directie van Share-board is verantwoordelijk voor het ISMS. De beide Directieleden zijn beiden beslissingsbevoegd en onderling uitwisselbaar. De rol van Security-officer wordt door één van de directieleden ingevuld. Zie ISMS 3.1 voor de actuele actoren. De Engineers werken vanuit de werklocaties van Actoren of vanuit hun thuiswerkplek. De Directie en de Security-officer werken vanuit verschillende kantoren in het land en vanuit de thuiswerkplek.



ISMS 04.0 De Technische setting.

Artikel ISMS 04.0 Share-board’s Configuratie (rechts) beschrijft de technische opzet van Share-board. Dit artikel wordt om beveiligingsredenen niet gepubliceerd.



ISMS 05.0 Het onderwerp van de ISMS.

De Productiedata is het onderwerp van dit ISMS. De Productiedata bevindt zich alleen op de servers van de Productie-omgeving. Productiedata bestaat uit content (gegevens opgeslagen in de database), de mutatielogs (ISMS 18.10) en de door Gebruikers geuploade bestanden. Lees welke gegevens worden verwerkt op de pagina: https://www.share-board.nl/gegevens/. Share-board hanteert 4 classificatieniveaus. Het toevoegen, aanpassen, downloaden en verwijderen van Productiedata met de Applicatie-software (de Share-board-applicatie), is het gebruiken van Share-board en is een verantwoordelijkheid van de Gebruikers zelf. Share-board faciliteert het bewerken door de Gebruikers van Productiedata. De Engineers en de Security-officer kunnen - technisch gezien - bij de onleesbare (versleutelde) Productiedata, doch enkel om bij te dragen aan de Doelen. Zij veranderen de Productiedata nimmer. Lees verder bij Artikel ISMS 11.0 Organisatorische maatregelen.



ISMS 06.0 De wet, standaarden en richtlijnen.

De Wet Bescherming Persoonsgegevens is van toepassing, waarbij we ook voldoen aan de voorwaarden om Bijzondere Persoonsgegevens te laten bewerken door Gebruikers. Het ISMS van Share-board voldoet aan ISO27001 en NEN7510, inclusief NEN7512 (gegevensuitwisseling) en NEN7513 (logging).



Artikel ISMS 7.0 Reikwijdte, beveiligingsdoelen, de normering en de realisatie.


De Reikwijdte (scope) van de ISO27001: betreft de privacybescherming van natuurlijke personen en de beveiliging van bedrijfsgevoelige informatie en (bijzondere) persoonsgegevens die door Gebruikers onderling worden gedeeld en bewerkt in Share-board teneinde vertrouwelijk te kunnen samenwerken.

De Reikwijdte (scope) van de NEN7510: betreft de privacybescherming van natuurlijke personen en de beveiliging van patientengegevens die door zorgprofessionals onderling worden gedeeld en bewerkt in Share-board bij het gezamenlijk verlenen van zorg.


Het ISMS richt zich op de (7.1) Beschikbaarheid, (7.2) Vertrouwelijkheid en (7.3) Integriteit van de Productiedata.


Artikel ISMS 7.1 KPI: De Beschikbaarheid (data accessibility) normeren we als ‘voldoende hoog’: >= 98% per maand. Gebruikers beperken zich voornamelijk tot Nederland of Europa die tijdens kantooruren (CET) en ’s avonds gebruik maken van Share-board. Vooralsnog verwachten we geen klanten die high availability (24/7) verlangen. De hoster levert een beschikbaarheid van > 99% per maand. Een normale beschikbaarheid van 98% betekent dat het systeem enkele uren per maand, bij voorbeeld tussen 08.00 en 11.00 voor updates even uit de lucht is. We nemen de ruimte van 98% om gepland onderhoud (nieuwe releases, bug fixes en updates) aan de randen van de dag uit te voeren; bij uitzondering ’s nachts of in het weekend. Alle Productiedata wordt elke dag (04.00) gebackup-ed naar een andere beveiligde locatie. Theoretisch kunnen Gebruikers maximaal ca 23 uur kwijt zijn als gevolg van een Restore na een crash van de VPS. De betrouwbaarheid van de VPS-en zijn zeer hoog. Dit heeft tot dusver nog nooit plaatsgevonden en er is geen reden om aan te nemen dat dat binnenkort wel gaat gebeuren. Ongepland storingsonderhoud worden z.s.m. uitgevoerd. De pagina Onderhoud op de website geeft de gerealiseerde Beschikbaarheid over de laatste 6 maanden: de effectieve beschikbaarheid is ver boven 99,5%. De gerealiseerde/gemeten Beschikbaarheid wordt geregistreerd op de pagina: https://www.share-board.nl/onderhoud/ en de pagina https://www.share-board.nl/onderhoud/onderhoudslog...


