GEMEENTE DELFT. Informatiebeveiligingsbeleid. Strategie en Beleid

Transcriptie

1

2

3 GEMEENTE DELFT Informatiebeveiligingsbeleid Strategie en Beleid

4 1 Informatiebeveiliging Delft Strategie Informatievoorziening is van essentieel belang voor de continuïteit van de bedrijfsvoering van de Gemeente Delft. Zowel op papier als geautomatiseerd zijn wij bij ons dagelijks werk afhankelijk van de beschikbaarheid van betrouwbare informatie. Onze organisatie en onze informatievoorziening wordt blootgesteld aan een groot aantal bedreigingen, al dan niet opzettelijk van aard. Deze bedreigingen maken het noodzakelijk om gerichte maatregelen te treffen om de gerelateerde risico s tot een aanvaardbaar niveau te reduceren. Dit document beschrijft het beleid van de Gemeente Delft met betrekking tot de beveiliging van informatie en informatievoorziening. 1. Doelstelling en reikwijdte van informatiebeveiliging De gemeente Delft hanteert de volgende definitie voor Informatiebeveiliging: Informatiebeveiliging is het samenhangend geheel van preventieve, repressieve en herstelmaatregelen alsmede procedures en processen welke de beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiesystemen blijvend garanderen met als doel de continuïteit van de bedrijfsvoering te waarborgen en eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald, niveau te beperken. Opgemerkt wordt dat informatiebeveiliging een samenhangend stelsel van maatregelen omvat. Dit betekent dat de verschillende maatregelen die samen de informatiebeveiliging vormen niet los van elkaar worden getroffen, maar in onderlinge relatie met elkaar staan. Zoals in de voorgaande definitie is verwoord, richt informatiebeveiliging zich op de volgende drie aspecten van de informatievoorziening: Beschikbaarheid: het waarborgen dat geautoriseerde gebruikers, entiteiten of processen toegang hebben tot informatie en de informatiesystemen op de gewenste momenten. Integriteit; het waarborgen dat de informatie juist en volledig is en de informatiesystemen juiste en volledige informatie opslaan en verwerken. Vertrouwelijkheid: het waarborgen dat informatie alleen toegankelijk is voor personen, entiteiten of processen die hiertoe bevoegd / geautoriseerd zijn. Het stelsel van beveiligingsmaatregelen heeft tot doel een blijvend niveau van beveiliging te realiseren. Door een zorgvuldige borging wordt bereikt dat het gewenste niveau van beveiliging ook op langere termijn blijft gehandhaafd. Informatiebeveiliging is gericht op het realiseren van een optimaal niveau van beveiliging. Dit optimum wordt bereikt door een zorgvuldige afweging van kosten en baten.

5 2 Doelstelling informatiebeveiligingsbeleid Het opstellen van het informatiebeveiligingsbeleid binnen Gemeente Delft heeft tot doel de uitgangspunten met betrekking tot informatiebeveiliging binnen de Gemeente Delft vast te leggen en formeel vast te stellen. Hiermee vormt het beleid de leidraad voor alle betrokkenen bij informatiebeveiliging binnen de Gemeente Delft. De informatiebeveiligingsstrategie meldt de uitgangspunten. In het beleid worden daarop de kaders vastgelegd en in het informatiebeveiligingsplan worden de maatregelen om de risico s te beheersen vastgelegd. Werkingsgebied Het informatiebeveiligingsbeleid is van toepassing op alle organisatie onderdelen van de Gemeente Delft. Het informatiebeveiligingsbeleid is ook van toepassing op de gegevensuitwisseling van de Gemeente Delft met andere organisaties. Het beleid richt zich op onze eigen medewerkers, tijdelijk personeel en op personeel dat door derden wordt ingezet om diensten te verlenen aan onze organisatie. Informatiebeveiligingsbeleid heeft in principe betrekking op alle informatie, maar richt zich bij de uitwerking in eerste instantie vooral op digitaal verwerkte informatie. Proportioneel en riskbased Adequate informatiebeveiliging is voor Gemeente Delft gerelateerd aan een zorgvuldige afweging tussen: de noodzaak van het minimaliseren van veiligheidsrisico's; de gewenste mate van efficiency en effectiviteit van de inzet van mensen en middelen; de kosten en baten van informatiebeveiliging. Geldigheid document Informatiebeveiligingsbeleid Gemeente Delft Het in dit beleidsdocument geformuleerde informatiebeveiligingsbeleid geldt voor de gehele organisatie van Gemeente Delft ongeacht locatie of aard van werkzaamheden en is vastgesteld op 9 september 2014 en met onmiddellijke ingang van kracht. Dit document wordt elke 2 jaar geactualiseerd door de betrokken verantwoordelijken, waarbij in ieder geval wordt gekeken naar: Verandering van risico s Nieuwe wet- en regelgeving Ontwikkelingen met betrekking tot technische bedreigingen ten aanzien van gebruikte technologie Organisatorische wijzigingen en ontwikkelingen Verantwoordelijkheid informatiebeveiligingsbeleid Het College van B&W is eindverantwoordelijk voor het informatiebeveiligingsbeleid. Het College van B&W delegeert deze verantwoordelijkheid aan het Gemeentelijk Management Team (GMT). Eigenaren van processen en systemen dragen verantwoordelijkheid voor de beveiliging van de informatie die in hun processen en systemen wordt verwerkt en opgeslagen. Medewerkers hebben binnen de bestaande richtlijnen - een eigen verantwoordelijkheid voor de wijze waarop zij met informatie en de beveiliging daarvan omgaan

