Noorderpoort. Informatiebeveiligingsbeleid

Transcriptie

1 Noorderpoort Informatiebeveiligingsbeleid

2 Colofon Datum Titel Informatiebeveiligingsbeleid Noorderpoort Dienst / school / auteur Dhr. M.A. Broekhuizen, Dhr. G. Fokkema Versie 1.0 Status Definitief

3 1 Inleiding 5 2 Opbouw beveiligingsbeleid 6 3 Doelstelling 7 4 Uitgangspunten 8 5 Besturingsmodel Beleid Implementatie beleid en operationele sturing informatiebeveiliging Incidenten Operationeel overleg informatiebeveiliging Overzicht taken, rollen, verantwoordelijkheden College van Bestuur Security Officer ICT Governance Informatiemanagement Security Specialist Verantwoordelijkheid leidinggevende school / dienst Directeur Facilities Persoonlijke verantwoordelijkheid alle medewerkers Persoonlijke verantwoordelijkheid alle leerlingen / studenten 13 6 medewerkers ME.1 Internet- en ME.2 Verantwoordelijkheden van gebruikers ME.3 Beleid ten aanzien van toegangsbeveiliging ME.4 Mobiele computers en telewerken ME.5 Rapporteren van beveiliging gerelateerde gebeurtenissen en kwetsbaarheden ME.6 Naleving van wettelijke voorschriften 16 7 management MA.1 Risicoanalyse MA.2 Beveiligingsbeleid MA.3 Beveiligingsorganisatie MA.4 Externe partijen MA.5 Verantwoordelijkheid voor bedrijfsmiddelen MA.6 Classificatie van informatie MA.7 Beleid ten aanzien van toegangsbeveiliging MA.8 Management van toegangsrechten / autorisatiebeheer MA.9 Beveiligingseisen voor informatiesystemen MA.10 Juiste en volledige gegevensverwerking MA.11 Beveiliging van bestanden MA.12 Beveiliging van ontwikkel- en onderhoudprocessen MA.13 Rapporteren van beveiligingsgerelateerde gebeurtenissen en kwetsbaarheden MA.14 Management van beveiligingsincidenten en verbeteringen MA.15 Informatiebeveiligingsaspecten van business continuity planning MA.16 Naleving van wettelijke voorschriften MA.17 Beoordeling van de naleving van het beveiligingsbeleid en de technische vereisten 28 8 specifieke afdelingen Personeel en Organisatie, Personeelsbeheer 29 3

4 8.1.1 PO.1 voor indiensttreding PO.2 tijdens het dienstverband PO.3 Beëindiging of wijziging van het dienstverband Dienst Facilities FS.1 Beveiligde ruimten FS.2 Beveiliging van apparatuur FS.3 Externe partijen Informatie Voorziening IV.1 Verantwoordelijkheid voor bedrijfsmiddelen IV.2 Beveiligde ruimten IV.3 Bedieningsprocedures en verantwoordelijkheden IV.5 Systeem planning en acceptatie IV.6 Bescherming tegen kwaadaardige software IV.7.3 Uitwisseling van informatie IV.8 Back-up IV.9 Netwerkbeveiliging IV.10 Behandeling van media IV.11 Uitwisseling van informatie IV.12 Monitoring IV.13 Toegangsbeveiliging voor netwerken IV.14 Toegangsbeveiliging voor besturingssystemen IV.16 Beveiliging van ontwikkel- en onderhoudprocessen IV.17 Beoordeling van de naleving van het beveiligingsbeleid en de technische vereisten IV.19 Naleving van wettelijke voorschriften Security officer ST.1 Naleving van wettelijke voorschriften 38

5 1 Inleiding Noorderpoort is een onderwijsinstelling voor voortgezet onderwijs, mbo, volwasseneneducatie en contractactiviteiten. Met 17 verschillende scholen verspreid in de regio, ruim cursisten en medewerkers is Noorderpoort het grootste ROC (regionaal opleidingscentrum) in Noord-Nederland. Het informatiebeveiligingsbeleid doet recht aan het open karakter van het Noorderpoort Het Noorderpoort staat midden in de samenleving. Dat betekent dat veranderingen in de samenleving vanzelfsprekend leiden tot veranderingen bij ons. Met de versnelde digitalisering van de samenleving maakt ook het Noorderpoort in toenemende mate gebruik van informatiesystemen ter ondersteuning van onderwijs- en bedrijfsvoeringsprocessen. Midden in de samenleving betekent ook dat veel van de activiteiten van het Noorderpoort worden uitgevoerd in gezamenlijkheid met andere organisaties en individuen. De veranderingen in de komende jaren vragen om een steeds flexibelere inrichting van onze organisatie en informatiesystemen. Het Noorderpoort en de informatievoorziening in het Noorderpoort is geen op zichzelf staande eenheid, maar maakt meer en meer deel uit van integrale ketens. Het Noorderpoort wil daarbij een knooppunt van leren zijn, als integraal onderdeel van de regio. Hierbij staat het succes van leerlingen en studenten voorop. Voor het informatiebeveiligingsbeleid betekent dit dat enerzijds het beleid de ruimte moet geven voor deze open structuur en diversiteit aan activiteiten, anderzijds zal het beleid erop gericht blijven om mogelijke risico s tot een minimum te blijven beperken. Proces van continue verbetering in een PDCA-cyclus gebaseerd op risico-analyse. Het informatiebeveiligingsbeleid stelt de doelstellingen van het Noorderpoort centraal. Vanuit de doelstellingen en de processen die het Noorderpoort heeft ingericht om de doelstellingen te realiseren dient als eerste in kaart gebracht te worden welke informatierisico s al dan niet acceptabel zijn. Op basis van deze risico s dienen vervolgens beveiligingsmaatregelen te worden geselecteerd, ontworpen, ontwikkeld, ingevoerd, bewaakt en continu verbeterd. Bij het selecteren, ontwerpen en ontwikkelen van maatregelen houdt het Noorderpoort vanzelfsprekend rekening met de organisatiecultuur en het beschikbare budget. Informatiebeveiliging zien wij nadrukkelijk als een proces en geen eenmalige activiteit. De Code voor Informatiebeveiliging is gebaseerd op de Deming cycle en ondersteunt deze zienswijze. 5

