Actualisatie Informatiebeveiligingsbeleid en ICT-inkoopvoorwaarden

Transcriptie

1 Collegevoorstel Openbaar Onderwerp Actualisatie Informatiebeveiligingsbeleid en ICT-inkoopvoorwaarden Programma Bestuur & Middelen BW-nummer Portefeuillehouder B. van Hees Samenvatting Het informatiebeveiligingsbeleid en de ICT-inkoopvoorwaarden zijn gewijzigd en dienen opnieuw vastgesteld te worden. Door dit te doen houdt de gemeente rekening met de opkomst van extern beheerde applicaties (SaaS) en de toenemende samenwerking en standaardisatie op ICT-gebied. Directie/afdeling, ambtenaar, telefoonnr. PI50, Rob Haans, 9305 Datum ambtelijk voorstel 17 maart 2017 Registratienummer Ter besluitvorming door het college 1. De ICT-inkoopvoorwaarden 2015 in te trekken; 2. De Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT) als de ICT-inkoopvoorwaarden van de gemeente Nijmegen vast te stellen; 3. Het op 3 november 2015 vastgestelde Informatiebeveiligingsbeleid in te trekken; 4. Het Informatiebeveiligingsbeleid vast te stellen. Steller Rob Haans Esther Zijlstra Paraaf akkoord Datum Karin Killaars Alleen ter besluitvorming door het College Besluit B&W d.d. 28 maart 2017 Conform advies Aanhouden Anders, nl. nummer: 3.13 Bestuursagenda Paraaf akkoord Datum Portefeuillehouder Collegevoorstel GIBIT IBBeleidv1 (2)

2 Collegevoorstel 1 Probleemstelling Eisen aan ICT binnen de gemeente Nijmegen zijn continu aan verandering onderhevig. Daarmee moet het instrumentarium dat de gemeente gebruikt, bijvoorbeeld het beleidskader en de ICT-inkoopvoorwaarden, continu bijgesteld worden. Een van de veranderingen waar in dit instrumentarium meer rekening mee gehouden moet worden is de opkomst van extern beheerde applicaties (SaaS: Software as a Service) en de toenemende samenwerking en standaardisatie op ICT-gebied. 2 Juridische aspecten Het informatiebeveiligingsbeleid en de ICT-inkoopvoorwaarden dienen door ons College van B&W vastgesteld te worden. Dit wordt met name geëist door toezichthoudende ministeries en samenwerkingsorganisaties. De huidige instrumenten zijn ook op deze wijze vastgesteld. 3 Doelstelling Actualisatie van het informatiebeveiligingsbeleid en de ICT-inkoopvoorwaarden heeft tot doel een scherper opdrachtgever te kunnen zijn richting ICT-leveranciers om daarmee ICTgerelateerde risico s als overmatige ICT-kosten, niet meer kunnen voldoen aan audit-eisen of privacyschending beter te kunnen beheersen. 4 Argumenten Eind 2016 zijn de Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT) door de VNG vastgesteld. Hierbij zijn circa 25 gemeenten betrokken geweest, de Informatie beveiligingsdienst, als ook 12 ICT-leveranciers die actief zijn op de gemeentelijke ICT-markt. De gemeente Nijmegen is betrokken geweest in de consultatieronde. Het feit dat deze standaard landelijk gedragen wordt door zowel gemeenten als een groot deel van de ICTleveranciers is het voornaamste argument om deze standaard als Nijmeegse ICTinkoopvoorwaarden vast te stellen. Het nieuwe informatiebeveiligingsbeleid dat tegelijkertijd wordt aangeboden sluit optimaal op de GIBIT aan. Inhoudelijk gezien leveren de vernieuwde inkoopvoorwaarden op allerlei terreinen meer grip op het uitbesteden van ICT. De belangrijkste veranderingen hierbij zijn: Meer aandacht voor informatiebeveiliging bij het aanschaffen van ICT, door een bewerkersovereenkomst verplicht te stellen wanneer privacygevoelige gegevens betrokken zijn en een meldplicht op te leggen bij inbreuk op beveiliging; Een verschuiving van focus naar preventieve bescherming van risico s in ICT-projecten en ICT-dienstverlening, in plaats van op boetemaatregelen achteraf; Meer aandacht voor externe hosting (SaaS), bijvoorbeeld om de overstap naar een ander systeem beter mogelijk te maken en minder risicovol te maken (exit-plan vooraf opstellen) Meer rekening houdend met ketensamenwerking en ICT-ketens, bijvoorbeeld met het overdragen van contracten naar een samenwerkingsverband. 5 Financiën Aan dit voorstel zijn geen financiële consequenties verbonden. 6 Participatie en Communicatie De nieuwe ICT-inkoopvoorwaarden en de daar aan gekoppelde gemeentelijke kwaliteitsnormen sluiten, zoals gemeld, aan bij de breed gedragen GIBIT. Zij worden naar leveranciers bekend gemaakt bij inkooptrajecten. Daarnaast dienen deze documenten continu toegankelijk te zijn voor leveranciers via internet. Intern worden de nieuwe

3 Collegevoorstel Vervolgvel 2 uitgangspunten en voorwaarden bekend gemaakt via het leadbuyersoverleg en berichtgeving op insite. Het informatiebeveiligingsbeleid wordt op insite gecommuniceerd. 7 Uitvoering en evaluatie De ICT-inkoopvoorwaarden houden een aantal nieuwe werkwijzen in van het inkopen van ICT-middelen. Deze worden vervat in een instructie en standaard gehanteerd bij de inkoop. Het beleid evalueren wij zowel intern als extern. 8 Risico Aanpassing van het beleid en de inkoopvoorwaarden met betrekking tot de ICT is nodig om risico s bij de inkoop en inzet van ICT beter te kunnen beheersen en draagt zodoende bij aan het risicomanagement en de rechtmatigheid van het gemeentelijk handelen. Bijlage(n): Informatiebeveiligingsbeleid Gemeentelijke inkoopvoorwaarden

4 INFORMATIE BEVEILIGINGSBELEID 2017 GEMEENTE NIJMEGEN Gebaseerd op de Baseline Informatiebeveiliging Gemeenten (BIG)

5 Colofon Copyright 2013 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Versiebeheer Het versiebeheer van dit document ligt bij de CISO. Kenmerk: Versie: 1.0 Versiedatum: 6 maart 2017 Gegenereerd op: 7 juli 2016 Beheersmaatregel: Documentnaam: Informatiebeveiligingsbeleid Gemaakt door: De heer drs René IJpelaar RE CEH CISA Portefeuillehouder wethouder de heer H.B.W. van Hees Goedgekeurd door: CISO Classificatie: Definitief 2

