Informatiebeveiligingsbeleid Gemeente Uden

Transcriptie

1 Informatiebeveiligingsbeleid Gemeente Uden

2 Inhoud 1. Inleiding Introductie informatieveiligheid Uitgangspunten informatiebeveiliging , 5. [Hoofdstukken bewust leeggelaten] Organisatie van informatiebeveiliging Interne organisatie Taken en rollen functioneel overleg Rapportage en Escalatielijn voor IB Beheer van bedrijfsmiddelen Verantwoordelijkheid voor bedrijfsmiddelen Classificatie van informatie Beveiliging van personeel Fysieke beveiliging en beveiliging van de omgeving Beheer van communicatie- en bedieningsprocessen Toegangsbeveiliging Verwerving, ontwikkeling en onderhoud van informatiesystemen Beheer van informatiebeveiligingsincidenten Bedrijfscontinuiteitsbeheer Naleving Bijlage Relevante documenten en bronnen Bijlage invulling per BLOU gemeente... 32

3 1. Inleiding Voor u ligt het informatiebeveiligingsbeleid van de gemeente Uden. Dit document legt de basis voor informatiebeveiliging binnen de gemeente en is afgeleid van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Dit normenkader is vastgesteld als basis voor alle gemeenten. De BIG bestaat uit twee delen: - De Strategische BIG die gezien kan worden als de kapstok waaraan de elementen van informatiebeveiliging opgehangen kunnen worden. Centraal staan de organisatie en de verantwoording over informatiebeveiliging binnen de gemeente. - De Tactische BIG welke het normenkader is dat de beschikbaarheid, integriteit en exclusiviteit van gemeentelijke informatie(systemen) bevordert. Deze Tactische BIG is een richtlijn die een totaalpakket aan informatie-beveiligingscontrols en -maatregelen omvat die voor iedere gemeente noodzakelijk is om te implementeren. DeTactische BIG is opgezet voor de Nederlandse Overheid door het forum standaardisatie en algemeen aanvaard als de norm voor informatiebeveiliging. De maatregelen uit de (tactische) BIG zijn de beleidsuitgangspunten voor onze organisatie waarmee deze norm tot ons beleid voor Informatiebeveiliging is verheven. Daar waar van dit normenkader wordt afgeweken is het principe pas toe of leg uit toegepast. Het informatiebeveiligingsbeleid is in lijn met het algemene beleid van de gemeente 1 en de relevante landelijke en Europese wet- en regelgeving. De gemeente is een informatieverwerkende organisatie en heeft op het gebied van informatiebeveiliging taken en verantwoordelijkheden die dienstbaar zijn aan een goede bedrijfsvoering. Enerzijds komt dit vanuit wetgeving en anderzijds is informatiebeveiliging een intrinsieke verantwoordelijkheid. De gemeente erkent dat informatiebeveiliging steeds belangrijker is vanuit: 1. Bedrijfsbeleid, missie en visie. 2. De door de burger gestelde eisen en het vertrouwen van de burger in de gemeente. De naleving en opvolging van wet- en regelgeving. 3. Maatschappelijke verantwoording. De gemeente wil in alle opzichten een betrouwbare partner zijn. Samenwerken, klantgericht werken en resultaatgerichtheid zijn drie kerncompetenties die van de medewerkers van de gemeente worden verlangd. Een betrouwbare informatievoorziening waarbij 1 College akkoord, begroting en ICT-beleid. Pagina 3 van 32

4 de informatie, van al onze klanten, partners en onze eigen bedrijfsgegevens, wordt beschermd en de beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid van gegevens is geborgd. De gemeente onderkent in haar bedrijfsprocessen aspecten van informatiebeveiliging die om informatiemanagement vragen en die bewaakt en gecontroleerd dienen te worden. Om zo in control te zijn en daarover op professionele wijze verantwoording af te leggen. Het bestuur en management van de gemeente spelen een cruciale rol bij het uitvoeren van dit informatiebeveiligingsbeleid. Zo maakt het management een inschatting van het belang dat de verschillende delen van de informatievoorziening voor de gemeente hebben, de risico s die de gemeente hiermee loopt en welke van deze risico s onacceptabel zijn. Daar waar het bestuur een kaderstellende en beslissende rol heeft ten aanzien van de maatregelen die worden getroffen. De gemeente zorgt dat het beleid evenals de bijbehorende documenten regelmatig worden herzien, zodat deze aangepast kunnen worden op organisatorische veranderingen en technologische ontwikkelingen. Om het beleid en deze toelichting op een efficiënte en effectieve wijze te kunnen beheren zijn de bijbehorende normen en maatregelen geregistreerd in een Informatiebeveiligingsmanagementsysteem (ISMS). Het ISMS is een integraal kwaliteitssysteem voor informatiebeveiliging conform ISO (Code voor Informatiebeveiliging). Dit informatiebeveiligingsbeleid treedt in werking na vaststelling door het College van B&W. Daarmee is het oude informatiebeveiligingsbeleid van de gemeente komen te vervallen. Leeswijzer Voor de leesbaarheid corresponderen de hoofdstukken van dit document met de hoofdstukken 6 tot en met 15 uit (de Tactische variant van) de BIG. Het betreft: 6. Organisatie van informatiebeveiliging; 7. Beheer van bedrijfsmiddelen; 8. Beveiliging van personeel; 9. Fysieke beveiliging en beveiliging van de omgeving; 10. Beheer van communicatie- en bedieningsprocessen; 11. Toegangsbeveiliging; 12. Verwerving, ontwikkeling en onderhoud van informatiesystemen; 13. Beheer van informatiebeveiligingsincidenten; 14. Bedrijfscontinuiteitsbeheer; 15. Naleving. Om hiermee in de pas te lopen bevat dit document geen hoofdstuk 4 en 5. Naast de algemene uitgangspunten in dit document kent de organisatie ook domeinspecifieke uitgangspunten en lokaal operationeel beleid. Deze domeinspecifieke zaken worden verzameld in Pagina 4 van 32

5 handboeken informatiebeveiliging. Dit is niet één fysiek document, maar de noemer voor een verzameling van documenten voor die onderwerpen waar dat noodzakelijk is. Die verzameling documenten worden beheerd door de betreffende proces-, gegevens- of applicatie-eigenaar. Pagina 5 van 32

