Informatiebeveiligingsbeleid Gemeente Alphen aan den Rijn

Transcriptie

1 Informatiebeveiligingsbeleid Gemeente Alphen aan den Rijn

2 Document Beheer Auteur Organisatie / Functie Datum Versie Opmerkingen Sincerus Nov Eerste concept Sincerus Dec Derde concept, nav gesprek met MT I&A Sincerus, HJ Schot Sincerus HJ Schot Opmerkingen verwerkt door Ingrid Kortland Jan Vierde concept, nav diverse opmerkingen Feb definitief Gemeente Alphen aan den Rijn Mrt Uit bedrijfsvoeringoverleg maart 2014 Document goedkeuring Goedkeuring Organisatie / Functie Datum Versie Handtekening Bedrijfsvoeringoverleg Maart DT overleg Maart College van B&W Maart Relevante bronnen en documentatie Intern - Algemene Inkoop Voorwaarden, gemeente Alphen aan den Rijn Extern NEN/ISO (2005) en (Code voor Informatiebeveiliging) (2007) Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), KING, 2013 Strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) CBP richtsnoeren beveiliging van persoonsgegevens, 2013: Cloud computing gemeenten, KING, Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 1 van 22

3 Inhoud 1. Inleiding Intentie en betrokkenheid van bestuur en management Doelstelling van het IB beleid Achtergrond van het IB beleid Reikwijdte van dit beleid Goedkeuring van het beleid Geldigheid beleid Richtlijnen Beleid Beleidsgebieden Organisatie van de informatiebeveiliging Beheer van bedrijfsmiddelen Personeel Fysieke beveiliging Beheer van communicatie en bedieningsprocessen Logische toegangsbeveiliging Systeem ontwikkeling en onderhoud Incident management Continuïteitsplanning Toezicht en Naleving Verantwoordelijkheden met betrekking tot beveiliging Algemene verantwoordelijkheden Verantwoordelijkheden management Verantwoordelijkheden Beveiligingsfunctionaris Verantwoordelijkheden functionaris ICT Beveiliging (beveiligingsmedewerker) Verantwoordelijkheden Functionaris Bescherming Persoonsgegevens Verantwoordelijkheden Controller Verantwoordelijkheden Facilitair manager Verantwoordelijkheden P&O Verantwoordelijkheden lijnmanager, afdelingshoofden en coördinatoren Werkgroep informatiebeveiliging Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 2 van 22

4 1. Inleiding Informatie en informatiesystemen zijn van vitaal belang voor de gemeente Alphen aan den Rijn. Informatiebeveiliging is de bescherming van informatie tegen een breed scala bedreigingen om de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken. Informatiebeveiliging wordt bereikt door een geschikte verzameling beheersmaatregelen in te zetten, waaronder beleid, werkwijzen, procedures, organisatiestructuren en programmatuur- en apparatuur functies, om daarmee de betrouwbaarheid (beschikbaarheid, integriteit en vertrouwelijkheid) van de informatievoorziening te waarborgen. Deze beheersmaatregelen moeten worden vastgesteld, gecontroleerd, beoordeeld en waar nodig verbeterd om te waarborgen dat de specifieke beveiligings- en de bedrijfsdoelstellingen van de gemeente worden bereikt. Dit behoort te worden gedaan in samenhang met andere bedrijfsbeheerprocessen. Het informatiebeveiligingsbeleid is van toepassing op alle bedrijfsprocessen en heeft betrekking op digitale en fysieke informatie, informatiesystemen, netwerken, de fysieke omgeving en de mensen die deze bedrijfsprocessen ondersteunen. Dit document: Definieert en beschrijft het informatiebeveiligingsbeleid van de gemeente Alphen aan den Rijn; Bevat en beschrijft een beheerstructuur voor informatiebeveiliging, waarmee verantwoordelijkheden voor informatiebeveiliging zijn belegd en informatiebeveiliging is ingebed in de reguliere planning- en control cyclus binnen de gemeentelijke bedrijfsvoering processen; Is van belang voor het bestuur, het management, het systeembeheer en voor de gebruikers; Geldt voor iedereen die werkzaamheden uitvoert bij of namens de gemeente; Geldt voor iedere locatie waar informatie van de gemeente wordt gebruikt; Informatiebeveiliging is in dit beleid als volgt omschreven: Handhaving van de beschikbaarheid: Dat wil zeggen ervoor te zorgen dat de vereiste en noodzakelijke componenten voor de informatievoorziening van de organisatie beschikbaar zijn; Handhaving van de integriteit: Dat wil zeggen componenten te beschermen tegen het aanbrengen van ongeautoriseerde opzettelijke of onopzettelijke wijzigingen, om daarmee de juistheid en volledigheid van de gegevens te waarborgen; Handhaving van de vertrouwelijkheid: Dat wil zeggen componenten tegen ongeautoriseerde openbaarmaking beschermen; Handhaving van de controleerbaarheid Dat wil zeggen de mate waarin het mogelijk is kennis te verkrijgen over de opzet en werking van het object, zodat kan worden vastgesteld in hoeverre het object aan de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid voldoet; Om dit te bereiken treft de gemeente optimale maatregelen tegen acceptabele kosten en inspanning. De maatregelen zijn gebaseerd op de risico s welke de gemeente dagelijks loopt. Met nadruk geeft de gemeente aan dat informatiebeveiliging zich niet beperkt tot digitale informatie maar dat ook de fysieke, papieren informatie beschermd dient te worden. Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 3 van 22

