B&W-Aanbiedingsformulier

Transcriptie

1 B&W.nr , d.d B&W-Aanbiedingsformulier Onderwerp Informatiebeveiligingsbeleid BESLUITEN Behoudens advies van de commissie 1. De nota Informatiebeveiliging Gemeente Leiden, versie definitief, juli 2010, vast te stellen en daarmee in te stemmen met de volgende uitgangspunten. a) Voortgaan op de ingeslagen weg om een gemeentebreed basisniveau van informatiebeveiliging te realiseren dat is gebaseerd op de Code voor informatiebeveiliging (de standaard binnen de overheid). b) Het in de jaren gerealiseerde beveiligingsniveau (op goed gemiddeld niveau ten opzicht van andere gemeenten) minimaal te handhaven. c) Dit na te streven binnen de beschikbare tijd en middelen die thans binnen de organisatie voorhanden zijn d) Daartoe de komende jaren breed in de organisatie maatregelen door te voeren op het vlak van fysieke beveiliging, bewustwording rond informatiebeveiliging, de organisatie van de informatiebeveiliging en het ontwerp, implementatie en handhaving van procedures. 2. De gemeentesecretaris te verzoeken voor het einde van het jaar 2010 een uitvoeringsplan te laten maken, waarin concreet wordt aangegeven welke acties de komende jaren zullen worden uitgevoerd om inhoud te geven aan het beleid, binnen het gestelde middelenkader. De OR is reeds geïnformeerd over de nieuwe beleidsnota. Samenvatting Het College heeft het beleid vastgesteld voor het beveiligen van informatie voor de jaren 2010 tot en met 2013.

2 Informatiebeveiliging Gemeente Leiden beleidsnota Versie Definitief, juli 2010 Concernstaf, Middelen en Control, 22 juli 2010

3 1. INLEIDING KORTE TERUGBLIK WAAR STAAN WE THANS? HOE NU VERDER? WAT GAAT HET DAN KOSTEN? LEESWIJZER GEHANTEERDE UITGANGSPUNTEN AANDACHTSGEBIEDEN INFORMATIEBEVEILIGING UITVOERINGSPLAN INFORMATIEBEVEILIGING HUIDIGE STATUS UITVOERINGSPLAN...14 BIJLAGE INLEIDING...20 EXTRA MAATREGELEN VOOR KRITISCHE PROCESSEN EN SYSTEMEN...20 RISICOBEOORDELING EN RISICOBEHANDELING...21 BEVEILIGINGSBELEID...21 ORGANISATIE VAN INFORMATIEBEVEILIGING...23 INTERNE ORGANISATIE...23 EXTERNE PARTIJEN...24 BEHEER VAN BEDRIJFSMIDDELEN...25 VERANTWOORDELIJKHEID VOOR BEDRIJFSMIDDELEN...25 CLASSIFICATIE VAN INFORMATIE...25 BEVEILIGING VAN PERSONEEL...27 VOORAFGAAND AAN HET DIENSTVERBAND...27 TIJDENS HET DIENSTVERBAND...27 BEËINDIGING OF WIJZIGING VAN DIENSTVERBAND...28 FYSIEKE BEVEILIGING EN BEVEILIGING VAN DE OMGEVING...29 BEVEILIGDE RUIMTEN...29 BEVEILIGING VAN APPARATUUR...30 BEHEER VAN COMMUNICATIE- EN BEDIENINGSPROCESSEN...32 BEDIENINGSPROCEDURES EN VERANTWOORDELIJKHEDEN...32 BEHEER VAN DE DIENSTVERLENING DOOR EEN DERDE PARTIJ...32 SYSTEEMPLANNING EN -ACCEPTATIE...32 BESCHERMING TEGEN VIRUSSEN EN 'MOBILE CODE'...32 BACK-UP...33 BEHEER VAN NETWERKBEVEILIGING...33 BEHANDELING VAN MEDIA...33 UITWISSELING VAN INFORMATIE...33 DIENSTEN VOOR E-COMMERCE...34 CONTROLE...34 TOEGANGSBEVEIIIGING...35 BEDRIJFSEISEN TEN AANZIEN VAN TOEGANGSBEHEERSING...35 BEHEER VAN TOEGANGSRECHTEN VAN GEBRUIKERS...35 VERANTWOORDELIJKHEDEN VAN GEBRUIKERS...36 TOEGANGSBEHEERSING VOOR NETWERKEN...37 TOEGANGSBEVEILIGING VOOR BESTURINGSSYSTEMEN...38 TOEGANGSBEHEERSING VOOR TOEPASSINGEN EN INFORMATIE...38

4 LAPTOPS DIENEN BESCHERMD TE WORDEN TEGEN DIEFSTAL EN NIET ONBEHEERD TE WOR- DEN ACHTERGELATEN. GEBRUIKERS DRAAGBARE COMPUTERS EN TELEWERKEN...39 VERWERVING, ONTWIKKELING EN ONDERHOUD VAN INFORMATIESYSTEMEN...40 BEVEILIGINGSEISEN VOOR INFORMATIESYSTEMEN...40 CORRECTE VERWERKING IN TOEPASSINGEN...40 CRYPTOGRAFISCHE BEHEERSMAATREGELEN...40 BEVEILIGING VAN SYSTEEMBESTANDEN...41 BEVEILIGING BIJ ONTWIKKELINGS- EN ONDERSTEUNINGSPROCESSEN...41 BEHEER VAN TECHNISCHE KWETSBAARHEDEN,...41 BEHEER VAN INFORMATIEBEVEILIGINGSINCIDENTEN...42 RAPPORTAGE VAN INFORMATIEBEVEILIGINGSGEBEURTENISSEN EN ZWAKKE PLEKKEN...42 BEHEER VAN INFORMATIEBEVEILIGINGSINCIDENTEN EN VERBETERINGEN...42 BEDRIJFSCONTINUITEITSBEHEER...42 INFORMATIEBEVEILIGINGSASPECTEN VAN BEDRIJFSCONTINUÏTEITSBEHEER...42 NALEVING...43 NALEVING VAN WETTELIJKE VOORSCHRIFTEN...43 OVERWEGINGEN BIJ AUDITS VAN INFORMATIESYSTEMEN BIJLAGE INLEIDING...50 EXTRA MAATREGELEN VOOR KRITISCHE PROCESSEN EN SYSTEMEN...50 RISICOBEOORDELING EN RISICOBEHANDELING...51 BEVEILIGINGSBELEID...51 ORGANISATIE VAN INFORMATIEBEVEILIGING...53 INTERNE ORGANISATIE...53 EXTERNE PARTIJEN...54 BEHEER VAN BEDRIJFSMIDDELEN...55 VERANTWOORDELIJKHEID VOOR BEDRIJFSMIDDELEN...55 CLASSIFICATIE VAN INFORMATIE...55 BEVEILIGING VAN PERSONEEL...57 VOORAFGAAND AAN HET DIENSTVERBAND...57 TIJDENS HET DIENSTVERBAND...57 BEËINDIGING OF WIJZIGING VAN DIENSTVERBAND...58 FYSIEKE BEVEILIGING EN BEVEILIGING VAN DE OMGEVING...59 BEVEILIGDE RUIMTEN...59 BEVEILIGING VAN APPARATUUR...60 BEHEER VAN COMMUNICATIE- EN BEDIENINGSPROCESSEN...62 BEDIENINGSPROCEDURES EN VERANTWOORDELIJKHEDEN...62 BEHEER VAN DE DIENSTVERLENING DOOR EEN DERDE PARTIJ...62 SYSTEEMPLANNING EN -ACCEPTATIE...62 BESCHERMING TEGEN VIRUSSEN EN 'MOBILE CODE'...62 BACK-UP...63 BEHEER VAN NETWERKBEVEILIGING...63 BEHANDELING VAN MEDIA...63 UITWISSELING VAN INFORMATIE...63 DIENSTEN VOOR E-COMMERCE...64 CONTROLE...64

