GEMEENTE DELFT. Informatiebeveiligingsbeleid. Strategie en Beleid
|
|
- Antoon Moens
- 7 jaren geleden
- Aantal bezoeken:
Transcriptie
1
2
3 GEMEENTE DELFT Informatiebeveiligingsbeleid Strategie en Beleid
4 1 Informatiebeveiliging Delft Strategie Informatievoorziening is van essentieel belang voor de continuïteit van de bedrijfsvoering van de Gemeente Delft. Zowel op papier als geautomatiseerd zijn wij bij ons dagelijks werk afhankelijk van de beschikbaarheid van betrouwbare informatie. Onze organisatie en onze informatievoorziening wordt blootgesteld aan een groot aantal bedreigingen, al dan niet opzettelijk van aard. Deze bedreigingen maken het noodzakelijk om gerichte maatregelen te treffen om de gerelateerde risico s tot een aanvaardbaar niveau te reduceren. Dit document beschrijft het beleid van de Gemeente Delft met betrekking tot de beveiliging van informatie en informatievoorziening. 1. Doelstelling en reikwijdte van informatiebeveiliging De gemeente Delft hanteert de volgende definitie voor Informatiebeveiliging: Informatiebeveiliging is het samenhangend geheel van preventieve, repressieve en herstelmaatregelen alsmede procedures en processen welke de beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiesystemen blijvend garanderen met als doel de continuïteit van de bedrijfsvoering te waarborgen en eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald, niveau te beperken. Opgemerkt wordt dat informatiebeveiliging een samenhangend stelsel van maatregelen omvat. Dit betekent dat de verschillende maatregelen die samen de informatiebeveiliging vormen niet los van elkaar worden getroffen, maar in onderlinge relatie met elkaar staan. Zoals in de voorgaande definitie is verwoord, richt informatiebeveiliging zich op de volgende drie aspecten van de informatievoorziening: Beschikbaarheid: het waarborgen dat geautoriseerde gebruikers, entiteiten of processen toegang hebben tot informatie en de informatiesystemen op de gewenste momenten. Integriteit; het waarborgen dat de informatie juist en volledig is en de informatiesystemen juiste en volledige informatie opslaan en verwerken. Vertrouwelijkheid: het waarborgen dat informatie alleen toegankelijk is voor personen, entiteiten of processen die hiertoe bevoegd / geautoriseerd zijn. Het stelsel van beveiligingsmaatregelen heeft tot doel een blijvend niveau van beveiliging te realiseren. Door een zorgvuldige borging wordt bereikt dat het gewenste niveau van beveiliging ook op langere termijn blijft gehandhaafd. Informatiebeveiliging is gericht op het realiseren van een optimaal niveau van beveiliging. Dit optimum wordt bereikt door een zorgvuldige afweging van kosten en baten.
5 2 Doelstelling informatiebeveiligingsbeleid Het opstellen van het informatiebeveiligingsbeleid binnen Gemeente Delft heeft tot doel de uitgangspunten met betrekking tot informatiebeveiliging binnen de Gemeente Delft vast te leggen en formeel vast te stellen. Hiermee vormt het beleid de leidraad voor alle betrokkenen bij informatiebeveiliging binnen de Gemeente Delft. De informatiebeveiligingsstrategie meldt de uitgangspunten. In het beleid worden daarop de kaders vastgelegd en in het informatiebeveiligingsplan worden de maatregelen om de risico s te beheersen vastgelegd. Werkingsgebied Het informatiebeveiligingsbeleid is van toepassing op alle organisatie onderdelen van de Gemeente Delft. Het informatiebeveiligingsbeleid is ook van toepassing op de gegevensuitwisseling van de Gemeente Delft met andere organisaties. Het beleid richt zich op onze eigen medewerkers, tijdelijk personeel en op personeel dat door derden wordt ingezet om diensten te verlenen aan onze organisatie. Informatiebeveiligingsbeleid heeft in principe betrekking op alle informatie, maar richt zich bij de uitwerking in eerste instantie vooral op digitaal verwerkte informatie. Proportioneel en riskbased Adequate informatiebeveiliging is voor Gemeente Delft gerelateerd aan een zorgvuldige afweging tussen: de noodzaak van het minimaliseren van veiligheidsrisico's; de gewenste mate van efficiency en effectiviteit van de inzet van mensen en middelen; de kosten en baten van informatiebeveiliging. Geldigheid document Informatiebeveiligingsbeleid Gemeente Delft Het in dit beleidsdocument geformuleerde informatiebeveiligingsbeleid geldt voor de gehele organisatie van Gemeente Delft ongeacht locatie of aard van werkzaamheden en is vastgesteld op 9 september 2014 en met onmiddellijke ingang van kracht. Dit document wordt elke 2 jaar geactualiseerd door de betrokken verantwoordelijken, waarbij in ieder geval wordt gekeken naar: Verandering van risico s Nieuwe wet- en regelgeving Ontwikkelingen met betrekking tot technische bedreigingen ten aanzien van gebruikte technologie Organisatorische wijzigingen en ontwikkelingen Verantwoordelijkheid informatiebeveiligingsbeleid Het College van B&W is eindverantwoordelijk voor het informatiebeveiligingsbeleid. Het College van B&W delegeert deze verantwoordelijkheid aan het Gemeentelijk Management Team (GMT). Eigenaren van processen en systemen dragen verantwoordelijkheid voor de beveiliging van de informatie die in hun processen en systemen wordt verwerkt en opgeslagen. Medewerkers hebben binnen de bestaande richtlijnen - een eigen verantwoordelijkheid voor de wijze waarop zij met informatie en de beveiliging daarvan omgaan
6 3 De beveiligingsfunctionaris (security officer) is verantwoordelijk voor het onderhouden van het informatiebeveiligingsbeleid, het toezien op het treffen en onderhouden van hieruit voortkomende beveiligingsmaatregelen en de controle hierop. 2. Informatiebeveiligingsstrategie De informatiebeveiligingsstrategie is gebaseerd op 3 bronnen: 1. Beoordeling van de risico s voor de organisatie, rekening houdend met de bedrijfsstrategie en bedrijfsdoelstellingen 2. Eisen uit wet- en regelgeving en aangegane contracten 3. Eigen uitgangspunten, doelstellingen en bedrijfseisen Informatiebeveiliging moet de primaire bedrijfsprocessen ondersteunen en de veilige en verantwoorde uitvoering daarvan mogelijk maken (business enabling). Iedere maatregel vloeit voort uit risico-analyse (riskbased), waarmee het belang voor de organisatie helder te maken is. Informatiebeveiliging dient juist vanuit het primaire proces gestuurd te worden, daar waar het eigenaarschap van de informatie ligt. De afdeling Informatiemanagement heeft daarbij een stimulerende rol, biedt deskundige ondersteuning en bewaakt het totale systeem van informatiebeveiliging. In de informatiebeveiligingsstrategie wordt aangesloten bij de gemeenschappelijke ontwikkeling van informatiebeveiligingsbeleid door KING. Gemeente Delft heeft zich ook aangesloten bij de Informatiebeveiligingsdienst (IBD) van KING zoals afgesproken in de BALV van de VNG inzake informatieveiligheid d.d. november Om te voorkomen dat gemeenten het wiel opnieuw uitvinden heeft KING in samenwerking met het Nationaal Cyber Security Center (NCSC) richtlijnen opgesteld waaraan gemeenten dienen te voldoen, uiteraard voor zo ver van toepassing op die specifieke gemeente. Deze zogenaamde Baseline Informatiebeveiliging Gemeenten (BIG, gebaseerd op ISO27002) wordt ook gevolgd voor het informatiebeveiligingsbeleid van Delft. Daarnaast wordt voor de technische configuratie de CIS baseline gehanteerd. Niet alles van deze baselines is al geïmplementeerd. In eerste instantie worden ze als richtsnoer gebruikt om de voornaamste zaken goed te regelen, op basis van de uitgangspunten riskbased en proportioneel. Een heldere en gedragen verdeling van rollen en verantwoordelijkheden (governance structuur ) met betrekking tot informatiebeveiliging is een belangrijke voorwaarde om het gewenste beveiligingsniveau te realiseren. Daarnaast is de menselijke factor van cruciaal belang. Acceptatie en bewustwording zijn de belangrijkste factoren voor succesvolle informatiebeveiliging. Het merendeel van alle incidenten kan geheel of gedeeltelijk worden toegeschreven aan menselijk falen. Bestuurders en ambtenaren moeten beseffen dat niet alleen de afdeling Informatie management verantwoordelijk is voor informatiebeveiliging, maar met name zij zelf. Zij moeten begrijpen waarom informatiebeveiliging belangrijk is, en op welke wijze informatiebeveiliging er voor zorgt dat zij hun burgers goed van dienst kunnen zijn.