6 2 Opbouw beveiligingsbeleid Noorderpoort geeft op drie niveaus invulling aan informatiebeveiliging. Het raamwerk voor informatiebeveiliging is als volgt opgebouwd: Figuur 1: raamwerk beveiliging Hoofdstuk 3, 4 en 5 bevatten de kaders voor beveiliging binnen het Noorderpoort. Hierin worden de doelstellingen, uitgangspunten, taken en verantwoordelijkheden evenals het procesmodel dat binnen het Noorderpoort voor informatiebeveiliging wordt gehanteerd beschreven. Hoofdstuk 6 t/m 8 bevatten de richtlijnen voor beveiliging. Deze richtlijnen vormen het basis beveiligingsniveau en zijn gericht op verschillende doelgroepen binnen het Noorderpoort: leerlingen / studenten, medewerkers, management en specifieke afdelingen. Bij het definiëren van de richtlijnen wordt uitgegaan van de kaders zoals deze in hoofdstuk 3,4 en 5 zijn gesteld. Per proces en per informatiesysteem worden maatregelen geïmplementeerd. Deze maatregelen zijn een directe doorvertaling van de richtlijnen die betrekking hebben op het proces danwel het informatiesysteem. De maatregelen staan beschreven in afzonderlijke documenten die betrekking hebben op proces / informatiesysteem. Denk hierbij aan AO-beleid, procedure-beschrijvingen, autorisatiematrices en beheerdocumenten. Op alle drie de niveaus wordt de PDCA-cyclus doorlopen op basis van de Deming cycle. Daarbij geldt: - De kaders (strategisch) worden in een 3-jaars cylus herijkt - De richtlijnen (tactisch) worden jaarlijks getoets en waar nodig aangepast - De maatregelen (operationeel) kunnen continue worden gewijzigd naar aanleiding van veranderde context, projecten of gebleken risico s. Het informatie beveiligingsbeleid heeft betrekking op de periode Het beveiligingsbeleid is gebaseerd op de Code voor Informatiebeveiliging (NEN ISO ), de ISO standaard voor informatiebeveiliging. 1 Uitgebreide informatie beschikbaar via

7 3 Doelstelling Informatie komt in veel vormen voor (geschreven op papier, elektronisch opgeslagen, per post of via elektronische media verzonden of in gesproken vorm). Informatiebeveiliging richt zich in toenemende mate op de beveiliging van elektronische gegevens en informatiesystemen. Echter, informatie is een bedrijfsmiddel dat net als andere belangrijke bedrijfsmiddelen van waarde is voor het Noorderpoort en dat ongeacht de gegevensdrager, voortdurend op een passende manier beveiligd dient te zijn. Informatiebeveiliging is geen doel op zich maar dient een integraal onderdeel van de bedrijfsprocessen en de informatievoorziening van het Noorderpoort te zijn. Het doel van informatiebeveiliging is het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens en informatiesystemen door het creëren en implementeren van een stelsel van maatregelen. Informatiebeveiliging dient dus de volgende kwaliteitsaspecten van de informatievoorziening te garanderen: Beschikbaarheid: het waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot informatie en aanverwante bedrijfsmiddelen; Integriteit: het waarborgen van de juistheid en de volledigheid van informatie en verwerking; Vertrouwelijkheid: Het waarborgen dat informatie alleen toegankelijk is voor degenen, die hiertoe geautoriseerd zijn. 7

8 4 Uitgangspunten Het Noorderpoort hanteert de volgende beleidsuitgangspunten ten aanzien van informatiebeveiliging: 1. Informatiebeveiliging wordt beschouwd als een vanzelfsprekend en integraal onderdeel van de bedrijfsvoering van het Noorderpoort. 2. Het Noorderpoort hanteert de Code voor Informatiebeveiliging (NEN ISO 27002) als basis voor het inrichten en onderhouden van maatregelen voor het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van haar bedrijfsgegevens. De Code voor Informatiebeveiliging is een algemeen geaccepteerde basis voor informatiebeveiliging in Nederland. Het Noorderpoort heeft een keuze gemaakt welke maatregelen uit de Code voor Informatiebeveiliging voor de eigen situatie relevant zijn. 3. Het informatiebeveiligingsbeleid is bindend voor alle activiteiten ten behoeve van en / of onder verantwoordelijkheid van het Noorderpoort. Het betreft diensten, werknemers en organisaties die bij de activiteiten betrokken zijn. Het gewenste resultaat van het informatiebeveiligingsbeleid kan alleen worden bereikt, wanneer alle afdelingen, medewerkers en derde partijen die verbonden zijn aan de informatie, zich aan het beleid conformeren. 4. Relaties tussen een dienst en een andere instantie (zowel intern als extern), die betrekking hebben op de informatievoorziening van het Noorderpoort dan wel de informatievoorziening van deze instantie, gaan vergezeld van schriftelijke afspraken over het vereiste betrouwbaarheidsniveau en de wijze waarop zekerheid wordt verkregen over de realisatie daarvan. Indien voor het uitwisselen van informatie afhankelijkheden bestaan van derde partijen of diensten worden geleverd aan derde partijen, is het van belang dat schriftelijke afspraken worden gemaakt met deze derden ten aanzien van de omgang met informatie, afbakening van de verantwoordelijkheden, de te treffen maatregelen in het kader van de betrouwbaarheid en de controle op naleving hiervan. 5. Informatiebeveiliging is een integrale lijnverantwoordelijkheid en vormt een onderdeel van de kwaliteitszorg voor de reguliere bestuurs- en bedrijfsprocessen en ondersteunende informatiesystemen. Deze kaders bieden een leidraad voor het specifiek inrichten van het informatiebeveiligingsproces binnen de scholen en diensten van het Noorderpoort. Per school / dienst is de leidinggevende verantwoordelijk voor het inrichten en waarborgen van een adequate informatiebeveiliging. 6. Om invulling te geven aan het informatiebeveiligingskader worden per school / dienst concrete maatregelen ingericht. Deze maatregelen zijn een doorvertaling vanuit de kaders en de richtlijnen zoals die zijn beschreven in het informatiebeveiligingsbeleid. 7. Het informatiebeveiligingsbeleid sluit aan bij de wettelijke en in ons werkveld gestelde kaders. Hieronder vallen onder andere: - NEN ISO BVE Governance code 2 - Wet bescherming persoonsgegevens 3 - Leerplichtwet (met name in kader van plicht tot informatie uitwisseling in relatie tot privacy) 4 - Hoofdstuk beveiliging uit de Nederlandse Overheid Referentie Architectuur (NORA) 5 8. Het informatiebeveiligingsbeleid doet recht aan het open karakter van de onderwijsinstelling Noorderpoort (College bescherming persoonsgegevens) en (Informatie over wet bescherming persoonsgegevens)