5 TOEGANGSBEVEIIIGING...65 BEDRIJFSEISEN TEN AANZIEN VAN TOEGANGSBEHEERSING...65 BEHEER VAN TOEGANGSRECHTEN VAN GEBRUIKERS...65 VERANTWOORDELIJKHEDEN VAN GEBRUIKERS...66 TOEGANGSBEHEERSING VOOR NETWERKEN...67 TOEGANGSBEVEILIGING VOOR BESTURINGSSYSTEMEN...68 TOEGANGSBEHEERSING VOOR TOEPASSINGEN EN INFORMATIE...68 LAPTOPS DIENEN BESCHERMD TE WORDEN TEGEN DIEFSTAL EN NIET ONBEHEERD TE WOR- DEN ACHTERGELATEN. GEBRUIKERS DRAAGBARE COMPUTERS EN TELEWERKEN...69 VERWERVING, ONTWIKKELING EN ONDERHOUD VAN INFORMATIESYSTEMEN...70 BEVEILIGINGSEISEN VOOR INFORMATIESYSTEMEN...70 CORRECTE VERWERKING IN TOEPASSINGEN...70 CRYPTOGRAFISCHE BEHEERSMAATREGELEN...70 BEVEILIGING VAN SYSTEEMBESTANDEN...71 BEVEILIGING BIJ ONTWIKKELINGS- EN ONDERSTEUNINGSPROCESSEN...71 BEHEER VAN TECHNISCHE KWETSBAARHEDEN,...71 BEHEER VAN INFORMATIEBEVEILIGINGSINCIDENTEN...72 RAPPORTAGE VAN INFORMATIEBEVEILIGINGSGEBEURTENISSEN EN ZWAKKE PLEKKEN...72 BEHEER VAN INFORMATIEBEVEILIGINGSINCIDENTEN EN VERBETERINGEN...72 BEDRIJFSCONTINUITEITSBEHEER...72 INFORMATIEBEVEILIGINGSASPECTEN VAN BEDRIJFSCONTINUÏTEITSBEHEER...72 NALEVING...73 NALEVING VAN WETTELIJKE VOORSCHRIFTEN...73 OVERWEGINGEN BIJ AUDITS VAN INFORMATIESYSTEMEN BIJLAGE 4. KOSTEN...75 BEWUSTWORDING INFORMATIEBEVEILIGING...75 VERBETERMAATREGELEN INFORMATIEBEVEILIGING...75

6 1. Inleiding 1.1. Korte terugblik Maart 2006 is de beleidscyclus Informatiebeveiliging opgestart door vaststelling van de 1 e Beleidsnota Informatiebeveiliging door het college. In september 2006 is hier een vervolg aan gegeven door de vaststelling van een Uitvoeringsplan Informatiebeveiliging door de concerndirectie (CD). De afgelopen jaren is verspreid over de organisatie gewerkt aan de uitvoering van het vastgestelde beleid en bijbehorende planning. De beleidscyclus van gemeente Leiden voorziet in een update van de beleidsnota en het uitvoeringsplan elke vier jaar. Dit betekent dat de gemeente thans toe is aan de vaststelling van de 2 e beleidsnota Informatiebeveiliging. Met dit document wordt hieraan invulling gegeven Waar staan we thans? De stand van zaken op grond van de 1 e cyclus kan als volgt worden samengevat: Gemeente Leiden heeft zich door beleidsvorming en realisatie in de periode een gemiddelde positie verworven op het terrein van de informatiebeveiliging 1 De technische ICT-beveiliging is prima op orde Er is voldoende basis om audits op de meest kritische bedrijfsprocessen te doorstaan (GBA, SUWI-net) De realisatie van het uitvoeringsplan is achtergebleven bij de planning Een belangrijk punt van aandacht is en blijft de fysieke beveiliging, met name de toegangsbeveiliging op de locatie stadhuis Andere aandachtspunten zijn bewustwording en communicatie, de informatiebeveiligingsorganisatie, opstellen/vaststellen en handhaven van regels en procedures In hoofdstuk 4 is een overzicht opgenomen van de stand van zaken op de verschillende beleidsterreinen van informatiebeveiliging. Deze stand van zaken is gebaseerd op al of niet uitgevoerde activiteiten, die waren gepland in het uitvoeringsplan Het is belangrijk te weten dat rond het uitvoeringsplan geen extra incidentele en structurele middelen beschikbaar zijn gesteld. De realisatie van het uitvoeringsplan heeft plaatsgevonden binnen bestaande plannen en beschikbare middelen. Relevant is verder dat bij de realisatie het accent is komen te liggen bij de techniek en het technische beheer van de ICT. De aandacht voor de beleidcyclus is wisselend geweest. De aandacht voor de beveiligingsorganisatie, de communicatie over informatiebeveiliging en het ontwerp en implementatie van procedures is beperkt gebleven. Afgelopen jaar is de aandacht voor het onderwerp informatiebeveiliging weer versterkt. Met name vanuit Middelen & Control is de beleidscyclus opgepikt en is door inzet van een tijdelijk coördinator Informatiebeveiliging voorzien in een aanjaagfunctie voor het uitvoeringsplan. De implementatie van een incidentenregistratie is een voorbeeld van een concreet uitvloeisel hiervan. 1 Cf. Beoordeling Beveiligingsbeleid Gemeente Leiden, Sincerus, 5 januari 2010

7 1.3. Hoe nu verder? Voor de 2 e cyclus van het informatiebeveiligingsbeleid Leiden is gepoogd meer kernachtig te formuleren wat er aan beleidsdoelstellingen bestaat voor de komende periode. Het accent ligt daarbij op: 1. Met nadruk en prioriteit werken aan de fysieke beveiliging van de kantoorgebouwen van de gemeente Leiden, waaronder als belangrijkste het stadhuis. Binnen twee jaar dienen de bestaande knelpunten aangepakt te zijn. Daarom zijn tezamen deze notitie twee notities aangeboden, waarin de beveiligingsplannen rond de fysieke beveiliging zijn opgenomen. In bijlage 1 is de samenhang tussen deze notities weergegeven. 2. Het maken van stappen op het terrein van bewustwording rond informatiebeveiliging, de organisatie van de informatiebeveiliging en het ontwerp, implementatie en handhaving van procedures. 3. Het verbeteren van een aantal procedurele maatregelen, die moeten zorgen voor een hoger niveau van informatiebeveiliging van de gebruikte informatiesystemen. Dit betekent een accentverschuiving. Technische maatregelen en maatregelen rond het ICT-beheer zijn op een centraal niveau en met de medewerking van een relatief beperkt aantal mensen te realiseren. Dit geldt overigens ook voor de hierboven genoemde 1 e prioriteit. Voor een voortvarende realisatie van de onder 2 genoemde zaken is de invulling van twee voorwaarden noodzakelijk: 1. Een duidelijk commitment van concerndirectie en afdelingsmanagers bij het realiseren van de doelstellingen rond de beveiligingsorganisatie en de beveiligingsprocedures. 2. Het ter beschikking stellen van structurele middelen voor de realisatie Bij invulling van deze randvoorwaarden kan worden verwacht dat gemeente Leiden haar positie verder zal kunnen versterken in de komende vier jaren. Als deze voorwaarden niet ingevuld kunnen worden, zal de gemeente Leiden moeten kijken hoe de doelen binnen de bestaande middelen en tijd kunnen worden gerealiseerd. De doelen blijven dan hetzelfde maar het verschil zal tot uitdrukking komen in het uitvoeringsplan dat in aansluiting op de beleidsnota zal worden opgesteld. Zonder invulling van de randvoorwaarden mag worden verwacht dat Leiden niet meer zal kunnen realiseren dan het handhaven van de gemiddelde positie zoals deze op dit moment bestaat Wat gaat het dan kosten? Om de besluitvorming in de CD te faciliteren is in ordegrootte in kaart gebracht welke middelen noodzakelijk zullen zijn om genoemde randvoorwaarden in te kunnen vullen. In bijlage 4 is een detaillering van de kosten opgenomen, die gemoeid zijn met de uitvoering van het informatiebeveiligingsbeleid. Alleen de verbetering van de fysieke beveiliging van het stadhuis kan plaatsvinden binnen bestaande budgetten. Voor de overige kantoorgebouwen zal extra budget moeten worden aangevraagd. De extra bedragen die noodzakelijk zijn om de randvoorwaarden voor een voortvarende uitvoering te kunnen invullen en daarmee de komende jaren een hoger niveau van informatiebeveiliging te kunnen realiseren leiden tot jaarlijks terugkerende kosten in de ordegrootte van Euro. Wij realiseren ons dat dit forse bedragen zijn in de huidige politiek-bestuurlijke context waarbij steeds minder middelen beschikbaar zijn en tegelijkertijd meer moet worden gerealiseerd. Hier zal een afweging moeten worden gemaakt tussen de inzet van schaarse middelen en het belang van zaken die samenhangen met een hoger niveau van informatiebeveiliging:

8 Beperking van het risico op imagoschade voor de gemeente Beperking van het risico op uitval van dienstverlening Professionalisering van de bedrijfsvoering Versterking van de basis voor elektronische dienstverlening en een open communicatie met de burgers, bedrijven en instellingen in de omgeving van de gemeente 1.5. Leeswijzer Informatiebeveiliging kent een breed spectrum aan aandachtsgebieden die soms overlappend zijn met aanpalende vakgebieden zoals bijvoorbeeld huisvesting en ICT-beheer. Dat heeft als nadeel dat een beleidsnota een te hoog technisch gehalte kan krijgen. Daarom is voor deze beleidsnota gekozen voor een opzet waarbij per aandachtsgebied van de zogenaamde Code voor Informatiebeveiliging (CVI) kort is samengevat wat de doelstellingen voor de periode zijn. Voor meer gedetailleerde informatie wordt verwezen naar bijlage 2. Voorafgaand aan de formulering van de beleidshoofdstukken wordt in het volgende hoofdstuk nog nader ingegaan op de gehanteerde uitgangspunten.

9 2. Gehanteerde uitgangspunten 2.1. Algemeen basisniveau Het is niet zinvol is om voor alle gemeentelijke activiteiten, processen en systemen een aparte risicoanalyse uit te voeren en specifieke maatregelen te nemen. Het gaat vaak om dezelfde bedreigingen. Daarom wordt in Leiden gekozen voor een set van basis beveiligingsmaatregelen die over de hele linie wordt ingevoerd. Het gekozen basisniveau is geënt op de Code voor Informatiebeveiliging, versie 2005 (CVIB), een publicatie van het Nederlands Normalisatie-instituut 2. Deze code is de standaard voor de Rijksoverheid en wordt ook bij gemeente de facto als standaard gehanteerd. De code bevat een checklist voor alle aspecten van informatiebeveiliging. In deze notitie zijn de aandachtsgebieden kort beschreven. De gedetailleerde maatregelen en richtlijnen zijn opgenomen in bijlage 2 van deze notitie. Daarbij hebben wij bewust nagestreefd om de Leidse doelstellingen in lijn te brengen met die van andere overheidsorganisaties. Adviesbureau Sincerus heeft het Leidse informatiebeveilligingsbeleid in december 2009 vergeleken met dat van andere overheidsorganisaties. De conclusie hierop was dat het Leidse beleid in hoofdlijnen niet afwijkt van anderen. Alleen op een aantal specifieke punten Extra maatregelen voor kritische processen en systemen Voor specifieke processen, systemen of organisatieonderdelen kan het noodzakelijk zijn dat een hoger beveiligingsniveau dan de baseline moet worden geïmplementeerd. Dit kan het geval zijn vanwege externe normenkaders of omdat er sprake is van een verhoogd risico. Voor Leiden zijn twee van dergelijk systemen geïdentificeerd: SUWI-net en GBA. Het is de verantwoordelijkheid van het betreffende afdelingshoofd om te verifiëren of het basisbeveiligingsniveau toereikend is en waar nodig aanvullend beleid te bepalen. De afdelingshoofden kunnen hierbij een beroep doen op centrale ondersteuning van de afdeling KDG (adviezen, checklists). 2 NEN-ISO/IEC 17799

10 3. Aandachtsgebieden informatiebeveiliging Hieronder volgt een korte samenvatting van de beleidsterreinen. Hiervoor is de nummering van de Code voor Informatiebeveiliging aangehouden. Het geeft een globale indruk van de maatregelen, die nodig zijn om de informatiebeveiliging op een adequaat niveau te houden. Wij adviseren de door de CVI aanbevolen maatregelen en richtlijnen zo volledig mogelijk na te streven. Daarbij moet duidelijk zijn dat realisatie de nodige jaren zal kosten waarbij de doorlooptijd sterk wordt beïnvloed door het commitment van het management en de beschikbaarheid van middelen Risico-analyse Leiden kiest ervoor om vast te stellen of bij grootschalige veranderingen in de informatiehuishouding risico s voldoende worden afgedekt door de bestaande maatregelen, die zijn opgenomen in het informatiebeveiligingsbeleid. Een recent voorbeeld: Zijn de huidige maatregelen afdoende om de vertrouwelijkheid van documenten in het systeem voor Zaaksgewijs Werken te garanderen? Het vaststellen hiervan gebeurt middels het uitvoeren van een impact-analyse of risico-analyse. Indien dit niet het geval is, zal moeten overwogen of het algehele beveiligingsniveau wordt opgehoogd of dat bepaalde extra maatregelen worden genomen, die betrekking hebben op bepaalde onderdelen van de aanwezige of aan te schaffen informatiesystemen. De coördinator Informatiebeveiliging ondersteunt hierbij en zorgt ervoor, dat deze methoden worden opgenomen in een reguliere projectaanpak Beveiligingsbeleid De concerncontroller is verantwoordelijk voor de beleidsvoorbereiding, de kwaliteit van de bijbehorende beleidscyclus en de control op het informatiebeveiligingsbeleid. Het college stelt het beleid vast en de concerndirectie het bijbehorende uitvoeringsplan. Op tactisch niveau is de afdeling KDG verantwoordelijk voor het coördineren en aanjagen van de uitvoering Organisatie van informatiebeveiliging Concerndirectie en het afdelingsmanagement dragen het beleid uit. Voor gemeentebrede implementatie van procedures en regels draagt het afdelingsmanagement een belangrijke verantwoordelijkheid. Uiteindelijk kunnen maatregelen alleen succesvol worden geïmplementeerd als het afdelingsmanagement hier, ondersteund door adviseurs van KDG, inhoud aan geven. Bij de afdeling KDG, in het beoogde team Informatiemanagement is 0,5 fte beschikbaar voor een coördinator Infomatiebeveiliging die een coördinerende en aanjagende rol heeft en kan optreden als specialistisch adviseur op het terrein van de informatiebeveiliging. Met name bij de afdeling Huisvesting, Services & ICT waar huisvesting en ICT zijn belegd, zullen maatregelen op de betreffende vakgebieden genomen moeten worden. Hetzelfde geldt voor de afdeling HRC waar een HRM functionaris zorgt voor het opstellen van regelgeving en het kenbaar maken van deze regelgeving in samenspraak met communicatie. Communicatie is betrokken bij plannen om de bewustwording in de organisatie rond dit onderwerp te vergroten.