7 4 3 Governance structuur Voor een goede beheersing van de risico s met betrekking tot informatiebeveiliging dienen rollen en verantwoordelijkheden duidelijk te zijn. In onderstaand schema is zijn rollen en verantwoordelijkheden in beeld gebracht. B&W GMT Security Board Interne/ Externe Controle Security Officer Lijnmanagement Lijnmanagement Lijnmanagement Beveiligingsfunctionaris Beveiligingsfunctionaris Beveiligingsfunctionaris Het college van B&W is integraal verantwoordelijk voor de informatiebeveiliging binnen de werkprocessen van de gemeente. De rol van het college ligt met name bij het vaststellen van kaders en normen. Het college informeert de gemeenteraad over de hoofdlijnen van informatiebeveiliging en de monitoring hiervan door middel van de commissie voor R & A. De raad kan zich hierbij laten ondersteunen door de externe EDP-auditor, op vergelijkbare wijze als de ondersteuning door de accountant. Het gemeentelijk managementteam is verantwoordelijk voor de voorbereiding van voorstellen voor kaderstelling en normenbepalingen aan het college van B&W. Bij accordering van het beleid door het college van B&W komt de verdere uitwerking en sturing te liggen bij het gemeentelijk managementteam. Het managementteam stuurt hierbij op risico s en controleert of de getroffen maatregelen overeenstemmen met de betrouwbaarheidseisen die zijn opgesteld vanuit wet- en regelgeving. Hierbij wordt gekeken of ze voldoende bescherming bieden tegen beveiligingsrisico s en worden de kaders periodiek geëvalueerd. Het GMT belast 1 GMT-lid specifiek met informatiebeveiligingsvraagstukken. De uitvoering van het informatiebeveiligingsbeleid is zo veel mogelijk belegd bij het lijnmanagement. Zij zijn verantwoordelijk voor het zodanig uitvoeren van het beleid dat beveiligingsrisico s tot een minimum worden beperkt. Hierbij is de lijnmanager als afdelingsmanager verantwoordelijk voor de implementatie en het uitdragen van de maatregelen binnen zijn afdeling. De lijnmanager is tevens
8 5 eigenaar van een proces en systeem, en als zodanig verantwoordelijk voor de classificatie van informatie en autorisatie van informatiebevoegdheden. Daarnaast is er in het organisatieschema een staffunctie op gebied van informatiebeveiliging opgenomen. De informatiebeveiligingsfunctionaris (security officer) heeft tot taak: Risico s te signaleren op het gebied van informatiebeveiliging, Bij incidenten te zorgen voor de juiste maatregelen, ook in acute situaties Monitoren van en rapporteren over uitvoeren van beleid en incidenten Adviseren over beleid en beleidsvoorbereiding bij nieuwe ontwikkelingen Het behartigen van het specifieke belang van informatiebeveiliging in de afstemming met informatie- en systeemeigenaren Deze rol wordt niet in de informatievoorzieningsketen ingevuld vanwege de vereiste functiescheiding met de uitvoering van het informatiemanagement. Deze functionaris wordt functioneel gepositioneerd bij de afdeling Control. De rol van security officer zal in de huidige situatie met veranderende regelgeving, de grotere impact van informatiebeveiliging en de groeiende hoeveelheid aan compliance regels in de komende jaren als fulltime functie moeten worden ingevuld (nu een piepkleine parttime rol). De Stuurgroep Informatiebeveiligingsbeleid SIB (securityboard) die in dit organisatieschema is opgenomen, ondersteunt de Informatiebeveiligingsfunctionaris (IBF,security officer) bij zijn taak. De securityboard (SIB) ziet toe op de uitvoering van het goedgekeurde beleid van het college van B&W en rapporteert eens per half jaar concern breed over de stand van zaken op het gebied van informatiebeveiliging. Daarbij kunnen ook nieuwe ontwikkelingen en aanpassing van beleid aan de orde komen. Daarnaast is de security board (SIB) het escalatieniveau in geval van incidenten en meningsverschillen met informatie- en systeemeigenaren. Bij inrichting van de governance alleen voor Delft is dit een beperkter overleg dan in een situatie met Rijswijk, waarin beide gemeenten vertegenwoordigd zullen zijn in de security board (SIB). Bij iedere lijnafdeling is een beveiligingsfunctionaris als rol opgenomen, gekoppeld aan een proces of systeem. De rol beveiligingsfunctionaris is een rol die is toebedeeld aan een afdelingsmedewerker die naast zijn standaard functie toezicht houdt op beveiligingsaspecten binnen zijn afdeling. Deze persoon heeft vooral een monitorende functie en creëert daarbij tevens beveiligingsbewustwording binnen zijn afdeling. In de praktijk blijkt deze rol weinig extra belasting met zich mee te brengen maar wel de informatiebeveiliging positief bevordert. In veel gevallen wordt de kwaliteitsmedewerker belast met deze taak. De beveiligingsfunctionaris legt verantwoording af aan zijn lijnmanager, en informeert de security officer (IBF) bij geconstateerde gebreken. De externe EDP-auditor 1 beoordeelt de processen en risico s met betrekking tot informatiebeveiliging, vergelijkbaar met de rol van de accountant. De externe EDP-auditor verricht audits ten behoeve van interne en externe vraagstukken, en treedt zo nodig op als adviseur van de raad. 1 EDP=Electronic Data Processing
9 6 Rollen beschreven via het RACI Model (Responsible,Accountable,Consulted, Informed) Het RACI Model is een matrix waarbij rollen en verantwoordelijkheden worden weergegeven. Hierbij is in de matrix hieronder de volgende indeling gemaakt; richting gevend, sturend en uitvoerend niveau. Hierbij staat Responsible voor Verantwoordelijk, Accountable voor eindverantwoordelijk, Consulted voor geraadpleegd en Informed voor geïnformeerd. Rollen beschreven via het RACI Model (Responsible,Accountable,Consulted, Informed) Richtinggevend B& W GMT Securit y- Board Securit y officer Lijnmanage r Beveiligings - functionaris Vaststellen AR C C I I - Informatiebeveiligingsbeleid Bepalen normen en werkprocessen - A R R C C IB Strategie Organisatie t.b.v. IB inrichten - A R R I - IB-planning en control vaststellen - A R C I - Sturend Uitvoeren d Business continuity management - A R Voorbereiden normen en wijze van - A R R I - toetsen Evalueren security beleid en - A R R I - maatregelen Begeleiding externe audits - - A R R - Waarborgen Informatie Classificatie - - A R R - model Risico analyse IB - A R R R - Implementeren IB-maatregelen - - I C AR I Coördineren en evalueren - - A R R I incidenten Communicatie eindgebruikers IB - - A R R I Dagelijks beheer IB I A R Juist afhandelen van - - A R R I beveiligingsaspecten Impactanalyse / Risicoanalyse incident - - A R R I
10 7 4 Risico-analyse Risico-analyse ligt aan de basis van informatiebeveiligingsbeleid. Risico s zijn mogelijke inbreuken op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Het resultaat van de risico-analyse wordt vergeleken met de in werking zijnde beheersmaatregelen. Dit is de GAP-analyse. In de Agenda voor informatiebeveiliging worden alle nog te treffen maatregelen opgenomen en geprioriteerd. Aanpak risico-analyse Aan de BIG ligt een algemeen op gemeenten toepasbare risico-analyse ten grondslag. Volgens IBD /KING is dat in beginsel voldoende als risico-analyse voor een gemeente die de BIG volgt. In september 2014 komt IBD/KING met een nieuwe methode van risico-analyse, waarbij stakeholders zoals proceseigenaren en applicatiebeheerders maar ook collegeleden en raadsleden, betrokken kunnen worden. Dat vergroot ook hun betrokkenheid bij het thema Informatiebeveiliging. Als deze nieuwe methode toepasbaar blijkt te zijn, wordt hiermee een nieuwe specifieke risico-analyse voor Delft opgezet. Omdat uit de plaatselijke situatie van een gemeente specifieke risico s kunnen voortvloeien, die ook in kaart moeten worden gebracht, heeft Delft begin 2012 zelf een risico-analyse laten uitvoeren door middel van workshops met proceseigenaren en applicatiebeheerders. Deze analyse leverde echter een onvoldoende scherp risicoprofiel op om prioriteiten te stellen. Voor dit moment gaan we daarom uit van de risico s zoals zijn gesignaleerd door externe EDPauditors. Met name de EDP-audit bij de managementletter 2013 van de accountant geeft een bruikbaar profiel van de actuele risico s. Het oordeel van de EDP-auditors: De maatregelen voor intern beheerde informatiesystemen zijn sterk Onvoldoende zekerheid over de betrouwbaarheid, beschikbaarheid en integriteit van uitbestede processen en informatiesystemen, met name omdat de contracten met de leveranciers niet op alle punten afdoende zijn geregeld. Informatiebeveiliging bij inkoop adequaat regelen.
11 8 Vraag is of de informatiebeveiliging voldoende geregeld is met het oog op nieuwe ontwikkelingen zoals werken met virtuele werkplekken, werken in de cloud, gebruik van sociale media Vraag is of er voldoende inzicht is in de opslag en verwerking van kritieke gegevens binnen de gemeente Governance, organisatie, rollen en bevoegdheden inzake preventie, detectie en response inzake informatiebeveiliging dienen adequaat geregeld en recent vastgesteld te zijn. Dit betekent dat deze thema s op de Agenda voor Informatiebeveiliging terug zullen komen. Het laatste punt wordt met deze nota IBV geregeld. In het najaar zal bij voorkeur aan de hand van de nieuwe IBD/KING methode - opnieuw een specifieke risico-analyse voor Delft worden uitgevoerd. Het is de bedoeling deze minimaal iedere 2 jaar te herhalen.