6 3 De beveiligingsfunctionaris (security officer) is verantwoordelijk voor het onderhouden van het informatiebeveiligingsbeleid, het toezien op het treffen en onderhouden van hieruit voortkomende beveiligingsmaatregelen en de controle hierop. 2. Informatiebeveiligingsstrategie De informatiebeveiligingsstrategie is gebaseerd op 3 bronnen: 1. Beoordeling van de risico s voor de organisatie, rekening houdend met de bedrijfsstrategie en bedrijfsdoelstellingen 2. Eisen uit wet- en regelgeving en aangegane contracten 3. Eigen uitgangspunten, doelstellingen en bedrijfseisen Informatiebeveiliging moet de primaire bedrijfsprocessen ondersteunen en de veilige en verantwoorde uitvoering daarvan mogelijk maken (business enabling). Iedere maatregel vloeit voort uit risico-analyse (riskbased), waarmee het belang voor de organisatie helder te maken is. Informatiebeveiliging dient juist vanuit het primaire proces gestuurd te worden, daar waar het eigenaarschap van de informatie ligt. De afdeling Informatiemanagement heeft daarbij een stimulerende rol, biedt deskundige ondersteuning en bewaakt het totale systeem van informatiebeveiliging. In de informatiebeveiligingsstrategie wordt aangesloten bij de gemeenschappelijke ontwikkeling van informatiebeveiligingsbeleid door KING. Gemeente Delft heeft zich ook aangesloten bij de Informatiebeveiligingsdienst (IBD) van KING zoals afgesproken in de BALV van de VNG inzake informatieveiligheid d.d. november Om te voorkomen dat gemeenten het wiel opnieuw uitvinden heeft KING in samenwerking met het Nationaal Cyber Security Center (NCSC) richtlijnen opgesteld waaraan gemeenten dienen te voldoen, uiteraard voor zo ver van toepassing op die specifieke gemeente. Deze zogenaamde Baseline Informatiebeveiliging Gemeenten (BIG, gebaseerd op ISO27002) wordt ook gevolgd voor het informatiebeveiligingsbeleid van Delft. Daarnaast wordt voor de technische configuratie de CIS baseline gehanteerd. Niet alles van deze baselines is al geïmplementeerd. In eerste instantie worden ze als richtsnoer gebruikt om de voornaamste zaken goed te regelen, op basis van de uitgangspunten riskbased en proportioneel. Een heldere en gedragen verdeling van rollen en verantwoordelijkheden (governance structuur ) met betrekking tot informatiebeveiliging is een belangrijke voorwaarde om het gewenste beveiligingsniveau te realiseren. Daarnaast is de menselijke factor van cruciaal belang. Acceptatie en bewustwording zijn de belangrijkste factoren voor succesvolle informatiebeveiliging. Het merendeel van alle incidenten kan geheel of gedeeltelijk worden toegeschreven aan menselijk falen. Bestuurders en ambtenaren moeten beseffen dat niet alleen de afdeling Informatie management verantwoordelijk is voor informatiebeveiliging, maar met name zij zelf. Zij moeten begrijpen waarom informatiebeveiliging belangrijk is, en op welke wijze informatiebeveiliging er voor zorgt dat zij hun burgers goed van dienst kunnen zijn.

7 4 3 Governance structuur Voor een goede beheersing van de risico s met betrekking tot informatiebeveiliging dienen rollen en verantwoordelijkheden duidelijk te zijn. In onderstaand schema is zijn rollen en verantwoordelijkheden in beeld gebracht. B&W GMT Security Board Interne/ Externe Controle Security Officer Lijnmanagement Lijnmanagement Lijnmanagement Beveiligingsfunctionaris Beveiligingsfunctionaris Beveiligingsfunctionaris Het college van B&W is integraal verantwoordelijk voor de informatiebeveiliging binnen de werkprocessen van de gemeente. De rol van het college ligt met name bij het vaststellen van kaders en normen. Het college informeert de gemeenteraad over de hoofdlijnen van informatiebeveiliging en de monitoring hiervan door middel van de commissie voor R & A. De raad kan zich hierbij laten ondersteunen door de externe EDP-auditor, op vergelijkbare wijze als de ondersteuning door de accountant. Het gemeentelijk managementteam is verantwoordelijk voor de voorbereiding van voorstellen voor kaderstelling en normenbepalingen aan het college van B&W. Bij accordering van het beleid door het college van B&W komt de verdere uitwerking en sturing te liggen bij het gemeentelijk managementteam. Het managementteam stuurt hierbij op risico s en controleert of de getroffen maatregelen overeenstemmen met de betrouwbaarheidseisen die zijn opgesteld vanuit wet- en regelgeving. Hierbij wordt gekeken of ze voldoende bescherming bieden tegen beveiligingsrisico s en worden de kaders periodiek geëvalueerd. Het GMT belast 1 GMT-lid specifiek met informatiebeveiligingsvraagstukken. De uitvoering van het informatiebeveiligingsbeleid is zo veel mogelijk belegd bij het lijnmanagement. Zij zijn verantwoordelijk voor het zodanig uitvoeren van het beleid dat beveiligingsrisico s tot een minimum worden beperkt. Hierbij is de lijnmanager als afdelingsmanager verantwoordelijk voor de implementatie en het uitdragen van de maatregelen binnen zijn afdeling. De lijnmanager is tevens

8 5 eigenaar van een proces en systeem, en als zodanig verantwoordelijk voor de classificatie van informatie en autorisatie van informatiebevoegdheden. Daarnaast is er in het organisatieschema een staffunctie op gebied van informatiebeveiliging opgenomen. De informatiebeveiligingsfunctionaris (security officer) heeft tot taak: Risico s te signaleren op het gebied van informatiebeveiliging, Bij incidenten te zorgen voor de juiste maatregelen, ook in acute situaties Monitoren van en rapporteren over uitvoeren van beleid en incidenten Adviseren over beleid en beleidsvoorbereiding bij nieuwe ontwikkelingen Het behartigen van het specifieke belang van informatiebeveiliging in de afstemming met informatie- en systeemeigenaren Deze rol wordt niet in de informatievoorzieningsketen ingevuld vanwege de vereiste functiescheiding met de uitvoering van het informatiemanagement. Deze functionaris wordt functioneel gepositioneerd bij de afdeling Control. De rol van security officer zal in de huidige situatie met veranderende regelgeving, de grotere impact van informatiebeveiliging en de groeiende hoeveelheid aan compliance regels in de komende jaren als fulltime functie moeten worden ingevuld (nu een piepkleine parttime rol). De Stuurgroep Informatiebeveiligingsbeleid SIB (securityboard) die in dit organisatieschema is opgenomen, ondersteunt de Informatiebeveiligingsfunctionaris (IBF,security officer) bij zijn taak. De securityboard (SIB) ziet toe op de uitvoering van het goedgekeurde beleid van het college van B&W en rapporteert eens per half jaar concern breed over de stand van zaken op het gebied van informatiebeveiliging. Daarbij kunnen ook nieuwe ontwikkelingen en aanpassing van beleid aan de orde komen. Daarnaast is de security board (SIB) het escalatieniveau in geval van incidenten en meningsverschillen met informatie- en systeemeigenaren. Bij inrichting van de governance alleen voor Delft is dit een beperkter overleg dan in een situatie met Rijswijk, waarin beide gemeenten vertegenwoordigd zullen zijn in de security board (SIB). Bij iedere lijnafdeling is een beveiligingsfunctionaris als rol opgenomen, gekoppeld aan een proces of systeem. De rol beveiligingsfunctionaris is een rol die is toebedeeld aan een afdelingsmedewerker die naast zijn standaard functie toezicht houdt op beveiligingsaspecten binnen zijn afdeling. Deze persoon heeft vooral een monitorende functie en creëert daarbij tevens beveiligingsbewustwording binnen zijn afdeling. In de praktijk blijkt deze rol weinig extra belasting met zich mee te brengen maar wel de informatiebeveiliging positief bevordert. In veel gevallen wordt de kwaliteitsmedewerker belast met deze taak. De beveiligingsfunctionaris legt verantwoording af aan zijn lijnmanager, en informeert de security officer (IBF) bij geconstateerde gebreken. De externe EDP-auditor 1 beoordeelt de processen en risico s met betrekking tot informatiebeveiliging, vergelijkbaar met de rol van de accountant. De externe EDP-auditor verricht audits ten behoeve van interne en externe vraagstukken, en treedt zo nodig op als adviseur van de raad. 1 EDP=Electronic Data Processing