6 informatiebeveiliging privacy Beleid Informatiebeveiliging 2. Introductie informatieveiligheid Informatieveiligheid is de verzamelnaam voor de processen die ingericht worden om gegevens waarvoor de gemeente verantwoordelijk geacht kan worden te beschermen tegen al dan niet opzettelijk onheil. Informatieveiligheid valt uiteen in twee aspecten waarop geacteerd moet worden te weten; - Informatiebeveiliging; heeft betrekking op de volledige set aan gegevens waarvoor de gemeente verantwoordelijk kan worden geacht. - Privacy gegevensbescherming; beperkt zich tot de maatregelen die getroffen moeten worden op de set aan privacy-gevoelige gegevens. Informatieveiligheid maakt onderdeel uit van integraal gegevensmanagement. Vanuit integraal gegevensmanagement wordt sturing gegeven aan alle aspecten die van belang zijn om onze gegevenshuishouding op het gewenste niveau te houden, waaronder de aspecten informatiebeveiliging en privacy. Het begrip informatiebeveiliging heeft betrekking op de zogenaamde BIV+C kwaliteitsaspecten: Beschikbaarheid (of continuïteit): het zorg dragen voor het beschikbaar zijn van informatie en informatieverwerkende bedrijfsmiddelen op de juiste tijd en plaats voor de gebruikers (tijdigheid en continuïteit); Integriteit (of betrouwbaarheid): het in overeenstemming zijn van informatie met de werkelijkheid en dat niets ten onrechte is achtergehouden of verdwenen (juistheid, volledigheid en actueel). Vertrouwelijkheid (of exclusiviteit): het beschermen van informatie tegen kennisname en mutatie door onbevoegden. Informatie is alleen toegankelijk voor degenen die hiertoe geautoriseerd zijn; Controleerbaarheid: waarborgen dat de beoogde toegang tot gegevens en de juiste werking van systemen continu alsook achteraf te controleren is. Waarom informatieveiligheid? mensen processen gegevens applicaties infrastructuur Proceseigenaar ICT Pagina 6 van 32

7 Gegevens, al dan niet samengesteld tot informatie, zijn de belangrijkste bedrijfsmiddelen van een gemeente. De bescherming van waardevolle gegevens/informatie is hetgeen waar het uiteindelijk om gaat. Hoe waardevoller de gegevens/informatie zijn, hoe meer maatregelen er getroffen moeten worden. Informatieveiligheid is hiermee een integraal onderdeel van onze dagelijkse bedrijfsvoering en dienstverlening. Pagina 7 van 32

8 Algemene Verordening Gegevensbescherming (AVG) Het Europese Parlement heeft op 27 april 2016 officieel ingestemd met de Algemene Verordening Gegevensbescherming (AVG). Deze Verordening vervangt de Wet Bescherming Persoonsgegevens (WBP). Met de invoering van de AVG verscherpen de eisen waaraan verwerkingen van persoonsgegevens moeten voldoen. Dankzij deze nieuwe wetgeving dringt gegevensbescherming door in alle processen binnen de gemeentelijke organisatie. ENSIA Gemeenten leggen verantwoording af over hun informatieveiligheid in het jaarverslag, zoals in 2013 is afgesproken in de resolutie informatieveiligheid, randvoorwaarde voor de professionele gemeente. De eisen worden ook getoetst in diverse audits op verschillende basisregistraties. Hiervoor is de Eenduidige Normatiek Single Information Audit (ENSIA) ontwikkeld. Uden gebruikt ENSIA om de situatie van de gemeente Uden te toetsen aan de normen uit de BIG. Pas toe of leg uit Gebaseerd op het in 2003 door de Europese Commissie gestarte actieplan 'corporate governance', gebruiken we deze term bij het implementeren van de BIG. Het houdt in dat we een referentiecode gebruiken waaraan de organisatie zich moeten houden (voor gemeenten is dat de BIG, gebaseerd op de Code voor Informatiebeveiliging). Indien de organisatie zich hier niet aan houdt, moeten zij uitleggen waarom. Vanwege de diversiteit aan processen, gegevens en applicaties binnen de gemeente is er niet één uitspraak te doen. Elke proces-, gegevens- en applicatie-eigenaar moet dus aangeven hoe er invullingen gegeven wordt of waarom er afgeweken wordt. Dit behelst onder andere een risico afweging (zie ook de betreffende paragraaf in HS3). Uitdaging De hoop is vaak dat er een helder lijstje kan komen met wat wel mag en wat niet. Als ze al bestaan kunnen deze nooit volledig zijn. Simpelweg omdat informatieveiligheid context gevoelig is. Natuurlijk zijn er dingen die absoluut niet kunnen, maar vaak is het antwoord: 'dat hangt er van af'. Dat zal de achilleshiel zijn van ieder lijstje: deze zal altijd afhankelijk zijn van de context. De lijstjes die die wellicht gemaakt kunnen worden zijn vooral lijstjes van dingen die sowieso niet kunnen en waar je voorzichtig mee moet zijn als je die dingen toch doet. De BIG is zo n algemene lijst. Een specifiekere lijst is erg afhankelijk van de context zoals proces en techniek, daar blijft de proces-, gegevens- of applicatie-eigenaar voor verantwoordelijk. 2 Security by Design Vrij vertaald naar het Nederlands kan je zeggen: "De basis op orde" of "Je doet het meteen goed". Dat betekent dat een eigenaar verantwoordelijk is voor de kwaliteitsaspecten, waaronder BIV-+C aspecten, van proces, gegevens en applicatie. 2 Gebaseerd op een discussie op CIP forum op Pleio over privacy en persoonsgegevens via , 25 november Pagina 8 van 32

9 3. Uitgangspunten informatiebeveiliging Samenhang Aan het informatiebeveiligingsbeleid van de gemeente wordt nadere invulling gegeven door het MT en het management op basis van het pas toe en leg uit principe. Visie Het proces van informatiebeveiliging is primair gericht op bescherming van gemeentelijke informatie. De focus is gericht op informatie(uitwisseling) in alle verschijningsvormen, zoals elektronisch, op papier en mondeling. Het gaat niet alleen over bescherming van privacy, maar ook over bescherming van vitale maatschappelijke functies die worden ondersteund met informatie (verkeer, vervoer, openbare orde en veiligheid, etc.). Het gaat ook niet alleen over ICT! Verantwoord en bewust gedrag van medewerkers is essentieel voor informatieveiligheid. Een betrouwbare informatievoorziening is noodzakelijk voor het goed functioneren van de gemeentelijke organisatie en is de basis voor het beschermen van rechten van burgers en bedrijven. Dit vereist een integrale aanpak, goed opdrachtgeverschap en risicobewustzijn. Ieder organisatieonderdeel is hierbij betrokken. Doelstelling Dit informatiebeveiligingsbeleid (IB-beleid) is het kader voor passende organisatorische, procedurele en technische maatregelen om gemeentelijke informatie te beschermen en te waarborgen. De gemeente geeft met dit beleid een duidelijke richting aan op het gebied van informatiebeveiliging en streeft de volgende doelen na om een adequaat niveau van beveiliging conform de BIG en alle relevante wet- en regelgeving te bereiken: Het hebben van informatiebeveiligingsbewustzijn bij medewerkers, management, college en inhuurkrachten van de gemeente. Het ingebed hebben van het component informatiebeveiliging in de werkzaamheden van alle organisatieonderdelen. Het in control zijn op alle informatiebeveiligingsmaatregelen die genomen zijn en die nog nodig zijn, verankerd in een PDCA-cyclus. In control betekent in dit verband dat de gemeente weet welke maatregelen genomen zijn en dat er een SMART-planning is van de maatregelen die nog niet genomen zijn. Het beheerst zijn van informatiebeveiligingsaspecten wordt bereikt door een stelsel van organisatorische en technische maatregelen. De gemeente heeft als streven om al die maatregelen te treffen die noodzakelijk zijn en die binnen alle en redelijkheid en billijkheid voor de gemeente in economische zin haalbaar zijn. Dit om de veiligheid van de informatie en het personeel te waarborgen, aan de relevante wet- en regelgeving te voldoen, de continuïteit van de bedrijfsvoering te waarborgen en om de reputatie als betrouwbare partner te beschermen. Pagina 9 van 32