9 Het Noorderpoort beoogt een sterke verbinding met de deelnemers, het werkveld en de omgeving. Hiervoor is een open en flexibele inrichting op diverse terreinen noodzakelijk en wordt van het informatiebeveiligingsbeleid ook gevraagd om hierbij aan te sluiten (voor zover mogelijk). 9. Afwijkingen van en wijzigingen op het beleid moeten worden beargumenteerd en gebeuren op basis van risicoanalyses. Dit sluit aan bij het uitgangspunt van de BVE Governance code: 'pas toe of leg uit'. 10. Voor beheer en ontwikkeling (projecten) gelden aparte kaders t.a.v. beveiligingsbeleid. Voor ontwikkeling kan hierbij het beveiligingsniveau lager zijn, afhankelijk van de omstandigheden en risico s. Bij het overgaan naar de staande organisatie van projectresultaten moeten processen en applicaties worden getoetst en voldoen aan de gestelde beveiligingskaders 11. Iedere beveiligingsmaatregel moet controleerbaar zijn. Maatregelen, waarvan de naleving niet goed is vast te stellen, kunnen aanleiding geven tot ontwijkend gedrag, wat impliceert dat maatregelen niet effectief zijn. Bij iedere maatregel wordt vooraf nagegaan op welke wijze de naleving en het functioneren van de maatregel kunnen worden gecontroleerd. Controle vindt enerzijds plaats binnen het proces en daarnaast aan de hand van verbijzonderde interne control. 12. Toegang tot informatie systemen is op basis van need to know. Toegang heeft nut en toegevoegde waarde. Toegang en gebruik is traceerbaar. 9

10 5 Besturingsmodel Informatiebeveiliging is een verantwoordelijkheid van de lijn. In dit hoofdstuk worden taken, bevoegdheden en verantwoordelijkheden met betrekking tot het informatiebeveiligingsbeleid benoemd en wordt aangegeven bij welke functionarissen deze worden belegd. Door het expliciet beleggen van de verantwoordelijkheden wordt informatiebeveiliging verankerd in de staande organisatie van het Noorderpoort. Het besturingsmodel betreft alle drie de niveaus van informatiebeveiliging: de kaders, de richtlijnen en de maatregelen. Op alle drie niveaus is sprake van een PDCA-cyclus. Bij het overzicht van rollen, taken en verantwoordelijkheden wordt expliciet gerefereerd aan de niveaus waarop deze betrekking hebben. Voor alle verantwoordelijkheden die in dit hoofdstuk worden benoemd, geldt dat taken die uit deze verantwoordelijkheden voortvloeien, kunnen worden gedelegeerd aan specifieke afdelingen of functies, die vervolgens een gedelegeerde verantwoordelijkheid dragen. Het besturingsmodel richt zich op drie soorten processen: - Beleid - Implementatie beleid en operationele sturing informatiebeveiliging - Incidenten 5.1 Beleid College van bestuur Het College van bestuur stelt het beleid vast. Security Officer De Security Officer is vanuit het CvB gedelegeerd verantwoordelijke t.a.v. het coördineren en communiceren van concern breed beleid op het gebied van informatiebeveiliging. In die hoedanigheid is de Security Officer verantwoordelijk voor het initiëren van initiatieven binnen de lijnorganisatie ten aanzien van de uitvoering en naleving van de genomen maatregelen alsmede het bewaken van de actualiteit van het informatiebeveiligingsbeleid en de beveiligingsmaatregelen. ICT Governance Informatiebeveiliging moet onderdeel zijn van de normale bedrijfsprocessen, geïntegreerd in de normale praktijk en de al bestaande structuren en verantwoordelijkheden. Vandaar dat informatiebeveiliging wordt besproken binnen de stuurgroep ICT Governance. Beleid wordt onder verantwoordelijkheid van de Security Officer ingebracht, besproken en van advies voorzien richting het CvB. De stuurgroep ICT Governance onderhoudt en legt voor aan het CvB. Informatiemanagement Informatiemanagement geeft invulling aan de beleidscyclus in opdracht van de Security Officer. Informatiemanagement heeft concreet als taak het vormgeven van het proces waarin het beleid actueel wordt gehouden binnen de kaders meegegeven door de stuurgroep ICT Governance en de Security Officer. Direct betrokkenen bij het aanpassen van het beleid zijn de informatiesysteem eigenaren (met name personeelsbeheer / P&O en facilities) en de beveiligingsspecialist vanuit de afdeling ICT. Input voor aanpassing komt vanuit de organisatie op basis van wijzigingen in processen, informatiesystemen, ricico-analyses of bijvoorbeeld incidenten. Onderdeel van de beleidscyclus is de check en act. Dit wordt vormgegeven door informatiemanagement. Middelen hiervoor zijn o.a.: o Periodieke compliance rapportages o Audits o IT audits (extern) Doel is tweeledig: input voor aanpassing van het belang en check / act op de operationele implementatie van beleid en daarbij risico-analyse. De verdeling van taken en verantwoordelijkheden m.b.t. beleid worden in onderstaande schema weergegeven.

11 College van Bestuur Vaststellen beleid Advies beleid: kaders & richtlijnen Directeur bestuursdienst (Security Officer) Directeuren scholen / diensten ICT Governance Directeur Facilities Informatiemanagement Beleidsvoorbereiding Proces- en informatiesysteem eigenaren Beveiligingsspecialist Informatie systemen (Extern) toezicht Scholen Facilities Personeels beheer / P&O ICT Figuur 2: Overzicht rollen, taken en verantwoordelijkheden Beleid 5.2 Implementatie beleid en operationele sturing informatiebeveiliging Security Officer De Security Officer is vanuit het CvB gedelegeerd verantwoordelijke t.a.v. het coördineren en communiceren van concern breed beleid op het gebied van informatiebeveiliging. In die hoedanigheid is de Security Officer verantwoordelijk voor het initiëren van initiatieven binnen de lijnorganisatie ten aanzien van de uitvoering en naleving van de genomen maatregelen alsmede het bewaken van de actualiteit van het informatiebeveiligingsbeleid en de beveiligingsmaatregelen. Directeur school / dienst Informatiebeveiliging is een verantwoordelijkheid van de lijn. Dit betekent dat de school- en dienstdirecteuren verantwoordelijk zijn voor de implementatie en operationele sturing met betrekking tot informatiebeveiliging aangaande hun afdelingen, medewerkers en processen. Hierbij zijn er een diensten waar expliciete taken t.a.v. informatiebeveiliging zijn belegd (zie ook hfst. 8 specifieke afdelingen): o Facilities (onderdeel huisvesting / gebouwbeheer): taken met betrekking tot fysieke informatiebeveiliging o Facilities (afdeling ICT) en Informatiemanagement: taken met betrekking tot technische en logische informatiebeveiliging o Personeelsbeheer en P&O: taken met betrekking tot informatiebeveiliging bij medewerkers Eigenaren informatiesystemen Informatiesystemen ondersteunen processen die vaak afdeling overstijgend zijn. Vanuit de informatiearchitectuur is bepaald dat de eigenaar van het proces ook de eigenaar is van het ondersteunende informatiesysteem. Eigenaarschap betekent in dit geval ook verantwoordelijk voor de beveiliging van het informatiesysteem. 11