9 6 Rollen beschreven via het RACI Model (Responsible,Accountable,Consulted, Informed) Het RACI Model is een matrix waarbij rollen en verantwoordelijkheden worden weergegeven. Hierbij is in de matrix hieronder de volgende indeling gemaakt; richting gevend, sturend en uitvoerend niveau. Hierbij staat Responsible voor Verantwoordelijk, Accountable voor eindverantwoordelijk, Consulted voor geraadpleegd en Informed voor geïnformeerd. Rollen beschreven via het RACI Model (Responsible,Accountable,Consulted, Informed) Richtinggevend B& W GMT Securit y- Board Securit y officer Lijnmanage r Beveiligings - functionaris Vaststellen AR C C I I - Informatiebeveiligingsbeleid Bepalen normen en werkprocessen - A R R C C IB Strategie Organisatie t.b.v. IB inrichten - A R R I - IB-planning en control vaststellen - A R C I - Sturend Uitvoeren d Business continuity management - A R Voorbereiden normen en wijze van - A R R I - toetsen Evalueren security beleid en - A R R I - maatregelen Begeleiding externe audits - - A R R - Waarborgen Informatie Classificatie - - A R R - model Risico analyse IB - A R R R - Implementeren IB-maatregelen - - I C AR I Coördineren en evalueren - - A R R I incidenten Communicatie eindgebruikers IB - - A R R I Dagelijks beheer IB I A R Juist afhandelen van - - A R R I beveiligingsaspecten Impactanalyse / Risicoanalyse incident - - A R R I

10 7 4 Risico-analyse Risico-analyse ligt aan de basis van informatiebeveiligingsbeleid. Risico s zijn mogelijke inbreuken op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Het resultaat van de risico-analyse wordt vergeleken met de in werking zijnde beheersmaatregelen. Dit is de GAP-analyse. In de Agenda voor informatiebeveiliging worden alle nog te treffen maatregelen opgenomen en geprioriteerd. Aanpak risico-analyse Aan de BIG ligt een algemeen op gemeenten toepasbare risico-analyse ten grondslag. Volgens IBD /KING is dat in beginsel voldoende als risico-analyse voor een gemeente die de BIG volgt. In september 2014 komt IBD/KING met een nieuwe methode van risico-analyse, waarbij stakeholders zoals proceseigenaren en applicatiebeheerders maar ook collegeleden en raadsleden, betrokken kunnen worden. Dat vergroot ook hun betrokkenheid bij het thema Informatiebeveiliging. Als deze nieuwe methode toepasbaar blijkt te zijn, wordt hiermee een nieuwe specifieke risico-analyse voor Delft opgezet. Omdat uit de plaatselijke situatie van een gemeente specifieke risico s kunnen voortvloeien, die ook in kaart moeten worden gebracht, heeft Delft begin 2012 zelf een risico-analyse laten uitvoeren door middel van workshops met proceseigenaren en applicatiebeheerders. Deze analyse leverde echter een onvoldoende scherp risicoprofiel op om prioriteiten te stellen. Voor dit moment gaan we daarom uit van de risico s zoals zijn gesignaleerd door externe EDPauditors. Met name de EDP-audit bij de managementletter 2013 van de accountant geeft een bruikbaar profiel van de actuele risico s. Het oordeel van de EDP-auditors: De maatregelen voor intern beheerde informatiesystemen zijn sterk Onvoldoende zekerheid over de betrouwbaarheid, beschikbaarheid en integriteit van uitbestede processen en informatiesystemen, met name omdat de contracten met de leveranciers niet op alle punten afdoende zijn geregeld. Informatiebeveiliging bij inkoop adequaat regelen.

11 8 Vraag is of de informatiebeveiliging voldoende geregeld is met het oog op nieuwe ontwikkelingen zoals werken met virtuele werkplekken, werken in de cloud, gebruik van sociale media Vraag is of er voldoende inzicht is in de opslag en verwerking van kritieke gegevens binnen de gemeente Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat geregeld en recent vastgesteld te zijn. Dit betekent dat deze thema s op de Agenda voor Informatiebeveiliging terug zullen komen. Het laatste punt wordt met deze nota IBV geregeld. In het najaar zal bij voorkeur aan de hand van de nieuwe IBD/KING methode - opnieuw een specifieke risico-analyse voor Delft worden uitgevoerd. Het is de bedoeling deze minimaal iedere 2 jaar te herhalen.

12 9 5 Kern: beveiligen van opslag en verwerking van gegevens De kern van informatiebeveiliging ligt in het beveiligen van opslag en verwerking van gegevens waarvoor de gemeente verantwoordelijk is. Daarbij gaat het met name om kritieke gegevens, zoals persoonsgegevens en andere gegevens die burgers, bedrijven en andere overheden aan de gemeente hebben toevertrouwd. Om meer inhoud te geven aan het begrip kritieke gegevens is een systeem van gegevensclassificatie ontwikkeld. Aan iedere categorie gegevens is een label gegeven over de aard van de gegevens, de mate van vertrouwelijkheid en de bijbehorende beveiligingseisen. Het toekennen van classificatieniveaus aan data en/of informatiesystemen is van groot belang, omdat daarmee het (vereiste) beschermingsniveau kenbaar gemaakt wordt. Aan de hand hiervan kan worden bepaald welke beveiligingseisen gelden en welke maatregelen moeten worden genomen. Het informatiebeveiligingsbeleid van de gemeente Delft beschrijft globaal de normen voor beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Het volgende kader voor classificatie wordt daarbij gehanteerd: Niveau Vertrouwelijkheid Integriteit Beschikbaarheid Geen Openbaar informatie mag door iedereen worden ingezien (bv: algemene informatie op de externe website van de gemeente Niet zeker informatie mag worden veranderd (bv: templates en sjablonen) Niet nodig gegevens kunnen zonder gevolgen langere tijd niet beschikbaar zijn (bv: ondersteunende tools als routeplanner) Laag Midden Hoog Bedrijfsvertrouwelijk informatie is toegankelijk voor alle medewerkers van de organisatie (bv: informatie op het intranet) Vertrouwelijk informatie is alleen toegankelijk voor een beperkte groep gebruikers (bv: persoonsgegevens, financiële gegevens Geheim informatie is alleen toegankelijk voor direct geadresseerde(n) (bv: zorggegevens en strafrechtelijke informatie) Beschermd het bedrijfsproces staat enkele (integriteits-)fouten toe (bv: rapportages) Hoog het bedrijfsproces staat zeer weinig fouten toe (bv: bedrijfsvoeringinformatie en primaire procesinformatie zoals vergunningen) Absoluut het bedrijfsproces staat geen fouten toe (bv: gemeentelijke informatie op de website) Noodzakelijk informatie mag incidenteel niet beschikbaar zijn (bv: administratieve gegevens) Belangrijk informatie moet vrijwel altijd beschikbaar zijn, continuïteit is belangrijk (bv: primaire proces informatie) Essentieel informatie mag alleen in uitzonderlijke situaties uitvallen, bijvoorbeeld bij calamiteiten (bv: basisregistraties)