Artikel ISMS 7.2 KPI: De Vertrouwelijkheid (nothing goes out) normeren we als ‘zeer hoog’ met een normering als: het voldoen aan de AVG voor Bijzondere Persoonsgegevens. Het concrete doel voor Vertrouwelijkheid is: 100% Vertrouwelijkheid / Privacy: 0 incidenten per jaar. We willen ook gebruikers bedienen die een ’high secure’ omgeving nodig hebben, zoals professionals in de zorgsector. Bijzondere Persoonsgegevens zoals vastgelegd in de AVG kunnen door Share-board worden gefaciliteerd. We nemen dan ook stevige beveiligingsmaatregelen, waaronder het versleutelen van de Productiedata. De gerealiseerde/gemeten Vertrouwelijkheid wordt geregistreerd op de meldingen-pagina: https://www.share-board.nl/beveiliging/meldingen/


Artikel ISMS 7.3 KPI: De Integriteit (no data changed) normeren we als ‘zeer hoog’. Voor high secure toepassingen is data-integriteit een belangrijk aspect. Het concrete doel voor Integriteit is nader geformuleerd op pagina: https://www.share-board.nl/beveiliging/: 100% Integriteit: 0 incidenten per jaar. Share-board past alleen legale en robuuste software toe (ISMS 11.4) en Productiedata verlaat nimmer de betrokken databases (ISMS 11.1). Share-board muteert niet zelfstandig en inhoudelijk de Productiedata, anders dan het faciliteren van bewerkingen door de Gebruikers. Alle gegevensmutaties worden gelogd (ISMS 18.10). Eventuele integriteitsproblemen, waarvan overigens de kans heel erg klein is, zijn daarmee toch herleidbaar en herstelbaar.

De gerealiseerde/gemeten Integriteit wordt geregistreerd op de meldingen-pagina: https://www.share-board.nl/beveiliging/meldingen/



ISMS 08.0 Risico-analyse.

Risico-analyse (RA) is bedoeld om de kans en impact van security-risico’s te bepalen en op basis daarvan vast te stellen welke maatregelen nodig zijn om de doelen te halen. De Security-Officer initieert minstens één maal per jaar een actualisatie van de risico-analyse. Zie rechts het artikel 'ISMS 08.0 Jaarlijkse risico-analyse': het geeft de opzet en resultaten van de uitgevoerde risico-analyses.



ISMS 09.0 Keuze van de Maatregelen.

Maatregelen zijn een gevolg van of gebaseerd op adviezen, evaluaties, audits, testen, best practices, de wet, standaarden en richtlijnen. Maatregelen zijn bedoeld om de Doelen te halen. De mate waarin Risico's worden gelopen c.q. de Doelen met een redelijk kans bedreigen, bepalen de keuzes voor de Maatregelen. Maatregelen zijn technologisch of organisatorisch van aard. De Directieleden beoordelen de Risico’s en stellen de Maatregelen vast.



ISMS 10.0 Technologische maatregelen.

De volgende technologische maatregelen gelden.

ISMS 10.1 De programmatuur van Share-board-applicatie is ontworpen met het Security-by-design-principe. Artikel ISMS 10.1 geeft die principes.

ISMS 10.2 Beveiligde verbindingen (HTTPS, FTPS, SSH). Lees verder in artikel ISMS 10.4 Share-board’s Configuratie.

ISMS 10.3 Backup- en Restore.

ISMS 10.3.1. Backup. De gehele Linux-omgeving wordt gebackuped, inclusief DirectAdmin-, Firewall-, instellingen, volgens het schema: een keer per dag een incremental backup om 04.00, een keer per week een full backup en een keer maand full backup. Een backup locked de database voor delen van seconden. De Hoster laat automatisch de backup’s uitvoeren om 04.00 naar andere fysieke locatie van Hoster.