12 9 5 Kern: beveiligen van opslag en verwerking van gegevens De kern van informatiebeveiliging ligt in het beveiligen van opslag en verwerking van gegevens waarvoor de gemeente verantwoordelijk is. Daarbij gaat het met name om kritieke gegevens, zoals persoonsgegevens en andere gegevens die burgers, bedrijven en andere overheden aan de gemeente hebben toevertrouwd. Om meer inhoud te geven aan het begrip kritieke gegevens is een systeem van gegevensclassificatie ontwikkeld. Aan iedere categorie gegevens is een label gegeven over de aard van de gegevens, de mate van vertrouwelijkheid en de bijbehorende beveiligingseisen. Het toekennen van classificatieniveaus aan data en/of informatiesystemen is van groot belang, omdat daarmee het (vereiste) beschermingsniveau kenbaar gemaakt wordt. Aan de hand hiervan kan worden bepaald welke beveiligingseisen gelden en welke maatregelen moeten worden genomen. Het informatiebeveiligingsbeleid van de gemeente Delft beschrijft globaal de normen voor beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Het volgende kader voor classificatie wordt daarbij gehanteerd: Niveau Vertrouwelijkheid Integriteit Beschikbaarheid Geen Openbaar informatie mag door iedereen worden ingezien (bv: algemene informatie op de externe website van de gemeente Niet zeker informatie mag worden veranderd (bv: templates en sjablonen) Niet nodig gegevens kunnen zonder gevolgen langere tijd niet beschikbaar zijn (bv: ondersteunende tools als routeplanner) Laag Midden Hoog Bedrijfsvertrouwelijk informatie is toegankelijk voor alle medewerkers van de organisatie (bv: informatie op het intranet) Vertrouwelijk informatie is alleen toegankelijk voor een beperkte groep gebruikers (bv: persoonsgegevens, financiële gegevens Geheim informatie is alleen toegankelijk voor direct geadresseerde(n) (bv: zorggegevens en strafrechtelijke informatie) Beschermd het bedrijfsproces staat enkele (integriteits-)fouten toe (bv: rapportages) Hoog het bedrijfsproces staat zeer weinig fouten toe (bv: bedrijfsvoeringinformatie en primaire procesinformatie zoals vergunningen) Absoluut het bedrijfsproces staat geen fouten toe (bv: gemeentelijke informatie op de website) Noodzakelijk informatie mag incidenteel niet beschikbaar zijn (bv: administratieve gegevens) Belangrijk informatie moet vrijwel altijd beschikbaar zijn, continuïteit is belangrijk (bv: primaire proces informatie) Essentieel informatie mag alleen in uitzonderlijke situaties uitvallen, bijvoorbeeld bij calamiteiten (bv: basisregistraties)
13 10 Het bestaande beveiligingsbeleid kent reeds een gegevensclassificatie, voornamelijk op basis van vertrouwelijkheid (op grond van de wet bescherming Persoonsgegevens) en beschikbaarheid (bedrijfscontinuiteit). Deze gegevensclassificatie zal worden herijkt op basis van voorgaand schema (Agenda Informatiebeveiliging 2014/2015). De meeste onderscheiden categorieën spreken voor zich en hebben een wettelijke basis zoals de Wet bescherming Persoonsgegevens. De categorie bedrijfskritische gegevens moet echter nog nader worden gedefinieerd omdat nog niet scherp genoeg is afgebakend welke gegevens bedrijfskritisch zijn en welke niet. Met de invoering van de Baseline Informatiebeveiliging voor Gemeenten is het basis beveiligingsniveau bepaald dat geldt voor de gehele bedrijfsvoering van een gemeente. Hierdoor moeten alleen processen en systemen onderzocht worden waarvan verwacht wordt dat deze meer beveiligingsmaatregelen nodig hebben dan de Baseline. Met name de niveau s midden en hoog worden daarbij bekeken. 6 Wet- en regelgeving Uitgangspunt voor het informatiebeveiligingsbeleid is het voldoen aan wet- en regelgeving met betrekking tot het beveiligen van informatie en gegevensbestanden (compliance). Bijvoorbeeld wet- en regelgeving met betrekking tot specifieke gegevensbestanden, zoals de BRP en de BAG. Daarnaast heeft informatiebeveiliging ook raakvlakken met wetgeving op het gebied van openbaarheid van overheidsstukken en privacybescherming, met name de Wet Openbaarheid van Bestuur en de Wet Bescherming Persoonsgegevens. De Wet Openbaarheid van Bestuur (WOB) verplicht het gemeentebestuur om bij uitvoering van zijn taak actuele, nauwkeurige en vergelijkbare informatie te verstrekken, uitgaande van het algemeen belang van openbaarheid van informatie, tenzij een van de uitzonderingsgronden van de wet van toepassing is. Bij classificatie van gegevens dient de uitkomst getoetst te worden aan deze uitzonderingsgronden. De Wet Bescherming Persoonsgegevens (WBP) regelt de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. De WBP wordt naar verwachting per 1 januari 2015 (deels) vervangen door de Europese Privacyverordening (nog niet vastgesteld door de europese raad). Deze heeft rechtstreekse werking in de lidstaten. Over de implementatie van deze verordening bij de gemeente Delft zal najaar 2014 een voorstel worden gedaan. De nieuwe verordening verplicht de gemeente onder meer om een functionaris gegevensbescherming aan te stellen en stelt strengere eisen aan beveiliging van persoonsgegevens, met name aan de voorkant van het proces. Vóór de inrichting van een proces van verwerking van persoonsgegevens dient in kaart gebracht te worden wat de impact is van die verwerking op de privacy van betrokkenen, en wat de risico s zijn die met de verwerking gepaard gaan, via een zogenaamd Privacy Impact Assessment (PIA). Daarnaast komt er een meldplicht voor datalekken. Informatiebeveiliging en privacy-beleid zijn termen die soms door elkaar worden gebruikt. Bijvoorbeeld in het Sociaal Domein wordt in ministeriële brieven gesproken over privacy-beleid, terwijl de audits in hetzelfde domein uitgaan van informatiebeveiligingsbeleid.
14 11 Informatiebeveiliging en privacybescherming vallen niet één op één samen. Ze hebben een gemeenschappelijk raakvlak, en beide ook een eigen domein daarbuiten. Het informatiebeveiligingsbeleid voert de privacyregelgeving uit voor zo ver deze betrekking heeft op de opslag en verwerking van persoonsgegevens. De toegang van een burger tot zijn persoonsgegevens en het laten corrigeren van deze gegevens bijvoorbeeld behoren echter tot het domein van de privacyregelgeving. Het beschermen van andere gegevens dan persoonsgegevens zit in het domein van informatiebeveiliging en niet van de privacywetgeving. Hoe om te gaan met datalekken is een informatiebeveiligingsonderwerp, dat in de Privacy-verordening wordt geregeld. In het voorstel tot implementatie van de nieuwe Europese Privacy-verordening zullen afbakening en samenhang worden gepresenteerd. Bekeken wordt in hoeverre de uitvoering van privacy-beleid kan worden gecombineerd met informatiebeveiligingsbeleid, bijvoorbeeld in de governance.
15 12 Informatiebeveiliging Beleid 1. Doelstelling Het informatiebeveiligingsbeleid (IB-beleid) is het kader voor passende technische en organisatorische maatregelen om gemeentelijke informatie te beschermen en te waarborgen, dat de gemeente voldoet aan relevante wet- en regelgeving. Delft streeft er naar om in control te zijn en daarover op professionele wijze verantwoording af te leggen. In control betekent in dit verband dat de gemeente weet welke maatregelen genomen zijn, dat er een planning is van maatregelen die nog niet genomen zijn en als laatste dat dit geheel verankerd is in een PDCA-Cyclus. Het informatiebeveiligingsbeleid vormt een onlosmakelijk geheel met de informatiebeveiligingsstrategie van de gemeente. Gekozen is voor aansluiting bij de standaard van de Baseline Informatiebeveiliging Gemeenten (BIG). De in dit stuk benoemde beleidskaders corresponderen met de hoofdstukken 5 tot en met 15 uit de tactische variant van de BIG. Ze geven een nadere invulling van het gemeentelijk informatiebeveiligingsbeleid. Doelgroepen Het IB beleid is bedoeld voor alle in- en externe medewerkers van de gemeenten: Doelgroep College van B&W GMT Lijnmanagement Securityboard (SIB) Medewerkers Gegevenseigenaren Beleidmakers Security officer (IBF) HRM Facilitaire zaken ICT-Diensten Auditors Leveranciers en ketenpartners Rol IB-beleid Integrale verantwoordelijkheid Kaderstelling en implementatie Implementatie van informatieveiligheid Sturing op informatieveiligheid en controle op naleving Gedrag en naleving Classificatie: Bepalen van beschermingseisen van informatie Planvorming binnen IB-Kaders Dagelijkse coördinatie van IB Arbeidsvoorwaardelijke zaken Fysieke toegangsbeveiliging Technische en organisatorische beveiliging Externe onafhankelijke toetsing/controle Compliance aan IB-beleid gemeenten Reikwijdte De reikwijdte van dit beleid omvat alle gemeentelijke processen, onderliggende informatiesystemen, informatie en gegevens van de gemeente en externe partijen, het gebruik daarvan door medewerkers en partners. Hierbij ligt de focus op de huidige structuur, waarbij wel gekeken is naar afstemming met het beleid van Rijswijk met het oog op toekomstige samenwerking. IB-beleid en architectuur Informatiebeveiliging is onderdeel van de informatiearchitectuur van Delft. Het beschrijft onder meer principes, richtlijnen en maatregelen op basis van verschillende beschermingsniveaus. Dit
16 13 gemeentelijke IB-beleid is een algemene basis. Voor bepaalde kerntaken gelden op grond van wet- en regelgeving specifieke (aanvullende) beveiligingseisen. 2. Organisatie van de informatiebeveiliging 2.1 Interne organisatie Risico s Het niet expliciet beleggen van verantwoordelijkheden en bijbehorende activiteiten, procedures en instrumenten, verhindert het daadwerkelijk en structureel uitvoeren en borgen van de beheersmaatregelen. Doelstelling Beheren van de informatiebeveiliging binnen de organisaties waarbij beheerkaders zijn vastgesteld om de implementatie van informatiebeveiliging in de organisatie te initiëren en te beheersen. Verantwoordelijkheden Het college van B&W is integraal verantwoordelijk voor de beveiliging van informatie binnen de werkprocessen van de gemeente. Hierbij ligt de voornaamste taak voor het college B&W, met betrekking tot informatiebeveiliging, het vaststellen van beheerkaders en normenbepalingen. Het GMT is verantwoordelijk voor kaderstelling en sturing, zie beschrijving IB-governance structuur Delft inclusief het vaststellen van de Agenda voor Informatiebeveiliging. De securityboard (SIB) geeft namens het GMT invulling aan de sturende rol, door besluitvorming in het managementteam voor te bereiden en te adviseren. Daarnaast ziet de securityboard (SIB) toe op de uitvoering van het goedgekeurde beleid van het college van B&W. De lijnmanagers (afdelingshoofden) binnen de gemeente zijn verantwoordelijk voor de integrale beveiliging van hun organisatieonderdeel. Een lijnmanager: - stelt op basis van een expliciete risicoafweging betrouwbaarheidseisen voor zijn informatiesystemen vast (classificatie); - is verantwoordelijke voor de keuze, de implementatie en het uitdragen van de maatregelen die voortvloeien uit de betrouwbaarheidseisen; - stuurt op beveiligingsbewustzijn, bedrijfscontinuïteit en naleving van regels en richtlijnen. - rapporteert over compliance aan wet en regelgeving in zijn managementrapportage richting de securityboard en directie. De security officer (IBF) heeft een adviserende functie en controleert tevens voor de securityboard (SIB) op de uitvoering van het IB beleid van de gemeente. - IB-planning en control voorbereiden - Coördineren en evalueren incidenten - Communicatie eindgebruikers IB - Juist afhandelen van incidenten - Adviserende rol met betrekking tot lijnmanagers Security medewerker heeft vooral een monitorende rol en zorgt voor beveiligingsbewustwording bij de medewerkers. - Helpt de lijnmanager met de implementatie van de beveiligingsmaatregelen. - Verzorgt monitoring - Informeert de security officer bij geconstateerde beveiligingsincidenten.