6 Inhoud Inleiding 5 1 Uitgangspunten informatiebeveiliging Het belang van informatie(veiligheid) Doelstelling Uitgangspunten Risicobenadering Doelgroepen Scope Informatiebeveiligingsbeleid en architectuur 11 2 Organisatie van de informatiebeveiliging Risico s Doelstellingen Beheersmaatregelen 12 3 Beheer van bedrijfsmiddelen Risico s m.b.t. de verantwoordelijkheid voor de bedrijfsmiddelen Doelstellingen m.b.t. de verantwoordelijkheid voor de bedrijfsmiddelen Beheersmaatregelen m.b.t. de verantwoordelijkheid voor de bedrijfsmiddelen Classificatie van informatie Risico s m.b.t. de classificatie van informatie Doelstellingen m.b.t. de classificatie van informatie Beheersmaatregelen m.b.t. de classificatie van informatie Toelichting 20 4 Beveiliging van personeel Risico s Doelstellingen Beheersmaatregelen 21 5 Fysieke beveiliging en beveiliging van de omgeving Risico s Doelstellingen Beheersmaatregelen 23 6 Beheer van communicatie en bedieningsprocessen Risico s Doelstellingen Beheersmaatregelen Risico s voor het beheer van de dienstverlening door een derde Doelstellingen voor het beheer van de dienstverlening door een derde Beheersmaatregelen voor het beheer van de dienstverlening door een derde Risico s in de behandeling van media Doelstellingen in de behandeling van media Beheersmaatregelen in de behandeling van media Risico s bij de uitwisseling van informatie Doelstellingen bij de uitwisseling van informatie Beheersmaatregelen bij de uitwisseling van informatie 31 3

7 7 Logische toegangsbeveiliging Risico s Doelstellingen Beheersmaatregelen 32 8 Verwerving, ontwikkeling en onderhoud van informatiesystemen Risico s Doelstellingen Beheersmaatregelen 35 9 Beveiligingsincidenten Risico s Doelstellingen Beheersmaatregelen Bedrijfscontinuïteit Risico s Doelstellingen Beheersmaatregelen Beleidsuitgangspunten Naleving Doelstelling Beheersmaatregelen Segment gemeente Nijmegen pagina 4 van 43

8 Inleiding Dit document geeft algemene beleidsuitgangspunten over informatiebeveiliging. Deze uitgangspunten hebben een sterk normerend karakter en geven keuzes weer. Dit document is het optimum beleid gebaseerd op de Baseline Informatiebeveiliging Gemeenten (BIG). In dit document is een aanzienlijk aantal beleidsuitgangspunten nader uitgewerkt en zijn beveiligingseisen en - maatregelen opgenomen, die organisatie breed voor alle processen en systemen gelden. Onderdeel van dit document is een beheerstructuur voor informatiebeveiliging, waarmee verantwoordelijkheden voor informatiebeveiliging worden belegd en informatiebeveiliging wordt ingebed in de reguliere planning- en control cyclus binnen de (kwaliteitshandhaving van de) bedrijfsvoering. De toegepaste hoofdstukken uit de Strategische variant van de Baseline Informatiebeveiliging voor Gemeenten zijn: 5 Beveiligingsbeleid; 6 Organisatie van informatiebeveiliging; 7 Beheer van bedrijfsmiddelen; 8 Beveiliging van personeel; 9 Fysieke beveiliging en beveiliging van de omgeving; 10 Beheer van communicatie- en bedieningsprocessen; 11 Toegangsbeveiliging; 12 Verwerving, ontwikkeling en onderhoud van informatiesystemen; 13 Beheer van informatiebeveiligingsincidenten; 14 Bedrijfscontinuïteitsbeheer; 15 Naleving. Informatiebeveiliging Informatiebeveiliging is de verzamelnaam voor de processen, die ingericht worden om de betrouwbaarheid van processen, de gebruikte informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijk onheil. Het begrip informatiebeveiliging heeft betrekking op: beschikbaarheid / continuïteit: het zorg dragen voor het beschikbaar zijn van informatie en informatie verwerkende bedrijfsmiddelen op de juiste tijd en plaats voor de gebruikers; exclusiviteit / vertrouwelijkheid: het beschermen van informatie tegen kennisname en mutatie door onbevoegden. Informatie is alleen toegankelijk voor degenen die hiertoe geautoriseerd zijn; integriteit / betrouwbaarheid: het waarborgen van de correctheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking. Waarom informatiebeveiliging? Informatie is één van de belangrijkste bedrijfsmiddelen van de gemeente. Toegankelijke en betrouwbare overheidsinformatie is essentieel voor de gemeente, die zich verantwoordelijk gedraagt, aanspreekbaar en servicegericht is, die transparant en proactief verantwoording aflegt aan burgers en raadsleden en die met minimale middelen maximale resultaten behaalt. De bescherming van waardevolle informatie is datgene waar het uiteindelijk om gaat. Hoe waardevoller de informatie is, hoe meer maatregelen er getroffen moeten worden Segment gemeente Nijmegen pagina 5 van 43

9 Reikwijdte en afbakening informatiebeveiliging Informatiebeveiliging is meer dan ICT, computers en automatisering. Het gaat om alle uitingsvormen van informatie (analoog, digitaal, tekst, video, geluid, geheugen, kennis), alle mogelijke informatiedragers (papier, elektronisch, foto, film, CD, DVD, USB, SD kaart, beeldscherm et cetera) en alle informatie verwerkende systemen (applicaties, systeemprogrammatuur, databases, hardware, bijbehorende bedrijfsmiddelen), maar vooral ook mensen en processen. Studies laten zien dat de meeste incidenten niet voortkomen uit gebrekkige techniek, maar vooral door menselijk handelen en een tekort schietende organisatie. Voorbeelden van informatiebeveiligingsmaatregelen zijn: clean desk policy implementeren of hoe om te gaan met mobiele devices en aanwijzingen voor telewerken Segment gemeente Nijmegen pagina 6 van 43