ISMS 10.3.2. Restore. Na een eventuele crash van de Productieserver voert Hoster de complete restore van de gehele server uit. De Engineers zetten enkele bestanden of één database terug, indien nodig.

ISMS 10.4. Share-board’s Configuratie beschrijft de technische (server) configuratie en de gekozen opzet en zie artikel ISMS 10.4.6. Encryptie van Productiedata. Bestanden en de content in de Productiedatabase is versleuteld met EAS-256-hash.

Artikel ISMS 10.5 Logging. Alle mutaties worden gelogd. Lees bij ISMS 18.10 Logging ivm de dossierplicht van de NEN7510/7513.



ISMS 11.0 Organisatorische maatregelen.

Artikel ISMS 11.0 Organisatorische maatregelen

Maatregelen zijn een gevolg van de adviezen, evaluaties, audits en testen. De volgende organisatorische maatregelen zijn reeds genomen.

ISMS 11.1 De Betrokken Actoren maken geen kopiën van de Productiedata (afspraak) en gebruiken geen losse of andere media. De Productiedata bevindt zich op de Productie.db, Sleutel.db, Logs.db en Bestanden.db., zie artikel ISMS 4.4. De Test- en ontwikkelomgevingen bevatten geen Productiedata.

ISMS 11.2 Evaluaties. Artikel ISMS17.0 beschrijft de periodieke evaluaties.

ISMS 11.3 De Betrokken Actoren bevestigen het Security-protocol persoonlijk en expliciet.

ISMS 11.4 Share-board maakt alleen gebruik van legale software. De gelicenceerde en OpenSource-software die op wordt toegepast zijn gegeven in ISMS 4.0 Share-board’s Configuratie. Eventuele Opensource-software of free-ware wordt uitsluitend gebruikt indien de software een onbesproken imago heeft en/of de leveranciers van onbesproken zijn. Bovendien - en van groot belang - de encryptie toegepast op de Productiedata, sluit beinvloeding door (externe) software uit.

ISMS 11.5 Security-officer geeft de wachtwoorden uit van de Engineers (proces). Lees verder bij de notitie ISMS 11.5.



ISMS 12.0 Algemene principes (informatief).

De algemene principes die we voor (het ontwerp en de exploitatie van) Share-board hanteren, zijn: by-design, safety- en quality-first, limit-the-access (need-to-have), don’t-copy, simplicity, koppeling en samenhang. Deze principes dragen bij aan de onderhoudbaarheid, de robuustheid en de fault-tolerance van de Share-board; bijdragend aan de Doelen van de informatiebeveiliging. De Betrokken Actoren kunnen deze principes (impliciet of expliciet) gebruiken in de onderlinge communicatie en bij het maken van keuzes.



ISMS 13.0 Handhaven.

De Betrokken Actoren werken samen in een dedicated en transparante werkomgeving. Eventuele afwijkingen van de Afspraken en Processen worden direct gecommuniceerd, leiden tot correcties en kunnen leiden tot Verbetersuggesties. We maken zelf ook gebruik van Share-board, waardoor afspraken meteen vastliggen en traceerbaar zijn. De Betrokken Actoren maken elkaar gevraagd of ongevraagd attent op het op handhaven of verbeteren van de beveiliging en/of de beveiligingsmaatregelen om de Doelen te (blijven) halen. De Betrokken Actoren bevestigen het ISMS-Protocol persoonlijk. Zie bijlage ISMS 11.3.



ISMS 14.0 Verbeterplanning

De Betrokken Actoren brengen Verbetersuggesties in, voor het ISMS 14.0 Verbeterplan. De manier waarop is gegeven in ISMS 15.0. Verbetersuggesties zijn adviezen, verzoeken, aanbevelingen, (nieuwe) standaarden, regelgeving of best practices en worden ingebracht door Betrokken Actoren, gebruikers, adviseurs, auditors of testers. Een Directielid beoordeelt of en hoe de Verbetersuggesties direct of vertraagd worden ingevoerd. De beoordeling vindt plaats tijdens de Kwartaalevaluaties of zo veel eerder dan nodig geacht. De in te voeren Verbetersuggesties leiden tot preventieve of correctieve maatregelen. De cybersecurity officer legt de maatregelen vast in ISMS 14.0 Verbeterplan.