11 3.7. Beheer bedrijfsmiddelen De gemeente Leiden streeft naar de classificatie van documenten, poststukken en digitale bestanden. Bij deze classificatie wordt vooral rekening gehouden met de vertrouwelijkheid en betrouwbaarheid van documenten. O.b.v. deze classificatie kunnen per categorie verschillende maatregelen worden vastgesteld om het niveau van informatiebeveiliging op de risico s m.b.t. betrouwbaarheid en vertrouwelijkheid af te stemmen Beveiliging personeel Waar gehakt wordt vallen spaanders. Medewerkers en/of oud medewerkers of ingehuurde krachten kunnen bewust of onbewust schade berokkenen aan de organisatie. De gemeente Leiden zorgt voor duidelijke reglementen, die gelden vóór, tijdens of na dienstverband om te zorgen, dat bekend is welke verantwoordelijkheden medewerkers hebben m.b.t. de omgang met informatie. Ook stelt de gemeente duidelijke sancties vast indien deze reglementen worden overtreden. Voorbeelden: Screening van personeel Contractuele afspraken met derde partijen over zorgvuldige omgang met informatiesystemen en daarin voor deze partijen toegankelijke informatie. Accounts opheffen als medewerkers uit dienst gaan en de contole daarop 3.9. Fysieke beveiliging en beveiliging van de omgeving De gemeente Leiden treft maatregelen om de fysieke beveiliging van de omgeving. Het SSC/Huisvesting en Services zorgt voor adequate maatregelen om indringers, met kwade bedoelingen buiten de deur te houden. Voorbeelden: Surveillance bewakingspersoneel Fysieke maatregelen om bijv. de kans op inbraak te reduceren. Bijvoorbeeld het gebruik van inbraakwerende middelen Beheer van communicatie- en bedieningsprocessen ICT systemen ondersteunen bedrijfsprocessen. Het is van groot belang, dat de ICT infrastructuur op orde is. Daartoe zorgt de gemeente Leiden tal voor tal van procedurele en technische maatregelen, die nodig zijn om een adequate en betrouwbare ondersteuning van de ICT infrastructuur te realiseren. Gedocumenteerde bedieningsprocedures Procedures rond het in productienemen van gewijzigde of nieuwe software Toegangsbeveiliging Om de betrouwbaarheid en vertrouwelijkheid van gegevensverzamelingen te kunnen garanderen en functiescheiding te kunnen realiseren zorgt de gemeente Leiden voor een adequate toegangsbeveiliging. Dit betekent, dat netwerken, PC s of andere ICT componenten op een betrouwbare wijze worden afgeschermd en voor diegenen, toegankelijk, die daar vanuit hun functie toe geautoriseerd zijn. Voorbeelden: Password bescherming PC s Viruscontrole

12 3.12. Verwerving, ontwikkeling en onderhoud van informatiesystemen Informatiesystemen ondersteunen bedrijfsprocessen. Het belang van goed georganiseerde informatiesystemen zal in de toekomst alleen maar groter worden. Leiden organiseert de ontwikkeling en onderhoud van informatiesystemen op een zodanige wijze, dat de kans op verstoringen van bedrijfsprocessen tot een minimum wordt beperkt. Voorbeelden: Correcte verwerking in informatiesystemen (validatie van in te voeren gegevens binnen applicaties) Procedures voor wijzigingsbeheer van applicaties Beheer van beveiligingsincidenten De gemeente Leiden zorgt ervoor, dat medewerkers alert zijn op het melden van informatiebeveiligingsincidenten en zorgt er ook voor om de faciliteiten ter beschikking te stellen om incidenten te kunnen melden. Hierdoor blijft de organisatie adequaat reageren op problemen op dit terrein. Verder zal aan de ene kant het bewustzijn t.a.v. informatiebeveiliging binnen de organisatie worden verhoogd aan de andere kant kan door het analyseren van de binnengekomen meldingen worden vastgesteld of het niveau van informatiebeveiliging afdoende is Bedrijfscontinuïteitsbeheer De gemeente Leiden zorgt ervoor, dat ook onder bedreigende en/of onvoorziene schadelijke omstandigheden (acts of god, overstroming, blikseminslag) maatregelen worden getroffen om te zorgen, dat de meest belangrijke bedrijfsprocessen kunnen worden voortgezet, eventueel op een andere locatie. Voorbeelden: Opstellen continuïteitsplannen Procedures m.b.t. herstel en reconstructie Naleving Er zijn tal van maatregelen, die door de wetgeving aan de gemeente worden opgelegd. Een voorbeeld hiervan zijn de eisen, die door de centrale overheid worden gesteld aan de Gemeentelijke Basis Administratie (GBA). De gemeente Leiden zorgt ervoor dat de kennis over de eisen, die moeten worden nageleefd op peil is. Daarnaast ziet de gemeente er op toe dat de maatregelen, die samenhangen met de naleving van wetgeving adequaat worden uitgevoerd. Voorbeeld: controleren van de naleving door een externe partij is de GBA-audit, die jaarlijks wordt uitgevoerd om vast te stellen, dat Gemeentelijke Basis Administratie (GBA) voldoet aan de landelijk afgesproken kwaliteit.

13 4. Uitvoeringsplan informatiebeveiliging 4.1. Huidige status De onderstaande tabel geeft aan hoe de praktijk zich op dit moment verhoudt tot de in het vorige hoofdstuk geformuleerde maatregelen. Deze tabel is o.a. gebaseerd op een onderzoek, waarin gekeken werd in hoeverre de in het uitvoeringsplan opgenomen activiteiten zijn gerealiseerd. Een korte samenvatting hiervan is opgenomen in bijlage 3. Aandachtsgebied Huidige niveau Opmerking 4. Risico-analyse - Opnemen in te hanteren werkwijze bij grootschalige projecten Koppeling aan activiteiten van Informatie-adviseurs / managers (*) 5. Beveiligingsbeleid + 6. Organisatie van informatiebeveiliging 7. Beheer bedrijfsmiddelen +/- 8. Beveiliging personeel + 9. Fysieke beveiliging en beveiliging van de Omgeving 10. Beheer van communicatie- en bedieningsprocessen 11. Toegangsbeveiliging Verwerving, ontwikkeling en onderhoud van informatiesystemen 13. Beheer van beveiligingsincidenten 14. Bedrijfscontinuïteitsbeheer 15. Naleving + - Bewustwording opbouwen bij de directie en management om het huidige niveau van beveiliging te handhaven en tijdig op toekomstige ontwikkelingen voorbereid te zijn. - Huidige maatregelen hebben een beperkte effectiviteit. Concretiseren Veiligheidschecks en plannen van te nemen maatregelen + - Samen met risico-analyse Verbetering belang en kennis In samenhang hiermee aandacht nodig voor het maken van duidelijke OTAP(**) procedures (*) +/- Hier draait op dit moment een pilot. Over een kwartaal wordt beoordeeld op welke wijze de incidentenregistratie verder vorm wordt gegeven. + (*) In verband brengen met informatiebeleid en constatering, dat er te weinig aandacht is voor informatie-management, informatie-architectuur en applicatie-beheer