10 Informatiebeveiligingsbeleid van de gemeente Nijmegen Het bestuur en management spelen een cruciale rol bij het uitvoeren van dit informatiebeveiligingsbeleid. Zo maakt het management een inschatting van het belang dat de verschillende delen van de informatievoorziening voor de gemeente hebben, de risico s die de gemeente hiermee loopt en welke van deze risico s onacceptabel hoog zijn. Op basis hiervan zet het management dit beleid voor informatiebeveiliging op, draagt dit uit naar de organisatie en ondersteunt en bewaakt de uitvoering ervan. Het management geeft een duidelijke richting aan informatiebeveiliging en demonstreert dat zij informatiebeveiliging ondersteunt en zich hierbij betrokken voelt, door het uitbrengen en handhaven van een informatiebeveiligingsbeleid van en voor de hele de gemeente. Dit beleid is van toepassing op de gehele organisatie, alle processen, organisatieonderdelen, objecten, informatiesystemen en gegevens(verzamelingen). Het informatiebeveiligingsbeleid is in lijn met het algemene beleid en de relevante landelijke en Europese wet- en regelgeving. De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van het beleid. Hierbij geldt: Er is wetgeving waar altijd aan voldaan moet worden, zoals (niet uitputtend) bijvoorbeeld BRP, SUWI, BSN, BAG en PUN, maar ook de archiefwet. Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). De gemeente stelt dit normenkader vast, waarbij er ruimte is voor afweging en prioritering op basis van het pas toe of leg uit principe. De volgende uitgangspunten zijn ontleend aan de Code voor Informatiebeveiliging (NEN/ISO 27002:2007) en de BIG: 1. Informatie en informatiesystemen zijn van kritiek en vitaal belang voor de gemeente. De verantwoordelijkheid voor informatiebeveiliging ligt bij het (lijn)management, met het College van B&W als eindverantwoordelijke. De verantwoordelijkheden voor de bescherming van gegevens en voor het uitvoeren van beveiligingsprocedures zijn expliciet gedefinieerd. 2. Door periodieke controle, organisatie brede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening. In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening organisatiebreed benaderd. Het plan wordt periodiek bijgesteld op basis van nieuwe ontwikkelingen, registraties in het incidentenregister en bestaande risicoanalyses. 3. Informatiebeveiliging is een continu verbeterproces. Plan, do, check en act vormen samen het management systeem van informatiebeveiliging. 4. De organisatiebrede informatiebeveiligingsfunctionaris/chief Information Security Officer (= CISO) - binnen de gemeente Nijmegen aangeduid als de CISO - ondersteunt vanuit een onafhankelijke positie de organisatie bij het bewaken en verhogen van de betrouwbaarheid van de informatievoorziening en rapporteert hierover. Daarnaast kennen we deelfuncties in de informatiebeveiliging zoals Voor Suwinet: kwaliteitscoördinator SUWI Voor de BRP: beveiligingsbeheerder BRP Voor de reisdocumenten: beveiligingsfunctionaris Reisdocumenten Voor de rijbewijzen: beveiligingsfunctionaris Rijbewijzen 5. De gemeente stelt de benodigde mensen en middelen beschikbaar om haar eigendommen en werkprocessen te kunnen beveiligen volgens de wijze gesteld in dit beleid Segment gemeente Nijmegen pagina 7 van 43

11 6. Regels en verantwoordelijkheden voor het beveiligingsbeleid dienen te worden vastgelegd en vastgesteld. Alle medewerkers van de gemeente worden getraind in het gebruik van beveiligingsprocedures. 7. Iedere medewerker, zowel vast als tijdelijk, intern of extern is verplicht waar nodig gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht en bij vermeende inbreuken hiervan melding te maken. Dit Informatiebeveiligingsbeleid treedt in werking na vaststelling door college van College van B&W. Hiermee komt het oude Informatiebeveiligingsbeleid van de gemeente Nijmegen te vervallen. Aldus vastgesteld door burgemeester en wethouders van de gemeente Nijmegen op maart 2017, de heer drs. H.M.F. Bruls, burgemeester de heer A. van Hout, secretaris 2016 Segment gemeente Nijmegen pagina 8 van 43

12 1 Uitgangspunten informatiebeveiliging 1.1 Het belang van informatie(veiligheid) Informatie is één van de voornaamste bedrijfsmiddelen van Nijmegen. Het verlies van gegevens, uitval van ICT, of het door onbevoegden kennisnemen of manipuleren van bepaalde informatie kan ernstige gevolgen hebben voor de bedrijfsvoering maar ook leiden tot imagoschade. Ernstige incidenten hebben mogelijk negatieve gevolgen voor burgers, bedrijven, partners en de eigen organisatie met waarschijnlijk ook politieke consequenties. Informatieveiligheid is daarom van groot belang. Informatiebeveiliging is het proces dat dit belang dient. Visie De komende jaren zet de gemeente Nijmegen in op het verhogen van informatieveiligheid en verdere professionalisering van de informatiebeveiligingsfunctie in de organisatie. Een betrouwbare informatievoorziening is noodzakelijk voor het goed functioneren van de gemeente en de basis voor het beschermen van rechten van burgers en bedrijven. 1 Dit vereist een integrale aanpak, goed opdrachtgeverschap en risicobewustzijn. Ieder organisatieonderdeel is hierbij betrokken. Het proces van informatiebeveiliging is primair gericht op bescherming van informatie, maar is tegelijkertijd een enabler ; het maakt bijvoorbeeld elektronische dienstverlening op verantwoorde wijze mogelijk, evenals nieuwe, innovatieve manieren van werken. De focus is informatie uitwisselen in alle verschijningsvormen, zoals elektronisch, op papier en mondeling. Het gaat niet alleen over bescherming van privacy, maar ook over bescherming van vitale maatschappelijke functies die worden ondersteund met informatie (verkeer, vervoer, openbare orde en veiligheid, etc.). Het gaat ook niet alleen over ICT: verantwoord en bewust gedrag van medewerkers is essentieel voor informatieveiligheid Doelstelling Dit informatiebeveiligingsbeleid is het kader voor passende technische en organisatorische maatregelen om informatie te beschermen en te waarborgen, waarmee de gemeente voldoet aan relevante wet en regelgeving. De gemeente Nijmegen streeft er naar om in control te zijn en daarover op professionele wijze jaarlijks verantwoording af te leggen via een Verklaring Van Toepasselijkheid. In control betekent in dit verband dat de gemeente weet welke maatregelen genomen zijn en dat er een SMART-planning is van de maatregelen die nog niet genomen zijn en als laatste dat dit geheel verankerd is in de PDCA-cyclus. 1.3 Uitgangspunten Het informatiebeveiligingsbeleid van de gemeente Nijmegen is in lijn met het algemene beleid van de gemeente en de relevante landelijke en Europese wet- en regelgeving. 3 Het beleid is gebaseerd op de Code voor Informatiebeveiliging (NEN/ISO 27002) en de BIG. Het Informatiebeveiligingsbeleid wordt vastgesteld door het College van B&W van de gemeente Nijmegen. Het College van B&W herijkt periodiek het Informatiebeveiligingsbeleid. 1 Met betrouwbare informatievoorziening wordt bedoeld dat de volgende zaken geregeld zijn: beschikbaarheid (continuïteit van de bedrijfsvoering), integriteit (juistheid, volledigheid) en vertrouwelijkheid (geautoriseerd gebruik) van gegevens en informatie. 2 Medewerker = (1) ambtenaar in de zin van het Ambtenarenreglement of (2) degene die op arbeidsovereenkomst of anderszins betaalde of niet-betaalde werkzaamheden voor een organisatieverricht. 3 Daarbij geldt het comply or explain principe (pas toe of leg uit) 2016 Segment gemeente Nijmegen pagina 9 van 43