5 1.1 Intentie en betrokkenheid van bestuur en management Informatie en informatiesystemen zijn van vitaal belang voor de gemeente Alphen aan den Rijn. Zonder betrouwbare informatie zou de gemeente Alphen aan den Rijn ernstig benadeeld zijn. De gemeente Alphen aan den Rijn heeft als ambitie gesteld dat zij de informatie welke zij voor en over haar burgers beheert, zo optimaal mogelijk beveiligt om hiermee te voldoen aan de wettelijke eisen en verplichtingen die hieraan gesteld worden. Dit betekent dat de gemeente er alles aan doet om de processen en informatiesystemen zodanig in te richten en te beheren dat de betrouwbaarheid volledig gewaarborgd is door onder andere te voldoen aan de gestelde marktstandaarden. De gemeente Alphen aan den Rijn ziet dit niet als een eenmalige actie maar als een continue proces. De ambitie is dat de gemeente voldoet aan de gestelde wettelijke verplichtingen en een basisniveau van informatiebeveiliging heeft ingericht. Om vervolgens deze beveiliging op een hoger niveau te brengen, waarbij rekening gehouden wordt met de omgevingsomstandigheden, kosten en mogelijkheden. Het management onderkent het belang van de beveiliging van informatie en vindt het van groot belang dat deze op de juiste wijze wordt behandeld. Het management heeft zich volledig gecommitteerd aan dit informatiebeveiligingsbeleid en draagt dit ook uit binnen de gemeente. Naast de voorbeeldfunctie welke het management heeft, stelt zij voldoende mensen en middelen beschikbaar om te voldoen aan doelstelling ten aanzien van de wettelijk gestelde verplichtingen en het basisniveau van informatiebeveiliging. De rollen voor de uitvoering van informatiebeveiligingstaken en werkzaamheden worden belegd. Het management wijst medewerkers er op dat zij zich aan de geldende regels moeten houden en er zal indien noodzakelijk opgetreden worden bij overtreding van de gestelde regels. Dit informatiebeveiligingsbeleid beschrijft de vereisten waaraan alle medewerkers, gedetacheerden, uitzendkrachten, stagiaires, toeleveranciers en het management moeten voldoen om de beveiliging van de informatie van de gemeente Alphen aan den Rijn optimaal te laten zijn. Gecombineerd met het innovatieve karakter van de gemeente op gebied van telewerken en nieuwe werken beleid. 1.2 Doelstelling van het IB beleid De gemeente Alphen aan den Rijn wil zorgdragen voor volledige betrouwbare gegevens welke gebruikt worden voor de dienstverlening naar haar burgers. De betrouwbaarheid van de informatievoorziening geeft de mate aan waarin de gemeente Alphen aan den Rijn kan vertrouwen op haar informatievoorziening. De informatievoorziening omvat informatie verwerkend apparatuur, programmatuur, opgeslagen digitale en niet digitale gegevens, procedures en mensen. De gemeente Alphen aan den Rijn zal: Alle hardware, software en gegevensverzamelingen onder haar beheer beschermen. Dit geschiedt door de uitwerking en invoering van een set uitgebalanceerde organisatorische technische en fysieke maatregelen. Zorgen voor effectieve en efficiënte bescherming evenredig aan de risico's van de bedrijfsmiddelen. Een informatiebeveiligingsbeleid implementeren op een consistente, actuele en efficiënte wijze. Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 4 van 22