10 Uitgangspunten De uitgangspunten van het IB-beleid zijn: Het informatiebeveiligingsbeleid van de gemeente is in lijn met het algemene beleid van de gemeente en de relevante landelijke en Europese wet- en regelgeving. Het beleid is gebaseerd op de Code voor Informatiebeveiliging (NEN/ISO 27002) en de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). De baseline is een instrument waarmee gemeenten in staat zijn om te meten of de organisatie in control is op het gebied van informatiebeveiliging. Het IB-beleid wordt vastgesteld door het college van burgemeester en wethouders. Het MT herijkt periodiek het IB-beleid. Risicobenadering De aanpak van informatiebeveiliging (IB-beleid) in de gemeente is risk based. Dat wil zeggen: beveiligingsmaatregelen worden getroffen op basis van een toets tegen de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) van VNG/KING (GAP-analyse). Indien een proces, gegevensverzameling of applicatie privacy- of securitygevoelig is kan het zijn dat er aanvullende maatregelen nodig zijn. Voorbeelden zijn de systemen rond de basisregistratie personen (BRP), werk en inkomen en de zorg waarvoor vanuit de wet specifieke/aanvullende maatregelen vereist worden. In dat geval wordt een risicoanalyse uitgevoerd. Daartoe inventariseert de proceseigenaar de kwetsbaarheid van zijn werkproces en de dreigingen die kunnen leiden tot een beveiligingsincident, rekening houdend met de beschermingseisen van de informatie. Het risico is de kans op beveiligingsincidenten en de impact daarvan op het werkproces en wordt bepaald door de proceseigenaar: Risico = kans x impact Doelgroepen Het gemeentelijk IB-beleid is bedoeld voor alle in- en externe medewerkers van de gemeente: Doelgroep Relevantie voor IB-beleid Leden gemeenteraad en raadscommissies Controlerende taak t.a.v. informatieveiligheid College van B&W Integrale verantwoordelijkheid Directie Kaderstelling en implementatie Lijnmanagement (proceseigenaren) Sturing op informatieveiligheid en controle op naleving 3 Medewerkers Gedrag en naleving Gegevenseigenaren Classificatie: bepalen van beschermingseisen van informatie Beleidmakers Planvorming binnen IB-kaders CISO Coördinatie IB Decentrale Security Contactpersoon (DSC) Dagelijkse coördinatie van IB binnen domein, afdeling of team. 4 Personeelszaken Arbeidsvoorwaardelijke zaken Facilitaire zaken (incl. gebouwenbeheer) Fysieke toegangsbeveiliging ICT-diensten (en -ontwikkelaars) Technische beveiliging Auditors Onafhankelijke toetsing Leveranciers en ketenpartners Compliance 3 De proceseigenaar is de enige die een totaal beeld heeft (of kan hebben) van ingezette mensen en gebruikte applicaties en gegevens bronnen. Mensen kunnen eigen medewerkers (via P&O) zijn, maar ook ingehuurd en alleen bekend bij proceseigenaar. De ICT kan via eigen automatiseringsafdeling worden gefaciliteerd, maar ook buiten het zicht bij een zogenaamde SaaS leverancier. 4 Zie ook ENSIA i Pagina 10 van 32

11 Reikwijdte en afbakening informatiebeveiliging Informatiebeveiliging is meer dan ICT, computers en automatisering. Het gaat om alle uitingsvormen van informatie (analoog, digitaal, tekst, video, geluid, geheugen, kennis), alle mogelijke informatiedragers (papier, elektronisch, foto, film, CD, DVD, beeldscherm et cetera) en alle informatieverwerkende systemen (de programmatuur, systeemprogrammatuur, databases, hardware, bijbehorende bedrijfsmiddelen), maar vooral ook mensen en processen. Studies laten zien dat de meeste incidenten niet voortkomen uit gebrekkige techniek, maar vooral door menselijk handelen en een tekortschietende organisatie. Voorbeelden van informatiebeveiligingsmaatregelen zijn: clean desk policy, hoe om te gaan met mobiele devices en aanwijzingen voor telewerken. Het gemeentelijke IB-beleid is een algemene basis. Voor bepaalde bedrijfsprocessen gelden op grond van wet- en regelgeving specifieke (aanvullende) beveiligingseisen. De proceseigenaar is en blijft, als eigenaar van de bedrijfsprocessen, eindverantwoordelijke voor de door haar gebruikte (geautomatiseerde) informatiesystemen en processen. Voorbeelden zijn bedrijfsprocessen volgend uit de Wet basisregistratie personen (Brp), de Paspoortuitvoeringsregeling Nederland (PUN) en de Wet structuur uitvoeringsorganisatie werk en inkomen (SUWI). Toepassingen waarin gegevens over personen worden verwerkt, dienen te voldoen aan de Algemene Verordening Gegevensbescherming (AVG voorheen Wet bescherming persoonsgegevens, Wbp) en de meldplicht datalekken. Afdeling ICT is verantwoordelijk voor de overeengekomen technische infrastructuur, met inbegrip van de infrastructurele beveiligingsmiddelen en biedt een basisbeveiligingsniveau van de technische infrastructuur aan. Werking Dit IB-beleid treedt in werking na vaststelling door college van B&W. Hiermee komt het oude IBbeleid van de gemeente te vervallen. Geldigheid en evaluatie Het College van B&W is eigenaar van dit beleidsdocument. Het beheer, opstellen en actueel houden van het beleidsdocument is de verantwoordelijkheid van Hoofd PZ namens het MT. Het beleid wordt minimaal één keer per 3 jaar vastgesteld door het College. 5 Het beveiligingsplan, implementatieplan van betreffende afdeling, wordt minimaal één keer per jaar door de afdeling geëvalueerd. 6 Aanleidingen hiervoor kunnen zijn: De toereikende en de tactische en operationele uitvoering ervan. De stand van de techniek (beveiliging en bedreiging). Voortschrijdend inzicht. Veranderende wet- en regelgeving of organisatie. Op grond van periodieke beoordeling, veranderende wet- en regelgeving of door andere omstandigheden, kan het beleid of plan tussentijds bijgesteld worden. 5 Zie ook Tactische BIG en ; ENSIA i en i Zie ook ENSIA i Pagina 11 van 32

