Regeling werving, reclame en verslavingspreventie kansspelen
Bijlage A
Geldend
Geldend vanaf 01-04-2021
- Bronpublicatie:
21-01-2021, Stcrt. 2021, 4507 (uitgifte: 01-02-2021, regelingnummer: 3181155)
- Inwerkingtreding
01-04-2021
- Bronpublicatie inwerkingtreding:
21-01-2021, Stcrt. 2021, 4507 (uitgifte: 01-02-2021, regelingnummer: 3181155)
- Vakgebied(en)
Horecarecht / Kansspel- en gokactiviteiten
Informatierecht / Reclame
behorend bij artikel 26 van de Regeling werving, reclame en verslavingspreventie kansspelen
Beheersaspect | Beheersdoel | Beheer |
|---|---|---|
Informatiebeveiliging | De vergunninghouder beheert informatiebeveiligingsprocedures teneinde activa te beschermen, waaronder begrepen gegevens over spelers, spelen en transacties. | De vergunninghouder heeft een beheercyclus voor informatiebeveiliging opgezet die voorziet in continue verbetering van de informatiebeveiliging. |
Het beheer van informatiebeveiliging is gebaseerd op identificatie en beperking van risico's. De vergunninghouder heeft als uitgangspunt voor zijn maatregelen een risicobeoordeling uitgevoerd. | ||
Procedures en beleid ten aanzien van informatiebeveiliging worden gedocumenteerd en onderhouden. | ||
De vergunninghouder heeft ten minste de volgende documentatie beschikbaar: – beleid ten aanzien van informatiebeveiliging; – reikwijdte van het informatiebeveiligingsbeheer; – risicobeoordeling; – verantwoordelijkheden met betrekking tot informatiebeveiliging; – beschrijving van beveiligingsmaatregelen; – beschrijving van uitvoering en resultaten van de beheercyclus. | ||
De vergunninghouder verricht regelmatige controles op de informatiebeheercyclus en penetratietests van zijn systemen. | ||
De vergunninghouder heeft procedures voor het beheer van veiligheidsincidenten opgezet. | ||
De vergunninghouder heeft op basis van een eigen risicobeoordeling maatregelen gespecificeerd betreffende de organisatie van de informatiebeveiliging, waaronder in ieder geval: – functies en verantwoordelijkheden; – scheiding van functies; – mobiele apparaten en telewerken. | ||
De vergunninghouder heeft op basis van een eigen risicobeoordeling maatregelen gespecificeerd betreffende personele middelen en veiligheid, waaronder in ieder geval: – screening; – arbeidsvoorwaarden; – managementverantwoordelijkheden; – bewustzijn van en onderwijs en opleiding betreffende informatiebeveiliging; – disciplinaire procedures; – verantwoordelijkheden in verband met beëindiging of wijziging van dienstbetrekking. | ||
De vergunninghouder heeft op basis van een eigen risicobeoordeling maatregelen gespecificeerd betreffende beheer van activa, waaronder in ieder geval: – verantwoordelijkheid voor activa; – classificatie van informatie; – het gebruik van gegevensdragers en andere media. | ||
De vergunninghouder heeft op basis van een eigen risicobeoordeling maatregelen gespecificeerd betreffende toegangscontrole, waaronder in ieder geval: – vereisten van toegangscontrole; – beheer van gebruikerstoegang; – verantwoordelijkheden van gebruikers; – toegangscontrole voor systemen en applicaties. | ||
De vergunninghouder heeft op basis van een eigen risicobeoordeling maatregelen gespecificeerd betreffende cryptografie, waaronder in ieder geval: – cryptografiebeleid; – sleutelbeheer. | ||
De vergunninghouder heeft op basis van een eigen risicobeoordeling maatregelen gespecificeerd betreffende operationele beveiliging, waaronder in ieder geval: – operationele procedures en verantwoordelijkheden; – bescherming tegen malware; – reservekopieën of reservebestanden; – geautomatiseerde verslaglegging, registratie en bewaking; – beheer van bedrijfssoftware; – beheer van technische kwetsbaarheden; – configuraties voor de controle van informatiesystemen. | ||
De vergunninghouder heeft op basis van een eigen risicobeoordeling maatregelen gespecificeerd betreffende communicatiebeveiliging, waaronder in ieder geval: – beheer van netwerkbeveiliging; – informatieoverdracht. | ||
De vergunninghouder heeft op basis van een eigen risicobeoordeling maatregelen gespecificeerd betreffende de aanschaf, ontwikkeling en het onderhoud van systemen, waaronder in ieder geval: – beveiligingseisen voor informatiesystemen; – beveiliging bij ontwikkel- en ondersteuningsprocessen; – testgegevens. | ||
De vergunninghouder heeft op basis van een eigen risicobeoordeling maatregelen gespecificeerd betreffende betrekkingen met leveranciers, waaronder in ieder geval: – informatiebeveiliging; – beheer van de dienstverlening van leveranciers. | ||
De vergunninghouder heeft op basis van een eigen risicobeoordeling maatregelen gespecificeerd betreffende de informatiebeveiligingsaspecten van bedrijfscontinuïteitsmanagement, waaronder in ieder geval: – continuïteit van informatiebeveiliging; – terugvalopties ingeval van incidenten. | ||
De vergunninghouder heeft op basis van een eigen risicobeoordeling maatregelen gespecificeerd betreffende naleving, waaronder in ieder geval: – naleving van wettelijke en contractuele vereisten; – toetsing van informatiebeveiliging. |