12 5.3 Incidenten Er zijn drie soorten incidenten die kunnen optreden met betrekking tot informatiebeveiliging: Reguliere IT-beveiligingsincidenten De escalatielijn loopt bij deze incidenten via eventueel de leidinggevende naar de afdeling ICT van de dienst Facilities en indien nodig naar de Security Specialist. Afhandeling van het incident gebeurt door de afdeling ICT in samenwerking met de security specialist (indien nodig), de lijnmanager en de betrokkene zelf. Fysieke beveiligingsincidenten (worden gemeld bij de gebouwenbeheerder) Bij fysieke beveiligingsincidenten zoals bijvoorbeeld diefstal loopt de escalatielijn (eventueel weer via de leidinggevende) naar Facilities (concierge / hoofdconierge / gebouwenbeheerder). Afhandeling gebeurt door Facilities in samenwerking met de afdeling ICT (indien nodig), de lijnmanager en de betrokkene zelf Beveiligingsincidenten met een vertrouwelijk karakter Voor deze incidenten is er een aparte escalatielijn. Incidenten worden gemeld bij de Security Officer of Security Specialist. Afhandeling van het incident gebeurt door Security Officer en de Security Specialist, indien nodig wordt hierbij de leidinggevende geïnformeerd / betrokken. Belangrijk bij incidenten is naast de afhandeling ook de vertaalslag naar het verbeteren / leren van het incident. Vandaar dat alle incidenten worden geregistreerd en worden besproken in het kader van aanpassing beleid dan wel operationele sturing. 5.4 Operationeel overleg informatiebeveiliging Om te borgen dat samenhang bestaat tussen beleid, implementatie, uitvoering van beleid en de incidenten is er periodiek (4 keer per jaar) operationeel overleg waarin de actuele stand van zaken met betrekking tot informatiebeveiliging wordt besproken. Input wordt verzorgd vanuit Informatiemanagement (beleid / compliance) en de Security Specialist (incidenten, actuele stand van zaken technisch / procedureel). Bij het operationeel overleg zitten de grootste stakeholders met betrekking tot informatiebeveiliging: de Security Officer, de Directeur Facilities, de Security Specialist en de Informatiemanager. 5.5 Overzicht taken, rollen, verantwoordelijkheden Bij bovenstaande drie processen spelen diverse functionarissen / afdelingen een rol. Hieronder kort samengevat per functionaris / afdeling wat specifiek de taken, verantwoordelijkheden en rollen zijn College van Bestuur Het College van Bestuur stelt de kaders informatiebeveiliging vast. Het College van Bestuur is verantwoordelijk voor de uitvoering. De eindverantwoordelijkheid voor informatiebeveiliging binnen het Noorderpoort ligt bij het College van Bestuur Security Officer De Security Officer is vanuit het CvB gedelegeerd verantwoordelijke t.a.v. het coördineren en communiceren van concernbreed beleid op het gebied van informatiebeveiliging. In die hoedanigheid is de Security Officer verantwoordelijk voor het initiëren van initiatieven binnen de lijnorganisatie ten aanzien van de uitvoering en naleving van de genomen maatregelen alsmede het bewaken van de actualiteit van het informatiebeveiligingsbeleid en de beveiligingsmaatregelen. Daarnaast kan de security officer het management gevraagd en ongevraagd adviseren over de stand en inrichting van de informatiebeveiliging. De Security Officer is ook verantwoordelijk voor control op de algehele en Noorderpoort brede naleving van het informatiebeveiligingsbeleid en de daarvan afgeleide instructies en rapporteert omtrent de bevindingen aan het College van Bestuur. Vanuit deze verantwoordelijkheid kan de Security Officer zelfstandig controles uitvoeren of deze initiëren om de naleving van de security. De Security Officer is lid van de stuurgroep ICT Governance ICT Governance Binnen de stuurgroep ICT Governance wordt beleid besproken en van advies voorzien richting het CvB. Beleid wordt geagendeerd door de Security Officer en besproken binnen de context van het gehele ICT beleid Informatiemanagement