12 Rollen bij informatiebeveiliging Rol Coördinator informatiebeveiliging, CISO Taak / Verantwoordelijkheid Controleert werking ISMS (implementatie BIG); en rapporteert daarover aan management. Geeft gevraagd en ongevraagd advies. Afdelingshoofd of teamleider in de rol van proces-, gegevens- en/of applicatie-eigenaar. Vaak zijn er meerdere processen betrokken. Het betreft dan die proceseigenaar die bepaalt welke software, procedures, mensen, etc. ingezet worden; waarvan de dienstverlening stokt; die de burger niet meer van dienst kan zijn. Initieert audits op naleving via steekproeven. Elke proceseigenaar blijft verantwoordelijk voor de eigen naleving en kwaliteit en waarborgt dat door zelfevaluaties en zelf geïnitieerde audits door CISA, AA, RA, RE of specialistisch onderzoeksbureau. BIG (implementatie): Zorgt voor operationeel beleid, procedures, werkinstructies indien tekst BIG onvoldoende is; werkt waar mogelijk samen met of maakt waar mogelijk gebruik van advies en diensten van andere teams, afdelingen of organisaties. BIG/ENSIA (audit intern): geeft per maatregel aan hoe dat zelf geregeld is en wat middels afspraken met ICT, P&O, F&C, etc. is geregeld. Maakt en beheert plan voor verbetering. Audit 7 (extern): zorgt voor interne projectleider, start en onderhoudt contact met auditor. Maakt afspraken met ICT, P&O, F&C, etc. over bevindingen. BRP/PUN dient met name processen bij burgerzaken; DigiD dient met name processen bij burgerzaken; SUWI dient met name processen bij werk en inkomen. BAG dient met name processen bij Ruimte en Publiekszaken. Naleving/Toezicht (ook op leveranciers): controleert periodiek eigen processen/systemen, leveranciers en andere partijen op naleving afspraken, waaronder beveiligingsmaatregelen (ook uit bewerkersovereenkomst). Acquisitie van diensten en software: zorgt naast functionele eisen 8 ook voor bepalingen security en privacy by design. Waaronder (periodieke) security test en VOG. Advies via eigen organisatie of gerenommeerde beveiligings-advies-bureaus. Let op! Privacy en Security by Design gaat vooral niet over techniek. Al bij het bepalen van de functionele wensen moet aandacht zijn voor privacy en security. Is het echt nodig dat gegeven X verzameld wordt, getoond wordt, uitgewisseld wordt, etc. Wie gaat er mee werken, met welke rol/taak, etc. Hoe loopt het proces, welke stappen worden ondersteund met een applicatie, wat gaat buiten de applicatie om. Pagina 12 van 32

13 Applicatie beheerder Aanbrengen, onderhouden en verbeteren van beveiliging en privacy van de beheerde applicatie; inclusief koppelingen. Adviseert proces-, gegevens- of applicatie-eigenaar over benodigde verbeteringen. Is de gesprekspartner met betreffende leverancier. Bij een (met ICT) gedeelde verantwoordelijkheid is applicatiebeheerder (en proceseigenaar) hoofdverantwoordelijke. Decentrale Security Contactpersoon, taakaccenthouder, ambassadeur of key-user informatieveiligheid Maakt afspraken met ICT voor implementatie. De taakaccenthouder zorgt voor de coördinatie binnen de afdeling en houdt de betreffende registraties 9 up-to-date. Tevens woont deze het periodiek overleg bij. Dit is een periodiek overleg waarbij alle taakaccenthouders en de coördinator informatieveiligheid (CISO) aanwezig zijn en waarin de werking van het ISMS besproken wordt. Topdesk, ENSIA, ISMS en DMS. Dit is een medewerker binnen een afdeling (of team) die betrokken is bij de dagelijkse gang van zaken. ICT Deze rol kan gecombineerd worden met de vergelijkbare rol in het kader van privacy. Aanbrengen, onderhouden en verbeteren van beveiliging en privacy binnen de eigen discipline (systeem-, netwerk-, database-, werkplek-, technisch applicatiebeheer, etc.) Adviseert proces-, gegevens- of applicatie-eigenaar over benodigde verbeteringen. Is de gesprekspartner met betreffende leverancier. Het gaat hier om de leverancier van producten die volledig onder beheer van ICT vallen; en waar geen applicatiebeheerder voor is. Een applicatiebeheerder, indien aanwezig, blijft coördinator en gesprekspartner ongeacht of ICT betrokken is. FG (Functionaris Gegevensbescherming) Is eerste aanspreekpunt binnen de organisatie voor betreffende discipline; maakt zelf gebruik van of verwijst door naar derden. De FG is verantwoordelijk voor het toezicht houden op de naleving van de wetten en regels met betrekking tot gegevens en privacy. Het inventariseren en bijhouden van gegevensverwerkingen en het afhandelen van vragen en klachten van mensen binnen en buiten de organisatie. FG treedt op als intermediair richting Autoriteit Persoonsgegevens FG ondersteunt bij het ontwikkelen van interne regelingen, het adviseren over privacy op maat én het leveren van input bij het opstellen of aanpassen van gedragscodes. Pagina 13 van 32

14 Leverancier Aanbrengen, onderhouden en verbeteren van beveiliging en privacy van de applicatie; inclusief koppelingen. Levert vakwerk en maakt gebruik van vakmensen. Hanteert security en privacy by design. OWASP-10 beginnersfouten komen niet voor. Maakt normen (o.a. BIG), standaarden (o.a. forum standaardisatie) en adviezen (o.a. IBD en NCSC) voor overheden zich eigen en past die toe waar relevant. Rapporteert periodiek aan gemeente over security en privacy. Pagina 14 van 32

15 4, 5. [Hoofdstukken bewust leeggelaten] Deze hoofdstukken zijn bewust leeggelaten om in de pas te kunnen lopen met de hoofdstukindeling van de BIG. Pagina 15 van 32