6 1.3 Achtergrond van het IB beleid Dit beleid zet de gekozen benadering voor informatiebeveiliging uiteen om zeker te stellen dat onze informatievoorziening op de juiste wijze beschermd is tegen een verscheidenheid van bedreigingen zoals fouten, fraude, sabotage, terrorisme, afpersing, inbreuk op de privacy, onderbreking van de dienstverlening, diefstal en natuurrampen, ongeacht intern of extern, al dan niet opzettelijk. Het bestuur en management van de gemeente Alphen aan den Rijn heeft de verplichting alle informatie en informatiesystemen te beschermen, te verbeteren en te verantwoorden. Waarbij rekening gehouden wordt met Best Practises op onder andere ICT gebied. Voor het nastreven van deze doelstelling dienen zowel periodiek als bij aanleiding de risico s opnieuw onderzocht te worden. Dus worden periodiek de risico s voor de informatiemiddelen van de gemeente Alphen aan den Rijn opnieuw onderzocht en beoordeeld. Dit gebeurt wanneer naar aanleiding van een beveiligingsincident of audit blijkt dat het beveiligingsniveau onvoldoende is. Het management zet dan met de nodige voortvarendheid een herstelactie in gang om daarmee de risicoblootstelling naar een acceptabel niveau terug te brengen. De informatie van de gemeente Alphen aan den Rijn moet worden beschermd in overeenstemming met de gevoeligheid, de waarde en het kritieke gehalte ervan. Beveiligingsmaatregelen worden toegepast op de media waarop de informatie is opgeslagen, de verwerkingssystemen en de wijze van transport. De toegankelijkheid van informatie is voor iedereen tot het niveau waarop men deze informatie nodig heeft voor de uitvoering van de werkzaamheden, tenzij dit door wet- en regelgeving, gemeente anders is bepaald. Het bestuur van de gemeente Alphen aan den Rijn stelt, met afweging van de kosten, risico s en baten, voldoende middelen beschikbaar om informatiebeveiliging binnen de gehele organisatie te implementeren en de initiatieven uit het verbeterprogramma (Informatiebeveiligingsplan) uit te laten voeren. Er is een proces gericht op bedrijfsherstel ingericht (continuïteitsmanagement) om onderbrekingen van de bedrijfsactiviteiten te voorkomen en kritieke bedrijfsprocessen te beschermen tegen de effecten van grote storingen en rampen. Dit proces voldoet aan de wettelijke eisen vanuit o.a. GBA en BAG. Besluitvormingsprocessen binnen de gemeente Alphen aan den Rijn zijn op kritieke wijze afhankelijk van informatie. Het bestuur en management dienen te kunnen vertrouwen op de integriteit van de informatie in termen van nauwkeurigheid, tijdigheid, relevantie, compleetheid, vertrouwelijkheid, etc. Het voltallige personeel heeft de verantwoordelijkheid om elke waarneming of vermoeden van: disfunctioneren van software, beveiligingsincidenten, verdachte virussen, fouten, zwakheden, bedreigingen, etc. zo spoedig mogelijk te rapporteren aan het daartoe aangewezen meldpunt. Hierdoor wordt de gemeente in staat gesteld om vroegtijdig te reageren op mogelijke incidenten door passende maatregelen te treffen. Hierdoor zal voorkomen worden dat een incident grote schade aan richt en de betrouwbaarheid van de processen aantast. 1.4 Reikwijdte van dit beleid Dit beleid is van toepassing op alle bedrijfsprocessen, alle informatiesystemen (bestaande en nieuw aan te leggen), de gebruikte interne netwerken, de netwerkkoppelingen, de toepassingen, alle gemeentelijke locaties en alle interne en externe medewerkers. Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 5 van 22