14 (**) Afkorting voor Ontwikkeling, Test, Acceptatie en Productie 4.2. Uitvoeringsplan Na vaststelling van het informatiebeveiligingsbeleid zal er een uitvoeringsplan worden opgesteld, waarin maatregelen en middelen zullen worden gekoppeld aan de doelen van het beleid. Daarbij valt te denken aan het definiëren van een aantal (gemeentebrede) projecten, die voor een versterking moeten zorgen op de bovenstaande punten waarbij de gemeente Leiden nog een mindere score heeft. Van groot belang daarbij is het kader waarbinnen de uitvoering van het beleid moet plaatsvinden. Uitvoering kan plaatsvinden: 1. binnen beschikbare middelen 2. met inzet van extra inspanningen van het management en het ter beschikking stellen van extra middelen In het eerste geval kan het huidige niveau van beveiliging gehandhaafd worden maar zullen niet alle doelstellingen in de komende vier jaren worden gerealiseerd. Realisatie kan alleen plaatsvinden op de langere termijn. In het tweede geval is in de komende vier jaar een groei te realiseren, zodat over vier jaar beter zal worden voldaan aan het voorgestelde beleid. In dit geval zullen de op dit terrein te ondernemen activiteiten in een uitvoeringsplan nader worden geconcretiseerd. Allereerst is van belang het beleid vast te stellen en te besluiten over de inzet van middelen rond de doelstellingen van het beleid.

15 Bijlage 2 bij beleidsnota Informatiebeveiliging Gemeente Leiden

16 Nummering van hoofdstukken en paragrafen: De nummering van hoofdstukken correspondeert met die van de code voor informatiebeveiliging (CVIB). Dat is de reden dat niet alle hoofdstuknummers voorkomen. Ook op het tweede niveau is de indeling van de CVIB aangehouden. Paragrafen op dit niveau, waarbij Leiden nog geen beleid heeft en dus geen tekst, zijn toch vermeld. Op die manier is duidelijk te zien, over welke onderwerpen beleid ontbreekt. Dit kan overigens een goede reden hebben. Op het derde niveau is er voor gekozen om de nummering doorlopend te houden. Daardoor correspondeert deze niet meer met de CVIB.

17 1. INLEIDING KORTE TERUGBLIK WAAR STAAN WE THANS? HOE NU VERDER? WAT GAAT HET DAN KOSTEN? LEESWIJZER GEHANTEERDE UITGANGSPUNTEN AANDACHTSGEBIEDEN INFORMATIEBEVEILIGING UITVOERINGSPLAN INFORMATIEBEVEILIGING HUIDIGE STATUS UITVOERINGSPLAN...14 BIJLAGE INLEIDING...20 EXTRA MAATREGELEN VOOR KRITISCHE PROCESSEN EN SYSTEMEN...20 RISICOBEOORDELING EN RISICOBEHANDELING...21 BEVEILIGINGSBELEID...21 ORGANISATIE VAN INFORMATIEBEVEILIGING...23 INTERNE ORGANISATIE...23 EXTERNE PARTIJEN...24 BEHEER VAN BEDRIJFSMIDDELEN...25 VERANTWOORDELIJKHEID VOOR BEDRIJFSMIDDELEN...25 CLASSIFICATIE VAN INFORMATIE...25 BEVEILIGING VAN PERSONEEL...27 VOORAFGAAND AAN HET DIENSTVERBAND...27 TIJDENS HET DIENSTVERBAND...27 BEËINDIGING OF WIJZIGING VAN DIENSTVERBAND...28 FYSIEKE BEVEILIGING EN BEVEILIGING VAN DE OMGEVING...29 BEVEILIGDE RUIMTEN...29 BEVEILIGING VAN APPARATUUR...30 BEHEER VAN COMMUNICATIE- EN BEDIENINGSPROCESSEN...32 BEDIENINGSPROCEDURES EN VERANTWOORDELIJKHEDEN...32 BEHEER VAN DE DIENSTVERLENING DOOR EEN DERDE PARTIJ...32 SYSTEEMPLANNING EN -ACCEPTATIE...32 BESCHERMING TEGEN VIRUSSEN EN 'MOBILE CODE'...32 BACK-UP...33 BEHEER VAN NETWERKBEVEILIGING...33 BEHANDELING VAN MEDIA...33 UITWISSELING VAN INFORMATIE...33 DIENSTEN VOOR E-COMMERCE...34 CONTROLE...34 TOEGANGSBEVEIIIGING...35 BEDRIJFSEISEN TEN AANZIEN VAN TOEGANGSBEHEERSING...35 BEHEER VAN TOEGANGSRECHTEN VAN GEBRUIKERS...35

18 VERANTWOORDELIJKHEDEN VAN GEBRUIKERS...36 TOEGANGSBEHEERSING VOOR NETWERKEN...37 TOEGANGSBEVEILIGING VOOR BESTURINGSSYSTEMEN...38 TOEGANGSBEHEERSING VOOR TOEPASSINGEN EN INFORMATIE...38 LAPTOPS DIENEN BESCHERMD TE WORDEN TEGEN DIEFSTAL EN NIET ONBEHEERD TE WOR- DEN ACHTERGELATEN. GEBRUIKERS DRAAGBARE COMPUTERS EN TELEWERKEN...39 VERWERVING, ONTWIKKELING EN ONDERHOUD VAN INFORMATIESYSTEMEN...40 BEVEILIGINGSEISEN VOOR INFORMATIESYSTEMEN...40 CORRECTE VERWERKING IN TOEPASSINGEN...40 CRYPTOGRAFISCHE BEHEERSMAATREGELEN...40 BEVEILIGING VAN SYSTEEMBESTANDEN...41 BEVEILIGING BIJ ONTWIKKELINGS- EN ONDERSTEUNINGSPROCESSEN...41 BEHEER VAN TECHNISCHE KWETSBAARHEDEN,...41 BEHEER VAN INFORMATIEBEVEILIGINGSINCIDENTEN...42 RAPPORTAGE VAN INFORMATIEBEVEILIGINGSGEBEURTENISSEN EN ZWAKKE PLEKKEN...42 BEHEER VAN INFORMATIEBEVEILIGINGSINCIDENTEN EN VERBETERINGEN...42 BEDRIJFSCONTINUITEITSBEHEER...42 INFORMATIEBEVEILIGINGSASPECTEN VAN BEDRIJFSCONTINUÏTEITSBEHEER...42 NALEVING...43 NALEVING VAN WETTELIJKE VOORSCHRIFTEN...43 OVERWEGINGEN BIJ AUDITS VAN INFORMATIESYSTEMEN BIJLAGE INLEIDING...50 EXTRA MAATREGELEN VOOR KRITISCHE PROCESSEN EN SYSTEMEN...50 RISICOBEOORDELING EN RISICOBEHANDELING...51 BEVEILIGINGSBELEID...51 ORGANISATIE VAN INFORMATIEBEVEILIGING...53 INTERNE ORGANISATIE...53 EXTERNE PARTIJEN...54 BEHEER VAN BEDRIJFSMIDDELEN...55 VERANTWOORDELIJKHEID VOOR BEDRIJFSMIDDELEN...55 CLASSIFICATIE VAN INFORMATIE...55 BEVEILIGING VAN PERSONEEL...57 VOORAFGAAND AAN HET DIENSTVERBAND...57 TIJDENS HET DIENSTVERBAND...57 BEËINDIGING OF WIJZIGING VAN DIENSTVERBAND...58 FYSIEKE BEVEILIGING EN BEVEILIGING VAN DE OMGEVING...59 BEVEILIGDE RUIMTEN...59 BEVEILIGING VAN APPARATUUR...60 BEHEER VAN COMMUNICATIE- EN BEDIENINGSPROCESSEN...62 BEDIENINGSPROCEDURES EN VERANTWOORDELIJKHEDEN...62 BEHEER VAN DE DIENSTVERLENING DOOR EEN DERDE PARTIJ...62 SYSTEEMPLANNING EN -ACCEPTATIE...62 BESCHERMING TEGEN VIRUSSEN EN 'MOBILE CODE'...62 BACK-UP...63 BEHEER VAN NETWERKBEVEILIGING...63