16 6. Organisatie van informatiebeveiliging 6.1. Interne organisatie Het college van Burgemeester en Wethouders is integraal verantwoordelijk voor de beveiliging (beslissende rol) van informatie binnen de werkprocessen van de gemeente 10. o is verantwoordelijk voor de werking van het informatiebeveiligingsmanagementsysteem; o stelt kaders voor informatiebeveiliging (IB) op basis van landelijke en Europese wet- en regelgeving en landelijke normenkaders; o zal via delegatie naar medewerkers de taken en verantwoordelijkheden beleggen voor de implementatie en beheer van maatregelen die voortkomen uit dit beleid. Waaronder: Het MT (in sturende rol) is verantwoordelijk voor kaderstelling en sturing 11 : o stuurt op concern risico s; o controleert of de getroffen maatregelen overeenstemmen met de betrouwbaarheidseisen en of deze voldoende bescherming bieden; o evalueert periodiek beleidskaders en stelt deze waar nodig bij. Het lijnmanagement binnen de gemeente (in vragende rol) is verantwoordelijk voor de integrale beveiliging van hun organisatieonderdelen 12. De (lijn)manager: o stelt op basis van een expliciete risicoafweging betrouwbaarheidseisen voor zijn informatiesystemen vast (classificatie); o is verantwoordelijk voor de keuze, de implementatie en het uitdragen van de maatregelen die voortvloeien uit de betrouwbaarheidseisen; o stuurt op beveiligingsbewustzijn, bedrijfscontinuïteit en naleving van regels en richtlijnen (gedrag en risicobewustzijn); o rapporteert over compliance aan wet- en regelgeving en algemeen beleid van de gemeente in de managementrapportages. De ondersteunende afdeling (ICT, HR, bedrijfsvoering, etc., in uitvoerende rol) is verantwoordelijk voor uitvoering 13. De gemeentelijke service organisatie: o is verantwoordelijk voor beveiliging van de informatievoorziening en implementatie van beveiligingsmaatregelen, die voortvloeien uit betrouwbaarheidseisen (classificaties); o is verantwoordelijk voor alle beheeraspecten van informatiebeveiliging, zoals ICT security management (betrouwbaarheid v/d informatievoorziening), incident en problem management, facilitaire en personele zaken; o verzorgt logging, monitoring en rapportage; o levert klanten (technisch) beveiligingsadvies. 10 Zie ook: strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten 11 Met betrekking tot de i-functie geeft hoofd PZ op dagelijkse basis namens het het MT invulling aan de sturende rol door besluitvorming in het CMT voor te bereiden en toe te zien op de uitvoering ervan. 12 Zie ook: strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten 13 Let op, de service organisatie, stafdienst, afdeling bedrijfsvoering is tegelijk ook klant, het gaat hier echter om de uitvoerende rol. De (klant) afdeling blijft eindverantwoordelijk, er is geen overdracht van verantwoordelijkheden. De service organisatie is verantwoordelijk voor haar eigen (sub)processen. De klant afdeling is voor het gehele proces verantwoordelijk. Pagina 16 van 32

17 Alle medewerkers van de gemeente hebben de verantwoording tot naleving van dit beleid en opvolging van de maatregelen die voortvloeien uit dit beleid. Identificatie van incidenten of het niet voldoen aan het gestelde in dit beleid dienen gemeld te worden aan de lijnmanagers of de medewerker informatiebeveiliging. Dit beleid maakt integraal deel uit van de arbeidsvoorwaarden van de gemeente. Sturende rol (MT) kaderstelling (beleid, regels) sturing op (concern) risico s toetsing en advisering Vraagrol (afdelingen) definiëren beveiligingseisen sturen op bedrijfscontinuïteit toetsing op naleving Uitvoerende rol (service org.) security management incident beheer (technische) advisering 6.2. Taken en rollen Door het inrichten van een informatiebeveiligingsorganisatie zorgt de gemeente voor passende aandacht en sturing. Het College van B&W stelt het IB-beleid vast. De uitvoering van het beleid moet gecontroleerd worden, zowel het College als de Raad (controle functie) kunnen hiervoor opdracht geven om dit te (laten) controleren. Het MT adviseert B&W over vast te stellen beleid. De CISO is verantwoordelijk voor de organisatie van informatiebeveiliging. Dit is een rol op strategisch niveau binnen de gemeentelijke organisatie; en bevordert en adviseert gevraagd en ongevraagd over IB en rapporteert concernbreed aan het MT over de stand van zaken. De belangrijkste bevoegdheid is om op elke plek binnen de organisatie gevraagd en ongevraagd onderzoek te kunnen (laten) doen en zo nodig zaken voor te schrijven. Tactische/operationele taken zullen gedelegeerd worden naar medewerkers binnen de afdelingen en processen. De FG is verantwoordelijk voor het toezicht houden op de naleving van privacywetten en regels, het inventariseren en bijhouden van gegevensverwerkingen en het afhandelen van vragen en klachten van mensen binnen en buiten de organisatie. Elke afdeling coördineert zijn informatiebeveiliging en stemt af met de CISO. Over het functioneren van informatiebeveiliging wordt gerapporteerd conform de P&C cyclus. Het hoofd PZ geeft namens het MT op dagelijkse basis invulling aan de sturende rol door besluitvorming in het MT voor te bereiden en toe te zien op de uitvoering ervan. De IB taken die hieruit voortvloeien zijn belegd bij de CISO. Binnen de gemeentelijke service organisatie (met name ICT) is informatiebeveiliging onderdeel van het dagelijks beheer. Informatiebeveiliging is onderdeel van de service management rapportage (o.a. beschrijven van risico s en afwijkingen). Pagina 17 van 32

18 Wie Plan: Kaderstelling Do: Uitvoering Check: Controle Act: Verbetering Sturen: Ontwikkelen van Inbedding landelijke Controle, audit, Bijsturen: Directie kaders (beleid en en EU-richtlijnen, pentesten. opdrachtverstrekking dagelijkse architectuur); advisering, voor verbeteracties. uitvoering: reglementen; handreikingen, Rapportage aan CISO meerjarenplanning. crisisbeheersing en directie/ B&W incident respons. Vragen: Formuleren van Stimuleren van Interne controle Verbeteren Alle beveiligingseisen beveiligingsbewustzijn (IC), sturen op bedrijfscontinuïteit. afdelingen (classificatie) en bij medewerkers, naleving van regels Rapportage aan CIO of opstellen clusterbeleid risico- en door medewerkers CISO. en bedrijfscontinuïteit- (gedrag), beveiligingsplannen. management. compliancy. Uitvoeren: Beleidsvoorbereiding, Leveren van security Vulnerability Uitvoeren Service technische management en scanning, evaluatie verbeteracties. organisatie onderzoeken services (ICT), en rapportage. Advies aan de CIO of (in uit- (marktverkenningen). incidentbeheer, CISO over voerende logging, monitoring en aanpassingen aan de rol) advies. informatievoorziening Functioneel overleg In de communicatie van dit beleid staat de bewustwording van de medewerkers (en ingehuurde derden) centraal en de naleving van de regels en richtlijnen. Om dit te bewerkstelligen zullen er gedragsregels opgesteld en gecommuniceerd worden zodat medewerkers weten wat er van hun verwacht wordt, welke risico s er zijn en welke rechten en plichten ze hebben. Veranderingen en aanpassingen in het informatiebeveiligingsmanagementsysteem worden door het management beoordeeld en intern gecommuniceerd, indien nodig ook naar relevante externe partijen Rapportage en Escalatielijn voor IB Voor de beheersing van informatiebeveiligingaspecten hanteert de gemeente een Information Security Management System (ISMS). Het ISMS is gebaseerd op de internationale standaarden voor informatiebeveiligingsmanagementsystemen zoals opgesteld in de ISO door de International Standards Organization (ISO) die de basis vormt voor de BIG. Het ISMS bevat een informatiebeveiligingsmanagementproces dat is ingericht op basis van de Deming Circle (Plan Do Check Act). Het ISMS kent de escalatielijn: (Decentrale) Security Contactpersoon CISO CIO of directie De CIO is adviseur van de gemeentelijke directie en rapporteert tegelijkertijd direct aan de portefeuillehouder. Zie ook paragraaf 6.2 over de rol van de CISO. Pagina 18 van 32