13 10 Het bestaande beveiligingsbeleid kent reeds een gegevensclassificatie, voornamelijk op basis van vertrouwelijkheid (op grond van de wet bescherming Persoonsgegevens) en beschikbaarheid (bedrijfscontinuiteit). Deze gegevensclassificatie zal worden herijkt op basis van voorgaand schema (Agenda Informatiebeveiliging 2014/2015). De meeste onderscheiden categorieën spreken voor zich en hebben een wettelijke basis zoals de Wet bescherming Persoonsgegevens. De categorie bedrijfskritische gegevens moet echter nog nader worden gedefinieerd omdat nog niet scherp genoeg is afgebakend welke gegevens bedrijfskritisch zijn en welke niet. Met de invoering van de Baseline Informatiebeveiliging voor Gemeenten is het basis beveiligingsniveau bepaald dat geldt voor de gehele bedrijfsvoering van een gemeente. Hierdoor moeten alleen processen en systemen onderzocht worden waarvan verwacht wordt dat deze meer beveiligingsmaatregelen nodig hebben dan de Baseline. Met name de niveau s midden en hoog worden daarbij bekeken. 6 Wet- en regelgeving Uitgangspunt voor het informatiebeveiligingsbeleid is het voldoen aan wet- en regelgeving met betrekking tot het beveiligen van informatie en gegevensbestanden (compliance). Bijvoorbeeld wet- en regelgeving met betrekking tot specifieke gegevensbestanden, zoals de BRP en de BAG. Daarnaast heeft informatiebeveiliging ook raakvlakken met wetgeving op het gebied van openbaarheid van overheidsstukken en privacybescherming, met name de Wet Openbaarheid van Bestuur en de Wet Bescherming Persoonsgegevens. De Wet Openbaarheid van Bestuur (WOB) verplicht het gemeentebestuur om bij uitvoering van zijn taak actuele, nauwkeurige en vergelijkbare informatie te verstrekken, uitgaande van het algemeen belang van openbaarheid van informatie, tenzij een van de uitzonderingsgronden van de wet van toepassing is. Bij classificatie van gegevens dient de uitkomst getoetst te worden aan deze uitzonderingsgronden. De Wet Bescherming Persoonsgegevens (WBP) regelt de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. De WBP wordt naar verwachting per 1 januari 2015 (deels) vervangen door de Europese Privacyverordening (nog niet vastgesteld door de europese raad). Deze heeft rechtstreekse werking in de lidstaten. Over de implementatie van deze verordening bij de gemeente Delft zal najaar 2014 een voorstel worden gedaan. De nieuwe verordening verplicht de gemeente onder meer om een functionaris gegevensbescherming aan te stellen en stelt strengere eisen aan beveiliging van persoonsgegevens, met name aan de voorkant van het proces. Vóór de inrichting van een proces van verwerking van persoonsgegevens dient in kaart gebracht te worden wat de impact is van die verwerking op de privacy van betrokkenen, en wat de risico s zijn die met de verwerking gepaard gaan, via een zogenaamd Privacy Impact Assessment (PIA). Daarnaast komt er een meldplicht voor datalekken. Informatiebeveiliging en privacy-beleid zijn termen die soms door elkaar worden gebruikt. Bijvoorbeeld in het Sociaal Domein wordt in ministeriële brieven gesproken over privacy-beleid, terwijl de audits in hetzelfde domein uitgaan van informatiebeveiligingsbeleid.

14 11 Informatiebeveiliging en privacybescherming vallen niet één op één samen. Ze hebben een gemeenschappelijk raakvlak, en beide ook een eigen domein daarbuiten. Het informatiebeveiligingsbeleid voert de privacyregelgeving uit voor zo ver deze betrekking heeft op de opslag en verwerking van persoonsgegevens. De toegang van een burger tot zijn persoonsgegevens en het laten corrigeren van deze gegevens bijvoorbeeld behoren echter tot het domein van de privacyregelgeving. Het beschermen van andere gegevens dan persoonsgegevens zit in het domein van informatiebeveiliging en niet van de privacywetgeving. Hoe om te gaan met datalekken is een informatiebeveiligingsonderwerp, dat in de Privacy-verordening wordt geregeld. In het voorstel tot implementatie van de nieuwe Europese Privacy-verordening zullen afbakening en samenhang worden gepresenteerd. Bekeken wordt in hoeverre de uitvoering van privacy-beleid kan worden gecombineerd met informatiebeveiligingsbeleid, bijvoorbeeld in de governance.

15 12 Informatiebeveiliging Beleid 1. Doelstelling Het informatiebeveiligingsbeleid (IB-beleid) is het kader voor passende technische en organisatorische maatregelen om gemeentelijke informatie te beschermen en te waarborgen, dat de gemeente voldoet aan relevante wet- en regelgeving. Delft streeft er naar om in control te zijn en daarover op professionele wijze verantwoording af te leggen. In control betekent in dit verband dat de gemeente weet welke maatregelen genomen zijn, dat er een planning is van maatregelen die nog niet genomen zijn en als laatste dat dit geheel verankerd is in een PDCA-Cyclus. Het informatiebeveiligingsbeleid vormt een onlosmakelijk geheel met de informatiebeveiligingsstrategie van de gemeente. Gekozen is voor aansluiting bij de standaard van de Baseline Informatiebeveiliging Gemeenten (BIG). De in dit stuk benoemde beleidskaders corresponderen met de hoofdstukken 5 tot en met 15 uit de tactische variant van de BIG. Ze geven een nadere invulling van het gemeentelijk informatiebeveiligingsbeleid. Doelgroepen Het IB beleid is bedoeld voor alle in- en externe medewerkers van de gemeenten: Doelgroep College van B&W GMT Lijnmanagement Securityboard (SIB) Medewerkers Gegevenseigenaren Beleidmakers Security officer (IBF) HRM Facilitaire zaken ICT-Diensten Auditors Leveranciers en ketenpartners Rol IB-beleid Integrale verantwoordelijkheid Kaderstelling en implementatie Implementatie van informatieveiligheid Sturing op informatieveiligheid en controle op naleving Gedrag en naleving Classificatie: Bepalen van beschermingseisen van informatie Planvorming binnen IB-Kaders Dagelijkse coördinatie van IB Arbeidsvoorwaardelijke zaken Fysieke toegangsbeveiliging Technische en organisatorische beveiliging Externe onafhankelijke toetsing/controle Compliance aan IB-beleid gemeenten Reikwijdte De reikwijdte van dit beleid omvat alle gemeentelijke processen, onderliggende informatiesystemen, informatie en gegevens van de gemeente en externe partijen, het gebruik daarvan door medewerkers en partners. Hierbij ligt de focus op de huidige structuur, waarbij wel gekeken is naar afstemming met het beleid van Rijswijk met het oog op toekomstige samenwerking. IB-beleid en architectuur Informatiebeveiliging is onderdeel van de informatiearchitectuur van Delft. Het beschrijft onder meer principes, richtlijnen en maatregelen op basis van verschillende beschermingsniveaus. Dit