7 1.5 Goedkeuring van het beleid Dit informatiebeveiligingsbeleid is vastgesteld en goedgekeurd door het college van Burgemeester en Wethouders. De wethouder met informatiebeveiliging in zijn portefeuille is wettelijk verplicht hier op toe te zien. 1.6 Geldigheid beleid Het informatiebeveiligingsbeleid is opgesteld voor een periode van 4 jaar en wordt jaarlijks getoetst. Jaarlijks wordt het beleid opnieuw beoordeeld en waar noodzakelijk bijgesteld. Bij een belangrijke wijzing van de organisatie, de fysieke of logische omgeving, of een belangrijke wijziging van mogelijke dreigingen en kwetsbaarheden zal het informatiebeveiligingsbeleid eerder worden bijgesteld. Tevens zal het informatiebeveiligingsbeleid worden aangepast indien dit op basis van aanpassingen van landelijke wet- en regelgeving noodzakelijk blijkt. 1.7 Richtlijnen Het beveiligingsbeleid is uitgewerkt in het Beveiligingshandboek Gemeente Alphen aan den Rijn. In het handboek zijn de afzonderlijke beveiligingsmaatregelen verder uitgewerkt in richtlijnen. Deze richtlijnen geven verdere sturing aan de implementatieverantwoordelijke, toezichthouders, lijnmanagers en medewerkers. De specifieke richtlijnen welke voorvloeien uit de wettelijke vereisten en externe eisen zijn geïntegreerd maar herkenbaar (identificeerbaar per eis) vastgelegd in het Beveiligingshandboek Gemeente Alphen aan den Rijn. Het beveiligingshandboek word onder de verantwoordelijkheid van de functionaris Informatiebeveiliging opgesteld en onderhouden. Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 6 van 22

8 2. Beleid Dit beveiligingsbeleid geeft de organisatie richting en ondersteuning voor informatiebeveiliging in overeenstemming met de eisen, relevante wetten en voorschriften. Het algemene informatiebeveiligingsbeleid voor de gemeente Alphen aan den Rijn is als volgt: De informatiesystemen, toepassingen en netwerken van de gemeente Alphen aan den Rijn zijn beschikbaar en conform de afgesproken SLA s en andere vereisten. De technische en organisatorische inrichting van de informatiesystemen is zodanig van aard en opzet dat gedurende de reguliere openingstijden voor het publiek het informatiesysteem op jaarbasis voor 98 % beschikbaar is. De verantwoordelijke personen en afdelingen van de gemeente Alphen aan den Rijn treffen voor bovenstaande uitgangspunten de nodige maatregelen. De gemeente stelt mensen, middelen, tijd en budget beschikbaar om te kunnen voldoen aan deze eis. Voor bepaalde informatiesystemen in het bijzonder GBA geldt dat de uitval nooit langer mag duren dan 48 uur ( 2 etmalen). Er zijn voldoende adequate voorzieningen getroffen om in geval van calamiteiten na maximaal 48 uur de dienstverlening aan de burger en aan derden ( waaronder afnemers en andere gemeenten die zijn aangesloten op de landelijke GBA-netwerk) te kunnen voorzetten. De informatiesystemen, toepassingen en netwerken van de gemeente Alphen aan den Rijn kunnen alleen door rechtmatige, bevoegde gebruikers of instanties benaderd worden. De bevoegdheid van een persoon moet zijn afgeleid van de taak, functie of verantwoordelijkheid van de betreffende persoon. Dit ter beoordeling van de eigenaar van de informatie, beheerders, of op aangeven van de direct leidinggevende van de betreffende persoon. De verantwoordelijke personen en afdelingen van de gemeente Alphen aan den Rijn treffen hiervoor de nodige maatregelen, zoals identificatie en authenticatie en logging. De gemeente stelt mensen, middelen, tijd en budget beschikbaar om te kunnen voldoen aan deze eisen. De informatiesystemen, toepassingen en netwerken van de gemeente Alphen aan den Rijn bevatten volledige, juiste en actuele informatie 1. De verantwoordelijke personen en afdelingen van de gemeente Alphen aan den Rijn hebben hiervoor de nodige maatregelen getroffen zoals identificatie en authenticatie, logging en bescherming van programmatuur en gegevens De gemeente stelt mensen, middelen, tijd en budget beschikbaar om te kunnen voldoen aan deze eisen. De gemeente Alphen aan den Rijn zal zodanige organisatorische, technische en fysieke maatregelen treffen dat op ieder gewenst moment de gegevens van het informatiesysteem kunnen worden gecontroleerd. 1 Als kwaliteitsnorm bij het bepalen van de kwaliteit van de gegevens wordt door de gemeente Alphen aan den Rijn een foutenpercentage geaccepteerd dat overeenkomt met de normstelling die bij de GBA wordt gehanteerd; te weten de gegevensklasse A, B, en. C met een foutenpercentage van respectievelijk 1, 5 en 10 %. Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 7 van 22

