Actualisatie Informatiebeveiligingsbeleid en ICT-inkoopvoorwaarden
|
|
- Edith Cools
- 6 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Collegevoorstel Openbaar Onderwerp Actualisatie Informatiebeveiligingsbeleid en ICT-inkoopvoorwaarden Programma Bestuur & Middelen BW-nummer Portefeuillehouder B. van Hees Samenvatting Het informatiebeveiligingsbeleid en de ICT-inkoopvoorwaarden zijn gewijzigd en dienen opnieuw vastgesteld te worden. Door dit te doen houdt de gemeente rekening met de opkomst van extern beheerde applicaties (SaaS) en de toenemende samenwerking en standaardisatie op ICT-gebied. Directie/afdeling, ambtenaar, telefoonnr. PI50, Rob Haans, 9305 Datum ambtelijk voorstel 17 maart 2017 Registratienummer Ter besluitvorming door het college 1. De ICT-inkoopvoorwaarden 2015 in te trekken; 2. De Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT) als de ICT-inkoopvoorwaarden van de gemeente Nijmegen vast te stellen; 3. Het op 3 november 2015 vastgestelde Informatiebeveiligingsbeleid in te trekken; 4. Het Informatiebeveiligingsbeleid vast te stellen. Steller Rob Haans Esther Zijlstra Paraaf akkoord Datum Karin Killaars Alleen ter besluitvorming door het College Besluit B&W d.d. 28 maart 2017 Conform advies Aanhouden Anders, nl. nummer: 3.13 Bestuursagenda Paraaf akkoord Datum Portefeuillehouder Collegevoorstel GIBIT IBBeleidv1 (2)
2 Collegevoorstel 1 Probleemstelling Eisen aan ICT binnen de gemeente Nijmegen zijn continu aan verandering onderhevig. Daarmee moet het instrumentarium dat de gemeente gebruikt, bijvoorbeeld het beleidskader en de ICT-inkoopvoorwaarden, continu bijgesteld worden. Een van de veranderingen waar in dit instrumentarium meer rekening mee gehouden moet worden is de opkomst van extern beheerde applicaties (SaaS: Software as a Service) en de toenemende samenwerking en standaardisatie op ICT-gebied. 2 Juridische aspecten Het informatiebeveiligingsbeleid en de ICT-inkoopvoorwaarden dienen door ons College van B&W vastgesteld te worden. Dit wordt met name geëist door toezichthoudende ministeries en samenwerkingsorganisaties. De huidige instrumenten zijn ook op deze wijze vastgesteld. 3 Doelstelling Actualisatie van het informatiebeveiligingsbeleid en de ICT-inkoopvoorwaarden heeft tot doel een scherper opdrachtgever te kunnen zijn richting ICT-leveranciers om daarmee ICTgerelateerde risico s als overmatige ICT-kosten, niet meer kunnen voldoen aan audit-eisen of privacyschending beter te kunnen beheersen. 4 Argumenten Eind 2016 zijn de Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT) door de VNG vastgesteld. Hierbij zijn circa 25 gemeenten betrokken geweest, de Informatie beveiligingsdienst, als ook 12 ICT-leveranciers die actief zijn op de gemeentelijke ICT-markt. De gemeente Nijmegen is betrokken geweest in de consultatieronde. Het feit dat deze standaard landelijk gedragen wordt door zowel gemeenten als een groot deel van de ICTleveranciers is het voornaamste argument om deze standaard als Nijmeegse ICTinkoopvoorwaarden vast te stellen. Het nieuwe informatiebeveiligingsbeleid dat tegelijkertijd wordt aangeboden sluit optimaal op de GIBIT aan. Inhoudelijk gezien leveren de vernieuwde inkoopvoorwaarden op allerlei terreinen meer grip op het uitbesteden van ICT. De belangrijkste veranderingen hierbij zijn: Meer aandacht voor informatiebeveiliging bij het aanschaffen van ICT, door een bewerkersovereenkomst verplicht te stellen wanneer privacygevoelige gegevens betrokken zijn en een meldplicht op te leggen bij inbreuk op beveiliging; Een verschuiving van focus naar preventieve bescherming van risico s in ICT-projecten en ICT-dienstverlening, in plaats van op boetemaatregelen achteraf; Meer aandacht voor externe hosting (SaaS), bijvoorbeeld om de overstap naar een ander systeem beter mogelijk te maken en minder risicovol te maken (exit-plan vooraf opstellen) Meer rekening houdend met ketensamenwerking en ICT-ketens, bijvoorbeeld met het overdragen van contracten naar een samenwerkingsverband. 5 Financiën Aan dit voorstel zijn geen financiële consequenties verbonden. 6 Participatie en Communicatie De nieuwe ICT-inkoopvoorwaarden en de daar aan gekoppelde gemeentelijke kwaliteitsnormen sluiten, zoals gemeld, aan bij de breed gedragen GIBIT. Zij worden naar leveranciers bekend gemaakt bij inkooptrajecten. Daarnaast dienen deze documenten continu toegankelijk te zijn voor leveranciers via internet. Intern worden de nieuwe
3 Collegevoorstel Vervolgvel 2 uitgangspunten en voorwaarden bekend gemaakt via het leadbuyersoverleg en berichtgeving op insite. Het informatiebeveiligingsbeleid wordt op insite gecommuniceerd. 7 Uitvoering en evaluatie De ICT-inkoopvoorwaarden houden een aantal nieuwe werkwijzen in van het inkopen van ICT-middelen. Deze worden vervat in een instructie en standaard gehanteerd bij de inkoop. Het beleid evalueren wij zowel intern als extern. 8 Risico Aanpassing van het beleid en de inkoopvoorwaarden met betrekking tot de ICT is nodig om risico s bij de inkoop en inzet van ICT beter te kunnen beheersen en draagt zodoende bij aan het risicomanagement en de rechtmatigheid van het gemeentelijk handelen. Bijlage(n): Informatiebeveiligingsbeleid Gemeentelijke inkoopvoorwaarden
4 INFORMATIE BEVEILIGINGSBELEID 2017 GEMEENTE NIJMEGEN Gebaseerd op de Baseline Informatiebeveiliging Gemeenten (BIG)
5 Colofon Copyright 2013 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Versiebeheer Het versiebeheer van dit document ligt bij de CISO. Kenmerk: Versie: 1.0 Versiedatum: 6 maart 2017 Gegenereerd op: 7 juli 2016 Beheersmaatregel: Documentnaam: Informatiebeveiligingsbeleid Gemaakt door: De heer drs René IJpelaar RE CEH CISA Portefeuillehouder wethouder de heer H.B.W. van Hees Goedgekeurd door: CISO Classificatie: Definitief 2
6 Inhoud Inleiding 5 1 Uitgangspunten informatiebeveiliging Het belang van informatie(veiligheid) Doelstelling Uitgangspunten Risicobenadering Doelgroepen Scope Informatiebeveiligingsbeleid en architectuur 11 2 Organisatie van de informatiebeveiliging Risico s Doelstellingen Beheersmaatregelen 12 3 Beheer van bedrijfsmiddelen Risico s m.b.t. de verantwoordelijkheid voor de bedrijfsmiddelen Doelstellingen m.b.t. de verantwoordelijkheid voor de bedrijfsmiddelen Beheersmaatregelen m.b.t. de verantwoordelijkheid voor de bedrijfsmiddelen Classificatie van informatie Risico s m.b.t. de classificatie van informatie Doelstellingen m.b.t. de classificatie van informatie Beheersmaatregelen m.b.t. de classificatie van informatie Toelichting 20 4 Beveiliging van personeel Risico s Doelstellingen Beheersmaatregelen 21 5 Fysieke beveiliging en beveiliging van de omgeving Risico s Doelstellingen Beheersmaatregelen 23 6 Beheer van communicatie en bedieningsprocessen Risico s Doelstellingen Beheersmaatregelen Risico s voor het beheer van de dienstverlening door een derde Doelstellingen voor het beheer van de dienstverlening door een derde Beheersmaatregelen voor het beheer van de dienstverlening door een derde Risico s in de behandeling van media Doelstellingen in de behandeling van media Beheersmaatregelen in de behandeling van media Risico s bij de uitwisseling van informatie Doelstellingen bij de uitwisseling van informatie Beheersmaatregelen bij de uitwisseling van informatie 31 3
7 7 Logische toegangsbeveiliging Risico s Doelstellingen Beheersmaatregelen 32 8 Verwerving, ontwikkeling en onderhoud van informatiesystemen Risico s Doelstellingen Beheersmaatregelen 35 9 Beveiligingsincidenten Risico s Doelstellingen Beheersmaatregelen Bedrijfscontinuïteit Risico s Doelstellingen Beheersmaatregelen Beleidsuitgangspunten Naleving Doelstelling Beheersmaatregelen Segment gemeente Nijmegen pagina 4 van 43
8 Inleiding Dit document geeft algemene beleidsuitgangspunten over informatiebeveiliging. Deze uitgangspunten hebben een sterk normerend karakter en geven keuzes weer. Dit document is het optimum beleid gebaseerd op de Baseline Informatiebeveiliging Gemeenten (BIG). In dit document is een aanzienlijk aantal beleidsuitgangspunten nader uitgewerkt en zijn beveiligingseisen en - maatregelen opgenomen, die organisatie breed voor alle processen en systemen gelden. Onderdeel van dit document is een beheerstructuur voor informatiebeveiliging, waarmee verantwoordelijkheden voor informatiebeveiliging worden belegd en informatiebeveiliging wordt ingebed in de reguliere planning- en control cyclus binnen de (kwaliteitshandhaving van de) bedrijfsvoering. De toegepaste hoofdstukken uit de Strategische variant van de Baseline Informatiebeveiliging voor Gemeenten zijn: 5 Beveiligingsbeleid; 6 Organisatie van informatiebeveiliging; 7 Beheer van bedrijfsmiddelen; 8 Beveiliging van personeel; 9 Fysieke beveiliging en beveiliging van de omgeving; 10 Beheer van communicatie- en bedieningsprocessen; 11 Toegangsbeveiliging; 12 Verwerving, ontwikkeling en onderhoud van informatiesystemen; 13 Beheer van informatiebeveiligingsincidenten; 14 Bedrijfscontinuïteitsbeheer; 15 Naleving. Informatiebeveiliging Informatiebeveiliging is de verzamelnaam voor de processen, die ingericht worden om de betrouwbaarheid van processen, de gebruikte informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijk onheil. Het begrip informatiebeveiliging heeft betrekking op: beschikbaarheid / continuïteit: het zorg dragen voor het beschikbaar zijn van informatie en informatie verwerkende bedrijfsmiddelen op de juiste tijd en plaats voor de gebruikers; exclusiviteit / vertrouwelijkheid: het beschermen van informatie tegen kennisname en mutatie door onbevoegden. Informatie is alleen toegankelijk voor degenen die hiertoe geautoriseerd zijn; integriteit / betrouwbaarheid: het waarborgen van de correctheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking. Waarom informatiebeveiliging? Informatie is één van de belangrijkste bedrijfsmiddelen van de gemeente. Toegankelijke en betrouwbare overheidsinformatie is essentieel voor de gemeente, die zich verantwoordelijk gedraagt, aanspreekbaar en servicegericht is, die transparant en proactief verantwoording aflegt aan burgers en raadsleden en die met minimale middelen maximale resultaten behaalt. De bescherming van waardevolle informatie is datgene waar het uiteindelijk om gaat. Hoe waardevoller de informatie is, hoe meer maatregelen er getroffen moeten worden Segment gemeente Nijmegen pagina 5 van 43