17 Taken en rollen Het College van B&W stelt formeel het IB-beleid vast. Deze controle kan intern worden belegd maar zal jaarlijks ook door een onafhankelijk externe partij worden gedaan. De gemeentedirectie adviseert B&W formeel over vast te stellen beleid. De securityboard geeft namens het GMT invulling aan de sturende rol door besluitvorming in het GMT voor te bereiden en toe te zien op de uitvoering ervan. De IB taken die hieruit voortvloeien kunnen worden gedelegeerd naar de security officer (Informatiebeveiligingsfunctionaris of IBF). Deze adviseert tevens gevraagd en ongevraagd over IB. Daarnaast rapporteert de securityboard (SIB) eens per half jaar concern breed over de stand van zaken met betrekking tot IB. De coördinatie van informatiebeveiliging is belegd bij de security officer (IBF). Uitvoerende taken zijn zoveel mogelijk belegd bij het lijnmanagement. De gemeentelijke service organisatie (met name Informatiemanagement) heeft een informatiebeveiligingsmedewerker aangesteld voor dagelijks beheer van technische IBaspecten. Deze medewerker rapporteert aan de lijnmanager en informeert de security officer (IBF) De externe EDP-auditor onderzoekt ten minste 1 maal per jaar de stand van de informatiebeveiliging en rapporteert hierover aan College van B en W en Raad. 2.3 Rapportage en escalatielijn voor IB De lijnmanager (afdelingshoofd) rapporteert aan het GMT op IB aspecten via de standaard managementrapportage. Over het functioneren van informatiebeveiliging wordt halfjaarlijks aan de security board (SIB) gerapporteerd. De security officer (IBF) rapporteert aan het GMT, in het bijzonder het GMT-lid dat belast is met informatiebeveiliging, via de security board (SIB) Bij verschil van mening tussen de security officer (IBF) en de lijnmanager, wordt het geschilpunt voorgelegd aan de security board, en door het GMT-lid dat binnen het GMT verantwoordelijk is voor informatiebeveiligingsbeleid, besproken met de betrokken directeur. Indien niet tot overeenstemming wordt gekomen, wordt het geschilpunt besproken in het GMT. Indien een Collegelid betrokken is bij het geschilpunt, wordt het voorgelegd aan het College, als eindverantwoordelijke instantie voor Informatiebeveiliging, met advies van de externe EDP-auditor van de gemeente. 2.4 Externe partijen IB-beleid, landelijke normen en wet en regelgeving gelden ook voor externe partijen (leveranciers, ketenpartners) waarmee de gemeenten mee samenwerken (en informatie mee uitwisselt). Dit is gebaseerd op de beleidsregels voor externe partijen die zijn beschreven in de Baseline Informatiebeveiliging Nederlandse Gemeenten.
18 15 Bij contractuele overeenkomsten gelden in beginsel altijd de Algemene Inkoop Voorwaarden (AIV) van de gemeente Delft, waarin onder meer geheimhouding en aansprakelijkheid is geregeld. Afwijkingen op de AIV dienen te worden getoetst aan IB-beleid in samenspraak met de security officer. Vereiste beveiligingsmaatregelen worden aanvullend vastgelegd in contracten en/of bewerkersovereenkomsten. Daarin is onder meer geborgd dat beveiligingsincidenten onmiddellijk worden gerapporteerd en dat de gemeenten het recht heeft afspraken te (laten) controleren. Hiervoor kan gebruik worden gemaakt van een third party mededeling (TPM) of een ISAE verklaring. Voor het tot stand brengen van datakoppelingen met externe partijen, geldt naast generiek IBbeleid een gemeentelijke procedure Aanvragen van externe toegang intranet. Het doel van de procedure is risicobeheersing. Voor externe hosting van data en/of services gelden naast generiek IB-beleid de richtlijnen van cloud computing (NCSC). De gemeente is gehouden aan: - Regels omtrent grensoverschrijdend dataverkeer; - Toezicht op naleving van wet- en regelgeving door de externe partij(en); - Hoogste beveiligingseisen voor bijzondere categorieën gegevens - Melding bij college bescherming persoonsgegevens (CBP) bij doorgifte van persoonsgegevens naar derde landen (Buiten EU) De voorwaarden voor externe hosting worden nader uitgewerkt in een richtlijn.
19 PDCA-cyclus Informatiebeveiliging is een continu verbeterproces. Plan, do, check en act vormen samen het management systeem van informatiebeveiliging. Deze kwaliteitscyclus is in onderstaande figuur weergegeven. Figuur 1 Toelichting : Plan: De cyclus start met IB-beleid, gebaseerd op wet- en regelgeving, landelijke normen zoals de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en best practices,uitgewerkt in regels voor onder meer informatiegebruik, bedrijfscontinuïteit en naleving. Planning geschiedt jaarlijks door middel van de Agenda voor Informatiebeveiliging en wordt indien nodig tussentijds bijgesteld. De planning op hoofdlijnen wordt uitgewerkt door de securityboard (SIB). Afdelingsspecifieke activiteiten worden gepland in het afdelingsplan. Do: Het beleidskader is de basis voor risicomanagement, uitvoering van (technische) maatregelen en bevordering van beveiligingsbewustzijn. Uitvoering geschiedt op dagelijkse basis en maakt integraal onderdeel uit van het werkproces. Check: Control is onderdeel van het werkproces met als doel: waarborgen van de kwaliteit van informatie en ICT, en compliance aan wet- en regelgeving. Externe controle: betreft controle buiten het primaire proces door een auditor. Jaarlijks worden meer van dergelijke onderzoeken uitgevoerd, waarbij de securityboard in principe fungeert als opdrachtgever. Bevindingen worden gerapporteerd aan de securityboard (SIB), het GMT en het College. Act: De cyclus is rond met de uitvoering van verbeteracties op basis van check en externe controle. De cyclus is een continu proces; de bevindingen van controles zijn weer input voor de jaarplanning en beveiligingsplannen. De bevindingen worden in beginsel gerapporteerd aan de directie. Voor ingrijpende verbeteracties wordt een gevraagde beslissing voorgelegd.