13 Het College van B&W van de gemeente Nijmegen is volgens de Wet bescherming persoonsgegevens (Wbp) de verantwoordelijke voor de verwerking van persoonsgegevens en dus ook voor een veilig en rechtmatig gebruik van Suwinet. En ziet hier dus ook op toe. 1.4 Risicobenadering De aanpak van informatiebeveiliging (Informatiebeveiligingsbeleid) in Nijmegen is risk based. Dat wil zeggen: beveiligingsmaatregelen worden getroffen op basis van een toets tegen de baseline. Indien een systeem meer maatregelen nodig heeft, wordt een risicoanalyse uitgevoerd. Daartoe inventariseert de proceseigenaar de kwetsbaarheid van zijn werkproces en de dreigingen die kunnen leiden tot een beveiligingsincident, rekening houdend met de beveiligingseisen van de informatie. Het risico is de kans op beveiligingsincidenten en de impact daarvan op het werkproces en wordt bepaald door de proceseigenaar: risico = kans x impact. 1.5 Doelgroepen Het Informatiebeveiligingsbeleid is bedoeld voor alle in- en externe medewerkers van de gemeente: Doelgroep Relevantie voor Informatiebeveiligingsbeleid College van B&W Integrale verantwoordelijkheid Directie Kaderstelling en implementatie Alle leidinggevenden Sturing op informatieveiligheid en controle op naleving Alle medewerkers Gedrag en naleving Proces en gegevenseigenaren Classificatie: bepalen van beschermingseisen van informatie de Directieraad Planvorming binnen de informatiebeveiligingskaders de CISO Algemene en dagelijkse coördinatie van de informatiebeveiliging, adviseren over de implementatie van het informatiebeveiligingsbeleid CIO Algemene en dagelijkse coördinatie van het informatiebeleid, voorbereiding besluitvorming door de Directie hierover en toezicht op de uitvoering ervan. Ontwikkeling I&A Advisering over de opzet en implementatie van het informatiebeveiligingsbeleid, opzetten van beleidsinstrumenten Personeelszaken Arbeidsvoorwaardelijke zaken, persoonsbeveiliging Regionaal Archief Nijmegen, Archiefbeheer, beveiliging van documentaire informatie Documentaire Informatievoorziening Facilitaire zaken Fysieke toegangsbeveiliging Juridische Zaken, werkgroep privacy (JZ, wn. CISO, Ontwikkeling I&A) Advisering over omgang met persoonsvertrouwelijke informatie, toepassing van Wet bescherming persoonsgegevens ICT-bedrijf Rijk van Nijmegen (IRvN) Technische beveiliging (applicatie en infrastructuur), ondersteuning aan audits en controlemaatregelen Auditors Onafhankelijke toetsing van het beleid Leveranciers en ketenpartners Compliance aan het beleid 1.6 Scope De scope van dit beleid omvat alle processen, onderliggende informatiesystemen, informatie en gegevens van de gemeente en externe partijen (bijv. politie), het gebruik daarvan door medewerkers en (keten)partners in de meest brede zin van het woord, ongeacht locatie, tijdstip en gebruikte apparatuur Segment gemeente Nijmegen pagina 10 van 43

14 Dit informatiebeveiligingsbeleid is een algemene basis. Dit normenkader geldt dus expliciet ook voor de bedrijfsprocessen waarin de audtis en/of zelfevaluaties DigiD assessment, BAG inspectie, Suwinet, BRP, reisdocument en rijbewijzen zich op richten. 1.7 Informatiebeveiligingsbeleid en architectuur Informatiebeveiliging is onderdeel van de informatiearchitectuur en zal worden uitgewerkt als onderdeel van die architectuur. Deze architectuur beschrijft onder meer principes, richtlijnen en maatregelen o.b.v. verschillende beschermingsniveaus (classificatie) 4 4 De processen van informatiebeveiliging worden onderdeel van de volgende GEMMA versie om daarmee de basis voor informatieveiligheid te verankeren als integraal onderdeel van de bedrijfsvoering Segment gemeente Nijmegen pagina 11 van 43

15 2 Organisatie van de informatiebeveiliging 2.1 Risico s Volgens de baseline zijn de te beperken risico s in dit domein: Het niet expliciet beleggen van verantwoordelijkheden en bijbehorende activiteiten, procedures en instrumenten, verhindert het daadwerkelijk en structureel uitvoeren en borgen van de beheersmaatregelen. 2.2 Doelstellingen Conform de baseline stellen we als organisatie onszelf de volgende doelstellingen in dit domein: Beheren van de informatiebeveiliging binnen de organisatie. Er is een beheerkader vastgesteld om de implementatie van informatiebeveiliging in de organisatie te initiëren en te beheersen. Goedkeuring door het College van B&W en de Directieraad van het informatiebeveiligingsbeleid, de toewijzing van de rollen en de coördinatie en beoordeling van de implementatie van het beleid binnen de organisatie. 2.3 Beheersmaatregelen De baseline maakt onderscheid in de volgende beheersmaatregelen voor dit domein: Beheersmaatregelen voor de interne ambtelijke organisatie Het College van B&W van de gemeente Nijmegen is integraal verantwoordelijk voor de beveiliging (in de beslissende rol) van informatie binnen de werkprocessen van de gemeente. 5 Het College van B&W stelt kaders voor informatiebeveiliging op basis van landelijke en Europese wet- en regelgeving en landelijke normenkaders; De directie (in de sturende rol) is verantwoordelijk voor kaderstelling en sturing. De directie: 6 stuurt op concern risico s; controleert de getroffen maatregelen overeenstemmen met de betrouwbaarheidseisen; controleert of deze maatregelen voldoende bescherming bieden en; evalueert periodiek beleidskaders en stelt deze waar nodig bij. De leidinggevenden van de verschillende onderdelen van de organisatieonderdelen zijn in de vragende rol verantwoordelijk voor de integrale beveiliging van hun organisatie onderdeel. 7 De leidinggevenden: stellen op basis van een expliciete risicoafweging betrouwbaarheidseisen voor zijn informatiesystemen vast (classificatie); zijn verantwoordelijk voor de keuze, de implementatie en het uitdragen van de maatregelen die voortvloeien uit de betrouwbaarheidseisen; sturen op beveiligingsbewustzijn, bedrijfscontinuïteit en naleving van regels en richtlijnen (gedrag en risicobewustzijn); rapporteren over compliance aan wet- en regelgeving en algemeen beleid van de gemeente in de managementrapportages. De Directieraad moet het bewustzijn van de medewerkers op het gebied van informatiebeveiliging stimuleren. Dit vindt plaats door het beleid/plan actief uit te dragen in de organisatie. 5 Zie ook: strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten 6 Met betrekking tot de i-functie geeft de CIO op dagelijkse basis namens de directie invulling aan de sturende rol door besluitvorming in de directie voor te bereiden en toe te zien op de uitvoering ervan. 7 Zie ook: strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten 2016 Segment gemeente Nijmegen pagina 12 van 43