9 Reikwijdte en afbakening informatiebeveiliging Informatiebeveiliging is meer dan ICT, computers en automatisering. Het gaat om alle uitingsvormen van informatie (analoog, digitaal, tekst, video, geluid, geheugen, kennis), alle mogelijke informatiedragers (papier, elektronisch, foto, film, CD, DVD, USB, SD kaart, beeldscherm et cetera) en alle informatie verwerkende systemen (applicaties, systeemprogrammatuur, databases, hardware, bijbehorende bedrijfsmiddelen), maar vooral ook mensen en processen. Studies laten zien dat de meeste incidenten niet voortkomen uit gebrekkige techniek, maar vooral door menselijk handelen en een tekort schietende organisatie. Voorbeelden van informatiebeveiligingsmaatregelen zijn: clean desk policy implementeren of hoe om te gaan met mobiele devices en aanwijzingen voor telewerken Segment gemeente Nijmegen pagina 6 van 43
10 Informatiebeveiligingsbeleid van de gemeente Nijmegen Het bestuur en management spelen een cruciale rol bij het uitvoeren van dit informatiebeveiligingsbeleid. Zo maakt het management een inschatting van het belang dat de verschillende delen van de informatievoorziening voor de gemeente hebben, de risico s die de gemeente hiermee loopt en welke van deze risico s onacceptabel hoog zijn. Op basis hiervan zet het management dit beleid voor informatiebeveiliging op, draagt dit uit naar de organisatie en ondersteunt en bewaakt de uitvoering ervan. Het management geeft een duidelijke richting aan informatiebeveiliging en demonstreert dat zij informatiebeveiliging ondersteunt en zich hierbij betrokken voelt, door het uitbrengen en handhaven van een informatiebeveiligingsbeleid van en voor de hele de gemeente. Dit beleid is van toepassing op de gehele organisatie, alle processen, organisatieonderdelen, objecten, informatiesystemen en gegevens(verzamelingen). Het informatiebeveiligingsbeleid is in lijn met het algemene beleid en de relevante landelijke en Europese wet- en regelgeving. De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van het beleid. Hierbij geldt: Er is wetgeving waar altijd aan voldaan moet worden, zoals (niet uitputtend) bijvoorbeeld BRP, SUWI, BSN, BAG en PUN, maar ook de archiefwet. Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). De gemeente stelt dit normenkader vast, waarbij er ruimte is voor afweging en prioritering op basis van het pas toe of leg uit principe. De volgende uitgangspunten zijn ontleend aan de Code voor Informatiebeveiliging (NEN/ISO 27002:2007) en de BIG: 1. Informatie en informatiesystemen zijn van kritiek en vitaal belang voor de gemeente. De verantwoordelijkheid voor informatiebeveiliging ligt bij het (lijn)management, met het College van B&W als eindverantwoordelijke. De verantwoordelijkheden voor de bescherming van gegevens en voor het uitvoeren van beveiligingsprocedures zijn expliciet gedefinieerd. 2. Door periodieke controle, organisatie brede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening. In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening organisatiebreed benaderd. Het plan wordt periodiek bijgesteld op basis van nieuwe ontwikkelingen, registraties in het incidentenregister en bestaande risicoanalyses. 3. Informatiebeveiliging is een continu verbeterproces. Plan, do, check en act vormen samen het management systeem van informatiebeveiliging. 4. De organisatiebrede informatiebeveiligingsfunctionaris/chief Information Security Officer (= CISO) - binnen de gemeente Nijmegen aangeduid als de CISO - ondersteunt vanuit een onafhankelijke positie de organisatie bij het bewaken en verhogen van de betrouwbaarheid van de informatievoorziening en rapporteert hierover. Daarnaast kennen we deelfuncties in de informatiebeveiliging zoals Voor Suwinet: kwaliteitscoördinator SUWI Voor de BRP: beveiligingsbeheerder BRP Voor de reisdocumenten: beveiligingsfunctionaris Reisdocumenten Voor de rijbewijzen: beveiligingsfunctionaris Rijbewijzen 5. De gemeente stelt de benodigde mensen en middelen beschikbaar om haar eigendommen en werkprocessen te kunnen beveiligen volgens de wijze gesteld in dit beleid Segment gemeente Nijmegen pagina 7 van 43
11 6. Regels en verantwoordelijkheden voor het beveiligingsbeleid dienen te worden vastgelegd en vastgesteld. Alle medewerkers van de gemeente worden getraind in het gebruik van beveiligingsprocedures. 7. Iedere medewerker, zowel vast als tijdelijk, intern of extern is verplicht waar nodig gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht en bij vermeende inbreuken hiervan melding te maken. Dit Informatiebeveiligingsbeleid treedt in werking na vaststelling door college van College van B&W. Hiermee komt het oude Informatiebeveiligingsbeleid van de gemeente Nijmegen te vervallen. Aldus vastgesteld door burgemeester en wethouders van de gemeente Nijmegen op maart 2017, de heer drs. H.M.F. Bruls, burgemeester de heer A. van Hout, secretaris 2016 Segment gemeente Nijmegen pagina 8 van 43
12 1 Uitgangspunten informatiebeveiliging 1.1 Het belang van informatie(veiligheid) Informatie is één van de voornaamste bedrijfsmiddelen van Nijmegen. Het verlies van gegevens, uitval van ICT, of het door onbevoegden kennisnemen of manipuleren van bepaalde informatie kan ernstige gevolgen hebben voor de bedrijfsvoering maar ook leiden tot imagoschade. Ernstige incidenten hebben mogelijk negatieve gevolgen voor burgers, bedrijven, partners en de eigen organisatie met waarschijnlijk ook politieke consequenties. Informatieveiligheid is daarom van groot belang. Informatiebeveiliging is het proces dat dit belang dient. Visie De komende jaren zet de gemeente Nijmegen in op het verhogen van informatieveiligheid en verdere professionalisering van de informatiebeveiligingsfunctie in de organisatie. Een betrouwbare informatievoorziening is noodzakelijk voor het goed functioneren van de gemeente en de basis voor het beschermen van rechten van burgers en bedrijven. 1 Dit vereist een integrale aanpak, goed opdrachtgeverschap en risicobewustzijn. Ieder organisatieonderdeel is hierbij betrokken. Het proces van informatiebeveiliging is primair gericht op bescherming van informatie, maar is tegelijkertijd een enabler ; het maakt bijvoorbeeld elektronische dienstverlening op verantwoorde wijze mogelijk, evenals nieuwe, innovatieve manieren van werken. De focus is informatie uitwisselen in alle verschijningsvormen, zoals elektronisch, op papier en mondeling. Het gaat niet alleen over bescherming van privacy, maar ook over bescherming van vitale maatschappelijke functies die worden ondersteund met informatie (verkeer, vervoer, openbare orde en veiligheid, etc.). Het gaat ook niet alleen over ICT: verantwoord en bewust gedrag van medewerkers is essentieel voor informatieveiligheid Doelstelling Dit informatiebeveiligingsbeleid is het kader voor passende technische en organisatorische maatregelen om informatie te beschermen en te waarborgen, waarmee de gemeente voldoet aan relevante wet en regelgeving. De gemeente Nijmegen streeft er naar om in control te zijn en daarover op professionele wijze jaarlijks verantwoording af te leggen via een Verklaring Van Toepasselijkheid. In control betekent in dit verband dat de gemeente weet welke maatregelen genomen zijn en dat er een SMART-planning is van de maatregelen die nog niet genomen zijn en als laatste dat dit geheel verankerd is in de PDCA-cyclus. 1.3 Uitgangspunten Het informatiebeveiligingsbeleid van de gemeente Nijmegen is in lijn met het algemene beleid van de gemeente en de relevante landelijke en Europese wet- en regelgeving. 3 Het beleid is gebaseerd op de Code voor Informatiebeveiliging (NEN/ISO 27002) en de BIG. Het Informatiebeveiligingsbeleid wordt vastgesteld door het College van B&W van de gemeente Nijmegen. Het College van B&W herijkt periodiek het Informatiebeveiligingsbeleid. 1 Met betrouwbare informatievoorziening wordt bedoeld dat de volgende zaken geregeld zijn: beschikbaarheid (continuïteit van de bedrijfsvoering), integriteit (juistheid, volledigheid) en vertrouwelijkheid (geautoriseerd gebruik) van gegevens en informatie. 2 Medewerker = (1) ambtenaar in de zin van het Ambtenarenreglement of (2) degene die op arbeidsovereenkomst of anderszins betaalde of niet-betaalde werkzaamheden voor een organisatieverricht. 3 Daarbij geldt het comply or explain principe (pas toe of leg uit) 2016 Segment gemeente Nijmegen pagina 9 van 43