19 BEHANDELING VAN MEDIA...63 UITWISSELING VAN INFORMATIE...63 DIENSTEN VOOR E-COMMERCE...64 CONTROLE...64 TOEGANGSBEVEIIIGING...65 BEDRIJFSEISEN TEN AANZIEN VAN TOEGANGSBEHEERSING...65 BEHEER VAN TOEGANGSRECHTEN VAN GEBRUIKERS...65 VERANTWOORDELIJKHEDEN VAN GEBRUIKERS...66 TOEGANGSBEHEERSING VOOR NETWERKEN...67 TOEGANGSBEVEILIGING VOOR BESTURINGSSYSTEMEN...68 TOEGANGSBEHEERSING VOOR TOEPASSINGEN EN INFORMATIE...68 LAPTOPS DIENEN BESCHERMD TE WORDEN TEGEN DIEFSTAL EN NIET ONBEHEERD TE WOR- DEN ACHTERGELATEN. GEBRUIKERS DRAAGBARE COMPUTERS EN TELEWERKEN...69 VERWERVING, ONTWIKKELING EN ONDERHOUD VAN INFORMATIESYSTEMEN...70 BEVEILIGINGSEISEN VOOR INFORMATIESYSTEMEN...70 CORRECTE VERWERKING IN TOEPASSINGEN...70 CRYPTOGRAFISCHE BEHEERSMAATREGELEN...70 BEVEILIGING VAN SYSTEEMBESTANDEN...71 BEVEILIGING BIJ ONTWIKKELINGS- EN ONDERSTEUNINGSPROCESSEN...71 BEHEER VAN TECHNISCHE KWETSBAARHEDEN,...71 BEHEER VAN INFORMATIEBEVEILIGINGSINCIDENTEN...72 RAPPORTAGE VAN INFORMATIEBEVEILIGINGSGEBEURTENISSEN EN ZWAKKE PLEKKEN...72 BEHEER VAN INFORMATIEBEVEILIGINGSINCIDENTEN EN VERBETERINGEN...72 BEDRIJFSCONTINUITEITSBEHEER...72 INFORMATIEBEVEILIGINGSASPECTEN VAN BEDRIJFSCONTINUÏTEITSBEHEER...72 NALEVING...73 NALEVING VAN WETTELIJKE VOORSCHRIFTEN...73 OVERWEGINGEN BIJ AUDITS VAN INFORMATIESYSTEMEN BIJLAGE 4. KOSTEN...75 BEWUSTWORDING INFORMATIEBEVEILIGING...75 VERBETERMAATREGELEN INFORMATIEBEVEILIGING...75

20 Bijlage 2 Inleiding In deze bijlage zijn een aantal voorschriften en handreikingen op het gebied van informatiebeveiliging opgesteld. Deze zijn afgeleid van een best practice, die is beschreven in Code voor Informatiebeveiliging, versie 2005 (CVIB), een publicatie van het Nederlands Normalisatie-instituut, ook bekend als NEN-ISO/IEC Deze code bevat een zeer volledige checklist voor alle aspecten van informatiebeveiliging. De indeling en paragraafnummering van deze beleidsnota is gelijk aan die van de CVIB. Hierdoor is het gemakkelijker om de vertaling te maken van de checklist naar het Leidse beleid en vice versa. Bovendien wordt de code vaak gebruikt als referentie in andere publicaties over informatiebeveiliging, die daardoor gemakkelijker kunnen worden toegepast op de Leidse situatie. Deze aansluiting is de reden, dat de hoofdstuknummering begint bij 4. De inleidende hoofdstukken uit de code zijn daarvoor niet relevant. Extra maatregelen voor kritische processen en systemen Voor specifieke processen, systemen of organisatieonderdelen kan het noodzakelijk zijn dat een hoger beveiligingsniveau dan de baseline moet worden geïmplementeerd. Dit kan het geval zijn vanwege externe normenkaders, zoals SUWI-net of de GBA-wet, of omdat er sprake is van een verhoogd risico. Het is de verantwoordelijkheid van de proceseigenaar om te verifiëren of het basisbeveiligingsniveau toereikend is en waar nodig aanvullend beleid te bepalen. Daarvoor kan gebruikt worden gemaakt van een impact-analyse en een risico-analyse. (zie hoofdstuk 4)

21 Risicobeoordeling en risicobehandeling Impact-analyse Om vast te stellen of een risicoanalyse voor een bepaald proces noodzakelijk is, moet eerst een impact-analyse worden uitgevoerd. Daarbij zijn een aantal factoren van belang: De mate van vertrouwelijkheid van de gegevens, die in het proces worden gebruikt. Dit betreft privacy van burgers, politieke gevoelige informatie, zakelijk gevoelige informatie en gegevens, die gebruikt zouden kunnen worden voor terroristische doeleinden. Maatschappelijke schade, die ontstaat als het proces stagneert of als er onjuiste gegevens worden gebruikt. Schade aan de reputatie van de gemeente of van afzonderlijke bestuurders. Financiële schade, die ontstaat als het proces stagneert of als er onjuiste gegevens worden gebruikt. Als er sprake is van een hoge impact, dient er een risico-analyse te worden uitgevoerd. Daarnaast kan het systeem door de eigenaar als bedrijfskritisch worden aangemerkt. Er is een checklist ter ondersteuning van het maken van een impact-analyse. Risico-analyse Aan de hand van een checklist worden de risico s ingeschat, d.w.z. de kans dat zich een bepaalde verstoring voordoet en de ernst van de gevolgen. Vervolgens wordt gekozen uit een van de volgende opties: het bewust accepteren van bepaalde risico's de inrichting van extra beveiligingsmaatregelen het vermijden van de risico's, door de risicovolle activiteiten niet toe te staan het overhevelen van de risico's naar andere partijen, bijvoorbeeld d.m.v. verzekering De analyse dient jaarlijks te worden herhaald om tijdig in te spelen op veranderingen in de situatie of de gestelde eisen. De risicoanalyses moeten worden uitgevoerd op methodische wijze, zodat vergelijkbare en reproduceerbare resultaten worden geproduceerd. Beseft moet worden, dat beveiligingsmaatregelen nooit 100% waterdicht zijn en dat monitoren, evalueren en bijsturen van de beveiliging een continu punt van aandacht voor het management is. Bedrijfskritische systemen Voor systemen, die als bedrijfskritisch zijn aangemerkt, dient in ieder geval een continuïteitsplan aanwezig te zijn. Een calamiteitenplan en een uitwijkplan kunnen daar onderdeel van uitmaken. In geval van een optredende calamiteit wordt gezorgd voor een toereikende beschikbaarheid van middelen om de informatievoorziening binnen een acceptabele termijn weer operationeel te hebben. De acceptabele termijn wordt bepaald in de risicoanalyse. Beveiligingsbeleid Het beleid voor informatiebeveiliging van de Gemeente Leiden wordt vastgesteld door het College van Burgermeester en Wethouders voor een perioden van vier jaar. De concerncontroller is verantwoordelijk voor het periodiek evalueren en bijstellen van het beleid.