19 PLAN DO - Wet en Regelgeving - Landelijke Normen - BIG - Gemeentelijk beleid en doelstellingen Beleidskader Informatiebeveiliging: - organisatie en governance - Informatiegebruik en personele aspecten - Beheer - Toegangsbeveiliging en autorisatie - Business continuity management - Naleving en controle (Zie basis beleid op basis van BIG) Beleidskader is basis Inrichting en uitvoering Processen De uitvoering vertaald beleidskaders in Concrete maatregelen en acties - 0-Meting en GAP analyse BIG - richtlijnen en maatregelen - beveiligingsarchitectuur - Uitvoeringsregelingen en Handreikingen - bewustwordingsacties - sturen op naleving Op basis van risico management wordt vastgesteld wat (rest-) risico s zijn Evalueren En Bijsturen Inzicht status en Effectiviteit Security maatregelen ACT Evaluatie Management rapportage en stuurinformatie verbetervoorstellen CHECK Rapportage status en effectiviteit Security maatregelen Selfassessments TPM Interne Controle Management rapportage Vulnerability scanning Pentesten Directies Social engineering Evaluatie en rapportage Audit werking (ISMS) Informatie beveiliging Audit beleid versus maatregellen Audit werking algemene IT beheer maatregelen Systeem en proces audit Information Security Management System Concreet betekent bovenstaande: Vanuit het MT jaarlijks een plan wordt opgesteld voor het verbeteren van de informatiebeveiliging. Dit plan wordt vastgelegd in een daartoe geschikt systeem. Lijnmanagement maatregelen treft om de beveiligingsrisico s te verminderen en compliant te zijn aan wet- regelgeving, landelijke normen en de baseline informatiebeveiliging gemeenten. En jaarlijks vaststelt welke (rest-) risico s er zijn door middel van een risicoanalyse. Lijnmanagement periodiek zelfonderzoeken en interne/externe audits laat uitvoeren voor o.a. de BRP, reisdocumenten en ID-kaarten, de BAG, DigiD, Suwi, extern gehoste systemen en andere systemen die direct vanaf internet benaderbaar zijn. Pagina 19 van 32

20 De gemeente zal de maatregelen die voortkomen uit dit beleid periodiek controleren middels controles en interne assessments en externe audits. Periodiek zal het MT het informatiebeveiligingsmanagementproces beoordelen op basis van verzamelde gegevens en informatie. Input voor deze beoordeling is o.a.: Registratie van incidenten en non-compliance issues. Registraties van controle, interne en externe audits. Leveranciersbeoordelingen. Risicoanalyse 15 output. Medewerkerscompetenties. Bewustwording sessies en -training. Wet- & regelgeving. Op basis van de beoordelingen zullen waar mogelijk corrigerende en of preventieve maatregelen worden doorgevoerd. Maatregelen worden geselecteerd met het doel dat de kans op herhaling geminimaliseerd wordt. Of waardoor de doeltreffendheid van het informatiebeveiligingsmanagementsysteem wordt verbeterd en het geleverde product of dienst beter aansluit op de eisen van de burger, bedrijven en partners. IB-beleid, landelijke normen en wet en regelgeving gelden ook voor externe partijen (leveranciers, ketenpartners) waarmee de gemeente samenwerkt (en informatie mee uitwisselt). Ook voor externe partijen geldt hierbij het comply or explain beginsel (pas toe of leg uit). Bij contractuele overeenkomsten gelden in beginsel altijd de Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT) of Algemene Inkoop Voorwaarden (AIV), waarin onder meer geheimhouding en aansprakelijkheid is geregeld. Afwijkingen dienen te worden getoetst aan IB-beleid. Vereiste beveiligingsmaatregelen worden aanvullend vastgelegd in contracten en/of bewerkersovereenkomsten. Daarin is onder meer geborgd dat beveiligingsincidenten onmiddellijk worden gerapporteerd, dat de gemeente het recht heeft afspraken te (laten) controleren en dat de afspraken periodiek en wanneer daar aanleiding voor is worden aangepast. Voor externe hosting van data en/of services gelden naast generiek IB-beleid de richtlijnen voor cloud computing., welke in een bewerkersovereenkomst zijn aangegeven. De gemeente is gehouden aan: regels omtrent grensoverschrijdend dataverkeer; toezicht op naleving van regels door de externe partij(en); hoogste beveiligingseisen voor bijzondere categorieën gegevens (zie ook 7.2. classificatie); melding bij college bescherming persoonsgegevens (CBP) bij doorgifte van persoonsgegevens naar derde landen (buiten de EU). 15 Een risicoanalyse bestaat uit/omvat: 1. Risicogebied vaststellen (context) door het vaststellen van kritieke processen en bedrijfsmiddelen; 2. Risico assessment en evaluatie door middel van een business impact analyse en dreigingen analyse. Pagina 20 van 32

21 7. Beheer van bedrijfsmiddelen 7.1. Verantwoordelijkheid voor bedrijfsmiddelen IT middelen die aan medewerkers van gemeente beschikbaar worden gesteld, dienen in principe voor zakelijke doeleinden gebruikt te worden. Gebruik voor privé-doeleinden is echter ook toegestaan. Opgeslagen en verwerkte informatie van of voor gemeente op systemen van de gemeente blijft te allen tijde eigendom van de gemeente. De internationale en lokale privacywetgeving zal gehandhaafd worden wanneer een beroep wordt gedaan op eigendomsrechten Classificatie van informatie Informatiebeveiliging is het geheel van maatregelen en procedures om informatie te beschermen. Het doel is: waarborgen van de continuïteit, integriteit en vertrouwelijkheid van informatie en de informatievoorziening en het beperken van de gevolgen van eventuele beveiligingsincidenten. Voor een effectieve bescherming van de informatie is vereist dat de waarde van de informatie voor de interne organisatie bekend is. Classificatie van informatie, in termen van vereiste vertrouwelijkheid, integriteit en beschikbaarheid: informeert het College van B&W, directie, lijnmanagers en medewerkers over wat moet worden beschermd en hoe informatiemiddelen op een standaard manier kunnen worden beschermd; toont de waarde van middelen aan medewerkers, zodat het bewustzijn van beveiliging binnen hun dagelijkse werkzaamheden wordt gestimuleerd; stelt de gemeente in staat te voldoen aan eventuele wettelijke en contractuele verplichtingen (dit door passende voorwaarden toe te kennen aan gebruik al naargelang de classificatie). Classificatie van gegevens moet voldoen aan de relevante wetten en regelgeving 16. De proces-, gegevens-, applicatie-eigenaar blijft verantwoordelijk voor het up-to-date houden van de identificatie van informatiemiddelen en de toegekende waarde voor elk van de geïdentificeerde middelen en bepaalt daarmee wat belangrijk is. Het beschermingsniveau van data wordt uitgedrukt in classificatieniveaus voor beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Met de invoering van de Baseline Informatiebeveiliging voor Gemeenten is het basis beveiligingsniveau bepaald dat geldt voor de gehele bedrijfsvoering van een gemeente. Hierdoor moeten alleen processen en systemen onderzocht worden waarvan verwacht wordt dat deze meer beveiligingsmaatregelen nodig hebben dan de Baseline. Met een classificatiemethode kan bepaald worden of proces, gegevensverzameling of applicatie binnen of buiten baseline valt. Indien de 16 Zie ook Bijlage Relevante documenten en bronnen. Pagina 21 van 32