13 Het College van B&W van de gemeente Nijmegen is volgens de Wet bescherming persoonsgegevens (Wbp) de verantwoordelijke voor de verwerking van persoonsgegevens en dus ook voor een veilig en rechtmatig gebruik van Suwinet. En ziet hier dus ook op toe. 1.4 Risicobenadering De aanpak van informatiebeveiliging (Informatiebeveiligingsbeleid) in Nijmegen is risk based. Dat wil zeggen: beveiligingsmaatregelen worden getroffen op basis van een toets tegen de baseline. Indien een systeem meer maatregelen nodig heeft, wordt een risicoanalyse uitgevoerd. Daartoe inventariseert de proceseigenaar de kwetsbaarheid van zijn werkproces en de dreigingen die kunnen leiden tot een beveiligingsincident, rekening houdend met de beveiligingseisen van de informatie. Het risico is de kans op beveiligingsincidenten en de impact daarvan op het werkproces en wordt bepaald door de proceseigenaar: risico = kans x impact. 1.5 Doelgroepen Het Informatiebeveiligingsbeleid is bedoeld voor alle in- en externe medewerkers van de gemeente: Doelgroep Relevantie voor Informatiebeveiligingsbeleid College van B&W Integrale verantwoordelijkheid Directie Kaderstelling en implementatie Alle leidinggevenden Sturing op informatieveiligheid en controle op naleving Alle medewerkers Gedrag en naleving Proces en gegevenseigenaren Classificatie: bepalen van beschermingseisen van informatie de Directieraad Planvorming binnen de informatiebeveiligingskaders de CISO Algemene en dagelijkse coördinatie van de informatiebeveiliging, adviseren over de implementatie van het informatiebeveiligingsbeleid CIO Algemene en dagelijkse coördinatie van het informatiebeleid, voorbereiding besluitvorming door de Directie hierover en toezicht op de uitvoering ervan. Ontwikkeling I&A Advisering over de opzet en implementatie van het informatiebeveiligingsbeleid, opzetten van beleidsinstrumenten Personeelszaken Arbeidsvoorwaardelijke zaken, persoonsbeveiliging Regionaal Archief Nijmegen, Archiefbeheer, beveiliging van documentaire informatie Documentaire Informatievoorziening Facilitaire zaken Fysieke toegangsbeveiliging Juridische Zaken, werkgroep privacy (JZ, wn. CISO, Ontwikkeling I&A) Advisering over omgang met persoonsvertrouwelijke informatie, toepassing van Wet bescherming persoonsgegevens ICT-bedrijf Rijk van Nijmegen (IRvN) Technische beveiliging (applicatie en infrastructuur), ondersteuning aan audits en controlemaatregelen Auditors Onafhankelijke toetsing van het beleid Leveranciers en ketenpartners Compliance aan het beleid 1.6 Scope De scope van dit beleid omvat alle processen, onderliggende informatiesystemen, informatie en gegevens van de gemeente en externe partijen (bijv. politie), het gebruik daarvan door medewerkers en (keten)partners in de meest brede zin van het woord, ongeacht locatie, tijdstip en gebruikte apparatuur Segment gemeente Nijmegen pagina 10 van 43
14 Dit informatiebeveiligingsbeleid is een algemene basis. Dit normenkader geldt dus expliciet ook voor de bedrijfsprocessen waarin de audtis en/of zelfevaluaties DigiD assessment, BAG inspectie, Suwinet, BRP, reisdocument en rijbewijzen zich op richten. 1.7 Informatiebeveiligingsbeleid en architectuur Informatiebeveiliging is onderdeel van de informatiearchitectuur en zal worden uitgewerkt als onderdeel van die architectuur. Deze architectuur beschrijft onder meer principes, richtlijnen en maatregelen o.b.v. verschillende beschermingsniveaus (classificatie) 4 4 De processen van informatiebeveiliging worden onderdeel van de volgende GEMMA versie om daarmee de basis voor informatieveiligheid te verankeren als integraal onderdeel van de bedrijfsvoering Segment gemeente Nijmegen pagina 11 van 43
15 2 Organisatie van de informatiebeveiliging 2.1 Risico s Volgens de baseline zijn de te beperken risico s in dit domein: Het niet expliciet beleggen van verantwoordelijkheden en bijbehorende activiteiten, procedures en instrumenten, verhindert het daadwerkelijk en structureel uitvoeren en borgen van de beheersmaatregelen. 2.2 Doelstellingen Conform de baseline stellen we als organisatie onszelf de volgende doelstellingen in dit domein: Beheren van de informatiebeveiliging binnen de organisatie. Er is een beheerkader vastgesteld om de implementatie van informatiebeveiliging in de organisatie te initiëren en te beheersen. Goedkeuring door het College van B&W en de Directieraad van het informatiebeveiligingsbeleid, de toewijzing van de rollen en de coördinatie en beoordeling van de implementatie van het beleid binnen de organisatie. 2.3 Beheersmaatregelen De baseline maakt onderscheid in de volgende beheersmaatregelen voor dit domein: Beheersmaatregelen voor de interne ambtelijke organisatie Het College van B&W van de gemeente Nijmegen is integraal verantwoordelijk voor de beveiliging (in de beslissende rol) van informatie binnen de werkprocessen van de gemeente. 5 Het College van B&W stelt kaders voor informatiebeveiliging op basis van landelijke en Europese wet- en regelgeving en landelijke normenkaders; De directie (in de sturende rol) is verantwoordelijk voor kaderstelling en sturing. De directie: 6 stuurt op concern risico s; controleert de getroffen maatregelen overeenstemmen met de betrouwbaarheidseisen; controleert of deze maatregelen voldoende bescherming bieden en; evalueert periodiek beleidskaders en stelt deze waar nodig bij. De leidinggevenden van de verschillende onderdelen van de organisatieonderdelen zijn in de vragende rol verantwoordelijk voor de integrale beveiliging van hun organisatie onderdeel. 7 De leidinggevenden: stellen op basis van een expliciete risicoafweging betrouwbaarheidseisen voor zijn informatiesystemen vast (classificatie); zijn verantwoordelijk voor de keuze, de implementatie en het uitdragen van de maatregelen die voortvloeien uit de betrouwbaarheidseisen; sturen op beveiligingsbewustzijn, bedrijfscontinuïteit en naleving van regels en richtlijnen (gedrag en risicobewustzijn); rapporteren over compliance aan wet- en regelgeving en algemeen beleid van de gemeente in de managementrapportages. De Directieraad moet het bewustzijn van de medewerkers op het gebied van informatiebeveiliging stimuleren. Dit vindt plaats door het beleid/plan actief uit te dragen in de organisatie. 5 Zie ook: strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten 6 Met betrekking tot de i-functie geeft de CIO op dagelijkse basis namens de directie invulling aan de sturende rol door besluitvorming in de directie voor te bereiden en toe te zien op de uitvoering ervan. 7 Zie ook: strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten 2016 Segment gemeente Nijmegen pagina 12 van 43
16 De afdeling Personeel Informatie en Facilitair is verantwoordelijk voor de uitvoering van de beveiligingsmaatregelen. 8 Dit betreft dan met name de Personeel en Facilitaire tak. Informatie heeft een adviserende rol en is opdrachtgever voor de irvn. De uitvoering van de ICT maatregelen ligt vrijwel geheel bij de IRVN. De IRVN is verantwoordelijk voor: o beveiliging van de informatievoorziening en implementatie van beveiligingsmaatregelen, die voortvloeien uit betrouwbaarheidseisen (classificaties); o is verantwoordelijk voor alle beheeraspecten van informatiebeveiliging, zoals ICT security management, incident en problem management, facilitaire en personele zaken; o verzorgt logging, monitoring en rapportage; levert klanten (technisch) beveiligingsadvies. Sturende rol (directie) kaderstelling (beleid, regels) sturing op (concern) risico s toetsing en advisering Vraagrol (lijnmanagement) definiëren beveiligingseisen sturen op bedrijfscontinuïteit toetsing op naleving Uitvoerende rol (security) security management incident beheer (technische) advisering Figuur 1: relaties Beheersmaatregelen m.b.t. de taken en rollen Het College van B&W stelt formeel het Informatiebeveiligingsbeleid vast. De uitvoering van het beleid moet gecontroleerd worden, zowel het College als de gemeenteraad (controle functie) kunnen hiervoor opdracht geven om dit te (laten) controleren. De directie adviseert College van B&W formeel over vast te stellen beleid. De CIO (Chief Information Officer) of een vergelijkbare rol, geeft namens de directie op dagelijkse basis invulling aan de sturende rol door besluitvorming in de directie voor te bereiden en toe te zien op de uitvoering ervan. De taken m.b.t. informatiebeveiliging die hieruit voortvloeien zijn belegd bij de Chief Information Security Officer (de CISO). De CISO bevordert en adviseert gevraagd en ongevraagd over IB en rapporteert eens per jaar concern breed aan de directie over de stand van zaken. De coördinatie van informatiebeveiliging is belegd bij een strategische adviesfunctie binnen alle organisatie onderdelen. Uitvoerende taken zijn zoveel mogelijk belegd bij (decentrale) security functionarissen zoals, beveiligingsbeheerder BRP, beveiligingsfunctionaris Reisdocumenten en beveiligingsfunctionaris Rijbewijzen. Deze security functionarissen rapporteren aan de CISO. Over het functioneren van informatiebeveiliging wordt jaarlijks gerapporteerd conform de PDCA cyclus. De taken, verantwoordelijkheden en bevoegdheden ten aanzien van het gebruik, de inrichting, het beheer en de beveiliging van Suwinet gegevens, applicaties, processen en infrastructuur zijn beschreven en duidelijk en gescheiden zijn belegd. Operationeel beheer, functioneer beheer, technisch beheer, aansturing ICT-leveranciers, autorisatiebeheer en eigenaarschap Suwinet worden belegd. 8 Let op, de afdeling PIF is tegelijk ook klant, het gaat hier echter om de uitvoerende rol Segment gemeente Nijmegen pagina 13 van 43