22 Tevens rapporteert de concerncontroller aan de directie over de uitvoering en naleving van het beleid. Hij kan daartoe derde partijen verzoeken een toetsing uit te voeren.

23 Organisatie van informatiebeveiliging Interne organisatie Betrokkenheid van de directie bij informatiebeveiliging Op basis van voorstellen van de concerncontroller adviseert de directie het College van B&W over aanpassingen van het beleid. De directie stelt het jaarlijkse actieplan informatiebeveiliging vast. Coördinatie van informatiebeveiliging De coördinatie van de informatiebeveiliging is belegd bij de afdeling Kwaliteit, Documenten en Gegevens. De coördinator stelt jaarlijks een actieplan op voor de implementatie van het beveiligingsbeleid en legt dit voor aan de concerndirectie. Na goedkeuring bewaakt de coördinator de uitvoering van het plan en rapporteert daarover aan concerncontroller en directie. Toewijzing van verantwoordelijkheden voor informatiebeveiliging Elk informatiesysteem heeft een eigenaar. Tenzij deze taak expliciet is toegewezen aan een ander, is dit de meest betrokken afdelingsmanager. De eigenaar van een systeem is verantwoordelijk voor de goede werking van het systeem en de beveiliging van de daarin verwerkte gegevens. De beveiliging van gebouwen en ruimten en de beveiliging van IT-middelen behoren tot het basispakket van het Shared Service Center. De coördinator beoordeelt jaarlijks of dit pakket wijziging behoeft. Daarnaast levert het SSC extra ondersteuning en advies op het gebied van personele, juridische, facilitaire of informatietechnische aspecten van beveiliging. Hierover maakt het SSC jaarlijks afspraken met de coördinator als het gemeentebrede zaken betreft en met afdelingsmanagers, als het afdelingsspecifieke zaken betreft. Iedere medewerker heeft de verantwoordelijkheid om zorgvuldig om te gaan met de informatie waar hij/zij toegang toe heeft. Iedere afdelingsmanager heeft de verantwoordelijkheid en de zorg voor de naleving van het gemeentebrede informatiebeveiligingsbeleid binnen zijn of haar afdeling. Daarnaast is hij/zij verantwoordelijk voor specifieke beveiligingsissues binnen zijn/haar eigen afdeling. Goedkeuringsproces voor IT voorzieningen Voor aanschaf en ingebruikname van IT-voorzieningen is toestemming door de afdelingsmanager of een formeel door hem/haar gemandateerd persoon nodig. Hardware wordt door de ICT-afdeling beoordeeld op comptabiliteit en beveiligingseisen. Software wordt door informatiemanagement (ondergebracht bij de afdeling KDG) beoordeeld op inpassing in de gemeentelijke informatiearchitectuur. Onafhankelijke beoordeling van informatiebeveiliging Er worden op verzoek van de concerncontroller regelmatig audits uitgevoerd naar onderdelen van de informatiebeveiliging. De audits kunnen worden uitgevoerd door het audit-team van de gemeente of door externe partijen.

24 Externe partijen Identificatie van risico s die betrekking hebben op externe partijen De afdelingsmanager, is verantwoordelijk voor het beoordelen van de risico s, voor de organisatie door uitwisseling van informatie met externe partijen of door de toegang van externe partijen tot gebouwen en/of systemen. Overeenkomsten met derde partijen De beoordeling van de in genoemde risico s kan leiden tot het opnemen van eventuele voorwaarden, werkvoorschriften of procedures zijn opgenomen, die betrekking hebben op informatiebeveiligingsrisico s.

25 Beheer van bedrijfsmiddelen Verantwoordelijkheid voor bedrijfsmiddelen Inventarisatie van bedrijfsmiddelen De ICT-beheerorganisatie houdt een registratie bij van alle bedrijfsmiddelen die verband houden met geautomatiseerde informatiesystemen: de configuratiedatabase. Classificatie van informatie Richtlijnen voor classificatie Eigenaarschap van informatie Informatie binnen de gemeente Leiden wordt intern gegenereerd binnen werkprocessen of komt binnen via een van de communicatiekanalen: post, internet, balie, telefoon, . Alle op een gegevensdrager vastgelegde informatie is eigendom van de gemeente Leiden en dient uiteindelijk in het archief van de afdeling DIV dienen te belanden, zodat het beschikbaar is voor onderzoek (democratische controle, historisch onderzoek etc). Classificatie van informatie Er worden drie klassen van vertrouwelijkheid onderscheiden, zowel voor interne als externe stukken: Classificatie Openbaar Intern gebruik (vertrouwelijk) Beperkt gebruik (geheim) Omgangsregels Deze informatie is bestemd voor brede publicatie, zowel binnen als buiten de organisatie. Deze informatie is slechts toegankelijk voor medewerkers en/of contractpartijen van de gemeente Leiden. Deze informatie is slechts toegankelijk voor een specifiek beschreven selectie van medewerkers dan wel derden. Er worden twee klassen van belang onderscheiden: Classificatie Normaal belang Vitaal belang Omgangsregels Voor deze informatie volstaat het beveiligingsniveau als gesteld door de basisvoorziening informatiebeveiliging. Voor het beschermen van deze informatie zijn extra maatregelen nodig. Dit moet middels een risicobeoordeling worden bepaald. Tenzij expliciet anders bepaald en aangegeven is interne en externe informatie geclassificeerd als intern / normaal belang.

26 Voor de griffie en de Raad gelden slecht twee klassen van vertrouwelijkheid: openbaar en geheim (zie ook paragraaf 7.2.2) Classificatie van interne poststukken De bewerker of opsteller is verantwoordelijk voor de classificatie en dient een stuk te labelen. Indien dat niet gebeurt, is de informatie geclassificeerd als Intern / normaal belang. Interne stukken zonder classificatie worden indien ze bij DIV worden aangeboden geopend, met uitzondering van: brieven van de afdeling personeelszaken, mits als zodanig herkenbaar. Bij voorkeur dient de afdeling Personeelszaken brieven naar het huisadres te sturen. brieven aan de vertrouwenspersoon, mits als zodanig herkenbaar brieven aan (leden van) de Ondernemingsraad, voor zover duidelijk is dat zij in die hoedanigheid de brief ontvangen Classificatie van externe poststukken Brieven van externe oorsprong worden in eerste instantie via de afdeling DIV verwerkt. Ongeacht de door de afzender meegegeven classificaties zullen de stukken worden geopend, geregistreerd en gescand. Uitzondering hierop zijn: brieven van ministeries met de classificatie geheim of vertrouwelijk. Deze worden ongeopend doorgezonden aan een afdeling, indien althans duidelijk is aan welke afdeling het is gericht. brieven aan de vertrouwenspersoon, mits als zodanig herkenbaar. Deze worden ongeopend bezorgd. brieven aan (leden van) de Ondernemingsraad. Deze worden ongeopend bezorgd. brieven aan de afdeling personeelszaken, waarvan aan de enveloppe te zien is dat het gaat om sollicitaties. Deze worden ongeopend doorgezonden. brieven aan burgemeester, wethouders of raadsleden, voorzien van de termen vertrouwelijk of persoonlijk. Omdat niet iedereen de adresgegevens van politici heeft, kunnen deze brieven inderdaad persoonlijk zijn. Voor genoemde groepen niet geopende post geldt uiteraard wel, dat de geadresseerde voor zichzelf dient uit te maken of de brief ook terecht geclassificeerd is geweest. Labeling en verwerking van informatie Labeling van documenten Alle documenten die een andere vertrouwelijkheid hebben dan intern / normaal belang, zijn voorzien van een label waaruit blijkt, welk vertrouwelijkheidcriterium van toepassing is. Labeling van raadsstukken In de laatste raadsvergadering van elke raadsperiode wordt bepaald, welke van de stukken die als geheim zijn aangemerkt nog geheim moeten blijven. De overige stukken zijn openbaar. Digitale bestanden De procedures en verantwoordelijkheden m.b.t. niet-persoonsgebonden elektronische postbussen (bv. afdelingspostbussen) dienen per postbus te zijn getoetst aan een door het College van B&W vastgesteld toetsingskader. Voor elke postbus dient een door de manager van de betreffende afdeling ondertekend toetsingverslag te zijn.

