Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Maat: px

Weergave met pagina beginnen:

Download "Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours"

Robert Pieters
5 jaren geleden
Aantal bezoeken:

1 Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours

2 Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2

3 INHOUD Algemeen en reikwijdte... 4 Artikel 1 Algemeen... 4 Artikel 2 Reikwijdte... 4 Verwantwoordelijkheden en doelstelling... 4 Artikel 3 Verantwoordelijkheden... 4 Artikel 4 Doelenstelling... 4 Aanpak implementatie... 5 Artikel 5 Information Security Management System... 5 Algemene maatregelen... 6 Artikel 6 Risicomanagement... 6 Artikel 7 Beheer van bedrijfsmiddelen... 6 Artikel 8 Personeel en inhuur... 6 Artikel 9 Fysieke beveiliging... 6 Artikel 10 Communicatie en operationeel management... 6 Artikel 11 Toegangsbeveiliging... 6 Artikel 12 Incident management... 7 Artikel 13 Business Continuity management... 7 Artikel 14 Informatiebeveiliging en opdrachtnemers / leveranciers

4 ALGEMEEN EN REIKWIJDTE ARTIKEL 1 ALGEMEEN Om te kunnen voldoen aan moderne eisen met betrekking tot informatiebeveiliging en in het bijzonder de Nederlandse privacywetgeving (Algemene Verordening Gegevensbescherming) is het van belang dat Stichting pensioenfonds Chemours een informatiebeveiligingsbeleid heeft geformuleerd, operationele standaarden heeft uitgewerkt en dat doormiddel van periodieke toetsing de kwaliteit van geïmplementeerde informatiebeveiligingsmaatregelen in kaart brengt om eventuele verbeteringen in gang te zetten. In dit beleid zijn reikwijdte, verantwoordelijkheden en implementatieaanpak met betrekking tot informatiebeveiliging geformuleerd. Aanvullend zijn algemene maatregelen voor beveiliging van fonds informatie toegevoegd. Deze maatregelen zijn een minimum vereiste; voor specifieke onderdelen of situaties die om extra maatregelen vragen zal op een risico gewogen manier aanvullend beleid geformuleerd worden. ARTIKEL 2 REIKWIJDTE Dit beleid richt zich op de beveiliging van fondsinformatie en informatie verwerkende systemen inclusief informatie-uitwisseling met derde partijen. Als uitgangspunt wordt de internationaal erkende ISO27001 best practise standaard en het DNB Toetsingskader Informatiebeveiliging gehanteerd. VERWANTWOORDELIJKHEDEN EN DOELSTELLING ARTIKEL 3 VERANTWOORDELIJKHEDEN Informatiebeveiliging heeft betrekking op alle vormen van informatie(stromen) binnen het fonds en is daardoor een wezenlijk onderdeel van de bedrijfsvoering. Informatiebeveiliging valt daarom onder de directe verantwoordelijkheid van directie en management. Het Informatiebeveiligingsbeleid is van toepassing op alle medewerkers, processen, informatiestromen, informatiesystemen, informatiedragers en derde partijen die ten behoeven van het fonds worden ingezet. ARTIKEL 4 DOELENSTELLING Doelstelling van het informatiebeveiligingsbeleid is het zorgdragen voor de beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening. Door de juiste maatregelen te nemen wil het fonds het gewenste niveau van beschikbaarheid, integriteit en vertrouwelijkheid bereiken en handhaven. Beschikbaarheid: De beschikbaarheid, herstelbaarheid en redundantie van informatie (-systemen). Integriteit: De juistheid, volledigheid en tijdigheid van informatie en de juiste werking van ICT middelen. Vertrouwelijkheid: De bescherming van informatie tegen ongeautoriseerde kennisname, gerelateerd aan privacybescherming en de exclusiviteit van informatie. 4

5 AANPAK IMPLEMENTATIE ARTIKEL 5 INFORMATION SECURITY MANAGEMENT SYSTEM Om een voldoende niveau van informatiebeveiliging in lijn met de risicohouding te realiseren heeft het fonds een Information Security Management System conform de PLAN, DO, CHECK, ACT cyclus geïmplementeerd. PLAN: Opstellen van Informatiebeveiligingsbeleid en definiëren van prioriteiten Inrichten van processen en procedures en beschikbaar stellen van capaciteit (mensen en middelen) DO: Informatiebeveiliging is een structureel en actief onderdeel van de bedrijfsvoering. Hieraan wordt proactief invulling gegeven door onder meer: Uitvoeren van systeemclassificaties en risico assessments Inrichten van autorisatiematrices Voorschrijven van additionele beveiligingsmaatregelen Geven van awareness training aan medewerkers CHECK: Om garanties inzake werking van het beleid te krijgen wordt naleving van het beleid periodiek gemeten door: Beoordeling periodieke rapportages Beoordeling externe dienstverlening ACT: Het fonds acteert wanneer gerapporteerde afwijkingen of nieuwe (externe) bedreigingen hierom vragen. Daarnaast wordt er opvolging gegeven aan geconstateerde bevindingen van in- en externe audits. 5