17 Wie Plan: Do: Check: Act: Kaderstelling Uitvoering Controle Verbetering Sturen: Directie dagelijkse uitvoering: CIO/de CISO, decentrale security functionarissen Ontwikkelen van kaders (beleid en architectuur); reglementen; meerjarenplanning. Inbedding landelijke en EU-richtlijnen, advisering, handreikingen, crisisbeheersing en incident respons. Controle, pentesten. audit, Bijsturen: opdrachtverstrekking voor verbeteracties. Rapportage aan directie/ College van B&W Vragen: Alle organisatie onderdelen Formuleren van beveiligingseisen (classificatie) en opstellen clusterbeleid en beveiligingsplannen. Stimuleren van beveiligingsbewustzij n bij medewerkers, risico- en bedrijfscontinuïteitmanagement. Interne controle (IC), sturen op naleving van regels door medewerkers (gedrag), compliancy. Verbeteren bedrijfscontinuïteit. Rapportage aan CIO/de CISO. Uitvoeren: De Directeur IRVN en de afdeling Personeel Informatie en Facilitair Beleidsvoorbereiding, technische onderzoeken (marktverkenningen). Leveren van diensten (ICT), incidentbeheer, logging, monitoring en ICT advies. Vulnerability scanning, evaluatie en rapportage. Uitvoeren verbeteracties. Advies aan de CIO/de CISO over aanpassingen aan de informatievoorziening. Beheersmaatregelen m.b.t. het instellen van overlegorganen rond Informatiebeveiliging De stadscontroller stelt een organisatie voor van security gerelateerde functionarissen en heeft elke 6 weken een overleg met dit gremium. De CISO is voorzitter en verder bestaat de groep op dit moment uit de leden van de stuurgroep van het project Implementatie BIG. Naast deze groep bestaat er ook een werkgroep Privacy. Deze werkgroep bestaat uit specialisten van Juridische zaken, de plv CISO en een strategisch informatieadviseur. De werkgroep Privacy heeft binnen de gemeente een adviesfunctie richting de CIO 9 of gelijkwaardig of rechtstreeks aan de Directieraad en richt zich met name op beleid. Ook adviseert ze over informatiebeveiligingskwesties. Het onderwerp Informatiebeveiliging dient verder een vast onderdeel te zijn op de agenda van de Directieraad zodat er sturing kan plaatsvinden op de uitgevoerde activiteiten ). De heer drs René IJpelaar RE CEH CISA (adviseur Segment) is agenda lid en zal op verzoek van de voorzitter een vergadering bijwonen. Beheersmaatregelen m.b.t. externe partijen Informatiebeveiligingsbeleid, landelijke normen en wet en regelgeving gelden ook voor externe partijen (leveranciers, ketenpartners) waarmee de gemeente samenwerkt (en informatie mee uitwisselt). 10 Ook voor externe partijen geldt hierbij het pas toe of leg uit beginsel. Bij contractuele overeenkomsten gelden in beginsel altijd de Algemene Inkoop Voorwaarden (AIV) en de ICT Inkoopvoorwaarden, waarin onder meer geheimhouding en aansprakelijkheid is geregeld. Afwijkingen op de AIV dienen te worden getoetst aan Informatiebeveiligingsbeleid. Vereiste beveiligingsmaatregelen worden aanvullend vastgelegd in contracten en/of bewerkersovereenkomsten. Daarin is onder meer geborgd dat beveiligingsincidenten onmiddellijk worden gerapporteerd en dat de gemeente het recht heeft afspraken te (laten) controleren. 11 Voor het tot stand brengen van datakoppelingen met externe partijen, gelden naast dit generiek informatiebeveiligingsbeleid specifieke procedures. Het doel van deze procedures is risicobeheersing. Voor 9 CIO of gelijkwaardig kan bijvoorbeeld hoofd ICT, Ondersteuning, Facilitair Bedrijf zijn. 10 Beleidsregels voor externe partijen zijn beschreven in de Baseline Informatiebeveiliging Nederlandse Gemeenten. 11 Hiervoor kan gebruik worden gemaakt van een third party mededeling (TPM), ISO27001 of een ISAE 3402-verklaring Segment gemeente Nijmegen pagina 14 van 43
18 externe hosting van data en/of services gelden naast dit generieke informatiebeveiligingsbeleid de richtlijnen voor cloud computing 12 zoals die geformuleerd worden in de Cloud Security Alliance Controls Matrix van de Cloud Security Alliance. De gemeente is gehouden aan: o o regels omtrent grensoverschrijdend dataverkeer; toezicht op naleving van regels door externe partijen; o hoogste beveiligingseisen voor bijzondere categorieën gegevens; 13 o melding bij de Autoriteit Persoonsgegevens bij uitbesteding van het bewerken van persoonsgegevens en toestemming van de Autoriteit Persoonsgegevens bij doorgifte van persoonsgegevens naar landen buiten de EU. Beheersmaatregelen m.b.t. ICT crisisbeheersing en landelijke samenwerking Voor interne crisisbeheersing is er een crisisteam geïnstalleerd, in ieder geval bestaande uit de burgemeester, en de directie. De werkwijze dient te zijn vastgelegd. De gemeente Nijmegen participeert in allerlei landelijke platforms en onderhoudt o.a. contacten met de Informatie Beveiliging Dienst (= IBD) van KING. Beheersmaatregelen m.b.t. de PDCA cyclus Informatiebeveiliging is een continu verbeterproces. Plan, do, check en act vormen samen het management systeem van informatiebeveiliging. 14 Deze kwaliteitscyclus is in onderstaande figuur weergegeven. PLAN DO - Wet en Regelgeving - Landelijke Normen - BIG - Gemeentelijk beleid en doelstellingen Beleidskader Informatiebeveiliging: - organisatie en governance - Informatiegebruik en personele aspecten - Beheer - Toegangsbeveiliging en autorisatie - Business continuity management - Naleving en controle (Zie basis beleid op basis van BIG) Beleidskader is basis Inrichting en uitvoering Processen De uitvoering vertaald beleidskaders in Concrete maatregelen en acties - 0-Meting en GAP analyse BIG - richtlijnen en maatregelen - beveiligingsarchitectuur - Uitvoeringsregelingen en Handreikingen - bewustwordingsacties - sturen op naleving Op basis van risico management wordt vastgesteld wat (rest-) risico s zijn Evalueren En Bijsturen Inzicht status en Effectiviteit Security maatregelen ACT Evaluatie Management rapportage en stuurinformatie verbetervoorstellen CHECK Rapportage status en effectiviteit Security maatregelen Selfassessments TPM Interne Controle Management rapportage Vulnerability scanning Pentesten Directies Social engineering Evaluatie en rapportage Audit werking (ISMS) Informatie beveiliging Audit beleid versus maatregellen Audit werking algemene IT beheer maatregelen Systeem en proces audit Information Security Management System Figuur 2: Information Security Management System 12 Zie NCSC: 13 Ras of etnische afkomst, politieke opvattingen, religie of overtuiging, het lidmaatschap van een vakvereniging, genetische gegevens of gegevens over gezondheid of seksueel gedrag of strafrechtelijke veroordelingen 14 ISO Segment gemeente Nijmegen pagina 15 van 43
19 Toelichting figuur 2: o o o o Plan: De cyclus start met Informatiebeveiligingsbeleid, gebaseerd op wet- en regelgeving, landelijke normen zoals de BIG en best practices, uitgewerkt in regels voor onder meer informatiegebruik, bedrijfscontinuïteit en naleving. Planning geschiedt op jaarlijkse basis en wordt indien nodig tussentijds bijgesteld. De planning op hoofdlijnen is onderdeel van het jaarplan en uitgewerkt in het informatiebeveiligingsplan (Informatiebeveiligingsbeleid) van de gemeente. Afdelingsspecifieke activiteiten worden gepland in het afdelingsplan. Do: Het beleidskader is de basis voor risicomanagement, uitvoering van (technische) maatregelen en bevordering van beveiligingsbewustzijn. Uitvoering geschiedt op dagelijkse basis en maakt integraal onderdeel uit van het werkproces. Check: Control is onderdeel van het werkproces met als doel: waarborgen van de kwaliteit van informatie en ICT, en compliance aan wet- en regelgeving. Externe controle: betreft controle buiten het primaire proces door een auditor. 15 Dit heeft het karakter van een steekproef. Jaarlijks worden diverse onderzoeken uitgevoerd, waarbij de CIO in principe opdrachtgever is. Bevindingen worden gerapporteerd aan de Directieraad. Act: De cyclus is rond met de uitvoering van verbeteracties o.b.v. check en externe controle. De cyclus is een continu proces; de bevindingen van controles zijn weer input voor de jaarplanning en beveiligingsplannen. De bevindingen worden in beginsel gerapporteerd aan de Directieraad. Voor ingrijpende verbeteracties wordt een gevraagde beslissing voorgelegd. Beheersmaatregelen m.b.t. Suwinet De kwaliteitsmedewerker voor Suwinet beheert en beheerst de beveiligingsprocedures en -maatregelen in het kader van Suwinet zodanig dat de beveiliging van Suwinet overeenkomstig wettelijke eisen is geïmplementeerd. De Security Officer voor Suwinet bevordert en adviseert over de beveiliging van Suwinet en verzorgt rapportages over de status en controleert dat de beveiliging van de Suwinet maatregelen wordt nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de beveiliging van Suwinet. De Security Officer Suwinet rapporteert rechtstreeks aan het hoogste management. Het beveiligingsbeleid/plan moet aantoonbaar centraal beschikbaar zijn voor alle gebruikers. Bijvoorbeeld beschikbaar op intranet of op de afdelings-/organisatieschijf. Het uitdragen van het beleid/plan moet niet alleen onder de direct bij de beveiliging betrokken medewerkers plaatsvinden, maar bij alle mensen in de organisatie die Suwinet gebruiken. Een adequaat ingerichte organisatie is een belangrijke voorwaarde voor het realiseren van een voldoende beveiligingsniveau voor Suwinet. Het gaat dan met name over functiescheiding. Zo zullen in principe de functies gebruik van Suwinet, beheer van autorisaties Suwinet, controle op het gebruik van Suwinet en beslissen over wie welke functies krijgt in Suwinet gescheiden moeten zijn. Door middel van functiescheiding worden risico s beperkt. Wanneer functiescheiding niet of onvoldoende is geïmplementeerd verhoogt dit de kans op oneigenlijk gebruik en/of misbruik zonder dat dit wordt ontdekt. De diverse functies noodzakelijk voor Suwinet moeten schriftelijk zijn vastgelegd, of er een heldere overweging ten grondslag ligt aan de toedeling van taken en of er functiescheiding is toegepast. Het is daarbij van belang dat er een splitsing is tussen beschikkende, controlerende en uitvoerende taken. Er wordt met name gekeken naar vier gescheiden functies. Beoordeeld wordt of minimaal de volgende functies bij verschillende personen zijn belegd: o uitvoering van taken (het gebruik van Suwinet zoals door de klantmanager); 15 Van onder meer de IT auditor, de accountant (jaarrekening), rijksoverheid (voor bijv. basisregistraties) en interne auditors Segment gemeente Nijmegen pagina 16 van 43