13 Informatiemanagement geeft invulling aan de taken van de Security Officer met betrekking tot de beleidscyclus (beleidsvoorbereiding, monitoring, aanpassing van beleid) en de implementatie van beleid en operationele sturing (monitoring en acties initiëren n.a.v. risico-analyses) Security Specialist De Security Specialist is betrokken bij de beleidscyclus (beleidsvoorbereiding, monitoring, aanpassing van beleid). Daarnaast is de Security Specialist betrokken bij het invulling geven aan de technische en organisatorische informatiebeveiliging vanuit de afdeling ICT van de dienst Facilities. Als laatste is de Security Specialist betrokken bij de escalaties m.b.t. diverse soorten incidenten Verantwoordelijkheid leidinggevende school / dienst Per school / dienst is de leidinggevende verantwoordelijk voor het inrichten van adequate informatiebeveiliging binnen zijn/haar verantwoordelijkheidsgebied conform de gestelde kaders en richtlijnen. Dit heeft zowel betrekking op de school / dienst als de informatiesystemen waar hij / zij eigenaar van is. De leidinggevende is verantwoordelijk voor: - Het opstellen en vaststellen van een informatiebeveiligingsplan waarin de projecten, zoals vastgesteld in het centrale programmaplan, ten aanzien van informatiebeveiliging nader worden gespecificeerd. Dit informatiebeveiligingsplan beschrijft het plan van aanpak voor het implementeren van de kaders voor informatiebeveiliging binnen de specifieke dienst; - Het hanteren van de beleidsuitgangspunten uit deze kaders binnen de organisatorische eenheden en systemen waarvoor hij/zij verantwoording draagt; - Het waarborgen van de naleving van het informatiebeveiligingsbeleid en alle daarvan afgeleide beleidsnotities, procedures en richtlijnen (zowel voor wat betreft de eigen medewerkers als voor derden die onder zijn/haar verantwoordelijkheid werkzaam zijn); - Het accorderen van de uit het informatiebeveiligingsbeleid af te leiden procedures en werkinstructies; - Het inrichten van toezicht op de naleving van het informatiebeveiligingsbeleid: de kaders, de richtlijnen en maatregelen; - Het periodiek rapporteren aan de Security Officer over beveiligingsincidenten en het periodiek controleren en evalueren van correctieve maatregelen; - De wijze waarop het beveiligingsbewustzijn wordt bevorderd. Het is hierbij van belang dat de leidinggevende niet slechts incidenteel, maar structureel en planmatig aandacht besteedt aan informatiebeveiliging Directeur Facilities Afdeling ICT De afdeling ICT van de Dienst Facilities is verantwoordelijk voor het plannen, implementeren, evalueren, onderhouden en sturen van het ITIL-proces Security Management en tevens het coördineren van de daarmee samenhangende activiteiten. Security Management beschrijft de structurele inpassing van informatiebeveiliging in de centrale ICT organisatie van het Noorderpoort. Aan de hand van het proces Security Management draagt de Directeur Facilities er zorg voor dat bij de dienstverlening aan haar klanten de beschikbaarheid, integriteit en vertrouwelijkheid van informatie afdoende is gewaarborgd. Facilities (gebouwbeheer / fysieke beveiliging) De Dienst Facilities is verantwoordelijk voor de fysieke toegangsbeveiliging tot gebouwen en locaties van het Noorderpoort. Hiertoe implementeert Directeur Facilities adequate maatregelen, procedures en richtlijnen onder meer op basis van het informatiebeveiligingsbeleid. Tevens ziet deze functionaris toe op naleving van de maatregelen, procedures en de richtlijnen zoals opgesteld ten aanzien van de fysieke toegangsbeveiliging Persoonlijke verantwoordelijkheid alle medewerkers Alle medewerkers binnen het Noorderpoort hebben toegang tot informatie. De medewerker is verantwoordelijk voor het zorgvuldig omgaan met deze informatie en daarnaast voor alle aspecten van informatiebeveiliging binnen de eigen invloedssfeer, zoals het zich houden aan de opgestelde beveiligingsrichtlijnen Persoonlijke verantwoordelijkheid alle leerlingen / studenten Alle deelnemers binnen het Noorderpoort hebben toegang tot informatie. De deelnemer is verantwoordelijk voor het zorgvuldig omgaan met deze informatie en daarnaast voor alle aspecten van informatiebeveiliging binnen de eigen invloedssfeer, zoals het zich houden aan de opgestelde beveiligingsrichtlijnen. 13

14 6 medewerkers 6.1 ME.1 Internet- en Doelstelling: Het waarborgen van de beveiliging van informatie en software als deze worden uitgewisseld binnen het Noorderpoort en met externe partijen. ME.1.1 ME.1.2 Gebruikers dienen zich te houden aan het en internetprotocol. Gebruikers dienen zich te houden aan het beleid met betrekking tot gebruik van sociale media 6.2 ME.2 Verantwoordelijkheden van gebruikers Doelstelling: Het voorkomen van ongeautoriseerde toegang tot, en het in gevaar brengen of stelen van informatie en informatievoorzieningen. ME.2.1 Om ervoor te zorgen dat wachtwoorden niet eenvoudig te achterhalen zijn, dienen de wachtwoorden aan de volgende criteria te voldoen: het standaard of nieuw uitgegeven wachtwoord dient onmiddellijk te worden gewijzigd; het wachtwoord voor medewerkers dient minimaal eens per zes maanden te worden gewijzigd; het wachtwoord voor studenten dient minimaal eens per 12 maanden te worden gewijzigd; het wachtwoord dient te bestaan uit hoofdletters, kleine letters, cijfers en/of speciale symbolen; het wachtwoord dient minstens acht tekens lang te zijn. ME.2.2 Het gedrag van medewerkers ten aanzien van wachtwoorden dient te voldoen aan de volgende criteria: het wachtwoord mag niet letterlijk in onversleutelde vorm worden opgeschreven; bij het wijzigen van het wachtwoord, mag nooit meerdere malen achtereenvolgens hetzelfde wachtwoord worden gebruikt. Het wachtwoord wordt niet verstrekt aan anderen. Er wordt niet gevraagd om het wachtwoord van gebruikers, ook niet in het kader van beheer of bij incidenten. Me.2.3 Het gebruik van andermans gebruikersidentificatie (user-id) is verboden. Het beschikbaar stellen van gebruikersidentificatie en wachtwoord aan anderen is niet toegestaan. Indien anderen toegang moeten krijgen tot gegevens, bijvoorbeeld in geval van ziekte, dan moet dit worden geregeld via de systeemeigenaar. ME.2.4 Medewerkers dienen ervoor te zorgen dat onbeheerde apparatuur voldoende is beveiligd door: actieve sessies te beëindigen wanneer ze klaar zijn; zich af te melden het device, wanneer de sessie beëindigd is; laptops, tablets en andere mobiele apparatuur te beveiligen met behulp van een slot of vergelijkbare beveiliging (wachtwoord). Hierbij krijgen gebruikers van informatiesystemen het advies en gebruikers van informatiesystemen welke zijn geclassificeerd als hoog 6 de verplichting om actieve sessies wanneer ze klaar zijn te beëindigen of te vergrendelen beveiligd met wachtwoord. ME.2.5 Op de werkplek wordt geen vertrouwelijke informatie onbeschermd achtergelaten (clean desk policy). De afdeling is verantwoordelijk voor de naleving hiervan. Papieren en computermedia dienen te worden opgeborgen in kasten met een deugdelijk slot wanneer zij niet gebruikt worden, in het bijzonder buiten werktijd. Voor informatiesystemen welke zijn geclassificeerd als hoog 7 geldt: Bedrijfsinformatie dient achter slot en grendel bewaard te worden, vooral als het kantoor verlaten is. 6 Zie classificatie van informatie, hoofdstuk 7.6, richtlijn MA.6 7 Zie classificatie van informatie, hoofdstuk 7.6, richtlijn MA.6