16 13 gemeentelijke IB-beleid is een algemene basis. Voor bepaalde kerntaken gelden op grond van wet- en regelgeving specifieke (aanvullende) beveiligingseisen. 2. Organisatie van de informatiebeveiliging 2.1 Interne organisatie Risico s Het niet expliciet beleggen van verantwoordelijkheden en bijbehorende activiteiten, procedures en instrumenten, verhindert het daadwerkelijk en structureel uitvoeren en borgen van de beheersmaatregelen. Doelstelling Beheren van de informatiebeveiliging binnen de organisaties waarbij beheerkaders zijn vastgesteld om de implementatie van informatiebeveiliging in de organisatie te initiëren en te beheersen. Verantwoordelijkheden Het college van B&W is integraal verantwoordelijk voor de beveiliging van informatie binnen de werkprocessen van de gemeente. Hierbij ligt de voornaamste taak voor het college B&W, met betrekking tot informatiebeveiliging, het vaststellen van beheerkaders en normenbepalingen. Het GMT is verantwoordelijk voor kaderstelling en sturing, zie beschrijving IB-governance structuur Delft inclusief het vaststellen van de Agenda voor Informatiebeveiliging. De securityboard (SIB) geeft namens het GMT invulling aan de sturende rol, door besluitvorming in het managementteam voor te bereiden en te adviseren. Daarnaast ziet de securityboard (SIB) toe op de uitvoering van het goedgekeurde beleid van het college van B&W. De lijnmanagers (afdelingshoofden) binnen de gemeente zijn verantwoordelijk voor de integrale beveiliging van hun organisatieonderdeel. Een lijnmanager: - stelt op basis van een expliciete risicoafweging betrouwbaarheidseisen voor zijn informatiesystemen vast (classificatie); - is verantwoordelijke voor de keuze, de implementatie en het uitdragen van de maatregelen die voortvloeien uit de betrouwbaarheidseisen; - stuurt op beveiligingsbewustzijn, bedrijfscontinuïteit en naleving van regels en richtlijnen. - rapporteert over compliance aan wet en regelgeving in zijn managementrapportage richting de securityboard en directie. De security officer (IBF) heeft een adviserende functie en controleert tevens voor de securityboard (SIB) op de uitvoering van het IB beleid van de gemeente. - IB-planning en control voorbereiden - Coördineren en evalueren incidenten - Communicatie eindgebruikers IB - Juist afhandelen van incidenten - Adviserende rol met betrekking tot lijnmanagers Security medewerker heeft vooral een monitorende rol en zorgt voor beveiligingsbewustwording bij de medewerkers. - Helpt de lijnmanager met de implementatie van de beveiligingsmaatregelen. - Verzorgt monitoring - Informeert de security officer bij geconstateerde beveiligingsincidenten.

17 Taken en rollen Het College van B&W stelt formeel het IB-beleid vast. Deze controle kan intern worden belegd maar zal jaarlijks ook door een onafhankelijk externe partij worden gedaan. De gemeentedirectie adviseert B&W formeel over vast te stellen beleid. De securityboard geeft namens het GMT invulling aan de sturende rol door besluitvorming in het GMT voor te bereiden en toe te zien op de uitvoering ervan. De IB taken die hieruit voortvloeien kunnen worden gedelegeerd naar de security officer (Informatiebeveiligingsfunctionaris of IBF). Deze adviseert tevens gevraagd en ongevraagd over IB. Daarnaast rapporteert de securityboard (SIB) eens per half jaar concern breed over de stand van zaken met betrekking tot IB. De coördinatie van informatiebeveiliging is belegd bij de security officer (IBF). Uitvoerende taken zijn zoveel mogelijk belegd bij het lijnmanagement. De gemeentelijke service organisatie (met name Informatiemanagement) heeft een informatiebeveiligingsmedewerker aangesteld voor dagelijks beheer van technische IBaspecten. Deze medewerker rapporteert aan de lijnmanager en informeert de security officer (IBF) De externe EDP-auditor onderzoekt ten minste 1 maal per jaar de stand van de informatiebeveiliging en rapporteert hierover aan College van B en W en Raad. 2.3 Rapportage en escalatielijn voor IB De lijnmanager (afdelingshoofd) rapporteert aan het GMT op IB aspecten via de standaard managementrapportage. Over het functioneren van informatiebeveiliging wordt halfjaarlijks aan de security board (SIB) gerapporteerd. De security officer (IBF) rapporteert aan het GMT, in het bijzonder het GMT-lid dat belast is met informatiebeveiliging, via de security board (SIB) Bij verschil van mening tussen de security officer (IBF) en de lijnmanager, wordt het geschilpunt voorgelegd aan de security board, en door het GMT-lid dat binnen het GMT verantwoordelijk is voor informatiebeveiligingsbeleid, besproken met de betrokken directeur. Indien niet tot overeenstemming wordt gekomen, wordt het geschilpunt besproken in het GMT. Indien een Collegelid betrokken is bij het geschilpunt, wordt het voorgelegd aan het College, als eindverantwoordelijke instantie voor Informatiebeveiliging, met advies van de externe EDP-auditor van de gemeente. 2.4 Externe partijen IB-beleid, landelijke normen en wet en regelgeving gelden ook voor externe partijen (leveranciers, ketenpartners) waarmee de gemeenten mee samenwerken (en informatie mee uitwisselt). Dit is gebaseerd op de beleidsregels voor externe partijen die zijn beschreven in de Baseline Informatiebeveiliging Nederlandse Gemeenten.