16 De afdeling Personeel Informatie en Facilitair is verantwoordelijk voor de uitvoering van de beveiligingsmaatregelen. 8 Dit betreft dan met name de Personeel en Facilitaire tak. Informatie heeft een adviserende rol en is opdrachtgever voor de irvn. De uitvoering van de ICT maatregelen ligt vrijwel geheel bij de IRVN. De IRVN is verantwoordelijk voor: o beveiliging van de informatievoorziening en implementatie van beveiligingsmaatregelen, die voortvloeien uit betrouwbaarheidseisen (classificaties); o is verantwoordelijk voor alle beheeraspecten van informatiebeveiliging, zoals ICT security management, incident en problem management, facilitaire en personele zaken; o verzorgt logging, monitoring en rapportage; levert klanten (technisch) beveiligingsadvies. Sturende rol (directie) kaderstelling (beleid, regels) sturing op (concern) risico s toetsing en advisering Vraagrol (lijnmanagement) definiëren beveiligingseisen sturen op bedrijfscontinuïteit toetsing op naleving Uitvoerende rol (security) security management incident beheer (technische) advisering Figuur 1: relaties Beheersmaatregelen m.b.t. de taken en rollen Het College van B&W stelt formeel het Informatiebeveiligingsbeleid vast. De uitvoering van het beleid moet gecontroleerd worden, zowel het College als de gemeenteraad (controle functie) kunnen hiervoor opdracht geven om dit te (laten) controleren. De directie adviseert College van B&W formeel over vast te stellen beleid. De CIO (Chief Information Officer) of een vergelijkbare rol, geeft namens de directie op dagelijkse basis invulling aan de sturende rol door besluitvorming in de directie voor te bereiden en toe te zien op de uitvoering ervan. De taken m.b.t. informatiebeveiliging die hieruit voortvloeien zijn belegd bij de Chief Information Security Officer (de CISO). De CISO bevordert en adviseert gevraagd en ongevraagd over IB en rapporteert eens per jaar concern breed aan de directie over de stand van zaken. De coördinatie van informatiebeveiliging is belegd bij een strategische adviesfunctie binnen alle organisatie onderdelen. Uitvoerende taken zijn zoveel mogelijk belegd bij (decentrale) security functionarissen zoals, beveiligingsbeheerder BRP, beveiligingsfunctionaris Reisdocumenten en beveiligingsfunctionaris Rijbewijzen. Deze security functionarissen rapporteren aan de CISO. Over het functioneren van informatiebeveiliging wordt jaarlijks gerapporteerd conform de PDCA cyclus. De taken, verantwoordelijkheden en bevoegdheden ten aanzien van het gebruik, de inrichting, het beheer en de beveiliging van Suwinet gegevens, applicaties, processen en infrastructuur zijn beschreven en duidelijk en gescheiden zijn belegd. Operationeel beheer, functioneer beheer, technisch beheer, aansturing ICT-leveranciers, autorisatiebeheer en eigenaarschap Suwinet worden belegd. 8 Let op, de afdeling PIF is tegelijk ook klant, het gaat hier echter om de uitvoerende rol Segment gemeente Nijmegen pagina 13 van 43

17 Wie Plan: Do: Check: Act: Kaderstelling Uitvoering Controle Verbetering Sturen: Directie dagelijkse uitvoering: CIO/de CISO, decentrale security functionarissen Ontwikkelen van kaders (beleid en architectuur); reglementen; meerjarenplanning. Inbedding landelijke en EU-richtlijnen, advisering, handreikingen, crisisbeheersing en incident respons. Controle, pentesten. audit, Bijsturen: opdrachtverstrekking voor verbeteracties. Rapportage aan directie/ College van B&W Vragen: Alle organisatie onderdelen Formuleren van beveiligingseisen (classificatie) en opstellen clusterbeleid en beveiligingsplannen. Stimuleren van beveiligingsbewustzij n bij medewerkers, risico- en bedrijfscontinuïteitmanagement. Interne controle (IC), sturen op naleving van regels door medewerkers (gedrag), compliancy. Verbeteren bedrijfscontinuïteit. Rapportage aan CIO/de CISO. Uitvoeren: De Directeur IRVN en de afdeling Personeel Informatie en Facilitair Beleidsvoorbereiding, technische onderzoeken (marktverkenningen). Leveren van diensten (ICT), incidentbeheer, logging, monitoring en ICT advies. Vulnerability scanning, evaluatie en rapportage. Uitvoeren verbeteracties. Advies aan de CIO/de CISO over aanpassingen aan de informatievoorziening. Beheersmaatregelen m.b.t. het instellen van overlegorganen rond Informatiebeveiliging De stadscontroller stelt een organisatie voor van security gerelateerde functionarissen en heeft elke 6 weken een overleg met dit gremium. De CISO is voorzitter en verder bestaat de groep op dit moment uit de leden van de stuurgroep van het project Implementatie BIG. Naast deze groep bestaat er ook een werkgroep Privacy. Deze werkgroep bestaat uit specialisten van Juridische zaken, de plv CISO en een strategisch informatieadviseur. De werkgroep Privacy heeft binnen de gemeente een adviesfunctie richting de CIO 9 of gelijkwaardig of rechtstreeks aan de Directieraad en richt zich met name op beleid. Ook adviseert ze over informatiebeveiligingskwesties. Het onderwerp Informatiebeveiliging dient verder een vast onderdeel te zijn op de agenda van de Directieraad zodat er sturing kan plaatsvinden op de uitgevoerde activiteiten ). De heer drs René IJpelaar RE CEH CISA (adviseur Segment) is agenda lid en zal op verzoek van de voorzitter een vergadering bijwonen. Beheersmaatregelen m.b.t. externe partijen Informatiebeveiligingsbeleid, landelijke normen en wet en regelgeving gelden ook voor externe partijen (leveranciers, ketenpartners) waarmee de gemeente samenwerkt (en informatie mee uitwisselt). 10 Ook voor externe partijen geldt hierbij het pas toe of leg uit beginsel. Bij contractuele overeenkomsten gelden in beginsel altijd de Algemene Inkoop Voorwaarden (AIV) en de ICT Inkoopvoorwaarden, waarin onder meer geheimhouding en aansprakelijkheid is geregeld. Afwijkingen op de AIV dienen te worden getoetst aan Informatiebeveiligingsbeleid. Vereiste beveiligingsmaatregelen worden aanvullend vastgelegd in contracten en/of bewerkersovereenkomsten. Daarin is onder meer geborgd dat beveiligingsincidenten onmiddellijk worden gerapporteerd en dat de gemeente het recht heeft afspraken te (laten) controleren. 11 Voor het tot stand brengen van datakoppelingen met externe partijen, gelden naast dit generiek informatiebeveiligingsbeleid specifieke procedures. Het doel van deze procedures is risicobeheersing. Voor 9 CIO of gelijkwaardig kan bijvoorbeeld hoofd ICT, Ondersteuning, Facilitair Bedrijf zijn. 10 Beleidsregels voor externe partijen zijn beschreven in de Baseline Informatiebeveiliging Nederlandse Gemeenten. 11 Hiervoor kan gebruik worden gemaakt van een third party mededeling (TPM), ISO27001 of een ISAE 3402-verklaring Segment gemeente Nijmegen pagina 14 van 43