20 Beheer van bedrijfsmiddelen 3.1 Verantwoordelijkheid voor bedrijfsmiddelen Risico s Bedrijfsmiddelen en informatie zijn blootgesteld aan risico s zoals diefstal, beschadiging of onoordeelkundig gebruik, waarbij niet voor alle ICT-configuratie items is vastgelegd wie de eigenaar/hoofdgebruiker is. Een gegevensbestand is een bedrijfsmiddel. Onduidelijkheid wie verantwoordelijk is voor gegevensbestanden, waardoor ook niemand verantwoordelijk is voor de beveiliging en kan optreden bij incidenten. Doelstelling Bereiken en handhaven van een adequate bescherming van bedrijfsmiddelen van de organisatie. Voor alle bedrijfsmiddelen is de eigenaar vastgelegd alsook de verantwoordelijke voor het handhaven van de beheersmaatregelen. Beheersmaatregelen Alle bedrijfsmiddelen moeten geïdentificeerd zijn en er moet een inventaris van worden bijgehouden. Alle informatie en bedrijfsmiddelen, die verband houden met ICT-voorzieningen moeten aan een 'eigenaar' (een deel van de organisatie) zijn toegewezen. Regels vaststellen, documenteren en implementeren voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met ICT-voorzieningen. Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming vooraf van de locatie worden meegenomen. De verantwoordelijkheid voor specifieke beheersmaatregelen mag door de eigenaar worden gedelegeerd, maar de eigenaar blijft verantwoordelijk voor een goede bescherming van de bedrijfsmiddelen. Medewerkers dienen bij het gebruik van ICT-middelen, social media en gemeentelijke informatie de nodige zorgvuldigheid te betrachten en de integriteit en goede naam van de gemeenten te waarborgen. Medewerkers gebruiken gemeentelijke informatie primair voor het uitvoeren van de aan hen opgedragen taken en het doel waarvoor de informatie is verstrekt. Privégebruik van gemeentelijke informatie en bestanden is niet toegestaan, ten zij het openbare gegevens betreft. Voor het werken op afstand en het gebruik van privémiddelen worden nadere regels opgesteld. Hoofdregel is dat de medewerker zich gedraagt zoals een goed ambtenaar betaamt. De medewerker is in ieder geval gehouden aan de volgende regels : - Illegale software mag niet worden gebruikt voor de uitvoering van het werk. - Er bestaat geen plicht de eigen computer te beveiligen, maar wel de gemeentelijke informatie daarop. - Het verbod op ongewenst gebruik in de (fysieke) kantooromgeving geldt ook als dat via de eigen computer plaatsvindt. De medewerker neemt passende technische en organisatorische maatregelen om gemeentelijke informatie te beveiligen tegen verlies of tegen enige vorm van onrechtmatig gebruik. De medewerker houdt hierbij in ieder geval rekening met: - de beveiligingsclassificatie van de informatie (zie hieronder);
21 18 - de door de gemeente gestelde beveiligingsvoorschriften (o.a. dit informatiebeveiligingsbeleid); - aan de werkplek verbonden risico s; - het risico van het benaderen van gemeentelijke informatie met andere dan door de gemeente verstrekte of goedgekeurde ICT-apparatuur. 3.2 Classificatie van informatie Om te kunnen bepalen welke beveiligingsmaatregelen moeten worden getroffen t.a.v. processen en informatiesystemen worden beveiligingsclassificaties gebruikt. Classificatie maakt het vereiste beschermingsniveau zichtbaar en maakt direct duidelijk welke maatregelen nodig zijn. Er wordt geclassificeerd op de drie betrouwbaarheidsaspecten van informatie: beschikbaarheid, integriteit (juistheid, volledigheid) en vertrouwelijkheid (BIV). Er zijn drie beschermingsniveaus van laag naar hoog. Daarnaast is er nog een niveau geen. Dit niveau geeft aan dat er geen beschermingseisen worden gesteld, bijvoorbeeld omdat informatie openbaar is. De niveaus zijn in onderstaande tabel weergegeven. Tussen haakjes staan voorbeelden. Deze niveaus zijn bedacht om het proces van classificeren te vereenvoudigen. Risico s: Geen inzicht in welke componenten, zowel hardware als software, het belangrijkst zijn voor de primaire processen. Onjuiste classificatie draagt bij aan het onjuist beschermen van informatie en bedrijfsmiddelen met als risico, dat deze verloren kunnen gaan of openbaar worden gemaakt terwijl dat niet de bedoeling is. Doelstelling Informatie heeft een geschikt niveau van bescherming. Classificatie van informatie om bij verwerking de noodzaak en bescherming te kunnen aangeven. Adequate niveaus van bescherming van informatie zijn gedefinieerd en de noodzaak voor aparte verwerkingsmaatregelen is gecommuniceerd. Beheersmaatregelen: Informatie classificeren met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie. Opstellen en uitdragen classificatiebeleid binnen de gemeente. Er dienen geschikte samenhangende procedures te worden ontwikkeld en geïmplementeerd voor de classificering en verwerking van informatie overeenkomstig het classificatiesysteem dat is vastgesteld.
22 19 Niveau Vertrouwelijkheid Integriteit Beschikbaarheid Geen Openbaar informatie mag door iedereen worden ingezien (bv: algemene informatie op de externe website van de gemeente Niet zeker informatie mag worden veranderd (bv: templates en sjablonen) Niet nodig gegevens kunnen zonder gevolgen langere tijd niet beschikbaar zijn (bv: ondersteunende tools als routeplanner) Laag Midden Hoog Bedrijfsvertrouwelijk informatie is toegankelijk voor alle medewerkers van de organisatie (bv: informatie op het intranet) Vertrouwelijk informatie is alleen toegankelijk voor een beperkte groep gebruikers (bv: persoonsgegevens, financiële gegevens Geheim informatie is alleen toegankelijk voor direct geadresseerde(n) (bv: zorggegevens en strafrechtelijke informatie) Beschermd het bedrijfsproces staat enkele (integriteits-)fouten toe (bv: rapportages) Hoog het bedrijfsproces staat zeer weinig fouten toe (bv: bedrijfsvoeringinformatie en primaire procesinformatie zoals vergunningen) Absoluut het bedrijfsproces staat geen fouten toe (bv: gemeentelijke informatie op de website) Noodzakelijk informatie mag incidenteel niet beschikbaar zijn (bv: administratieve gegevens) Belangrijk informatie moet vrijwel altijd beschikbaar zijn, continuïteit is belangrijk (bv: primaire proces informatie) Essentieel informatie mag alleen in uitzonderlijke situaties uitvallen, bijvoorbeeld bij calamiteiten (bv: basisregistraties) Principes van classificatie De volgende principes zijn het uitgangspunt voor (data) classificatie: De classificatietabel heeft betrekking op alle in beheer zijnde gegevensverzamelingen, gegevensdragers, informatiesystemen, servers en netwerkcomponenten. Het object van classificatie is informatie. De classificatie die door de soort informatie bepaald wordt geldt ook voor het hogere niveau van informatiesystemen (of informatieservices), dat wil zeggen dat als een systeem geheime informatie verwerkt het hele systeem als geheim wordt aangemerkt tenzij voor dat hogere niveau maatregelen genomen zijn binnen het informatiesysteem. Er wordt gestreefd naar een zo laag mogelijk classificatieniveau; te hoge classificatie leidt tot onnodige kosten. Bovendien dient informatie in beginsel voor zoveel mogelijk mensen beschikbaar zijn in het kader van een transparante overheid. Informatie kan meer of minder gevoelig of kritisch zijn. Voor bepaalde informatie kan een extra niveau van bescherming of een speciale verwerking nodig zijn. Als een informatiesysteem daarvoor maatregelen (applicatie controls) genomen heeft om delen van de systeeminformatie die hoger geclassificeerd is adequaat te beschermen op record of schermniveau, dan kan een systeem als geheel lager ingeschaald worden binnen de tabel en daarmee bijvoorbeeld alsnog binnen de baseline vallen. Alle classificaties van alle bedrijfskritische systemen zijn centraal vastgelegd door de eigenaren en dienen jaarlijks gecontroleerd te worden door de Securityboard.
23 20 De eigenaar van de gegevens (veelal ook de proceseigenaar) bepaalt het vereiste beschermingsniveau (classificatie). Indien sprake is van wettelijke eisen wordt dit expliciet aangegeven. De eigenaar van de gegevens bepaalt tevens wie toegang krijgt tot welke gegevens. De classificatie door de eigenaar wordt getoetst door de security officer. 4 Beveiliging van personeel Risico s Het aannemen of inhuren van nieuw personeel en het laten verrichten van werkzaamheden door externe medewerkers verdient extra aandacht, omdat menselijk falen en bedreigingen van menselijke aard significante invloed kunnen hebben op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Doelstelling Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden begrijpen, en geschikt zijn voor de rollen waarvoor zij worden overwogen, en om het risico van diefstal, fraude of misbruik van faciliteiten te verminderen. De verantwoordelijkheden ten aanzien van beveiliging is vóór het dienstverband vastgelegd in passende functiebeschrijvingen en in de arbeidsvoorwaarden. Alle kandidaten voor een aanstelling, ingehuurd personeel en externe gebruikers worden gescreend (bijv. Verklaring Omtrent het Gedrag), in het bijzonder voor vertrouwensfuncties. Werknemers, ingehuurd personeel en externe gebruikers, die ICT-voorzieningen gebruiken tekenen een overeenkomst over hun beveiligingsrollen en verantwoordelijkheden. Beheersmaatregelen Het lijnmanagement is verantwoordelijk voor het juist afhandelen van de beveiligingsaspecten van het aangaan, wijzigen en beëindigen van een dienstverband of een overeenkomst met externen. De HR-afdeling houdt toezicht op dit proces. Bij beëindiging van het dienstverband en inhuur worden alle bedrijfsmiddelen van de organisatie geretourneerd. Autorisaties worden in opdracht van het lijnmanagement geblokkeerd. Medewerkers die werken met vertrouwelijke of geheime informatie overleggen voor indiensttreding een Verklaring Omtrent het Gedrag (VOG). De VOG wordt indien nodig herhaald tijdens het dienstverband. Het lijnmanagement bepaalt welke rol(len) de medewerker moet vervullen en welke autorisaties voor het raadplegen, opvoeren, muteren en afvoeren van gegevens moeten worden verstrekt. Alle medewerkers (en voor zover van toepassing externe gebruikers van onze systemen) dienen training te krijgen in procedures die binnen de gemeente of afdeling gelden voor informatiebeveiliging. Deze training dient regelmatig te worden herhaald om het beveiligingsbewustzijn op peil te houden. Bij inbreuk op de beveiliging gelden voor medewerkers de gebruikelijke disciplinaire maatregelen, zoals onder meer genoemd in het Ambtenarenreglement en gemeentelijke regelingen. Regels die volgen uit dit beleid en andere gemeentelijke regelingen gelden ook voor externen, die in opdracht van de gemeente werkzaamheden uitvoeren.