18 15 Bij contractuele overeenkomsten gelden in beginsel altijd de Algemene Inkoop Voorwaarden (AIV) van de gemeente Delft, waarin onder meer geheimhouding en aansprakelijkheid is geregeld. Afwijkingen op de AIV dienen te worden getoetst aan IB-beleid in samenspraak met de security officer. Vereiste beveiligingsmaatregelen worden aanvullend vastgelegd in contracten en/of bewerkersovereenkomsten. Daarin is onder meer geborgd dat beveiligingsincidenten onmiddellijk worden gerapporteerd en dat de gemeenten het recht heeft afspraken te (laten) controleren. Hiervoor kan gebruik worden gemaakt van een third party mededeling (TPM) of een ISAE verklaring. Voor het tot stand brengen van datakoppelingen met externe partijen, geldt naast generiek IBbeleid een gemeentelijke procedure Aanvragen van externe toegang intranet. Het doel van de procedure is risicobeheersing. Voor externe hosting van data en/of services gelden naast generiek IB-beleid de richtlijnen van cloud computing (NCSC). De gemeente is gehouden aan: - Regels omtrent grensoverschrijdend dataverkeer; - Toezicht op naleving van wet- en regelgeving door de externe partij(en); - Hoogste beveiligingseisen voor bijzondere categorieën gegevens - Melding bij college bescherming persoonsgegevens (CBP) bij doorgifte van persoonsgegevens naar derde landen (Buiten EU) De voorwaarden voor externe hosting worden nader uitgewerkt in een richtlijn.

19 PDCA-cyclus Informatiebeveiliging is een continu verbeterproces. Plan, do, check en act vormen samen het management systeem van informatiebeveiliging. Deze kwaliteitscyclus is in onderstaande figuur weergegeven. Figuur 1 Toelichting : Plan: De cyclus start met IB-beleid, gebaseerd op wet- en regelgeving, landelijke normen zoals de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en best practices,uitgewerkt in regels voor onder meer informatiegebruik, bedrijfscontinuïteit en naleving. Planning geschiedt jaarlijks door middel van de Agenda voor Informatiebeveiliging en wordt indien nodig tussentijds bijgesteld. De planning op hoofdlijnen wordt uitgewerkt door de securityboard (SIB). Afdelingsspecifieke activiteiten worden gepland in het afdelingsplan. Do: Het beleidskader is de basis voor risicomanagement, uitvoering van (technische) maatregelen en bevordering van beveiligingsbewustzijn. Uitvoering geschiedt op dagelijkse basis en maakt integraal onderdeel uit van het werkproces. Check: Control is onderdeel van het werkproces met als doel: waarborgen van de kwaliteit van informatie en ICT, en compliance aan wet- en regelgeving. Externe controle: betreft controle buiten het primaire proces door een auditor. Jaarlijks worden meer van dergelijke onderzoeken uitgevoerd, waarbij de securityboard in principe fungeert als opdrachtgever. Bevindingen worden gerapporteerd aan de securityboard (SIB), het GMT en het College. Act: De cyclus is rond met de uitvoering van verbeteracties op basis van check en externe controle. De cyclus is een continu proces; de bevindingen van controles zijn weer input voor de jaarplanning en beveiligingsplannen. De bevindingen worden in beginsel gerapporteerd aan de directie. Voor ingrijpende verbeteracties wordt een gevraagde beslissing voorgelegd.

20 Beheer van bedrijfsmiddelen 3.1 Verantwoordelijkheid voor bedrijfsmiddelen Risico s Bedrijfsmiddelen en informatie zijn blootgesteld aan risico s zoals diefstal, beschadiging of onoordeelkundig gebruik, waarbij niet voor alle ICT-configuratie items is vastgelegd wie de eigenaar/hoofdgebruiker is. Een gegevensbestand is een bedrijfsmiddel. Onduidelijkheid wie verantwoordelijk is voor gegevensbestanden, waardoor ook niemand verantwoordelijk is voor de beveiliging en kan optreden bij incidenten. Doelstelling Bereiken en handhaven van een adequate bescherming van bedrijfsmiddelen van de organisatie. Voor alle bedrijfsmiddelen is de eigenaar vastgelegd alsook de verantwoordelijke voor het handhaven van de beheersmaatregelen. Beheersmaatregelen Alle bedrijfsmiddelen moeten geïdentificeerd zijn en er moet een inventaris van worden bijgehouden. Alle informatie en bedrijfsmiddelen, die verband houden met ICT-voorzieningen moeten aan een 'eigenaar' (een deel van de organisatie) zijn toegewezen. Regels vaststellen, documenteren en implementeren voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met ICT-voorzieningen. Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming vooraf van de locatie worden meegenomen. De verantwoordelijkheid voor specifieke beheersmaatregelen mag door de eigenaar worden gedelegeerd, maar de eigenaar blijft verantwoordelijk voor een goede bescherming van de bedrijfsmiddelen. Medewerkers dienen bij het gebruik van ICT-middelen, social media en gemeentelijke informatie de nodige zorgvuldigheid te betrachten en de integriteit en goede naam van de gemeenten te waarborgen. Medewerkers gebruiken gemeentelijke informatie primair voor het uitvoeren van de aan hen opgedragen taken en het doel waarvoor de informatie is verstrekt. Privégebruik van gemeentelijke informatie en bestanden is niet toegestaan, ten zij het openbare gegevens betreft. Voor het werken op afstand en het gebruik van privémiddelen worden nadere regels opgesteld. Hoofdregel is dat de medewerker zich gedraagt zoals een goed ambtenaar betaamt. De medewerker is in ieder geval gehouden aan de volgende regels : - Illegale software mag niet worden gebruikt voor de uitvoering van het werk. - Er bestaat geen plicht de eigen computer te beveiligen, maar wel de gemeentelijke informatie daarop. - Het verbod op ongewenst gebruik in de (fysieke) kantooromgeving geldt ook als dat via de eigen computer plaatsvindt. De medewerker neemt passende technische en organisatorische maatregelen om gemeentelijke informatie te beveiligen tegen verlies of tegen enige vorm van onrechtmatig gebruik. De medewerker houdt hierbij in ieder geval rekening met: - de beveiligingsclassificatie van de informatie (zie hieronder);