15 Devices (laptop, werkstation e.d.) dienen vergrendeld te worden bij het verlaten van het kantoor en uitgelogd te zijn buiten werktijd. 6.3 ME.3 Beleid ten aanzien van toegangsbeveiliging Doelstelling: Het beheersen van de toegang tot informatie. ME.3.1 De gebruikersidentificatie (user-id) is persoonlijk en dient uniek te zijn (voor zowel netwerk, besturingssysteem als applicaties). De gebruiker is te allen tijde verantwoordelijk voor de acties uitgevoerd onder zijn user-id. Het gebruik van groeps-id s is niet toegestaan. Onderstaande procedures gelden voor informatiesystemen met classificatie hoog: Iedere gebruiker heeft een unieke gebruikersidentificatie. De leidinggevende van de medewerker meldt deze bij het functioneel beheer van een informatiesysteem aan en geeft daarbij tevens aan tot welke gegevensverzamelingen deze gebruiker toegang heeft en welke handelingen hij daarop mag verrichten. De gebruiker wordt op de hoogte gesteld van de gebruikersidentificatie, wachtwoord en toegekende rechten. Het functioneel beheer van het informatiesysteem houdt een lijst bij van alle medewerkers die geregistreerd zijn voor het gebruik van het informatiesysteem. Indien een medewerker van functie veranderen of het Noorderpoort verlaat, geeft de leidinggevende dit als een wijziging door aan het functioneel beheer van de betrokken informatiesystemen. De systeemeigenaar controleert periodiek of er overtollige accounts toegang hebben tot het informatiesysteem. Indien overtollige accounts aanwezig zijn, worden deze verwijderd volgens de bij het voorgaande punt genoemde procedure. ME.3.2 De verzameling van user-id s dient door de gebruiker vertrouwelijk te zijn en beveiligd te worden en vertrouwelijk te worden behandeld. 6.4 ME.4 Mobiele computers en telewerken Doelstelling: Het waarborgen van de beveiliging van informatie wanneer medewerkers van het Noorderpoort gebruik maken van mobiele devices of telewerkvoorzieningen. ME.4.1 Medewerkers aan wie een mobiel device (tablet / laptop) ter beschikking wordt gesteld nemen de volgende regels in acht: Het device dient alleen gebruikt te worden voor doeleinden waarvoor de medewerker hem heeft gekregen; De medewerker dient het device zorgvuldig te behandelen, zoals een goed medewerker betaamt; Onbevoegden dienen geen inzage in de gegevens op het device te krijgen; Medewerkers houden hun wachtwoord voor zichzelf; Maak van belangrijke bestanden een tussentijdse kopie; De Security Specialist dient te worden gewaarschuwd bij beveiligingsproblemen; In het geval van een verstoring dient contact te worden opgenomen met de Servicedesk Noorderpoort. Gebruikers met een laptop die werken met informatie geclassificeerd als hoog moeten deze beveiligd hebben met encryptiesoftware. 6.5 ME.5 Rapporteren van beveiliging gerelateerde gebeurtenissen en kwetsbaarheden 15

16 Doelstelling: het minimaliseren van de schade die wordt veroorzaakt door beveiligingsincidenten en storingen, het monitoren van dergelijke incidenten en er lering uit trekken. ME.5.1 Informatiebeveiligingsincidenten dienen door medewerkers te worden gemeld. Binnen het Noorderpoort wordt onderscheid gemaakt tussen: Reguliere IT-beveiligingsincidenten (worden tijdens kantooruren gemeld bij de Servicedesk Noorderpoort, de Servicedesk Noorderpoort meldt het incident aan de Security Specialist); Fysieke beveiligingsincidenten (worden gemeld bij de gebouwenbeheerder); Beveiligingsincidenten met een vertrouwelijk karakter (worden gemeld bij de leidinggevende, de leidinggevende meldt het incident aan de Security Officer of Security Specialist. ME.5.2 Melding buiten kantooruren. Reguliere beveiligingsincidenten kunnen alleen tijdens kantooruren worden gemeld bij de Servicedesk Noorderpoort. Beveiligingsincidenten met een vertrouwelijk karakter kunnen 24/7, ook buiten kantooruren, worden gemeld bij de Security Officer of de Security Specialist. ME.5.3 De Security Officer en de Security Specialist houden een registratie bij van beveiligingsincidenten met een vertrouwelijk karakter De Security Specialist rapporteert periodiek t.a.v. de verschillende typen beveiligingsincidenten. Op basis van die rapportage kan het beleid en / of uitvoering aangepast kan worden. De rapportages zijn input voor het operationeel overleg en de jaarlijkse PDCA-cyclus. ME.5.4 Medewerkers dienen enige (mogelijke) inbreuken of zwakke plekken, in de geautomatiseerd systemen onmiddellijk te melden bij de Servicedesk Noorderpoort. ME.5.5 Beoordelen van incidenten (prioriteit). De prioriteit van het incident wordt bepaald door de Servicedesk en door de Security Specialist aan de hand van de ernst van het incident, alsmede door het feit of het incident met Justitie is gerelateerd. Incidenten worden ingedeeld in 3 categorieën. 1. Reguliere beveiligingsincidenten. Dit zijn incidenten die normaliter intern worden opgelost. Denk hierbij aan zaken als Digitaal pesten en virusuitbraken. Bij reguliere beveiligingsincidenten handelt de Security Specialist de zaak af. 2. Fysieke beveiligingsincidenten. Deze incidenten, zoals bijvoorbeeld diefstal of beschadiging van apparatuur, worden gemeld bij de gebouwenbeheerder. Deze neemt daar waar nodig contact op met de Servicedesk en / of de Security Officer. 3. Beveiligingsincidenten met een vertrouwelijk karakter. Dit zijn beveiligingsincidenten waarbij bijna altijd Justitie betrokken is. U kunt hierbij denken aan zaken als computerinbraak en kinderporno. Bij beveiligingsincidenten met een vertrouwelijk karakter meldt de Security Specialist het incident direct aan de Security Officer en handelt de Security Officer de zaak af. 6.6 ME.6 Naleving van wettelijke voorschriften Doelstelling: het voorkomen van inbreuken op enigerlei wijze van wettelijke, statutaire, reglementaire of contractuele verplichtingen, en beveiligingseisen. ME.6.1 Het is medewerkers van het Noorderpoort dan ook verboden om in strijd met deze voorwaarden computer software te kopiëren, te gebruiken of aan te houden.