18 externe hosting van data en/of services gelden naast dit generieke informatiebeveiligingsbeleid de richtlijnen voor cloud computing 12 zoals die geformuleerd worden in de Cloud Security Alliance Controls Matrix van de Cloud Security Alliance. De gemeente is gehouden aan: o o regels omtrent grensoverschrijdend dataverkeer; toezicht op naleving van regels door externe partijen; o hoogste beveiligingseisen voor bijzondere categorieën gegevens; 13 o melding bij de Autoriteit Persoonsgegevens bij uitbesteding van het bewerken van persoonsgegevens en toestemming van de Autoriteit Persoonsgegevens bij doorgifte van persoonsgegevens naar landen buiten de EU. Beheersmaatregelen m.b.t. ICT crisisbeheersing en landelijke samenwerking Voor interne crisisbeheersing is er een crisisteam geïnstalleerd, in ieder geval bestaande uit de burgemeester, en de directie. De werkwijze dient te zijn vastgelegd. De gemeente Nijmegen participeert in allerlei landelijke platforms en onderhoudt o.a. contacten met de Informatie Beveiliging Dienst (= IBD) van KING. Beheersmaatregelen m.b.t. de PDCA cyclus Informatiebeveiliging is een continu verbeterproces. Plan, do, check en act vormen samen het management systeem van informatiebeveiliging. 14 Deze kwaliteitscyclus is in onderstaande figuur weergegeven. PLAN DO - Wet en Regelgeving - Landelijke Normen - BIG - Gemeentelijk beleid en doelstellingen Beleidskader Informatiebeveiliging: - organisatie en governance - Informatiegebruik en personele aspecten - Beheer - Toegangsbeveiliging en autorisatie - Business continuity management - Naleving en controle (Zie basis beleid op basis van BIG) Beleidskader is basis Inrichting en uitvoering Processen De uitvoering vertaald beleidskaders in Concrete maatregelen en acties - 0-Meting en GAP analyse BIG - richtlijnen en maatregelen - beveiligingsarchitectuur - Uitvoeringsregelingen en Handreikingen - bewustwordingsacties - sturen op naleving Op basis van risico management wordt vastgesteld wat (rest-) risico s zijn Evalueren En Bijsturen Inzicht status en Effectiviteit Security maatregelen ACT Evaluatie Management rapportage en stuurinformatie verbetervoorstellen CHECK Rapportage status en effectiviteit Security maatregelen Selfassessments TPM Interne Controle Management rapportage Vulnerability scanning Pentesten Directies Social engineering Evaluatie en rapportage Audit werking (ISMS) Informatie beveiliging Audit beleid versus maatregellen Audit werking algemene IT beheer maatregelen Systeem en proces audit Information Security Management System Figuur 2: Information Security Management System 12 Zie NCSC: 13 Ras of etnische afkomst, politieke opvattingen, religie of overtuiging, het lidmaatschap van een vakvereniging, genetische gegevens of gegevens over gezondheid of seksueel gedrag of strafrechtelijke veroordelingen 14 ISO Segment gemeente Nijmegen pagina 15 van 43

19 Toelichting figuur 2: o o o o Plan: De cyclus start met Informatiebeveiligingsbeleid, gebaseerd op wet- en regelgeving, landelijke normen zoals de BIG en best practices, uitgewerkt in regels voor onder meer informatiegebruik, bedrijfscontinuïteit en naleving. Planning geschiedt op jaarlijkse basis en wordt indien nodig tussentijds bijgesteld. De planning op hoofdlijnen is onderdeel van het jaarplan en uitgewerkt in het informatiebeveiligingsplan (Informatiebeveiligingsbeleid) van de gemeente. Afdelingsspecifieke activiteiten worden gepland in het afdelingsplan. Do: Het beleidskader is de basis voor risicomanagement, uitvoering van (technische) maatregelen en bevordering van beveiligingsbewustzijn. Uitvoering geschiedt op dagelijkse basis en maakt integraal onderdeel uit van het werkproces. Check: Control is onderdeel van het werkproces met als doel: waarborgen van de kwaliteit van informatie en ICT, en compliance aan wet- en regelgeving. Externe controle: betreft controle buiten het primaire proces door een auditor. 15 Dit heeft het karakter van een steekproef. Jaarlijks worden diverse onderzoeken uitgevoerd, waarbij de CIO in principe opdrachtgever is. Bevindingen worden gerapporteerd aan de Directieraad. Act: De cyclus is rond met de uitvoering van verbeteracties o.b.v. check en externe controle. De cyclus is een continu proces; de bevindingen van controles zijn weer input voor de jaarplanning en beveiligingsplannen. De bevindingen worden in beginsel gerapporteerd aan de Directieraad. Voor ingrijpende verbeteracties wordt een gevraagde beslissing voorgelegd. Beheersmaatregelen m.b.t. Suwinet De kwaliteitsmedewerker voor Suwinet beheert en beheerst de beveiligingsprocedures en -maatregelen in het kader van Suwinet zodanig dat de beveiliging van Suwinet overeenkomstig wettelijke eisen is geïmplementeerd. De Security Officer voor Suwinet bevordert en adviseert over de beveiliging van Suwinet en verzorgt rapportages over de status en controleert dat de beveiliging van de Suwinet maatregelen wordt nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de beveiliging van Suwinet. De Security Officer Suwinet rapporteert rechtstreeks aan het hoogste management. Het beveiligingsbeleid/plan moet aantoonbaar centraal beschikbaar zijn voor alle gebruikers. Bijvoorbeeld beschikbaar op intranet of op de afdelings-/organisatieschijf. Het uitdragen van het beleid/plan moet niet alleen onder de direct bij de beveiliging betrokken medewerkers plaatsvinden, maar bij alle mensen in de organisatie die Suwinet gebruiken. Een adequaat ingerichte organisatie is een belangrijke voorwaarde voor het realiseren van een voldoende beveiligingsniveau voor Suwinet. Het gaat dan met name over functiescheiding. Zo zullen in principe de functies gebruik van Suwinet, beheer van autorisaties Suwinet, controle op het gebruik van Suwinet en beslissen over wie welke functies krijgt in Suwinet gescheiden moeten zijn. Door middel van functiescheiding worden risico s beperkt. Wanneer functiescheiding niet of onvoldoende is geïmplementeerd verhoogt dit de kans op oneigenlijk gebruik en/of misbruik zonder dat dit wordt ontdekt. De diverse functies noodzakelijk voor Suwinet moeten schriftelijk zijn vastgelegd, of er een heldere overweging ten grondslag ligt aan de toedeling van taken en of er functiescheiding is toegepast. Het is daarbij van belang dat er een splitsing is tussen beschikkende, controlerende en uitvoerende taken. Er wordt met name gekeken naar vier gescheiden functies. Beoordeeld wordt of minimaal de volgende functies bij verschillende personen zijn belegd: o uitvoering van taken (het gebruik van Suwinet zoals door de klantmanager); 15 Van onder meer de IT auditor, de accountant (jaarrekening), rijksoverheid (voor bijv. basisregistraties) en interne auditors Segment gemeente Nijmegen pagina 16 van 43