21 18 - de door de gemeente gestelde beveiligingsvoorschriften (o.a. dit informatiebeveiligingsbeleid); - aan de werkplek verbonden risico s; - het risico van het benaderen van gemeentelijke informatie met andere dan door de gemeente verstrekte of goedgekeurde ICT-apparatuur. 3.2 Classificatie van informatie Om te kunnen bepalen welke beveiligingsmaatregelen moeten worden getroffen t.a.v. processen en informatiesystemen worden beveiligingsclassificaties gebruikt. Classificatie maakt het vereiste beschermingsniveau zichtbaar en maakt direct duidelijk welke maatregelen nodig zijn. Er wordt geclassificeerd op de drie betrouwbaarheidsaspecten van informatie: beschikbaarheid, integriteit (juistheid, volledigheid) en vertrouwelijkheid (BIV). Er zijn drie beschermingsniveaus van laag naar hoog. Daarnaast is er nog een niveau geen. Dit niveau geeft aan dat er geen beschermingseisen worden gesteld, bijvoorbeeld omdat informatie openbaar is. De niveaus zijn in onderstaande tabel weergegeven. Tussen haakjes staan voorbeelden. Deze niveaus zijn bedacht om het proces van classificeren te vereenvoudigen. Risico s: Geen inzicht in welke componenten, zowel hardware als software, het belangrijkst zijn voor de primaire processen. Onjuiste classificatie draagt bij aan het onjuist beschermen van informatie en bedrijfsmiddelen met als risico, dat deze verloren kunnen gaan of openbaar worden gemaakt terwijl dat niet de bedoeling is. Doelstelling Informatie heeft een geschikt niveau van bescherming. Classificatie van informatie om bij verwerking de noodzaak en bescherming te kunnen aangeven. Adequate niveaus van bescherming van informatie zijn gedefinieerd en de noodzaak voor aparte verwerkingsmaatregelen is gecommuniceerd. Beheersmaatregelen: Informatie classificeren met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie. Opstellen en uitdragen classificatiebeleid binnen de gemeente. Er dienen geschikte samenhangende procedures te worden ontwikkeld en geïmplementeerd voor de classificering en verwerking van informatie overeenkomstig het classificatiesysteem dat is vastgesteld.

22 19 Niveau Vertrouwelijkheid Integriteit Beschikbaarheid Geen Openbaar informatie mag door iedereen worden ingezien (bv: algemene informatie op de externe website van de gemeente Niet zeker informatie mag worden veranderd (bv: templates en sjablonen) Niet nodig gegevens kunnen zonder gevolgen langere tijd niet beschikbaar zijn (bv: ondersteunende tools als routeplanner) Laag Midden Hoog Bedrijfsvertrouwelijk informatie is toegankelijk voor alle medewerkers van de organisatie (bv: informatie op het intranet) Vertrouwelijk informatie is alleen toegankelijk voor een beperkte groep gebruikers (bv: persoonsgegevens, financiële gegevens Geheim informatie is alleen toegankelijk voor direct geadresseerde(n) (bv: zorggegevens en strafrechtelijke informatie) Beschermd het bedrijfsproces staat enkele (integriteits-)fouten toe (bv: rapportages) Hoog het bedrijfsproces staat zeer weinig fouten toe (bv: bedrijfsvoeringinformatie en primaire procesinformatie zoals vergunningen) Absoluut het bedrijfsproces staat geen fouten toe (bv: gemeentelijke informatie op de website) Noodzakelijk informatie mag incidenteel niet beschikbaar zijn (bv: administratieve gegevens) Belangrijk informatie moet vrijwel altijd beschikbaar zijn, continuïteit is belangrijk (bv: primaire proces informatie) Essentieel informatie mag alleen in uitzonderlijke situaties uitvallen, bijvoorbeeld bij calamiteiten (bv: basisregistraties) Principes van classificatie De volgende principes zijn het uitgangspunt voor (data) classificatie: De classificatietabel heeft betrekking op alle in beheer zijnde gegevensverzamelingen, gegevensdragers, informatiesystemen, servers en netwerkcomponenten. Het object van classificatie is informatie. De classificatie die door de soort informatie bepaald wordt geldt ook voor het hogere niveau van informatiesystemen (of informatieservices), dat wil zeggen dat als een systeem geheime informatie verwerkt het hele systeem als geheim wordt aangemerkt tenzij voor dat hogere niveau maatregelen genomen zijn binnen het informatiesysteem. Er wordt gestreefd naar een zo laag mogelijk classificatieniveau; te hoge classificatie leidt tot onnodige kosten. Bovendien dient informatie in beginsel voor zoveel mogelijk mensen beschikbaar zijn in het kader van een transparante overheid. Informatie kan meer of minder gevoelig of kritisch zijn. Voor bepaalde informatie kan een extra niveau van bescherming of een speciale verwerking nodig zijn. Als een informatiesysteem daarvoor maatregelen (applicatie controls) genomen heeft om delen van de systeeminformatie die hoger geclassificeerd is adequaat te beschermen op record of schermniveau, dan kan een systeem als geheel lager ingeschaald worden binnen de tabel en daarmee bijvoorbeeld alsnog binnen de baseline vallen. Alle classificaties van alle bedrijfskritische systemen zijn centraal vastgelegd door de eigenaren en dienen jaarlijks gecontroleerd te worden door de Securityboard.

23 20 De eigenaar van de gegevens (veelal ook de proceseigenaar) bepaalt het vereiste beschermingsniveau (classificatie). Indien sprake is van wettelijke eisen wordt dit expliciet aangegeven. De eigenaar van de gegevens bepaalt tevens wie toegang krijgt tot welke gegevens. De classificatie door de eigenaar wordt getoetst door de security officer. 4 Beveiliging van personeel Risico s Het aannemen of inhuren van nieuw personeel en het laten verrichten van werkzaamheden door externe medewerkers verdient extra aandacht, omdat menselijk falen en bedreigingen van menselijke aard significante invloed kunnen hebben op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Doelstelling Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden begrijpen, en geschikt zijn voor de rollen waarvoor zij worden overwogen, en om het risico van diefstal, fraude of misbruik van faciliteiten te verminderen. De verantwoordelijkheden ten aanzien van beveiliging is vóór het dienstverband vastgelegd in passende functiebeschrijvingen en in de arbeidsvoorwaarden. Alle kandidaten voor een aanstelling, ingehuurd personeel en externe gebruikers worden gescreend (bijv. Verklaring Omtrent het Gedrag), in het bijzonder voor vertrouwensfuncties. Werknemers, ingehuurd personeel en externe gebruikers, die ICT-voorzieningen gebruiken tekenen een overeenkomst over hun beveiligingsrollen en verantwoordelijkheden. Beheersmaatregelen Het lijnmanagement is verantwoordelijk voor het juist afhandelen van de beveiligingsaspecten van het aangaan, wijzigen en beëindigen van een dienstverband of een overeenkomst met externen. De HR-afdeling houdt toezicht op dit proces. Bij beëindiging van het dienstverband en inhuur worden alle bedrijfsmiddelen van de organisatie geretourneerd. Autorisaties worden in opdracht van het lijnmanagement geblokkeerd. Medewerkers die werken met vertrouwelijke of geheime informatie overleggen voor indiensttreding een Verklaring Omtrent het Gedrag (VOG). De VOG wordt indien nodig herhaald tijdens het dienstverband. Het lijnmanagement bepaalt welke rol(len) de medewerker moet vervullen en welke autorisaties voor het raadplegen, opvoeren, muteren en afvoeren van gegevens moeten worden verstrekt. Alle medewerkers (en voor zover van toepassing externe gebruikers van onze systemen) dienen training te krijgen in procedures die binnen de gemeente of afdeling gelden voor informatiebeveiliging. Deze training dient regelmatig te worden herhaald om het beveiligingsbewustzijn op peil te houden. Bij inbreuk op de beveiliging gelden voor medewerkers de gebruikelijke disciplinaire maatregelen, zoals onder meer genoemd in het Ambtenarenreglement en gemeentelijke regelingen. Regels die volgen uit dit beleid en andere gemeentelijke regelingen gelden ook voor externen, die in opdracht van de gemeente werkzaamheden uitvoeren.