22 classificatie hoger dan vertrouwelijk is, dan zijn extra maatregelen nodig. Er zijn drie beschermingsniveaus van laag naar hoog. Daarnaast is er nog een niveau geen. Dit niveau geeft aan dat er geen beschermingseisen worden gesteld, bijvoorbeeld omdat informatie openbaar is. De niveaus zijn in onderstaande tabel weergegeven. Tussen haakjes staan voorbeelden. Deze niveaus zijn bedacht om het proces van classificeren te vereenvoudigen. Niveau Vertrouwelijkheid Integriteit Beschikbaarheid Geen Openbaar informatie mag door iedereen worden ingezien (bv: algemene informatie op de externe website van de gemeente Niet zeker informatie mag worden veranderd (bv: templates en sjablonen) Niet nodig gegevens kunnen zonder gevolgen langere tijd niet beschikbaar zijn (bv: ondersteunende tools als routeplanner) Laag Bedrijfsvertrouwelijk informatie is toegankelijk voor alle medewerkers van de organisatie (bv: informatie op het Beschermd het bedrijfsproces staat enkele (integriteits-) fouten toe (bv: rapportages) Belangrijk informatie mag incidenteel niet beschikbaar zijn (bv: administratieve gegevens) intranet) Midden Vertrouwelijk informatie is alleen toegankelijk voor een beperkte groep gebruikers (bv: persoonsgegevens, financiële gegevens Hoog 17 het bedrijfsproces staat zeer weinig fouten toe (bv: bedrijfsvoeringinformatie en primaire procesinformatie Noodzakelijk informatie moet vrijwel altijd beschikbaar zijn, continuïteit is belangrijk (bv: primaire proces informatie) zoals vergunningen) Hoog 17 Geheim informatie is alleen toegankelijk voor direct geadresseerde(n) (bv: zorggegevens en strafrechtelijke informatie) Absoluut het bedrijfsproces staat geen fouten toe (bv: gemeentelijke informatie op de website) Essentieel informatie mag alleen in uitzonderlijke situaties uitvallen, bijvoorbeeld bij calamiteiten (bv: basisregistraties) Hoe geven we concreet uitvoering aan het classificeren van data en beschermingsniveaus? Classificatie vindt plaats door de kritieke processen van de gemeentelijke organisatie te inventariseren aan de hand van: verstoring of uitval van het proces, applicatie, eigenaar, gegevens, hardware. Hierbij wordt een link gelegd met de toegepaste informatiemiddelen en informatiesystemen per proces. Voor elk BIV-C aspect bepaalt de betreffende proces-, gegevens- of applicatie-eigenaar de waarde voor proces, gegevensverzameling of applicatie. De waarde per aspect kan vervolgens ook vertaald worden naar een algemeen niveau. Zo correspondeert voor het aspect beschikbaarheid de waarde Belangrijk met niveau Laag. 17 Verwarring kan ontstaan doordat het aspect integriteit een waarde Hoog kent en er ook een algemeen niveau met een waarde Hoog bestaat. Om in de pas te blijven lopen met de BIG/IBD kiezen we ervoor geen andere term toe te passen. Pagina 22 van 32

23 8. Beveiliging van personeel Bij het aannemen of inhuren van nieuw personeel en het laten verrichten van werkzaamheden door externe medewerkers wordt bewerkstelligd dat zij hun verantwoordelijkheden begrijpen ten aanzien van informatieveiligheid. Deze verantwoordelijkheden zijn vóór het dienstverband vastgelegd in een passende functiebeschrijvingen/opdracht en in de arbeidsvoorwaarden/- inhuurovereenkomst. Voor het gebruik van gemeentelijke informatie gelden de rechten en plichten zoals vastgelegd in de diverse documenten, zoals het CAR-UWO, geheimhoudingsverklaring, huisregels. De gemeente onderschrijft daarbij artikel 2:5 (2.1.5) uit de Awb. -- Een ieder die is betrokken bij de uitvoering van de taak van een bestuursorgaan en daarbij de beschikking krijgt over gegevens waarvan hij het vertrouwelijke karakter kent of redelijkerwijs moet vermoeden, en voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift ter zake van die gegevens een geheimhoudingsplicht geldt, is verplicht tot geheimhouding van die gegeven, behoudens voor zover enig wettelijk voorschrift hem tot mededeling verplicht of uit zijn taak de noodzaak tot mededeling voortvloeit. -- Werknemers, ingehuurd personeel en externe gebruikers, die ICT-voorzieningen gebruiken tekenen waar van toepassing de betreffende documenten met betrekking tot hun beveiligingsrollen en verantwoordelijkheden. Veelal zal dit een VOG (verklaring omtrent gedrag) zijn. De aannemende of inhurende lijnmanager ziet hier op toe. Pagina 23 van 32

24 9. Fysieke beveiliging en beveiliging van de omgeving De gemeente heeft IT-voorzieningen geïmplementeerd voor de eigen bedrijfsonderdelen en locaties die onderlinge interne communicatie en samenwerking met partners, burgers en medewerkers (op afstand) mogelijk maakt. Deze IT-voorzieningen zijn deels in beheer en eigendom van de gemeente en deels uitbesteed. Voor de beveiliging hiervan moet door de leverancier periodiek een verklaring worden overlegd waarin zij aantonen dat zij voldoen aan de informatiebeveiligingseisen, waaronder nationaal en internationaal geaccepteerde normen en standaarden 18 zoals (niet exclusief) de OWASP top-10. Ook aan de verbinding naar de Cloud worden hoge eisen gesteld die getoetst moeten worden. ICTvoorzieningen, die kritieke of gevoelige bedrijfsactiviteiten ondersteunen, dienen fysiek te worden ondergebracht in beveiligde ruimten, beschermd door afgegrensde beveiligde gebieden, in een gecontroleerde omgeving, beveiligd met geschikte beveiligingsbarrières en toegangsbeveiliging. Ze zijn fysiek beschermd tegen toegang door onbevoegden, schade en storingen. Ook de aard van de cloud (b.v. publiek) en de daarbij behorende verantwoordelijkheden zullen in aanvullende richtlijnen verdere uitwerking behoeven. Voor bepaalde diensten wordt gebruik gemaakt van externe publieke netwerken zoals het internet. Hiervoor zijn beveiligingsmaatregelen en beheersmaatregelen geïmplementeerd om de beschikbaarheid, integriteit en vertrouwelijkheid te waarborgen. 18 Zie ook de Bijlage Relevante documenten en bronnen, Externe bronnen. Pagina 24 van 32