20 o o o beheer van autorisaties (toegang verlenen tot Suwinet, de applicatiebeheerder van Suwinet); kwaliteitszorg en borging van rechtmatig gebruik (controle op gebruik van Suwinet, bijvoorbeeld de security officer Suwinet); management (beslissen over bevoegdheden van functiegroepen en/of individuele medewerkers, uitdragen belang goed gebruik, bijsturen na oneigenlijk gebruik, optreden na misbruik Suwinet) Segment gemeente Nijmegen pagina 17 van 43

21 3 Beheer van bedrijfsmiddelen 3.1 Risico s m.b.t. de verantwoordelijkheid voor de bedrijfsmiddelen Volgens de baseline zijn de te beperken risico s in dit domein: Bedrijfsmiddelen en informatie zijn blootgesteld aan risico s zoals diefstal, beschadiging of onoordeelkundig gebruik, waarbij niet voor alle ICT-configuratie items is vastgelegd wie de eigenaar/hoofdgebruiker is. Onduidelijkheid over de vraag wie verantwoordelijk is voor gegevensbestanden, waardoor feitelijk niemand verantwoordelijk is voor de beveiliging en niemand echt zal optreden bij incidenten. 3.2 Doelstellingen m.b.t. de verantwoordelijkheid voor de bedrijfsmiddelen Conform de baseline stellen we als organisatie onszelf de volgende doelstellingen in dit domein: Bereiken en handhaven van een adequate bescherming van bedrijfsmiddelen van de organisatie. Voor alle bedrijfsmiddelen is de eigenaar vastgelegd alsook de verantwoordelijke voor het handhaven van de beheersmaatregelen. 3.3 Beheersmaatregelen m.b.t. de verantwoordelijkheid voor de bedrijfsmiddelen De baseline maakt onderscheid in de volgende beheersmaatregelen voor dit domein: Alle bedrijfsmiddelen moeten geïdentificeerd zijn en er moet een inventaris van worden bijgehouden. Alle informatie en bedrijfsmiddelen, die verband houden met ICT-voorzieningen, aan een 'eigenaar' toewijzen. Regels vaststellen, documenteren en implementeren voor het aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met ICT-voorzieningen. Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming vooraf van de locatie worden meegenomen. De verantwoordelijkheid voor specifieke beheersmaatregelen mag door de eigenaar worden gedelegeerd, maar de eigenaar blijft verantwoordelijk voor een goede bescherming van de bedrijfsmiddelen. Medewerkers dienen bij het gebruik van ICT-middelen, social media en informatie de nodige zorgvuldigheid te betrachten en de integriteit en goede naam van de gemeente te waarborgen. Medewerkers gebruiken informatie primair voor het uitvoeren van de aan hen opgedragen taken en het doel waarvoor de informatie is verstrekt. Privégebruik van informatie en bestanden is niet toegestaan. Voor het werken op afstand en het gebruik van privémiddelen worden nadere regels opgesteld. De medewerker zelf neemt passende technische en organisatorische maatregelen om informatie te beveiligen tegen verlies of tegen enige vorm van onrechtmatig gebruik. De medewerker houdt hierbij in ieder geval rekening met: o de beveiligingsclassificatie van de informatie (zie hieronder); o de door de gemeente gestelde beveiligingsvoorschriften (o.a. dit informatiebeveiligingsbeleid); o aan de werkplek verbonden risico s; o Het risico door het benaderen van informatie met andere dan door de gemeente verstrekte of goedgekeurde ICT-apparatuur Segment gemeente Nijmegen pagina 18 van 43

22 3.4 Classificatie van informatie Om te kunnen bepalen welke beveiligingsmaatregelen moeten worden getroffen t.a.v. processen en informatiesystemen worden beveiligingsclassificaties gebruikt. 16 Classificatie maakt het vereiste beschermingsniveau zichtbaar en maakt direct duidelijk welke maatregelen nodig zijn. Er wordt geclassificeerd op drie betrouwbaarheidsaspecten van informatie: beschikbaarheid, integriteit (juistheid, volledigheid en tijdigheid) en vertrouwelijkheid (= BIV). Er zijn drie beschermingsniveaus van laag naar hoog. Daarnaast is er nog een niveau geen. Dit niveau geeft aan dat er geen beschermingseisen worden gesteld, bijvoorbeeld omdat informatie openbaar is. De niveaus zijn in onderstaande tabel weergegeven. Tussen haakjes staan voorbeelden. Deze niveaus zijn bedacht om het proces van classificeren te vereenvoudigen. 3.5 Risico s m.b.t. de classificatie van informatie Volgens de baseline zijn de te beperken risico s in dit domein: Geen inzicht in welke componenten het belangrijkst zijn voor de primaire processen. Geen of een onjuiste classificatie draagt bij aan het onjuist beschermen van informatie en bedrijfsmiddelen met als risico, dat deze verloren kunnen gaan of openbaar worden gemaakt terwijl dat niet de bedoeling is. 3.6 Doelstellingen m.b.t. de classificatie van informatie Conform de baseline stellen we als organisatie onszelf de volgende doelstellingen in dit domein: Informatie heeft een geschikt niveau van bescherming. Classificatie van informatie om bij verwerking de noodzaak en bescherming te kunnen aangeven. Adequate niveaus van bescherming van informatie zijn gedefinieerd en de noodzaak voor aparte verwerkingsmaatregelen is gecommuniceerd. 3.7 Beheersmaatregelen m.b.t. de classificatie van informatie De baseline maakt onderscheid in de volgende specifieke beheersmaatregelen voor dit domein: De eigenaar van de gegevens is de proceseigenaar. De classificatietabel heeft betrekking op alle in beheer zijnde gegevensverzamelingen, gegevensdragers, informatiesystemen, servers en netwerkcomponenten. Het object van classificatie is informatie. We classificeren op het niveau van informatiesystemen (of informatieservices). Alle classificaties van alle bedrijfskritische systemen zijn centraal vastgelegd door de CISO en dienen jaarlijks gecontroleerd te worden door de eigenaren. Informatie kan meer of minder gevoelig of kritisch zijn. Voor bepaalde informatie kan een extra niveau van bescherming of een speciale verwerking nodig zijn. De eigenaar van de gegevens bepaalt het vereiste beschermingsniveau (classificatie). Indien sprake is van wettelijke eisen, wordt dit expliciet aangegeven. De eigenaar van de gegevens bepaalt wie toegang krijgt tot welke gegevens en met welke rechten. Er wordt gestreefd naar een zo laag mogelijk classificatieniveau; te hoge classificatie leidt tot onnodige kosten. Bovendien dient informatie in beginsel voor zoveel mogelijk mensen beschikbaar te zijn (transparante overheid). Er wordt gestreefd naar een balans tussen het te lopen risico en de kosten van tegenmaatregelen Een technische oplossing verdient altijd de voorkeur boven gedragsverandering of een administratieve procedure. 16 Dit is in detail beschreven in de component architectuur Informatiebeveiliging 2014, CIO, Segment gemeente Nijmegen pagina 19 van 43