20 o o o beheer van autorisaties (toegang verlenen tot Suwinet, de applicatiebeheerder van Suwinet); kwaliteitszorg en borging van rechtmatig gebruik (controle op gebruik van Suwinet, bijvoorbeeld de security officer Suwinet); management (beslissen over bevoegdheden van functiegroepen en/of individuele medewerkers, uitdragen belang goed gebruik, bijsturen na oneigenlijk gebruik, optreden na misbruik Suwinet) Segment gemeente Nijmegen pagina 17 van 43
21 3 Beheer van bedrijfsmiddelen 3.1 Risico s m.b.t. de verantwoordelijkheid voor de bedrijfsmiddelen Volgens de baseline zijn de te beperken risico s in dit domein: Bedrijfsmiddelen en informatie zijn blootgesteld aan risico s zoals diefstal, beschadiging of onoordeelkundig gebruik, waarbij niet voor alle ICT-configuratie items is vastgelegd wie de eigenaar/hoofdgebruiker is. Onduidelijkheid over de vraag wie verantwoordelijk is voor gegevensbestanden, waardoor feitelijk niemand verantwoordelijk is voor de beveiliging en niemand echt zal optreden bij incidenten. 3.2 Doelstellingen m.b.t. de verantwoordelijkheid voor de bedrijfsmiddelen Conform de baseline stellen we als organisatie onszelf de volgende doelstellingen in dit domein: Bereiken en handhaven van een adequate bescherming van bedrijfsmiddelen van de organisatie. Voor alle bedrijfsmiddelen is de eigenaar vastgelegd alsook de verantwoordelijke voor het handhaven van de beheersmaatregelen. 3.3 Beheersmaatregelen m.b.t. de verantwoordelijkheid voor de bedrijfsmiddelen De baseline maakt onderscheid in de volgende beheersmaatregelen voor dit domein: Alle bedrijfsmiddelen moeten geïdentificeerd zijn en er moet een inventaris van worden bijgehouden. Alle informatie en bedrijfsmiddelen, die verband houden met ICT-voorzieningen, aan een 'eigenaar' toewijzen. Regels vaststellen, documenteren en implementeren voor het aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met ICT-voorzieningen. Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming vooraf van de locatie worden meegenomen. De verantwoordelijkheid voor specifieke beheersmaatregelen mag door de eigenaar worden gedelegeerd, maar de eigenaar blijft verantwoordelijk voor een goede bescherming van de bedrijfsmiddelen. Medewerkers dienen bij het gebruik van ICT-middelen, social media en informatie de nodige zorgvuldigheid te betrachten en de integriteit en goede naam van de gemeente te waarborgen. Medewerkers gebruiken informatie primair voor het uitvoeren van de aan hen opgedragen taken en het doel waarvoor de informatie is verstrekt. Privégebruik van informatie en bestanden is niet toegestaan. Voor het werken op afstand en het gebruik van privémiddelen worden nadere regels opgesteld. De medewerker zelf neemt passende technische en organisatorische maatregelen om informatie te beveiligen tegen verlies of tegen enige vorm van onrechtmatig gebruik. De medewerker houdt hierbij in ieder geval rekening met: o de beveiligingsclassificatie van de informatie (zie hieronder); o de door de gemeente gestelde beveiligingsvoorschriften (o.a. dit informatiebeveiligingsbeleid); o aan de werkplek verbonden risico s; o Het risico door het benaderen van informatie met andere dan door de gemeente verstrekte of goedgekeurde ICT-apparatuur Segment gemeente Nijmegen pagina 18 van 43
22 3.4 Classificatie van informatie Om te kunnen bepalen welke beveiligingsmaatregelen moeten worden getroffen t.a.v. processen en informatiesystemen worden beveiligingsclassificaties gebruikt. 16 Classificatie maakt het vereiste beschermingsniveau zichtbaar en maakt direct duidelijk welke maatregelen nodig zijn. Er wordt geclassificeerd op drie betrouwbaarheidsaspecten van informatie: beschikbaarheid, integriteit (juistheid, volledigheid en tijdigheid) en vertrouwelijkheid (= BIV). Er zijn drie beschermingsniveaus van laag naar hoog. Daarnaast is er nog een niveau geen. Dit niveau geeft aan dat er geen beschermingseisen worden gesteld, bijvoorbeeld omdat informatie openbaar is. De niveaus zijn in onderstaande tabel weergegeven. Tussen haakjes staan voorbeelden. Deze niveaus zijn bedacht om het proces van classificeren te vereenvoudigen. 3.5 Risico s m.b.t. de classificatie van informatie Volgens de baseline zijn de te beperken risico s in dit domein: Geen inzicht in welke componenten het belangrijkst zijn voor de primaire processen. Geen of een onjuiste classificatie draagt bij aan het onjuist beschermen van informatie en bedrijfsmiddelen met als risico, dat deze verloren kunnen gaan of openbaar worden gemaakt terwijl dat niet de bedoeling is. 3.6 Doelstellingen m.b.t. de classificatie van informatie Conform de baseline stellen we als organisatie onszelf de volgende doelstellingen in dit domein: Informatie heeft een geschikt niveau van bescherming. Classificatie van informatie om bij verwerking de noodzaak en bescherming te kunnen aangeven. Adequate niveaus van bescherming van informatie zijn gedefinieerd en de noodzaak voor aparte verwerkingsmaatregelen is gecommuniceerd. 3.7 Beheersmaatregelen m.b.t. de classificatie van informatie De baseline maakt onderscheid in de volgende specifieke beheersmaatregelen voor dit domein: De eigenaar van de gegevens is de proceseigenaar. De classificatietabel heeft betrekking op alle in beheer zijnde gegevensverzamelingen, gegevensdragers, informatiesystemen, servers en netwerkcomponenten. Het object van classificatie is informatie. We classificeren op het niveau van informatiesystemen (of informatieservices). Alle classificaties van alle bedrijfskritische systemen zijn centraal vastgelegd door de CISO en dienen jaarlijks gecontroleerd te worden door de eigenaren. Informatie kan meer of minder gevoelig of kritisch zijn. Voor bepaalde informatie kan een extra niveau van bescherming of een speciale verwerking nodig zijn. De eigenaar van de gegevens bepaalt het vereiste beschermingsniveau (classificatie). Indien sprake is van wettelijke eisen, wordt dit expliciet aangegeven. De eigenaar van de gegevens bepaalt wie toegang krijgt tot welke gegevens en met welke rechten. Er wordt gestreefd naar een zo laag mogelijk classificatieniveau; te hoge classificatie leidt tot onnodige kosten. Bovendien dient informatie in beginsel voor zoveel mogelijk mensen beschikbaar te zijn (transparante overheid). Er wordt gestreefd naar een balans tussen het te lopen risico en de kosten van tegenmaatregelen Een technische oplossing verdient altijd de voorkeur boven gedragsverandering of een administratieve procedure. 16 Dit is in detail beschreven in de component architectuur Informatiebeveiliging 2014, CIO, Segment gemeente Nijmegen pagina 19 van 43
23 Informatie classificeren met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie. Opstellen en uitdragen classificatiebeleid binnen de gemeente. Er dienen geschikte samenhangende procedures te worden ontwikkeld en geïmplementeerd voor de classificering en verwerking van informatie overeenkomstig het classificatiesysteem dat formeel is vastgesteld. Niveau Vertrouwelijkheid Integriteit Beschikbaarheid Geen Openbaar Niet zeker Niet nodig informatie mag door iedereen informatie mag worden veranderd gegevens kunnen zonder gevolgen worden ingezien (bv: templates en sjablonen) langere tijd niet beschikbaar zijn (bv: algemene informatie op de (bv: ondersteunende tools als externe website van de gemeente routeplanner) Laag Bedrijfsvertrouwelijk Beschermd Belangrijk informatie is toegankelijk voor alle het bedrijfsproces staat enkele informatie mag incidenteel niet medewerkers van de organisatie (bv: informatie op het intranet) (integriteits-) fouten toe (bv: rapportages) beschikbaar zijn (bv: administratieve gegevens) Midden Vertrouwelijk Hoog Noodzakelijk informatie is alleen toegankelijk voor het bedrijfsproces staat zeer informatie moet vrijwel altijd een beperkte groep gebruikers weinig fouten toe beschikbaar zijn, continuïteit is (bv: persoonsgegevens, financiële (bv: bedrijfsvoeringinformatie en belangrijk gegevens primaire procesinformatie zoals (bv: primaire proces informatie) vergunningen) Hoog Geheim Absoluut Essentieel informatie is alleen toegankelijk voor het bedrijfsproces staat geen informatie mag alleen in direct geadresseerde(n) fouten toe uitzonderlijke situaties uitvallen, (bv: zorggegevens en strafrechtelijke informatie) (bv: informatie op de website) bijvoorbeeld bij calamiteiten (bv: basisregistraties) 3.8 Toelichting De te nemen maatregelen moeten worden afgestemd op de risico s, waarbij rekening dient te worden gehouden met technische mogelijkheden en de kosten van maatregelen. Dit is vaak situatie-afhankelijk. Naarmate de gegevens een gevoeliger karakter hebben, of gezien de context waarin ze gebruikt worden een groter risico inhouden, dienen zwaardere eisen aan de beveiliging van die gegevens te worden gesteld. In het algemeen kan worden gesteld, dat indien met naar verhouding geringe extra kosten meer beveiliging kan worden bewerkstelligd, dit als passend kan worden beschouwd. Extra beveiliging is echter niet meer passend, indien de kosten voor het beperken van de risico s disproportioneel hoog zijn. 17 Kort gezegd: risico s en tegenmaatregelen dienen in balans te zijn. 17 Dit is uitebreid beschreven in: Beveiliging van persoonsgegevens, AUTORITEIT PERSOONSGEGEVENS richtsnoeren, Segment gemeente Nijmegen pagina 20 van 43