ISMS 15.0 Interne communicatie en vastlegging.

De Betrokken Actoren werken zelf ook samen met Share-board in het team: SB-Techniek. Alle communicatie en vastlegging inclusief alle onderdelen van dit ISMS, zijn ingebed in het team 'SB-Techniek' zelf. De uitvoering en de vastlegging gaan zo hand-in-hand. Aanpassingen in het ISMS worden expliciet en inhoudelijk besproken in een Kwartaalevaluatie-meeting met alle Betrokken Actoren. Via ISMS 13.0 Handhaven en ISMS 17.0 Kwartaalevaluaties borgt de implementatie. De Betrokken Actoren zijn alle zeer bewust van het belang en bevestigen het ISMS 11.3 Protocol persoonlijk.



ISMS 16.0 Externe communicatie.


ISMS 16.1. De webpagina ‘ISMS’ toont de inhoud van hoofdartikelen van dit ISMS en van het artikel ISMS 18.0 High secure samenwerken (zoals in de zorg). De onderliggende artikelen van dit ISMS worden niet algemeen gepubliceerd om beveiligingsredenen, maar kunnen desgevraagd worden getoond.


ISMS 16.2. De Security-Officer mailt direct de betrokken Beheerders als vertegenwoodigers van de Gebruikers in het geval van (een serieus vermoeden van) een inbreuk op de Vertrouwelijkheid en/of de Integriteit van de Productiedata zich voordoet. De Engineers starten een onderzoek naar de oorzaak en eventueel worden extra Maatregelen genomen. De Security-officer houdt de Beheerders van de betrokken teams op de hoogte tijdens en aan het einde van het onderzoek, totdat de eventuele Maatregelen zijn genomen of het issue wordt gesloten.



ISMS 17.0 Kwartaalevaluaties: evaluaties, testen en/of audits. PDAC-verbetercirkel.

De Security-Officer maakt elk jaar een evualatieplanning gemaakt in (ISMS 17.1 Kwartaalevaluatieplanning) met elk kwartaal een evaluatie: (*) interne kwartaalevaluatie (informele interne audit) of een (*) technische robuustheids- of pen-testen of een compromise assessments, of een (*) externe audit of een (*) externe certificeringsaudit (opvolgingsaudit door Kiwa) of een (*) interne gevolgd door een directiebeoordeling. Elk jaar wordt minstens een interne audit gehouden op basis van de procedure ISMS 17.2 Interne audit (procedure) dat gevolgd wordt door een directiebeoordeling, op basis van de procedure ISMS 19.0 Directiebeoordeling. De technisch testen wordt gepland op basis van ontwikkelingen in het technische risicoprofiel cq het dreigingsbeeld. Het certificeringsinstituut audit eens per jaar het functioneren van het ISMS als geheel tegen de normstandaarden NEN7510 en ISO27001. De Security-Officer legt de Agendapunten, de Besluiten en de Acties vast in de betrokken Meeting. De resultaten van de audits en testen zijn besluiten die kunnen leiden tot verbetermaatregelen, welke alle worden geregistreerd in ISMS 14.0 Verbeterplanning.



ISMS 18.0 High secure samenwerken (zoals in de zorg).

Het artikel ISMS 18.0 ‘High secure samenwerken zoals in de zorg’ staat openbaar op de website-pagina (/beveiliging/isms/isms18-0) geeft de uitleg en enkele nadere instructies op het toepassen van Share-board vanuit de essentie van deze normen. Zie de bijlage de link https://www.share-board.nl/beveiliging/isms/isms18. De verklaringen van toepassing van de normen (VVT's) zijn gegeven op pagina http://www.share-board.nl/beveiliging



ISMS 19.0 Directiebeoordeling

De directie van SB beoordeelt elk jaar de doelstellingen - vanuit de context van de toepassing - en de effectiviteit van het functioneren van de informatiebeveiliging c.q. van het ISMS. Artikel ISMS 19.0 Directiebeoordeling beschrijft de procedure. Het verslag wordt vastgelegd als Verslag Directiebeoordeling (jaar).