23 Informatie classificeren met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie. Opstellen en uitdragen classificatiebeleid binnen de gemeente. Er dienen geschikte samenhangende procedures te worden ontwikkeld en geïmplementeerd voor de classificering en verwerking van informatie overeenkomstig het classificatiesysteem dat formeel is vastgesteld. Niveau Vertrouwelijkheid Integriteit Beschikbaarheid Geen Openbaar Niet zeker Niet nodig informatie mag door iedereen informatie mag worden veranderd gegevens kunnen zonder gevolgen worden ingezien (bv: templates en sjablonen) langere tijd niet beschikbaar zijn (bv: algemene informatie op de (bv: ondersteunende tools als externe website van de gemeente routeplanner) Laag Bedrijfsvertrouwelijk Beschermd Belangrijk informatie is toegankelijk voor alle het bedrijfsproces staat enkele informatie mag incidenteel niet medewerkers van de organisatie (bv: informatie op het intranet) (integriteits-) fouten toe (bv: rapportages) beschikbaar zijn (bv: administratieve gegevens) Midden Vertrouwelijk Hoog Noodzakelijk informatie is alleen toegankelijk voor het bedrijfsproces staat zeer informatie moet vrijwel altijd een beperkte groep gebruikers weinig fouten toe beschikbaar zijn, continuïteit is (bv: persoonsgegevens, financiële (bv: bedrijfsvoeringinformatie en belangrijk gegevens primaire procesinformatie zoals (bv: primaire proces informatie) vergunningen) Hoog Geheim Absoluut Essentieel informatie is alleen toegankelijk voor het bedrijfsproces staat geen informatie mag alleen in direct geadresseerde(n) fouten toe uitzonderlijke situaties uitvallen, (bv: zorggegevens en strafrechtelijke informatie) (bv: informatie op de website) bijvoorbeeld bij calamiteiten (bv: basisregistraties) 3.8 Toelichting De te nemen maatregelen moeten worden afgestemd op de risico s, waarbij rekening dient te worden gehouden met technische mogelijkheden en de kosten van maatregelen. Dit is vaak situatie-afhankelijk. Naarmate de gegevens een gevoeliger karakter hebben, of gezien de context waarin ze gebruikt worden een groter risico inhouden, dienen zwaardere eisen aan de beveiliging van die gegevens te worden gesteld. In het algemeen kan worden gesteld, dat indien met naar verhouding geringe extra kosten meer beveiliging kan worden bewerkstelligd, dit als passend kan worden beschouwd. Extra beveiliging is echter niet meer passend, indien de kosten voor het beperken van de risico s disproportioneel hoog zijn. 17 Kort gezegd: risico s en tegenmaatregelen dienen in balans te zijn. 17 Dit is uitebreid beschreven in: Beveiliging van persoonsgegevens, AUTORITEIT PERSOONSGEGEVENS richtsnoeren, Segment gemeente Nijmegen pagina 20 van 43

24 4 Beveiliging van personeel 4.1 Risico s Volgens de baseline zijn de te beperken risico s in dit domein: Het aannemen of inhuren van nieuw personeel en het laten verrichten van werkzaamheden door externe medewerkers verdient extra aandacht, omdat menselijk falen en bedreigingen van menselijke aard significante invloed kunnen hebben op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. 4.2 Doelstellingen Conform de baseline stellen we als organisatie onszelf de volgende doelstellingen in dit domein: Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden begrijpen, en geschikt zijn voor de rollen waarvoor zij worden overwogen, en om het risico van diefstal, fraude of misbruik van faciliteiten te verminderen. De verantwoordelijkheden ten aanzien van beveiliging zijn vóór het dienstverband vastgelegd in passende functiebeschrijvingen en in de arbeidsvoorwaarden. Alle kandidaten voor een aanstelling, ingehuurd personeel en externe gebruikers worden gescreend, in het bijzonder ingeval van vertrouwensfuncties. Werknemers, ingehuurd personeel en externe gebruikers, die ICT-voorzieningen gebruiken tekenen een overeenkomst over hun beveiligingsrollen en verantwoordelijkheden. 4.3 Beheersmaatregelen De baseline maakt onderscheid in de volgende beheersmaatregelen voor dit domein: Beheersmaatregelen m.b.t. het personeelsbeleid De Directieraad is verantwoordelijk voor het juist afhandelen van de beveiligingsaspecten van het aangaan, wijzigen en beëindigen van een dienstverband of een overeenkomst met externen. De HR-afdeling houdt toezicht op dit proces. Bij beëindiging van het dienstverband en inhuur worden alle bedrijfsmiddelen van de organisatie geretourneerd. Autorisaties worden in opdracht van de proceseigenaar van het desbetreffende bedrijfsproces ingetrokken. Er wordt naar gestreefd om medewerkers die werken met vertrouwelijke of geheime informatie voor indiensttreding een Verklaring Omtrent het Gedrag (= VOG) te laten overleggen. De VOG wordt indien nodig herhaald tijdens het dienstverband. De eigenaar van het bedrijfsproces bepaalt welke rol(len) de medewerker moet vervullen en welke autorisaties voor het raadplegen, opvoeren, muteren en afvoeren van gegevens moeten worden verstrekt. Alle medewerkers (en voor zover van toepassing externe gebruikers van onze systemen) dienen training te krijgen in de geldende procedures voor informatiebeveiliging. Deze training dient regelmatig te worden herhaald om het beveiligingsbewustzijn op peil te houden. Bij inbreuk op de beveiliging gelden voor medewerkers de gebruikelijke disciplinaire maatregelen, zoals onder meer genoemd in het Ambtenarenreglement en regelingen. Regels die volgen uit dit beleid en andere regelingen gelden ook voor externen, die in opdracht van de gemeente werkzaamheden uitvoeren. Beheersmaatregelen m.b.t. bewustwording Het management bevordert algehele communicatie en bewustwording rondom informatieveiligheid en laat voorbeeldgedrag zien Segment gemeente Nijmegen pagina 21 van 43