6 ALGEMENE MAATREGELEN ARTIKEL 6 RISICOMANAGEMENT Er is een risicomanagementraamwerk beschreven en geïmplementeerd. Het raamwerk omvat een inventarisatie van de Informatiebeveiligingsrisico s, genomen maatregelen en effectiviteitscontrole op de werking. Het raamwerk wordt jaarlijks bijgewerkt. ARTIKEL 7 BEHEER VAN BEDRIJFSMIDDELEN (ICT) Bedrijfsmiddelen zijn geregistreerd en er is een eigenaar benoemd. De eigenaar is verantwoordelijk voor onderhoud en de implementatie van informatiebeveiligingsmaatregelen. ARTIKEL 8 PERSONEEL EN INHUUR Informatiebeveiligingsverantwoordelijkheden zijn onderdeel van de aanname procedure van nieuw personeel en ingehuurde medewerkers en worden contractueel vastgelegd. Personeel en derde partijen worden afdoende gescreend en tekenen een geheimhoudingsverklaring. Periodiek worden training gehouden om de awareness op voldoende niveau te houden. ARTIKEL 9 FYSIEKE BEVEILIGING Alleen geautoriseerde personen hebben toegang tot de fonds omgevingen. Gasten worden ten alle tijde begeleid door een fonds medewerker. Bedrijfsgevoelige informatie wordt nooit onbeheerd achter gelaten. Voor werkplekken geldt een clean desk en clear screen procedure. ARTIKEL 10 COMMUNICATIE EN OPERATIONEEL MANAGEMENT Om betrouwbare informatieverwerking te garanderen dienen operationele verantwoordelijkheden en procedures inzake ICT vastgelegd te zijn. Belangrijke beveiligingsmaatregelen op dit gebied zijn beleid ten aanzien van updates en back-ups, bescherming tegen malware, omgang met mobiele gegevensdragers en netwerkbeveiliging. ARTIKEL 11 TOEGANGSBEVEILIGING Taken, bevoegdheden en verantwoordelijkheden van relevante functies / rollen worden duidelijk afgebakend en gedocumenteerd (op basis van need to know ). Functiescheiding wordt toegepast om de beschikbaarheid, integriteit en vertrouwelijkheid te waarborgen (gebruik van autorisatiematrices). Maatregelen zij geïmplementeerd die zorgen dat de authenticatie en autorisatie van gebruikers en beheerders op een juist en volledige manier plaatsvindt. Een authenticatie en wachtwoordbeleid is beschreven en geïmplementeerd. In dit beleid is minimaal wachtwoordcomplexiteit, -lengte en -wijzigingsfrequentie opgenomen. Bij voorkeur wordt 6

7 aanvullend gebruik gemaakt van twee weg authenticatie. Dit beleid is conform industry best practices. ARTIKEL 12 INCIDENT MANAGEMENT Er is een incident management procedure beschreven die in lijn is met de procedure zoals beschreven in het Privacy beleid. Beveiligingsincidenten worden vastgelegd en opgevolgd om bedrijfsschade te beperken en herhaling te voorkomen. Opdrachtnemers zijn onderdeel van deze procedure. ARTIKEL 13 BUSINESS CONTINUITY MANAGEMENT Het fonds heeft een Business Continuity Plan opgesteld om met grote calamiteiten die de bedrijfsvoering ernstig kunnen verstoren om te gaan. Dit plan wordt periodiek bijgewerkt en getest om de werking te garanderen. ARTIKEL 14 INFORMATIEBEVEILIGING EN OPDRACHTNEMERS / LEVERANCIERS Opdrachtnemer hebben een ICT-beleid, een informatiebeveiligingsbeleid, een business continuity plan, beleid rond incident management en beleid inzake de wettelijke meldplicht datalekken. Deze documenten worden als onderdeel van de overeenkomst beschikbaar gesteld aan het fonds en worden periodiek gecontroleerd en up-to-date gehouden door de Opdrachtnemer. Het fonds wordt bij significante aanpassingen van deze documenten direct op de hoogte gesteld Opdrachtnemer draagt zorg voor adequate back-up, recovery- en uitwijkfaciliteiten die voldoen aan de eisen gesteld in het ICT beleid en test deze ten minste een maal per jaar. De testresultaten worden aan het fonds beschikbaar gesteld Indien Opdrachtnemer gebruik maakt van onderaannemers dan wordt het fonds hierover geïnformeerd en wordt vastgelegd dat deze aan dezelfde normen dienen te voldoen als beschreven in dit beleid. Bij elke significante wijziging wordt het fonds geïnformeerd inclusief een bijpassende risico-analyse. Bij de informatiesystemen wordt gebruik gemaakt van aparte omgevingen voor ontwikkeling, test, acceptatie en productie. Applicaties die in gebruik worden genomen, worden getest en testresultaten worden gedeeld met het fonds. Het fonds heeft het recht een audit uit te (laten) voeren op de (ICT-)processen bij opdrachtnemer (right to audit). 7

Vergelijkbare documenten

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

: Privacy & informatiebeveiliging Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie Deel 1 Wet en regelgeving Risicoanalyse Bepalen kwetsbaarheden en bedreigingen