24 4 Beveiliging van personeel 4.1 Risico s Volgens de baseline zijn de te beperken risico s in dit domein: Het aannemen of inhuren van nieuw personeel en het laten verrichten van werkzaamheden door externe medewerkers verdient extra aandacht, omdat menselijk falen en bedreigingen van menselijke aard significante invloed kunnen hebben op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. 4.2 Doelstellingen Conform de baseline stellen we als organisatie onszelf de volgende doelstellingen in dit domein: Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden begrijpen, en geschikt zijn voor de rollen waarvoor zij worden overwogen, en om het risico van diefstal, fraude of misbruik van faciliteiten te verminderen. De verantwoordelijkheden ten aanzien van beveiliging zijn vóór het dienstverband vastgelegd in passende functiebeschrijvingen en in de arbeidsvoorwaarden. Alle kandidaten voor een aanstelling, ingehuurd personeel en externe gebruikers worden gescreend, in het bijzonder ingeval van vertrouwensfuncties. Werknemers, ingehuurd personeel en externe gebruikers, die ICT-voorzieningen gebruiken tekenen een overeenkomst over hun beveiligingsrollen en verantwoordelijkheden. 4.3 Beheersmaatregelen De baseline maakt onderscheid in de volgende beheersmaatregelen voor dit domein: Beheersmaatregelen m.b.t. het personeelsbeleid De Directieraad is verantwoordelijk voor het juist afhandelen van de beveiligingsaspecten van het aangaan, wijzigen en beëindigen van een dienstverband of een overeenkomst met externen. De HR-afdeling houdt toezicht op dit proces. Bij beëindiging van het dienstverband en inhuur worden alle bedrijfsmiddelen van de organisatie geretourneerd. Autorisaties worden in opdracht van de proceseigenaar van het desbetreffende bedrijfsproces ingetrokken. Er wordt naar gestreefd om medewerkers die werken met vertrouwelijke of geheime informatie voor indiensttreding een Verklaring Omtrent het Gedrag (= VOG) te laten overleggen. De VOG wordt indien nodig herhaald tijdens het dienstverband. De eigenaar van het bedrijfsproces bepaalt welke rol(len) de medewerker moet vervullen en welke autorisaties voor het raadplegen, opvoeren, muteren en afvoeren van gegevens moeten worden verstrekt. Alle medewerkers (en voor zover van toepassing externe gebruikers van onze systemen) dienen training te krijgen in de geldende procedures voor informatiebeveiliging. Deze training dient regelmatig te worden herhaald om het beveiligingsbewustzijn op peil te houden. Bij inbreuk op de beveiliging gelden voor medewerkers de gebruikelijke disciplinaire maatregelen, zoals onder meer genoemd in het Ambtenarenreglement en regelingen. Regels die volgen uit dit beleid en andere regelingen gelden ook voor externen, die in opdracht van de gemeente werkzaamheden uitvoeren. Beheersmaatregelen m.b.t. bewustwording Het management bevordert algehele communicatie en bewustwording rondom informatieveiligheid en laat voorbeeldgedrag zien Segment gemeente Nijmegen pagina 21 van 43
Informatiebeveiligingsbeleid
Informatiebeveiligingsbeleid 2016-2017 Strategisch beleid Versie 1.0 Datum Januari 2016 Auteur Specialist Informatiebeveiliging Inhoudsopgave 1. Inleiding... 4 1.1 Doel van dit document... 4 1.2 Informatiebeveiliging...
Nadere informatieInformatiebeveiligingsbeleid 2015-2018
Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen
Nadere informatieVerklaring van Toepasselijkheid en Informatiebeveiligingsbeleid
Openbaar Onderwerp Verklaring van Toepasselijkheid en Informatiebeveiligingsbeleid Programma Bestuur en Middelen BW-nummer Portefeuillehouder H. Tiemens, B. van Hees, H. Bruls Samenvatting De gemeente
Nadere informatieInformatiebeveiligingsbeleid
2-Control B.V. +31 (0)76 50 194 70 Haagse Markt 1 www.2-control.nl 4813 BA Breda info@2-control.nl The Netherlands Informatiebeveiligingsbeleid Concept Datum Versiebeheer Versie Datum Status Naam Toelichting
Nadere informatieVoorstel aan het DB MGR
Betreft Onderwerp Datum voorstel Portefeuillehouder Datum behandeling Doel van de behandeling Vaststellen nieuw inkoopbeleid en algemene voorwaarden 31 mei 2017 Hans Driessen Datum ter informatie ter bespreking
Nadere informatieInformatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours
Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen
Nadere informatieManagementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C
Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C Versie 01, februari 2017 Pagina 1 van 5 A.1 Opdrachtverstrekking Dit informatiebeveiligingsbeleid wordt in opdracht
Nadere informatieINFORMATIEBEVEILIGINGSBELEID GEMEENTEN ACHTKARSPELEN, TYTSJERKSTERADIEL EN DE WERKMAATSCHAPPIJ 8KTD
INFORMATIEBEVEILIGINGSBELEID GEMEENTEN ACHTKARSPELEN, TYTSJERKSTERADIEL EN DE WERKMAATSCHAPPIJ 8KTD Gebaseerd op de Baseline Informatiebeveiliging Gemeenten (BIG) Kenmerk: Versie: 1 Versiedatum: 15-07-
Nadere informatieInformatiebeveiligingsbeleid Opsteller: Roza van Cappellen
Informatiebeveiligingsbeleid 2016 Opsteller: Roza van Cappellen Inhoud 1 Uitgangspunten informatiebeveiligingsbeleid van de gemeente Teylingen... 2 2 Organisatie van de informatiebeveiliging... 5 2.1 Interne
Nadere informatieOpenheid versus Informatiebeveiliging. Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht
Openheid versus Informatiebeveiliging Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht k.siekman@utrecht.nl - Waarde van informatie Risico's digitaal werken Maatregelen digitaal werken Data is het
Nadere informatieInformatiebeveiligingsbeleid van de Gemeenschappelijke Regeling Samenwerking de Bevelanden
Informatiebeveiligingsbeleid van de Gemeenschappelijke Regeling Samenwerking de Bevelanden Gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Versiebeheer Het versiebeheer van dit
Nadere informatieWaardering van informatie gemeente Nijmegen
Collegevoorstel Openbaar Onderwerp Waardering van informatie gemeente Nijmegen Programma Bestuur & Middelen BW-nummer Portefeuillehouder B. van Hees Samenvatting In het informatiebeveiligingsbeleid van
Nadere informatieGemeente Alphen aan den Rijn
Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid
Nadere informatieVOORBEELD INFORMATIE- BEVEILIGINGSBELEID GEMEENTEN
VOORBEELD INFORMATIE- BEVEILIGINGSBELEID GEMEENTEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Datum Colofon Naam document Voorbeeld
Nadere informatieNorm 1.3 Beveiligingsplan
Beantwoording vragen zelftest Suwinet oktober 2014 Norm 1.3 Beveiligingsplan De Inspectie SZW beschrijft norm 1.3 als volgt: De gemeente heeft een formeel vastgesteld beveiligingsbeleid en -plan. Het Beveiligingsplan
Nadere informatieInformatiebeveiligingsbeleid Drukkerij van der Eems
Informatiebeveiligingsbeleid Drukkerij van der Eems Door : Sjoukje van der Eems Datum : 26-4-2018 Versie : 1 Status : Definitief Algemeen Belang van Informatiebeveiliging De beschikbaarheid, exclusiviteit
Nadere informatieOnderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799
Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere
Nadere informatie: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie
: Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen
Nadere informatieISO 27001:2013 INFORMATIE VOOR KLANTEN
ISO 27001:2013 INFORMATIE VOOR KLANTEN WAT IS ISO 27001:2013 ISO 27001 is een internationale standaard voor informatiebeveiliging. Deze standaard richt zich op het ontwikkelen, uitvoeren, controleren en
Nadere informatieVoorstel Informatiebeveiliging beleid Twente
Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)
Nadere informatieISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18
ISMS BELEIDSVERKLARING info@thepeoplegroup.nl +31(0) 73 523 67 78 www.thepeoplegroup.nl Versie 1.0: 3/7/18 INTRODUCTIE De directie van The People Group zal bij het voorbereiden en uitvoeren van het algemeen
Nadere informatieInformatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging
Informatiebeveiligings- en privacy beleid Haagsche Schoolvereeniging 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...