24 21 Bewustwording De gemeenten/ de directies/ de securityboard/de afdeling bevordert algehele communicatie en bewustwording rondom informatieveiligheid. Het lijnmanagement bevordert dat medewerkers (en externe gebruikers van onze systemen) zich houden aan beveiligingsrichtlijnen. Afspraken hierover worden vastgelegd in het managementcontract. In werkoverleggen wordt periodiek aandacht geschonken aan informatieveiligheid. Voor zover relevant worden hierover afspraken vastgelegd. 5 Fysieke beveiliging en beveiliging van de omgeving Risico s Onbevoegde toegang tot kritieke systemen of waardevolle informatie. Bij het ontbreken van registratie zijn incidenten bovendien niet herleidbaar tot individuen. Door bijvoorbeeld de inzet van externen, de toeloop van leveranciers en andere niet medewerkers of het feit dat de medewerkers op meerdere locaties op geruime afstand van elkaar gevestigd zijn, is het betrekkelijk eenvoudig voor niet-medewerkers om toegang tot de panden te krijgen door tegelijk met een geautoriseerde medewerker naar binnen te gaan. Als informatie zichtbaar op bureaus ligt, is er een verhoogd risico m.b.t. de vertrouwelijkheid. Geen procedures voor het veilig verwijderen of hergebruiken van ICT-apparatuur. Bescherming van apparatuur, waaronder apparatuur die buiten de locatie wordt gebruikt en het verwijderen van bedrijfseigendommen, is noodzakelijk om het risico van toegang door onbevoegden tot informatie te verminderen en om de apparatuur en informatie te beschermen tegen verlies of schade. Doelstelling Het voorkomen van onbevoegde fysieke toegang tot, schade aan of verstoring van het terrein en de informatie van de organisatie, bedrijfsmiddelen en onderbreking van de bedrijfsactiviteiten. ICT-voorzieningen, die kritieke of gevoelige bedrijfsactiviteiten ondersteunen, behoren fysiek te worden ondergebracht in beveiligde ruimten, beschermd door afgegrensde beveiligde gebieden, in een gecontroleerde omgeving, beveiligd met geschikte beveiligingsbarrières en toegangsbeveiliging. Ze behoren fysiek te worden beschermd tegen toegang door onbevoegden, schade en storingen. Het voorkomen van verlies, schade of diefstal van apparatuur en bescherming tegen fysieke bedreigingen en gevaren van buitenaf. Beheersmaatregelen Belangrijke objecten (gebouwen) van de gemeente krijgen op basis van generieke profielen een risicoprofiel toegewezen. Dit is het generieke risicoprofiel dat het beste aansluit bij het object. De schade door bedreigingen van buitenaf (zoals brand, overstroming, explosies, oproer, stroomonderbreking) wordt beperkt door passende preventieve maatregelen. Toegang tot niet-openbare gedeelten van gebouwen of beveiligingszones is alleen mogelijk na autorisatie daartoe. De uitgifte van toegangsmiddelen wordt geregistreerd. In gebouwen met beveiligde zones houdt beveiligingspersoneel toezicht op de toegang. Hiervan wordt een registratie bijgehouden. De kwaliteit van toegangsmiddelen (deuren, sleutels, sloten, toegangspassen) is afgestemd op de zonering (en het risicoprofiel).
25 22 In panden van de gemeente kan gebruik worden gemaakt van cameratoezicht. Het gebruik van beeldmateriaal is beperkt door de Wet Bescherming Persoonsgegevens en nadere regels. De fysieke toegang tot ruimten waar zich informatie en ICT-voorzieningen bevinden is voorbehouden aan bevoegd personeel. Registratie van de verleende toegang ondersteunt de uitvoering van de toegangsregeling. Serverruimtes, datacenters en daaraan gekoppelde bekabelingsystemen zijn ingericht in lijn met geldende best practices. (Data)verbindingen worden beschermd tegen interceptie of beschadiging. Reserve apparatuur en back-ups zijn gescheiden in twee locaties of datacenters, om de gevolgen van een calamiteit te minimaliseren. Gegevens en programmatuur worden van apparatuur verwijderd of veilig overschreven, voordat de apparatuur wordt afgevoerd. Informatie wordt bewaard en vernietigd conform de Archiefwet 1995 en de daaruit voortvloeiende archiefbesluiten. Bezoekers/gasten staan altijd onder de verantwoording van de gastheer/gastvrouw. Hierdoor is de medewerker van de gemeente verantwoordelijk voor haar of zijn gast tot deze weer het pand verlaat. 6 Beveiliging van apparatuur en informatie Risico s Het ontbreken van documentatie kan leiden tot fouten, niet-uniforme wijze van gegevensinvoer, of in geval de beheerder/bediener uitvalt, tot problemen rondom de continuïteit. Onjuiste autorisaties kunnen leiden tot foutieve handelingen, fraude en verduistering. Het niet uitvoeren en vastleggen van technische en functionele applicatietesten en/of de resultaten hiervan, kan in bepaalde omstandigheden (tijdsdruk, vakantieperiodes, etc.) leiden tot een verhoogd risico van uitval of gegevens verlies. De gemeente gaat steeds meer samenwerken (en informatie uitwisselen) in ketens en besteedt meer taken uit. Bij beheer van systemen en gegevens door een derde partij, kan ook informatie van de gemeente op straat komen te liggen. De gemeente blijft verantwoordelijk voor de informatiebeveiliging van haar gegevens in dat deel van de keten, waarbij het beheer bij een andere partij ligt. Programmatuur en ICT-voorzieningen zijn kwetsbaar voor virussen. Het ontbreken van een regeling voor antivirus bescherming bij medewerkers thuis leidt tot hogere beveiligingsrisico s. Doelstellingen Waarborgen van een correcte en veilige bediening van ICT-voorzieningen. Vastgestelde verantwoordelijkheden en procedures voor beheer en bediening van alle ICTvoorzieningen. Dit omvat tevens de ontwikkeling van geschikte bedieningsinstructies. Toepassing, waar nodig, van functiescheiding om het risico van nalatigheid of opzettelijk misbruik te verminderen. 6.1 Beheersmaatregelen Organisatorische aspecten In beginsel mag niemand autorisaties hebben om een gehele cyclus van handelingen in een informatiesysteem te beheersen, zodanig dat beschikbaarheid, integriteit of vertrouwelijkheid
Informatiebeveiligingsbeleid Drukkerij van der Eems
Informatiebeveiligingsbeleid Drukkerij van der Eems Door : Sjoukje van der Eems Datum : 26-4-2018 Versie : 1 Status : Definitief Algemeen Belang van Informatiebeveiliging De beschikbaarheid, exclusiviteit
Nadere informatieInformatiebeveiligingsbeleid 2015-2018
Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen
Nadere informatieInformatiebeveiligingsbeleid
Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...
Nadere informatieInformatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging
Informatiebeveiligings- en privacy beleid Haagsche Schoolvereeniging 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...
Nadere informatieBeleid Informatiebeveiliging InfinitCare
Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie
Nadere informatieInformatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours
Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen
Nadere informatieOpenheid versus Informatiebeveiliging. Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht
Openheid versus Informatiebeveiliging Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht k.siekman@utrecht.nl - Waarde van informatie Risico's digitaal werken Maatregelen digitaal werken Data is het
Nadere informatieBIC Building Blocks Beleid & Strategie
BIC Building Blocks Beleid & Strategie INFORMATIEBEVEILIGING BIC De informatievoorziening van een organisatie is het geheel van mensen, middelen en maatregelen, gericht op de informatiebehoefte van die
Nadere informatieInformatiebeveiligingsbeleid
Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld
Nadere informatieISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18
ISMS BELEIDSVERKLARING info@thepeoplegroup.nl +31(0) 73 523 67 78 www.thepeoplegroup.nl Versie 1.0: 3/7/18 INTRODUCTIE De directie van The People Group zal bij het voorbereiden en uitvoeren van het algemeen
Nadere informatieManagementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C
Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht
Nadere informatieInformatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard
Stichting Samenwerkingsverband Passend Primair Onderwijs Hoeksche Waard Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard Vastgesteld door het dagelijks bestuur d.d. 18 december
Nadere informatieStrategisch Informatiebeveiligingsbeleid Hefpunt
Strategisch Informatiebeveiligingsbeleid Hefpunt Groningen, 24-5-2016 Classificatie: intern Wijzigingshistorie Release Datum Auteur(s) Aanpassing 2016 0.1 24-05- 2016 2016 0.2 01-06- 2016 L. Winters J.
Nadere informatieInformatiebeveiligingsbeleid
Informatiebeveiligingsbeleid 2016-2017 Strategisch beleid Versie 1.0 Datum Januari 2016 Auteur Specialist Informatiebeveiliging Inhoudsopgave 1. Inleiding... 4 1.1 Doel van dit document... 4 1.2 Informatiebeveiliging...
Nadere informatieInformatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum
Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum 1 1 Inleiding Informatie en ict zijn noodzakelijk in de ondersteuning van het onderwijs. Omdat we met persoonsgegevens (van onszelf, leerlingen
Nadere informatieInformatiebeveiligingsbeleid
2-Control B.V. +31 (0)76 50 194 70 Haagse Markt 1 www.2-control.nl 4813 BA Breda info@2-control.nl The Netherlands Informatiebeveiligingsbeleid Concept Datum Versiebeheer Versie Datum Status Naam Toelichting
Nadere informatieVOORBEELD INFORMATIE- BEVEILIGINGSBELEID GEMEENTEN
VOORBEELD INFORMATIE- BEVEILIGINGSBELEID GEMEENTEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Datum Colofon Naam document Voorbeeld
Nadere informatieGemeente Delft. Bijgaand sturen wij u de nota lnformatiebeveiligingsbeleid , die door ons is vastgesteld op 9 januari 2018.