24 21 Bewustwording De gemeenten/ de directies/ de securityboard/de afdeling bevordert algehele communicatie en bewustwording rondom informatieveiligheid. Het lijnmanagement bevordert dat medewerkers (en externe gebruikers van onze systemen) zich houden aan beveiligingsrichtlijnen. Afspraken hierover worden vastgelegd in het managementcontract. In werkoverleggen wordt periodiek aandacht geschonken aan informatieveiligheid. Voor zover relevant worden hierover afspraken vastgelegd. 5 Fysieke beveiliging en beveiliging van de omgeving Risico s Onbevoegde toegang tot kritieke systemen of waardevolle informatie. Bij het ontbreken van registratie zijn incidenten bovendien niet herleidbaar tot individuen. Door bijvoorbeeld de inzet van externen, de toeloop van leveranciers en andere niet medewerkers of het feit dat de medewerkers op meerdere locaties op geruime afstand van elkaar gevestigd zijn, is het betrekkelijk eenvoudig voor niet-medewerkers om toegang tot de panden te krijgen door tegelijk met een geautoriseerde medewerker naar binnen te gaan. Als informatie zichtbaar op bureaus ligt, is er een verhoogd risico m.b.t. de vertrouwelijkheid. Geen procedures voor het veilig verwijderen of hergebruiken van ICT-apparatuur. Bescherming van apparatuur, waaronder apparatuur die buiten de locatie wordt gebruikt en het verwijderen van bedrijfseigendommen, is noodzakelijk om het risico van toegang door onbevoegden tot informatie te verminderen en om de apparatuur en informatie te beschermen tegen verlies of schade. Doelstelling Het voorkomen van onbevoegde fysieke toegang tot, schade aan of verstoring van het terrein en de informatie van de organisatie, bedrijfsmiddelen en onderbreking van de bedrijfsactiviteiten. ICT-voorzieningen, die kritieke of gevoelige bedrijfsactiviteiten ondersteunen, behoren fysiek te worden ondergebracht in beveiligde ruimten, beschermd door afgegrensde beveiligde gebieden, in een gecontroleerde omgeving, beveiligd met geschikte beveiligingsbarrières en toegangsbeveiliging. Ze behoren fysiek te worden beschermd tegen toegang door onbevoegden, schade en storingen. Het voorkomen van verlies, schade of diefstal van apparatuur en bescherming tegen fysieke bedreigingen en gevaren van buitenaf. Beheersmaatregelen Belangrijke objecten (gebouwen) van de gemeente krijgen op basis van generieke profielen een risicoprofiel toegewezen. Dit is het generieke risicoprofiel dat het beste aansluit bij het object. De schade door bedreigingen van buitenaf (zoals brand, overstroming, explosies, oproer, stroomonderbreking) wordt beperkt door passende preventieve maatregelen. Toegang tot niet-openbare gedeelten van gebouwen of beveiligingszones is alleen mogelijk na autorisatie daartoe. De uitgifte van toegangsmiddelen wordt geregistreerd. In gebouwen met beveiligde zones houdt beveiligingspersoneel toezicht op de toegang. Hiervan wordt een registratie bijgehouden. De kwaliteit van toegangsmiddelen (deuren, sleutels, sloten, toegangspassen) is afgestemd op de zonering (en het risicoprofiel).

25 22 In panden van de gemeente kan gebruik worden gemaakt van cameratoezicht. Het gebruik van beeldmateriaal is beperkt door de Wet Bescherming Persoonsgegevens en nadere regels. De fysieke toegang tot ruimten waar zich informatie en ICT-voorzieningen bevinden is voorbehouden aan bevoegd personeel. Registratie van de verleende toegang ondersteunt de uitvoering van de toegangsregeling. Serverruimtes, datacenters en daaraan gekoppelde bekabelingsystemen zijn ingericht in lijn met geldende best practices. (Data)verbindingen worden beschermd tegen interceptie of beschadiging. Reserve apparatuur en back-ups zijn gescheiden in twee locaties of datacenters, om de gevolgen van een calamiteit te minimaliseren. Gegevens en programmatuur worden van apparatuur verwijderd of veilig overschreven, voordat de apparatuur wordt afgevoerd. Informatie wordt bewaard en vernietigd conform de Archiefwet 1995 en de daaruit voortvloeiende archiefbesluiten. Bezoekers/gasten staan altijd onder de verantwoording van de gastheer/gastvrouw. Hierdoor is de medewerker van de gemeente verantwoordelijk voor haar of zijn gast tot deze weer het pand verlaat. 6 Beveiliging van apparatuur en informatie Risico s Het ontbreken van documentatie kan leiden tot fouten, niet-uniforme wijze van gegevensinvoer, of in geval de beheerder/bediener uitvalt, tot problemen rondom de continuïteit. Onjuiste autorisaties kunnen leiden tot foutieve handelingen, fraude en verduistering. Het niet uitvoeren en vastleggen van technische en functionele applicatietesten en/of de resultaten hiervan, kan in bepaalde omstandigheden (tijdsdruk, vakantieperiodes, etc.) leiden tot een verhoogd risico van uitval of gegevens verlies. De gemeente gaat steeds meer samenwerken (en informatie uitwisselen) in ketens en besteedt meer taken uit. Bij beheer van systemen en gegevens door een derde partij, kan ook informatie van de gemeente op straat komen te liggen. De gemeente blijft verantwoordelijk voor de informatiebeveiliging van haar gegevens in dat deel van de keten, waarbij het beheer bij een andere partij ligt. Programmatuur en ICT-voorzieningen zijn kwetsbaar voor virussen. Het ontbreken van een regeling voor antivirus bescherming bij medewerkers thuis leidt tot hogere beveiligingsrisico s. Doelstellingen Waarborgen van een correcte en veilige bediening van ICT-voorzieningen. Vastgestelde verantwoordelijkheden en procedures voor beheer en bediening van alle ICTvoorzieningen. Dit omvat tevens de ontwikkeling van geschikte bedieningsinstructies. Toepassing, waar nodig, van functiescheiding om het risico van nalatigheid of opzettelijk misbruik te verminderen. 6.1 Beheersmaatregelen Organisatorische aspecten In beginsel mag niemand autorisaties hebben om een gehele cyclus van handelingen in een informatiesysteem te beheersen, zodanig dat beschikbaarheid, integriteit of vertrouwelijkheid