Nadere informatieStrategisch Informatiebeveiligingsbeleid Hefpunt
Strategisch Informatiebeveiligingsbeleid Hefpunt Groningen, 24-5-2016 Classificatie: intern Wijzigingshistorie Release Datum Auteur(s) Aanpassing 2016 0.1 24-05- 2016 2016 0.2 01-06- 2016 L. Winters J.
Nadere informatieInformatiebeveiligingsbeleid
Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...
Nadere informatie2015; definitief Verslag van bevindingen
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Nederweert Postbus 2728 6030AA NEDERWEERT Programma 8 Postbus 90801 2509 LV
Nadere informatiei\ r:.. ING. 1 8 FEB 2016
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid 1111 III III III III * 6SC00-223* > Retouradres Postbus 90801 2509 LV Den Haag College van Burgemeester en Wethouders van de gemeente Langedijk
Nadere informatieInformatiebeveiligingsbeleid Gemeente Zoeterwoude
Informatiebeveiligingsbeleid Gemeente Zoeterwoude Versie 0.7 Vastgesteld door college 13-12-2016 Versiebeheer 0.1 05-07-2016 Versie 0.1, op basis van Versie 0.4 van Informatiebeveiligingsbeleid Gemeente
Nadere informatieBeleid Informatiebeveiliging InfinitCare
Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie
Nadere informatieINFORMATIE-BEVEILIGINGSBELEID GEMEENTE GIESSENLANDEN
INFORMATIE-BEVEILIGINGSBELEID GEMEENTE GIESSENLANDEN Datum 17 februari 2015 Colofon Naam document Informatiebeveiligingsbeleid gemeente Giessenlanden Versienummer 1.0 Versiedatum Februari 2014 Bron Dit
Nadere informatieIedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.
Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris
Nadere informatieInformatiebeveiligingsbeleid gemeente Hulst
CVDR Officiële uitgave van Hulst. Nr. CVDR615069_1 5 december 2018 Informatiebeveiligingsbeleid gemeente Hulst 2016-2019 INLEIDING Dit document geeft algemene beleidsuitgangspunten over informatiebeveiliging.
Nadere informatieBeleid Informatiebeveiliging gemeente Waalwijk 2015-2018
1 Beleid Informatiebeveiliging gemeente Waalwijk 2015-2018 *15-0119222* 15-0119222 Informatiebeveiligingsbeleid gemeente Waalwijk 2015-2018D15-0038541 2 Inhoud Inleiding 3 1 Uitgangspunten informatiebeveiliging
Nadere informatieBeleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom
Gemeente 's-hertogenbosch Definitief s-hertogenbosch, 30-10-2015 A. Kieboom 1 Projectidentificatie Projectnaam: Status: Beleid Informatieveiligheid Definitief Documenthistorie Status Datum Versie Auteur(s)
Nadere informatieVerbeterplan Suwinet
Verbeterplan Suwinet Inhoudsopgave 1. Aanleiding... 3 2. Verbeterpunten Suwinet... 4 2.1 Informatiebeveiligingsbeleid... 4 2.2 Uitdragen van het beleid... 4 2.3 Functiescheiding... 4 2.4 Security Officer...
Nadere informatiekwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten
Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst
Nadere informatieAan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015
Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging
Nadere informatieChecklist Beveiliging Persoonsgegevens
Checklist Beveiliging Persoonsgegevens Beveiliging is een één van de belangrijkste vereisten binnen het privacyrecht. Iedere organisatie zal passende technische en organisatorische maatregelen moeten treffen
Nadere informatieVOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatieInformatiebeveiligingsbeleid
Informatiebeveiligingsbeleid Inleiding Als zorginstelling is Profila Zorg verantwoordelijk voor goede en veilige zorg aan haar cliënten. Bij het uitvoeren van deze taak staat het leveren van kwaliteit
Nadere informatieVerklaring van Toepasselijkheid
Verklaring van Toepasselijkheid Parantion Groep B.V. ISO27001:2013 Verklaring van toepasselijkheid_openbaar Extern vertrouwelijk Versie: 3.0 Parantion Groep B.V. Pagina 1 van 9 Datum: maart 2016 Document
Nadere informatierliiiiihihhiiiivi.ilhn
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Terneuzen Postbus 35 4530 AA TERNEUZEN rliiiiihihhiiiivi.ilhn Postbus 90801
Nadere informatie,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Bunnik Postbus 5 3980 CA BUNNIK,,i,i,,,i,.,i i,i ii 09 mrt 2016/0010 Postbus
Nadere informatieInformatiebeveiliging
Informatiebeveiliging HKZ, november 2016 Wie ik ben: adviseur/trainer/qarebase begeleiden bij kwaliteitsmanagement en certificering Lead Auditor Kiwa, o.a. HKZ, ISO 9001, ZKN, VMS, NEN 7510 en NEN-ISO
Nadere informatieInformatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard
Stichting Samenwerkingsverband Passend Primair Onderwijs Hoeksche Waard Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard Vastgesteld door het dagelijks bestuur d.d. 18 december
Nadere informatieInspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid
'BI t# ". Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Ede Postbus 9022 6710 HK EDE GLD. Programma B Postbus90801 2509
Nadere informatieInformatiebeveiligingsbeleid
Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld
Nadere informatieInformatiebeveiligingsbeleid gemeente Giessenlanden
GEMEENTEBLAD Officiële uitgave van gemeente Giessenlanden. Nr. 25335 25 maart 2015 Informatiebeveiligingsbeleid gemeente Giessenlanden Tijdens de vergadering van 10 maart 2015 is door het college van B&W
Nadere informatieDatum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Haarlem Postbus 511 2003 PB HAARLEM. L.,.l l l.l ll, l. l Datum 0 6HAARI 2015
Nadere informatieRené IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG
ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases
Nadere informatieDatum 30 december 2015 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Boxtel. Bijlagen Brief College van B&W
OK* Inspectie SZW Ministerie van Sociale Zaken en.. ^1\.-Ŭ Werkgelegenheid ovd > Retouradres Postbus 90801 2509 LV Den Haag M d -1 mo I *y kopie De Gemeenteraad van Boxtel Postbus 10000 5280 DA BOXTEL
Nadere informatieInkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline
Nadere informatiekwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten
het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk
Nadere informatieInformatiebeveiligingsbeleid. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Informatiebeveiligingsbeleid Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging
Nadere informatieHoe operationaliseer ik de BIC?
Hoe operationaliseer ik de BIC? Baseline Informatiebeveiliging Corporaties UTRECHT, 14 November 2017. Code voor Informatiebeveiliging NEN/ISO 27001; Informatietechnologie - Beveiligingstechnieken - Managementsystemen
Nadere informatieInformation Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8
Information Security Management System Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8 Versiebeheer De verantwoordelijke van dit document is Paul den Otter (directielid). Hieronder is het versiebeheer
Nadere informatier'h'hil-lli'h'i'-i'l-ll-ll-ll
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Albrandswaard Postbus 1000 3160 GA RHOON r'h'hil-lli'h'i'-i'l-ll-ll-ll reg.
Nadere informatieInformatiebeveiligingsbeleid
Informatiebeveiligingsbeleid gemeente Lisse november 2017 Inhoud 1 Inleiding 3 2 Informatiebeveiligingsbeleid Hillegom, Lisse, Teylingen en HLTsamen 5 3 Uitgangspunten informatiebeveiliging Hillegom, Lisse,
Nadere informatie... l. " l W «.. W,, Werkgelegenheid. MinisterievanSocialeZakenen 1. Mevr. mr. C. Directeur. ma MDR. Raad, Dalfsen. Geachte
x, 1 r W.~: = ë V InspectieSZW.V 3. St MinisterievanSocialeZakenen 1 Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Dalfsen Postbus Gemeer?raeäin 35 _, 7720 AA DALFSEN..... l. " l Directie
Nadere informatieProgramma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017
Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet Webinar, 28 juni 2017 Agenda Algemeen: verschillen oude en nieuwe normenkader Relatie met ENSIA Highlights Norm voor norm
Nadere informatieWie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth
Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth De taak van de raad onder het dualisme Kaders stellen (WMO, Jeugdwet, handhaving) Budgetteren (begroting) Lokale wetgeving
Nadere informatie""1. Datum 12 januari 2016 Betreft Onderzoek Veilig gebruik Suwinet 2015; definitief Verslag van bevindingen Den Helder
""1 Inspectie SZW Mmíïtene van Soàaìe Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Den Helder Postbus 36 1760 AA DEN HELDER Stuknummer: AI16.00180 Betreft Onderzoek
Nadere informatieSeminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging
Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging
Nadere informatieDatum 17 februari 2016 Betreft Definitief verslag van bevindingen onderzoek Veilig gebruik Suwinet 2015
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag College van Burgemeester en Wethouders van de gemeente Montferland Postbus 47 6940 BA DIDAM komen:
Nadere informatieInformatiebeveiligingsbeleid gemeente Waalwijk
CVDR Officiële uitgave van Waalwijk. Nr. CVDR406046_1 5 december 2017 Informatiebeveiligingsbeleid gemeente Waalwijk Beleid Informatiebeveiliging gemeente Waalwijk 2015-2018 Inhoud Inleiding 3 1 Uitgangspunten
Nadere informatieInformatiebeveiligingsbeleid SBG
Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding
Nadere informatieStrategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein
Strategisch Informatiebeveiligingsbeleid Gemeenten IJsselstein, Montfoort en Nieuwegein Versie: 0.9 (definitief concept) Datum: 18 december 2012 Inhoudsopgave 1. MANAGEMENTSAMENVATTING... 1 2. INTRODUCTIE...