17 Software mag alleen gebruikt worden indien een geldige licentie aanwezig is. Iedere medewerker moet van deze regel op de hoogte worden gesteld. Het is de verantwoordelijkheid van de directeur dat dit beleid nageleefd wordt. Ten aanzien van niet webbased software (behelst installatie, distributie, updates e.d.): o Aanschaf van licenties gebeurt via de afdeling ICT. o De school inventariseert de behoefte aan applicaties voor het onderwijs en de afdeling ICT is verantwoordelijk voor aanschaf van een geldige licentie. o Het is een medewerker verboden om zelf software aan te schaffen of te installeren, zonder nadrukkelijke toestemming van de afdeling ICT. o Er mogen niet meer exemplaren dan licenties uitgegeven worden. o Indien software verwijderd wordt of wordt overgedragen aan een derde, dient dit te worden gemeld bij de verantwoordelijke voor de registratie van de bedrijfsmiddelen (afdeling ICT). Bovenstaande geldt ook voor software die via openbare netwerken (Internet) verkregen wordt. ME.6.2 Overtreding van bovenstaande regel wordt beschouwd als een ernstige inbreuk op het door het Noorderpoort in de medewerker gestelde vertrouwen en zal leiden tot een passende sanctie, waarbij disciplinaire of arbeidsrechtelijke maatregelen niet zullen worden uitgesloten. De leidinggevende spreekt zijn medewerkers aan indien zij het beveiligingsbeleid of de beveiligingsprocedures van het Noorderpoort schenden. Indien na herhaaldelijke aanmaningen de betrokken medewerker het beleid of procedures blijft schenden wordt dit gemeld aan de Security Officer. Er worden dan maatregelen getroffen zoals deze vermeld staan in de CAO BVE onder Schorsing als ordemaatregel en Disciplinaire maatregel. Deze maatregelen worden geïnitieerd door de Security Officer. ME.6.4 Het gebruik van de bedrijfsmiddelen voor andere doeleinden (zonder toestemming) wordt beschouwd als onjuist gebruik van voorzieningen. Indien dergelijke activiteiten gesignaleerd worden, dan dient dit onder de aandacht van het verantwoordelijk management gebracht te worden. Disciplinaire maatregelen kunnen dan eventueel getroffen worden. 7 management 7.1 MA.1 Risicoanalyse Doelstelling:Het bepalen van de beveiligingsbehoefte aan de hand van een methodische benadering van beveiligingsrisico s. MA.1.1 Eens per jaar of bij significante wijzigingen 8 in de informatie voorziening voeren de diensten een risicoanalyse uit om te toetsen of de voor de dienst relevante richtlijnen van het basis beveiligingsniveau van het Noorderpoort voldoende zijn of dat aanpassing of uitbreiding van de richtlijnen nodig is. Op basis van deze risicoanalyse worden: De meest essentiële processen van het Noorderpoort benoemd; De belangrijkste bedreigingen en kwetsbaarheden binnen de meest essentiële processen in kaart gebracht; Zowel ten aanzien van het beleid rondom het proces, de procedures die gevolgd worden en de praktijk. Aanvullend beleid en / of aanvullende richtlijnen en maatregelen bepaald. De Security Officer toetst jaarlijks de toepasselijkheid van het basispakket beveiligingsmaatregelen aan de hand van de uitgevoerde risico analyses en de integrale registratie van beveiligingsincidenten (Reguliere ITbeveiligingsincidenten, fysieke beveiligingsincidenten en beveiligingsincidenten met een vertrouwelijk karakter). Op basis van de risicoanalyse wordt van alle informatiesystemen aangegeven in welke klasse ze thuishoren (zie 7.6 classificatie van informatiesystemen). Op basis van de klasse wordt dan wel het basispakket van beveiligingsmaatregelen getroffen of zijn aanvullende maatregelen van toepassing. 8 Bijvoorbeeld de selectie en implementatie van een informatiesysteem 17

18 7.2 MA.2 Beveiligingsbeleid Doelstelling: Het management richting en ondersteuning bieden voor informatiebeveiliging overeenkomstig de bedrijfsmatige eisen en relevante wetten en voorschriften. MA.2.1 Er dient een beveiligingsbeleid te zijn vastgesteld door het College van Bestuur. Het beveiligingsbeleid bevat minimaal: Een definitie van de term informatiebeveiliging; De belangrijkste uitgangspunten van het Noorderpoort ten aanzien van informatiebeveiliging; Een toelichting op eisen, bepaalde beleidsmaatregelen, principes en normen ten aanzien van informatiebeveiliging (nakomen van wettelijke en contractuele verplichtingen, eisen met betrekking tot de beveiligingsopleidingen, beleid ten aanzien van virussen, beleid ten aanzien van de continuïteit van bedrijfsprocessen); Een omschrijving van de algemene verantwoordelijkheden en van specifieke verantwoordelijkheden voor alle aspecten van informatiebeveiliging. Doel van informatiebeveiliging binnen het Noorderpoort is er zorg voor dragen dat alle informatie van belang voor de continuïteit van de bedrijfsvoering beveiligd wordt, waarbij vertrouwelijkheid, betrouwbaarheid en beschikbaarheid tot op een aanvaardbaar risiconiveau gegarandeerd wordt. Informatiebeveiliging is de verantwoordelijkheid van iedere medewerker van het Noorderpoort en dientengevolge zal de medewerker zich in gedrag en houding hier naar richten. Door middel van opleiding, voorlichting, voorbeeldgedrag en correctie zal dit bewustwordingsproces opgestart, gestimuleerd en gecontinueerd worden. Naleving van het beveiligingsbeleid en maatregelen hoort bij het gedrag zoals een goede medewerker betaamt. Dientengevolge zal bij niet naleving de procedure gevolgd worden zoals deze omschreven staat in de CAO BVE. Bij alle beveiligingsmaatregelen zal primair rekening gehouden worden met wettelijke en contractuele verplichtingen. Binnen het Noorderpoort worden de normen ten aanzien van beveiligingsmaatregelen beschreven binnen de richtlijnen en maatregelen (hoofdstukken 6-8 Informatiebeveiligingsbeleid). Deze standaarden dienen op alle locaties nageleefd te worden. Uitzonderingen dienen beargumenteerd aangevraagd te worden bij de Security Officer. MA.2.2 Het beveiligingsbeleid is afgestemd op het beleid van het Noorderpoort. MA 2.3 De stuurgroep ICT Governance bespreekt jaarlijks het informatiebeveiligingsbeleid en adviseert het CvB t.a.v wijzigingen in het beleid indien nodig. Input hiervoor wordt ingebracht door de Security Officer en Informatiemanagement. MA.2.4 De Security Officer is verantwoordelijk voor de jaarlijkse evaluatie van de naleving van het beveiligingsbeleid, namens het College van Bestuur. De evaluatie wordt uitgevoerd door de afdeling Informatiemanagement in opdracht van de Security Officer. MA.2.5 Jaarlijks stelt de afdeling Informatiemanagement, in opdracht van de Security Officer, een actieplan op waarin de Organisatiebreed op het terrein van beleid, procedures en praktijk (naleving, implementatie) acties worden opgenomen die ten doel hebben de risico s rondom informatiebeveiliging te minimaliseren en de kwaliteit te verhogen. MA.2.6 Als onderdeel van de controle op de naleving van het beveiligingsbeleid wordt regelmatig op onaangekondigde momenten de beveiliging van het netwerk en/of de gebouwen getest. Deze tests worden geïnitieerd door de afdeling Informatiemanagement in opdracht van de Security Officer en uitgevoerd door een objectieve en deskundige derde partij (externe auditor).