Bestuur Mit Gemeente Delft Controlling bezoekadres: Stationsplein 1 2611 BV Delft IBAN NL21 BNGH 0285 0017 87 t.n.v. gemeente Delft Retouradres : Postbus 78, 2600 ME Delft De leden van de commissie Rekening
Nadere informatieChecklist Beveiliging Persoonsgegevens
Checklist Beveiliging Persoonsgegevens Beveiliging is een één van de belangrijkste vereisten binnen het privacyrecht. Iedere organisatie zal passende technische en organisatorische maatregelen moeten treffen
Nadere informatieInformatiebeveiligingsbeleid
Informatiebeveiligingsbeleid Inleiding Als zorginstelling is Profila Zorg verantwoordelijk voor goede en veilige zorg aan haar cliënten. Bij het uitvoeren van deze taak staat het leveren van kwaliteit
Nadere informatieInformation Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8
Information Security Management System Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8 Versiebeheer De verantwoordelijke van dit document is Paul den Otter (directielid). Hieronder is het versiebeheer
Nadere informatieInformatiebeveiligingsbeleid Opsteller: Roza van Cappellen
Informatiebeveiligingsbeleid 2016 Opsteller: Roza van Cappellen Inhoud 1 Uitgangspunten informatiebeveiligingsbeleid van de gemeente Teylingen... 2 2 Organisatie van de informatiebeveiliging... 5 2.1 Interne
Nadere informatie: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie
: Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen
Nadere informatieNEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR
NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR Theo de Breed Standards and Regulations 1 Agenda AVG voorbereiding in 10 stappen (Bron: AP) Praktische invulling door gebruik van
Nadere informatieInformatiebeveiligingsbeleid SBG
Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding
Nadere informatieINFORMATIE-BEVEILIGINGSBELEID GEMEENTE GIESSENLANDEN
INFORMATIE-BEVEILIGINGSBELEID GEMEENTE GIESSENLANDEN Datum 17 februari 2015 Colofon Naam document Informatiebeveiligingsbeleid gemeente Giessenlanden Versienummer 1.0 Versiedatum Februari 2014 Bron Dit
Nadere informatieInformatiebeveiligingsbeleid gemeente Giessenlanden
GEMEENTEBLAD Officiële uitgave van gemeente Giessenlanden. Nr. 25335 25 maart 2015 Informatiebeveiligingsbeleid gemeente Giessenlanden Tijdens de vergadering van 10 maart 2015 is door het college van B&W
Nadere informatieINFORMATIEBEVEILIGINGSBELEID GEMEENTEN ACHTKARSPELEN, TYTSJERKSTERADIEL EN DE WERKMAATSCHAPPIJ 8KTD
INFORMATIEBEVEILIGINGSBELEID GEMEENTEN ACHTKARSPELEN, TYTSJERKSTERADIEL EN DE WERKMAATSCHAPPIJ 8KTD Gebaseerd op de Baseline Informatiebeveiliging Gemeenten (BIG) Kenmerk: Versie: 1 Versiedatum: 15-07-
Nadere informatieBeveiligingsbeleid Stichting Kennisnet
Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek
Nadere informatieInformatiebeveiligings- en privacy beleid
Informatiebeveiligings- en privacy beleid 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN... FOUT! BLADWIJZER
Nadere informatieVoorstel Informatiebeveiliging beleid Twente
Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)
Nadere informatieDefinitieve versie d.d. 24 mei Privacybeleid
Definitieve versie d.d. 24 mei 2018 Privacybeleid Procedure: MT/DB besluit d.d. 24 mei 2018 INLEIDING Binnen Rentree wordt gewerkt met persoonsgegevens van huurders, medewerkers en (keten)partners. Persoonsgegevens
Nadere informatieInformatiebeveiliging En terugblik op informatiebeveiliging 2016
Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen
Nadere informatieInformatiebeveiligingsbeleid gemeente Hulst
CVDR Officiële uitgave van Hulst. Nr. CVDR615069_1 5 december 2018 Informatiebeveiligingsbeleid gemeente Hulst 2016-2019 INLEIDING Dit document geeft algemene beleidsuitgangspunten over informatiebeveiliging.
Nadere informatieVoorwoord. Peter Truijens. directeur-bestuurder Samenwerkingsverband Passend Onderwijs IJmond
Voorwoord Digitalisering in de maatschappij leidt tot toenemende beschikbaarheid van data en potentieel dus tot nieuwe of rijkere informatie. Digitalisering speelt ook een grote rol binnen het onderwijs,
Nadere informatieGemeentelijk Informatiebeveiligings- Beleid 2014-2018
Gemeentelijk Informatiebeveiligings- Beleid 2014-2018 gemeente Haarlem Versie: 1.0 Status: Definitief Auteur: W. Mevissen Datum: november 2014 Versiebeheer Versie Datum Door Wijzigingen 0.1 Willy Mevissen
Nadere informatieVOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatiekwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten
Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst
Nadere informatieIedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.
Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris
Nadere informatieHRM in GDPR. 06 feb 2017 Gent. Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo. V-ICT-OR Vlaamse ICT Organisatie
HRM in GDPR Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo 06 feb 2017 Gent V-ICT-OR Vlaamse ICT Organisatie 16 stappen (roadmap) voor de implementatie (Algemene Verordening Gegevensbescherming)
Nadere informatieChecklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument
Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.
Nadere informatieGemeente Alphen aan den Rijn
Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid
Nadere informatieVerwerkersovereenkomst
Verwerkersovereenkomst STKKR verwerkt in sommige gevallen persoonsgegevens voor en in opdracht van de klant omdat de klant een software gebruikersovereenkomst (abonnement) met STKKR heeft. STKKR en de
Nadere informatieNorm 1.3 Beveiligingsplan
Beantwoording vragen zelftest Suwinet oktober 2014 Norm 1.3 Beveiligingsplan De Inspectie SZW beschrijft norm 1.3 als volgt: De gemeente heeft een formeel vastgesteld beveiligingsbeleid en -plan. Het Beveiligingsplan
Nadere informatieDe grootste veranderingen in hoofdlijnen
GDPR Introductie Met de ingang van de General Data Protection Regulation (GDPR) op 6 mei 2018 wordt de privacy van (persoons)gegevens Europabreed geregeld. Daarmee komt de Nederlandse Wet Bescherming Persoonsgegevens
Nadere informatieBEWERKERSOVEREENKOMST
BEWERKERSOVEREENKOMST tussen [naam opdrachtgever] & [naam opdrachtnemer] Behoort bij overeenkomst: Versie document: Status document: Datum [ ] [ ] [concept/definitief] [dd/mm/jj] Alle tussen haken geplaatste
Nadere informatieInformatiebeveiliging- en privacy beleid (IBP)
2017 Informatiebeveiliging- en privacy beleid (IBP) Bron: sambo-ict Kennisnet Willem de Zwijger College INHOUD 1 Inleiding... 2 1.1 Informatiebeveiliging en privacy... 2 2 Doel en reikwijdte... 3 3 Uitgangspunten...
Nadere informatieVerklaring van Toepasselijkheid
Verklaring van Toepasselijkheid Parantion Groep B.V. ISO27001:2013 Verklaring van toepasselijkheid_openbaar Extern vertrouwelijk Versie: 3.0 Parantion Groep B.V. Pagina 1 van 9 Datum: maart 2016 Document
Nadere informatieWaardering van informatie gemeente Nijmegen
Collegevoorstel Openbaar Onderwerp Waardering van informatie gemeente Nijmegen Programma Bestuur & Middelen BW-nummer Portefeuillehouder B. van Hees Samenvatting In het informatiebeveiligingsbeleid van
Nadere informatieInformatiebeveiligings- en privacy beleid (IBP)
Informatiebeveiligings- en privacy beleid (IBP) Versie: 25 mei 2018 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...
Nadere informatieInternet Beveiliging en Privacy (IBP) Beleid Aloysius
Internet Beveiliging en Privacy (IBP) Beleid Aloysius Van: Directeur Financiën en Bedrijfsvoering Aan: AMT Datum : 28 maart 2017 Opgesteld door: Thomas Reterink, Bron: Kennisnet Onderwerp: IBP Beleid Doel:
Nadere informatieSeminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging
Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging
Nadere informatieInkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline
Nadere informatieInformatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen
Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen Auteur Datum Ludo Cuijpers 5 februari 2016 1. Informatiebeveiliging en privacy in het mbo 2. IBP framework 3. Mens
Nadere informatieBeleid Informatiebeveiliging gemeente Waalwijk 2015-2018
1 Beleid Informatiebeveiliging gemeente Waalwijk 2015-2018 *15-0119222* 15-0119222 Informatiebeveiligingsbeleid gemeente Waalwijk 2015-2018D15-0038541 2 Inhoud Inleiding 3 1 Uitgangspunten informatiebeveiliging
Nadere informatieOnderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799
Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere
Nadere informatieECIB/U Lbr. 17/010
Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatieveiligheid en privacy uw kenmerk ons kenmerk ECIB/U201700133 Lbr. 17/010 bijlage(n) - datum 20 februari
Nadere informatieGemeente Delft. OnderwerpOnderwerp Bestuurlijke reactie rapport BDO Informatiebeveiliging
Bestuur Controlling Gemeente Delft bezoekadres: Stationsplein 1 2611 BV Delft IBAN NL21 BNGH 0285 0017 87 t.n.v. gemeente Delft Retouradres : Postbus 78, 2600 ME Delft Leden van de raadscommissie R&A Behandeld
Nadere informatieOnderwerp: Informatiebeveiligingsbeleidsplan 2016 voor de gemeente Teylingen - Besluitvormend
VOORSTEL OPSCHRIFT Vergadering van 5 april 2016 Besluit nummer: 2016_BW_00284 Onderwerp: Informatiebeveiligingsbeleidsplan 2016 voor de gemeente Teylingen - Besluitvormend Beknopte samenvatting: Dit informatiebeveiligingsbeleid
Nadere informatieManagementsamenvatting
Managementsamenvatting Inleiding Dit document geeft algemene beleidsuitgangspunten over informatiebeveiliging. Deze uitgangspunten hebben een sterk normerend karakter en geven keuzes weer. Met dit document
Nadere informatiePrivacybeleid. Vastgesteld door burgemeester en wethouders op 18 april Bekendgemaakt op 4 mei 2017 IO
Privacybeleid Vastgesteld door burgemeester en wethouders op 18 april 2017 Bekendgemaakt op 4 mei 2017 IO-17-33194 Inhoudsopgave 1. Inleiding... 3 1.1 Algemeen...3 1.2 Reikwijdte en afbakening privacy...3
Nadere informatiePrivacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers
Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende
Nadere informatieDoel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen.