25 10. Beheer van communicatie- en bedieningsprocessen Organisatorisch is het zo geregeld dat er een scheiding is van beheertaken en overige gebruikerstaken. In beginsel heeft niemand autorisaties om een gehele cyclus van handelingen in een proces, gegevensverzameling of applicatie te beheersen. Bijvoorbeeld degene die inkoopt, bestelt en de opdracht verleent mag niet degene zijn die ook de betaling verricht. Of degene die werk uitvoert voor de gemeente is niet degen die het salaris uitkeert of de factuur voor inhuur betaalt. In geval van overlap hierin zoals bij de salarisadministrateur geldt het vier ogen principe. Nieuwe systemen, upgrades en nieuwe versies worden getest op impact en gevolgen in het kader van informatieveiligheid en pas geïmplementeerd na formele acceptatie en goedkeuring door of namens de proceseigenaar. Gegevens op papier worden beschermd door een deugdelijke opslag en regeling voor de toegang tot archiefruimten. Documenten, opslagmedia, in- en uitvoergegevens en systeemdocumentatie worden beschermd tegen onbevoegde openbaarmaking, wijziging, verwijdering en vernietiging. Hierbij ook rekening houdend met eisen die vanuit archiefwetgeving zijn gesteld. Beveiligingsmaatregelen die worden getroffen hebben betrekking op zowel door de gemeente verstrekte middelen als privé-apparatuur ('bring your own device' (BYOD)). Op privé-apparatuur waarmee verbinding wordt gemaakt met het gemeentelijke netwerk is de gemeente bevoegd om beveiligingsinstellingen af te dwingen. Hierbij gaat het erom dat de gemeente dit af kan dwingen als de situatie hier om vraagt. Uitgangspunt is dat privé apparatuur alleen onder voorwaarden (bv. Versie besturingssysteem) verbonden mag worden met het gemeentenetwerk 19 en daarbij in principe met het publieke netwerk. ICT maakt, op aangeven van proces-, gegevens- of applicatie-eigenaar, reservekopieën van essentiële bedrijfsgegevens en programmatuur zodat de continuïteit van proces en gegevensverwerking kan worden gegarandeerd. De omvang en frequentie van de back-ups is in overeenstemming met het belang van de data voor de continuïteit van de dienstverlening en de interne bedrijfsvoering. Op basis daarvan is een back-up schema opgesteld en ingericht. Jaarlijks wordt door proces-, gegevens- of applicatie-eigenaar een (back-up en) restore test geïnitieerd om te toetsen of alle essentiële programmatuur en gegevenssets zijn te herstellen. 19 Met gemeentenetwerk of gemeentelijk netwerk wordt gedoeld op de infrastructuur die toegang biedt tot interne systemen of applicaties. Hiermee wordt niet bedoeld iets als een publiek wifi-netwerk dat weliswaar door de gemeente kan worden gefaciliteerd, maar geen directe toegang biedt tot interne systemen. Pagina 25 van 32

26 11. Toegangsbeveiliging Toegang tot informatie en IT-faciliteiten zal op basis van need to know worden beperkt zodat gebruikers toegang krijgen tot datgene wat noodzakelijk is voor het uitvoeren van de functie. Dit voorgaande geldt niet voor hetgeen de organisatie als informatief voor alle medewerkers noodzakelijk acht en waardoor transparantie gewenst is. Toegang tot informatiesystemen wordt geïnitieerd door de lijnmanager van de medewerker op basis van het toekennen van een autorisatiesprofiel welke hoort bij de medewerkersrol. Na het accorderen door de proces-, gegevens- of applicatie-eigenaar zullen de autorisaties worden toegekend. Het ontzeggen van toegang tot informatiesystemen wordt eveneens geïnitieerd door de lijnmanager. Na het afmelden van medewerkers die uit dienst zijn of inhuurkrachten waarvan de opdracht is gestopt worden door de proces-, gegevens- of applicatie-eigenaar de autorisaties ingetrokken. Fysieke toegang tot het gebouw is alleen mogelijk met de daartoe verstrekte toegangsbadges. Pagina 26 van 32

27 12. Verwerving, ontwikkeling en onderhoud van informatiesystemen Om te bewerkstelligen dat beveiliging integraal deel uitmaakt van informatiesystemen behoren in bedrijfseisen voor nieuwe informatiesystemen of uitbreidingen van bestaande informatiesystemen ook eisen voor beveiligingsmaatregelen te worden opgenomen. Denk aan: Validatie van invoergegevens Beheersing van interne gegevensverwerking Integriteit van berichten Validatie van uitvoergegevens Bescherming van de vertrouwelijkheid, authenticiteit of integriteit van informatie, welke verzonden wordt, dient met behulp van cryptografische middelen te worden gedaan. Sleutelbeheer is geborgd ter ondersteuning van het gebruik van cryptografische technieken binnen de organisatie. De implementatie van wijzigingen behoort te worden beheerst door middel van formele procedures voor wijzigingsbeheer. Bij wijzigingen in besturingssystemen behoren bedrijf kritische toepassingen te worden beoordeeld en getest om te bewerkstelligen dat er geen nadelige gevolgen zijn voor de activiteiten of beveiliging van de organisatie. Uitbestede ontwikkeling van programmatuur behoort onder supervisie te staan van en te worden gecontroleerd door de organisatie, waarbij de FG (functionaris gegevensbescherming) een grote rol zal hebben. Hiertoe zal een verwerkersovereenkomst noodzakelijk zijn. Testgegevens behoren zorgvuldig te worden gekozen, beschermd en beheerst. De toegang tot broncode van programmatuur behoort te worden beperkt. Er behoort tijdig informatie te worden verkregen over technische kwetsbaarheden van de gebruikte informatiesystemen. De mate waarin de organisatie bloot staat aan dergelijke kwetsbaarheden behoort te worden geëvalueerd en er behoren geschikte maatregelen te worden genomen voor behandeling van daarmee samenhangende risico's. Hiertoe zal een SLA noodzakelijk zijn.. Pagina 27 van 32