Nadere informatieOnderwerp: Informatiebeveiligingsbeleidsplan 2016 voor de gemeente Teylingen - Besluitvormend
VOORSTEL OPSCHRIFT Vergadering van 5 april 2016 Besluit nummer: 2016_BW_00284 Onderwerp: Informatiebeveiligingsbeleidsplan 2016 voor de gemeente Teylingen - Besluitvormend Beknopte samenvatting: Dit informatiebeveiligingsbeleid
Nadere informatieInformatiebeveiliging En terugblik op informatiebeveiliging 2016
Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen
Nadere informatieManagementsamenvatting
Managementsamenvatting Inleiding Dit document geeft algemene beleidsuitgangspunten over informatiebeveiliging. Deze uitgangspunten hebben een sterk normerend karakter en geven keuzes weer. Met dit document
Nadere informatieDe juiste informatie op het juiste moment op de juiste plek
1 Beleid: Informatiebeveiliging De juiste informatie op het juiste moment op de juiste plek 2016, BsGW Versie 1.1 Laatste wijziging: vrijdag 9 september 2016 BsGW Belastingsamenwerking Gemeenten en Waterschappen
Nadere informatieNVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging
NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging Kees Hintzbergen 25 mei 2018 Agenda Voorstellen Vragen! Wat is dat eigenlijk: risico? Hoe ziet de ideale
Nadere informatieRapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018
Rapportage Informatiebeveiliging 2017 Gemeente Boekel 16 mei 2018 Inleiding Het college van burgemeester en wethouders van de gemeente Boekel legt over het jaar 2017 verantwoording af over de stand van
Nadere informatieInformatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum
Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum 1 1 Inleiding Informatie en ict zijn noodzakelijk in de ondersteuning van het onderwijs. Omdat we met persoonsgegevens (van onszelf, leerlingen
Nadere informatieInformatieveiligheidsbeleid
Informatieveiligheidsbeleid Strategie organiseren informatiebeveiliging en bescherming privacy Versie : 1.0 Datum : 9 augustus 2017 Poststuknummer : 17.014110 1 Versie Informatie Versie Auteur Datum Omschrijving
Nadere informatiePrivacybeleid gemeente Wierden
Privacybeleid gemeente Wierden Privacybeleid gemeente Wierden Binnen de gemeente Wierden wordt veel gewerkt met persoonsgegevens van burgers, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk
Nadere informatieBaseline Informatieveiligheid Veiligheidsregio Twente
Baseline Informatieveiligheid Veiligheidsregio Twente Autorisatie Versiegegevens VERSIE: DATUM: OMSCHRIJVING: [Versie] [Datum] [Samenvatting] [Plaats], [Datum] Versie [Versie] 2017, Veiligheidsregio Twente,
Nadere informatieInformatieveiligheid in de steiger
29e sambo-ict conferentie Graafschap College Donderdag 16 januari 2014 Informatieveiligheid in de steiger André Wessels en Paul Tempelaar Informatieveiligheid en Risicomanagement Agenda Introductie Borging
Nadere informatieNEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR
NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR Theo de Breed Standards and Regulations 1 Agenda AVG voorbereiding in 10 stappen (Bron: AP) Praktische invulling door gebruik van
Nadere informatieVERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
VERSLAG PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Verslag PIA Versienummer 1.0 Versiedatum April 2014
Nadere informatieArtikel 39 vragen van de fractie van D66 over privacy decentralisaties
Collegevoorstel Openbaar Onderwerp Artikel 39 vragen van de fractie van D66 over privacy decentralisaties Programma / Programmanummer Zorg & Welzijn / 1051 Portefeuillehouder B. Frings Samenvatting De
Nadere informatie~n~+v.: Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid
t.ahl {l_.,_ 1Sk'? \ ~\,A. 130 ~n~+v.: Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid INGEKOMEN 1 0 FEB 2016 Gemeente Heusden > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad
Nadere informatieVoorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)
Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007 Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Inhoud Aanleiding en Historie VIR 2007 Invoeringsaspecten 2 Aanleiding en historie
Nadere informatieGemeentelijk Informatiebeveiligings- Beleid 2014-2018
Gemeentelijk Informatiebeveiligings- Beleid 2014-2018 gemeente Haarlem Versie: 1.0 Status: Definitief Auteur: W. Mevissen Datum: november 2014 Versiebeheer Versie Datum Door Wijzigingen 0.1 Willy Mevissen
Nadere informatieAlgemeen privacybeleid gemeente Asten 2018
1 Algemeen privacybeleid gemeente Asten 2018 ALGEMEEN PRIVACYBELEID (AVG) GEMEENTE ASTEN Inhoud 1. Inleiding 3 2. Uitgangspunten 3 3. Rollen en bevoegdheden 4 Bestuur 4 - College van B&W 4 - Gemeenteraad
Nadere informatieTimeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy.
Timeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy. PNIK Jaarlijkse rapportage aan de burgemeester Privacy 28 januari Internationale
Nadere informatieDe maatregelen in de komende NEN Beer Franken
De maatregelen in de komende NEN 7510 Beer Franken Twee delen in komende NEN 7510 Deel 1: het infosec management system (ISMS) hoofdstuk 4 in huidige NEN 7510 Deel 2: de maatregelen hoofdstukken 5 t/m
Nadere informatieChecklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument
Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.
Nadere informatieBEWERKERSOVEREENKOMST
BEWERKERSOVEREENKOMST tussen [naam opdrachtgever] & [naam opdrachtnemer] Behoort bij overeenkomst: Versie document: Status document: Datum [ ] [ ] [concept/definitief] [dd/mm/jj] Alle tussen haken geplaatste
Nadere informatieContractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Contractmanagement Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst
Nadere informatieInformatiebeveiligingsbeleid Gemeente Uden
Informatiebeveiligingsbeleid Gemeente Uden Inhoud 1. Inleiding... 3 2. Introductie informatieveiligheid... 6 3. Uitgangspunten informatiebeveiliging... 9 4, 5. [Hoofdstukken bewust leeggelaten]... 15 6.
Nadere informatieToelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC
Toelichting NEN7510 Informatiebeveiliging in de zorg Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC Inhoud Toelichting informatiebeveiliging Aanpak van informatiebeveiliging
Nadere informatieInformatiebeveiligings- en privacy beleid
Informatiebeveiligings- en privacy beleid 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN... FOUT! BLADWIJZER
Nadere informatieBeveiligingsbeleid Stichting Kennisnet
Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek
Nadere informatieSecurity Awareness Sessie FITZME, tbv de coaches
Security Awareness Sessie FITZME, tbv de coaches 21 mei 2019 Bart van der Kallen, CISM, CIPP/E AGENDA Wie ik ben Aanleiding voor deze sessie De norm: NEN 7510 / ISO 27001 De (invulling van de) komende
Nadere informatieInformatiebeveiliging en Privacy; beleid CHD
Informatiebeveiliging en Privacy; beleid CHD 2018-2020 Vastgesteld MT 19 december 2017 Stichting Centrale Huisartsendienst Drenthe Postbus 4091 9400 AK Assen 2 1 Inleiding De CHD is een zorginstelling
Nadere informatieInformatiebeveiligingsbeleid
Informatiebeveiligingsbeleid Inhoudsopgave 1 Goedkeuring informatiebeveiligingsbeleid en distributie (BH1) 2 2 Inleiding 2 2.1 Toelichting 2 2.2 Definitie van informatiebeveiliging 2 2.3 Samenhang tussen
Nadere informatieBLAD GEMEENSCHAPPELIJKE REGELING
BLAD GEMEENSCHAPPELIJKE REGELING Officiële uitgave van de gemeenschappelijke regeling Shared Service Center Zuid-Limburg Nr. 558 16 april 2018 Informatiebeveiligingsbeleid SSC-ZL Het Bestuur van het Shared
Nadere informatieBeleid Informatieveiligheid Weerbaar en Bewust
Bijlage 1. Beleid Informatieveiligheid 2016 2018 Weerbaar en Bewust Documentcode: Bijlage bij Collegevoorstel: 16CV00317 Versie: 1.0 (16cv.0037) Versiedatum 13 september 2016 Gemaakt door: D. van de Guchte
Nadere informatieDefinitieve versie d.d. 24 mei Privacybeleid
Definitieve versie d.d. 24 mei 2018 Privacybeleid Procedure: MT/DB besluit d.d. 24 mei 2018 INLEIDING Binnen Rentree wordt gewerkt met persoonsgegevens van huurders, medewerkers en (keten)partners. Persoonsgegevens
Nadere informatieOverzicht Informatiebeveiliging Inlichtingenbureau GGK
Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende
Nadere informatie