27 Beveiliging van personeel Voorafgaand aan het dienstverband Rollen en verantwoordelijkheden a) De rollen en verantwoordelijkheden van functionarissen ten aanzien van informatiebeveiliging dienen in de functiebeschrijvingen te worden opgenomen. b) Iedere nieuwe medewerker dient op de hoogte te worden gesteld van de voor hem of haar geldende beveiligingsvoorschriften en maatregelen. c) Alle nieuwe medewerkers dienen de ambtseed of -belofte af te leggen en te worden gewezen op het integriteitbeleid binnen de gemeente. d) Nieuwe raadsleden worden beëdigd. Duo-raadsleden en fractie assistenten leggen in het bijzijn van burgemeester en griffier een schriftelijke verklaring af. e) Tijdelijk personeel (inhuur, stagiaires, vrijwilligers e.d.) ondertekent een geheimhoudingsverklaring, tenzij dit evident onnodig is, gezien de aard van het werk. Screening a) Screening van nieuwe medewerkers dient tijdens de sollicitatieprocedure plaats te vinden. De procedure is geborgd in het Wervings- & Selectiebeleid. Screening omvat minimaal het indienen van een verklaring omtrent het gedrag (VOG); het overleggen van kopieën van academische en professionele kwalificaties, onafhankelijke identiteitscontrole (paspoort of vergelijkbaar document). b) Bij kwetsbare functies wordt ook aan tijdelijk personeel een VOG gevraagd. Tijdens het dienstverband Directieverantwoordelijkheid De directie delegeert de verantwoordelijkheid voor het handhaven van de beveiligingsregels aan de afdelingsmanagers. Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging a) Om medewerkers op de hoogte te brengen van het beveiligingsbeleid en de maatregelen wordt regelmatig aandacht besteedt aan communicatie via de algemene communicatiemiddelen, bijvoorbeeld het personeelsblad. b) Voor alle medewerkers moet duidelijk zijn wat een veiligheidsincident is, bij wie het incident gemeld moet worden en wie het incident verder afhandelt. (zie hoofdstuk 13). c) De kwantiteit en kwaliteit van automatiseringspersoneel is zodanig dat daarmee een basis aanwezig is voor het waarborgen van een betrouwbare en continue gegevensverwerking. Het hoofd ICT rapporteert hierover aan de concerncontroller. Disciplinaire maatregelen De schending van het beveiligingsbeleid of de beveiligingsprocedures van de organisatie door de werknemers wordt via een formeel disciplinair proces afgehandeld. Dit proces is niet van toepassing op bestuurders en raadsleden.

28 Beëindiging of wijziging van dienstverband Beëindiging van verantwoordelijkheden In contracten met medewerkers kunnen bepaalde arbeidsvoorwaarden worden opgenomen, die ook gedurende een bepaalde periode na de beëindiging van het contract van kracht blijven. Eventueel kan besloten worden een geheimhoudingsovereenkomst te tekenen. Wijzigingen in een dienstverband dienen te worden beschouwd als een beëindiging van het dienstverband. De afdeling HRM zijn in samenwerking met de afdelingsmanager (teamleider/unitleider) van de afdeling verantwoordelijk voor het totale beëindigingsproces, waaronder de beveiligingsaspecten, die daarmee samenhangen Retournering van bedrijfsmiddelen De afdelingsmanager is verantwoordelijk om medewerkers, die beschikken over bedrijfsmiddelen, deze voor beëindiging van het dienstverband te laten afgeven. Blokkering toegangsrechten De afdelingsmanager is verantwoordelijk om medewerkers, die beschikken over fysieke en/of logische toegangsrechten, deze voor beëindiging van het dienstverband te laten ontnemen.

29 Fysieke beveiliging en beveiliging van de omgeving Onder de verantwoording van SSC / Facilitaire Zaken is een beleidsplan opgesteld, waarin het beleid is vastgelegd t.a.v. de beveiliging van gebouwen, personen, materie en informatie. Beveiligde ruimten Fysieke toegangsbeveiliging tot gebouwen De gebouwen van de gemeente Leiden zijn in beginsel toegankelijk voor alle bestuurders, raadsleden en medewerkers alsmede buitenstaanders met een valide reden voor bezoek (bezoekers, klanten, leveranciers, etc.). In enkele gebouwen van de gemeente Leiden is een zogenaamde beveiligde zone aanwezig. Betreden van deze zone is alleen mogelijk met een toegangspas of onder begeleiding van een medewerker met een toegangspas. Voor het gebouw van de griffie geldt een speciaal regiem. Het gebouw en de kamers daarin zijn afgesloten. Raadsleden beschikken over een sleutel van het gebouw en van hun fractiekamer. Gebouwen zonder beveiligde zone In dergelijke gebouwen staat geen dure en gevoelige apparatuur 3 en is geen vertrouwelijke informatie aanwezig. Toegangscontrole vindt plaats door de aanwezige receptiemedewerkers en niet door een opgeleide beveiligingsmedewerker. Gebouwen met een beveiligde zone: In deze gebouwen is dure en/of gevoelige apparatuur en/of vertrouwelijke informatie aanwezig. In de gebouwen waar een beveiligde zone aanwezig is kan men alleen toegang tot de zone krijgen met een toegangspas. De controle hierop wordt uitgevoerd door de medewerkers van een beveiligingsbedrijf. De instructie van de medewerkers van het beveiligingsbedrijf is vastgelegd in de Instructie Beveiliging Stadhuis. In gebouwen met een beveiligde zone is een alarmsysteem aanwezig. Het alarmsysteem geeft bij activering een signaal door naar de meldkamer van het beveiligingsbedrijf die vervolgens het gebouw controleert. In de nacht en in het weekend wordt er door het beveiligingsbedrijf enkele malen een controleronde gelopen door het pand. Dit gebeurt op willekeurige tijdstippen. Toegangspas Voor toegang tot de beveiligde zones zijn toegangspassen beschikbaar. Deze passen kunnen door of namens afdelingsmanagers worden aangevraagd bij de eenheid Huisvesting en Services van het SSC. Zodra een medewerker geen toegang meer hoeft te hebben tot een beveiligde zone, moet het pasje (voor die zones) worden gedeactiveerd of ingeleverd. De afdelingsmanagers zijn ten allen tijde verantwoordelijk voor de juistheid van de in omloop zijnde passen. Om hen hierbij te helpen, ontvangen zij ieder kwartaal een overzicht van alle passen, die onder hun verantwoordelijkheid zijn verstrekt. 3 Van gevoelige apparatuur wordt gesproken, als een verstoorde werking kan leiden tot aanzienlijke maatschappelijke, financiële of imagoschade.