19 7.3 MA.3 Beveiligingsorganisatie Doelstelling: Het managen van informatiebeveiliging binnen het Noorderpoort. MA.3.1 Het management dient interne en externe medewerkers te informeren over het beveiligingsbeleid en beveiligingsrichtlijnen die van toepassing zijn. Het College van Bestuur heeft ook voor informatiebeveiliging de formele bestuurlijke verantwoordelijkheid. Zij laat zich adviseren door de stuurgroep ICT Governance. De besluiten over informatiebeveiliging worden genomen conform de vigerende afspraken over besturing en sturing binnen het Noorderpoort. De stuurgroep ICT Governance adviseert en het CvB stelt vast. Het toezicht op het beleid is gepositioneerd bij de Security Officer. Taken en verantwoordelijkheden van het CvB in deze (geadviseerd door de stuurgroep ICT-Governance): Herzien van besluitvorming over het beveiligingsbeleid Toekennen van verantwoordelijkheden Signaleren van belangrijke wijzigingen in de voornaamste bedreigingen waaraan de bedrijfsinformatie is blootgesteld Bespreken van en toezicht houden op beveiligingsincidenten Goedkeuren van belangrijke initiatieven ter bevordering van de informatiebeveiliging Aanstellen van één manager die verantwoordelijk is voor alle activiteiten die gericht zijn op beveiliging (de Security Officer) MA.3.2 De resultaten en opvolging van risicoanalyses en (de voortgang van) het beveiligingsplan worden vastgelegd en bewaakt en meegenomen in de planning- en controlecyclus van het Noorderpoort. De afdeling Informatiemanagement bewaakt de opvolging en voortgang en rapporteert deze aan de het operationeel overleg informatiebeveiliging, de stuurgroep ICT governance en de Security Officer. MA.3.3 Er vindt regelmatig overleg plaats waarbij de Security Officer, de Directeur Facilities, de Informatiemanager en de Beveiligingsspecialist van de afdeling ICT aanwezig zijn. Daarnaast kan de Beveiligingsspecialist en de Informatiemanager het management gevraagd en ongevraagd adviseren over de stand en inrichting van de informatiebeveiliging. MA.3.4 De taken, bevoegdheden en verantwoordelijkheden met betrekking tot informatiebeveiliging Noorderpoort breed zijn vastgesteld en formeel toegewezen. MA.3.5 Er dienen door de afdeling ICT formele procedures te zijn opgesteld voor de installatie van bedrijfsmiddelen. MA.3.6 Het management ziet er op toe dat de geheimhoudingsverklaring(en) met derden die het Noorderpoort hanteert voldoen aan het door het Noorderpoort gewenste beveiligingsniveau en wet- en regelgeving. MA.3.7 De Security Officer onderhoudt relevante en noodzakelijke contacten met autoriteiten, beroepsverenigingen en interprovinciale organisaties op het gebied van informatiebeveiliging. 7.4 MA.4 Externe partijen Doelstelling: Het waarborgen van de beveiliging van de informatie en informatievoorzieningen van het Noorderpoort waartoe externe partijen toegang hebben of die door externe partijen wordt verwerkt, gecommuniceerd of gemanaged. 19

20 MA.4.1 Voor elk contract dat met een derde wordt overeengekomen geldt dat de externe partij zich conformeert aan het Noorderpoort beveiligingsbeleid inclusief de algemene maatregelen die gelden t.a.v. het betrokken informatiesysteem en de klasse (zie 7.6 classificatie informatiesystemen) waar het toe behoort. MA 4.2 Voor elk contract dat met een derde wordt overeengekomen dient door het verantwoordelijk management onderzocht te worden in hoeverre er aanvullende eisen ten aanzien van de beveiliging dienen te worden opgenomen. Relevante punten zijn bijvoorbeeld: Het beleid ten aanzien van logische- en fysieke toegangsbeveiliging; Overdracht van intellectuele eigendomsrechten en auteursrecht en bescherming van gezamenlijk werk; Escrow (Het deponeren van de broncode van software, inclusief technische documentatie, bij een onafhankelijke derde partij. Het doel van escrow is het waarborgen van de continuïteit van de bedrijfsactiviteiten van de gebruikers van software indien op enig moment om welke reden ook de leverancier van de software niet meer in staat is om bijvoorbeeld zijn onderhoudsverplichtingen na te komen.) Overeenstemming over toegangsbeveiliging; Het recht om toezicht te houden op de werkzaamheden die door derden worden uitgevoerd; Geheimhouding; Algemene inkoopvoorwaarden. Externe partijen dienen pas toegang tot informatie en informatiesystemen te verkrijgen, wanneer er passende maatregelen zijn geïmplementeerd waarin de voorwaarden voor de verbinding of toegang zijn vastgelegd. Er behoort te worden gewaarborgd dat de externe partij kennis draagt van zijn verplichtingen en de verantwoordelijkheden en aansprakelijkheid aanvaardt die gepaard gaan met de toegang tot informatie en ICTvoorzieningen van het Noorderpoort en het verwerken, communiceren of beheren ervan. Wat betreft: De logische- en fysieke toegangsbeveiliging Overdracht van intellectuele eigendomsrechten en auteursrecht Het recht om toezicht te houden op de werkzaamheden die door derden worden uitgevoerd Escrow Geheimhouding 7.5 MA.5 Verantwoordelijkheid voor bedrijfsmiddelen Doelstelling: Het handhaven van adequate bescherming van bedrijfsmiddelen en waarborgen dat bedrijfsmiddelen een passend niveau van beveiliging krijgen. MA.5.1 De afdeling ICT draagt er zorg voor dat de individuele medewerker die bedrijfsmiddelen ter beschikking krijgt gesteld (zoals bijvoorbeeld een laptop, een portable printer, een mobiele telefoon of een tablet) voor ontvangst een verklaring tekent waarin de medewerker verklaart als een goed ambtenaar met de bedrijfsmiddelen om te gaan. MA.5.2 Elk informatiesysteem en alle gegevens dienen een specifieke eigenaar te hebben die verantwoordelijk is voor: De juiste classificatie van zijn informatiesysteem; Het toewijzen van autorisaties voor toegang tot de geclassificeerde informatie; Periodieke evaluatie van de toegewezen autorisaties; Het toepassen van de juiste beveiligingsmaatregelen om risico s te minimaliseren. Eigenaar van het informatiesysteem is de verantwoordelijke van het proces waarvoor het informatiesysteem als ondersteunend middel wordt ingezet. 7.6 MA.6 Classificatie van informatie