FUNCTIEPROFIEL Opdrachtgever: Functienaam: BKR Compliance Officer Security & Risk BKR is een onafhankelijke stichting met een maatschappelijk doel. BKR streeft sinds 1965, zonder winstoogmerk, een financieel
Nadere informatieInformatiebeveiligingsbeleid
Informatiebeveiligingsbeleid Inhoudsopgave 1 Goedkeuring informatiebeveiligingsbeleid en distributie (BH1) 2 2 Inleiding 2 2.1 Toelichting 2 2.2 Definitie van informatiebeveiliging 2 2.3 Samenhang tussen
Nadere informatieInformatiebeveiliging
Informatiebeveiliging HKZ, november 2016 Wie ik ben: adviseur/trainer/qarebase begeleiden bij kwaliteitsmanagement en certificering Lead Auditor Kiwa, o.a. HKZ, ISO 9001, ZKN, VMS, NEN 7510 en NEN-ISO
Nadere informatieCloud computing Helena Verhagen & Gert-Jan Kroese
Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg
Nadere informatiePrivacybeleid gemeente Wierden
Privacybeleid gemeente Wierden Privacybeleid gemeente Wierden Binnen de gemeente Wierden wordt veel gewerkt met persoonsgegevens van burgers, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk
Nadere informatieAlgemeen privacybeleid gemeente Asten 2018
1 Algemeen privacybeleid gemeente Asten 2018 ALGEMEEN PRIVACYBELEID (AVG) GEMEENTE ASTEN Inhoud 1. Inleiding 3 2. Uitgangspunten 3 3. Rollen en bevoegdheden 4 Bestuur 4 - College van B&W 4 - Gemeenteraad
Nadere informatieInformatiebeveiligingsbeleid gemeente Waalwijk
CVDR Officiële uitgave van Waalwijk. Nr. CVDR406046_1 5 december 2017 Informatiebeveiligingsbeleid gemeente Waalwijk Beleid Informatiebeveiliging gemeente Waalwijk 2015-2018 Inhoud Inleiding 3 1 Uitgangspunten
Nadere informatieBeleid Informatiebeveiliging en privacy De Nieuwe Veste
Informatiebeveiliging en privacy De Nieuwe Veste Pagina 1 van 10 Inhoudsopgave 1 Inleiding 3 2 Doel en reikwijdte 4 3 Uitgangspunten 4 4 Wet- en regelgeving 5 5 Organisatie 6 6 Controle en rapportage 7
Nadere informatieWettelijke kaders voor de omgang met gegevens
PRIVACY BELEID SPTV Namens SPTV wordt veel gewerkt met persoonsgegevens van (ex-) medewerkers. De persoonsgegevens worden voornamelijk verzameld voor het goed uitvoeren van de pensioenregelingen. De (ex-)
Nadere informatieISO 27001:2013 Informatiebeveiligingsbeleid extern
ISO 27001:2013 Informatiebeveiligingsbeleid extern Utrecht: 24 januari 2018 Versie: 2.0 Inhoud Pagina BEGRIPPENLIJST 3 1. INLEIDING 4 2. WAT IS INFORMATIEBEVEILIGING? 5 3. GEDRAGSCODE 6 4. BELEIDSPRINCIPES
Nadere informatieBeleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom
Gemeente 's-hertogenbosch Definitief s-hertogenbosch, 30-10-2015 A. Kieboom 1 Projectidentificatie Projectnaam: Status: Beleid Informatieveiligheid Definitief Documenthistorie Status Datum Versie Auteur(s)
Nadere informatieWat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015
Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen
Nadere informatieHet Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten.
Model Bewerkersovereenkomst Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten. Testmedia verwerkt Persoonsgegevens voor en in opdracht van de Klant. Testmedia
Nadere informatieQuick scan Informatiebeveiliging gemeente Zoetermeer
Bes t uur l i j kenot a I nf or mat i ebev ei l i gi ng Dec ember2017 Quick scan Informatiebeveiliging gemeente Zoetermeer Conclusies en aanbevelingen Gemeenten beheren veel persoonlijke en gevoelige data
Nadere informatieInformatiebeveiligingsbeleid extern
ISO 27001:2013 Informatiebeveiligingsbeleid extern 25 oktober 2016 Status document: versie 1.0 Auteur: Frankie Lipsius CONCLUSION LEARNING CENTERS Postbus 85030 3508 AA Utrecht Nederland T +31 (0)30 744
Nadere informatiePrivacyreglement Medewerkers Welzijn Stede Broec
Privacyreglement Medewerkers Welzijn Stede Broec 1 Inhoudsopgave Inhoudsopgave... 2 Algemene bepalingen... 3 Artikel 1 Begripsbepalingen... 3 Artikel 2 Reikwijdte en doel van het reglement... 4 Artikel
Nadere informatieAgenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017
Introductie Peter van der Zwan Douwe de Jong Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei 2018 - Wet cliëntenrechten zomer 2017 - Revisie NEN 7510 najaar 2017 16:00 Handvatten Informatieveiligheid
Nadere informatieInformatiebeveiligingsbeleid. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Informatiebeveiligingsbeleid Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging
Nadere informatieBerry Kok. Navara Risk Advisory
Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging
Nadere informatieHet College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;
Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling
Nadere informatieDocumentnummer: : Eindnotitie implementatie privacy
Eindnotitie implementatie privacy Afdeling Bedrijfsvoering, team Advies en Middelen 2016 1 Inhoudsopgave 1. Inleiding.3 2. Resultaten.3 3. Documenten.4 4. Implementatie.5 4.1 Training voor het sociaal
Nadere informatieINFORMER VERWERKERSOVEREENKOMST ZOALS VASTGESTELD OP 20 APRIL 2018
INFORMER VERWERKERSOVEREENKOMST ZOALS VASTGESTELD OP 20 APRIL 2018 Deze overeenkomst maakt deel uit van iedere overeenkomst tussen Informer Online Nederland B.V. en haar klanten en regelt de geheimhouding
Nadere informatieInformatiebeveiliging en Privacy; beleid CHD
Informatiebeveiliging en Privacy; beleid CHD 2018-2020 Vastgesteld MT 19 december 2017 Stichting Centrale Huisartsendienst Drenthe Postbus 4091 9400 AK Assen 2 1 Inleiding De CHD is een zorginstelling
Nadere informatieAan welke eisen moet het beveiligingsplan voldoen?
Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet
Nadere informatieBesluit van het college van burgemeester en wethouders van de gemeente Oegstgeest houdende regels voor Basisregistratie Personen Beheerregeling BRP
CVDR Officiële uitgave van Oegstgeest. Nr. CVDR600609_1 15 december 2016 Besluit van het college van burgemeester en wethouders van de gemeente Oegstgeest houdende regels voor Basisregistratie Personen
Nadere informatieRaadsmededeling - Openbaar
Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding
Nadere informatieISO 27001:2013 INFORMATIE VOOR KLANTEN
ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en
Nadere informatieAVG Routeplanner voor woningcorporaties
AVG Routeplanner voor woningcorporaties 24 oktober 2017 Versie 1.0 24 oktober 2017 0 Inleiding Aedes wil haar leden ondersteunen bij de implementatie van de privacywetgeving. Daarvoor biedt zij onder andere
Nadere informatieinformatiebeveiliging
informatiebeveiliging mei 2016 1 inleiding aanleiding In februari 2016 werd de gemeente Rotterdam geconfronteerd met een datalek waarbij namen, adresgegevens en burgerservicenummers (BSN) uit belastingbestanden
Nadere informatieStichting Honkbalweek Haarlem. Privacy beleid SAMENWERKEN en VERBINDEN
Stichting Honkbalweek Haarlem Privacy beleid 2018 2022 SAMENWERKEN en VERBINDEN Privacy beleid Stichting Honkbalweek Haarlem Onze stichting werkt met persoonsgegevens ter promotie van ons evenement. Dit
Nadere informatieBeknopt overzicht van bedreigingen en maatregelen
Beknopt overzicht van bedreigingen en maatregelen Dit voorbeelddocument omvat een beknopt overzicht van bedreigingen en maatregelen. De opgesomde componenten, bedreigingen en maatregelen zijn bedoeld om
Nadere informatieBeleidsplan Informatiebeveiliging en privacy
Beleidsplan Informatiebeveiliging en privacy Stichting Katholiek Onderwijs Losser en Overdinkel Instemming GMR d.d. 17 april 2018 Vastgesteld SKOLO d.d. 18 april 2018 Bron sambo-ict Kennisnet Bewerkt door:
Nadere informatieDatalekken (en privacy!)
Datalekken (en privacy!) Anita van Nieuwenborg Strategisch adviseur Privacy Gerard Heimans Adviseur Informatiebeveiliging 2 En wat is privacy? - Persoonlijke vrijheid - Recht op een persoonlijke levenssfeer
Nadere informatieInformatiebeveiligingsplan
Voorwoord Het, de en de vallen elk onder een verschillend bevoegd gezag. Op het niveau van bestuur en intern toezicht is er sprake van een zogeheten personele unie: de directeur-bestuurder van het is tevens
Nadere informatieGEMEENTEBLAD. Nr Privacybeleid Gemeente Hoorn Inleiding
GEMEENTEBLAD Officiële uitgave van gemeente Hoorn. Nr. 5553 12 januari 2017 Privacybeleid Gemeente Hoorn 2016 Zaaknummer: 1366612 Gelezen het voorstel van Privacybeleid d.d. 29-11-2016 Het college van
Nadere informatieActieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012
Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13
Nadere informatie