9 De gemeente stelt dat het mogelijk is dat alle mutaties (het wijzigen en verwijderen) en raadplegingen van bestanden kunnen worden herleid op de individuele medewerker. Inclusief het tijdstip en de locatie. Dit geldt voor digitale en niet digitale gegevens zoals gebruikt worden binnen bijvoorbeeld de GBA en Sociale Zaken. Het herleiden van deze mutaties is voor de minimum vastgestelde wettelijke termijn mogelijk. Een controle op de mutatie en raadpleging moet altijd mogelijk zijn en blijven gedurende 1 jaar gerekend na aanmaak. De controle kan bestaan uit een intern of extern onderzoek. Voor het uitvoeren van een dergelijk intern of extern onderzoek wordt opdracht verstrekt aan zowel de controlerende instantie als aan de interne organisatie om hier aan mee te werken, De resultaten van deze onderzoeken worden in de vorm van een schriftelijke rapportage verantwoord aan het college van B&W. De gemeente stelt mensen, middelen, tijd en budget beschikbaar om te kunnen voldoen aan deze eisen. De informatiesystemen, toepassingen en netwerken zijn in staat bedreigingen met betrekking tot beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid te weerstaan, en moeten bij manifestatie herstelbaar zijn. Wettelijke vereisten en overige verplichtingen Waar van toepassing zal de gemeente Alphen aan den Rijn voldoen aan de verplichtingen die voortvloeien uit de diverse wet en regelgeving waar onder; Archiefwet en regeling, Ambtenarenwet, Auteurswet, Comptabiliteitswet en voorschriften, Gemeentewet, Octrooirecht, Telecommunicatiewet, Wet BAG, Wet Bescherming Persoonsgegevens (WBP)., Wet Computercriminaliteit II, Wet GBA, Wet Werk en Bijstand De gemeente Alphen aan den Rijn zal zich conformeren aan de verplichtingen welke voortvloeien uit de koppelingen met: SuwiNet; ( Verantwoordingsrichtlijn GeVS 2011) Paspoortuitvoeringsregeling Nederland 2001 De gemeente Alphen aan den Rijn zal de beveiligingsnorm NEN-ISO/IEC en de hierop gebaseerde Baseline Informatiebeveiliging Nederlandse Gemeenten als uitgangspunt hanteren. Naast de genoemde normen voor beveiliging zal de gemeente de van toepassing zijnde beveiligingsrichtlijnen accepteren en implementeren. Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 8 van 22

10 3. Beleidsgebieden Het algemene beleid zoals verwoord in hoofdstuk 2 wordt in dit hoofdstuk uitgewerkt in verscheidene beleidsgebieden te weten: Organisatie van de informatiebeveiliging; Beheer van bedrijfsmiddelen; Personeel; Fysieke beveiliging; Beheer van communicatie en bedieningsprocessen; Logische toegangsprocessen; Systeem ontwikkelen en onderhoud; Incident management; Continuïteitsplanning; Toezicht en naleving. Deze beleidsgebieden zijn conform de Baseline Informatiebeveiliging Nederlandse Gemeenten en de NEN-ISO/IEC norm 3.1 Organisatie van de informatiebeveiliging De gemeente Alphen aan den Rijn stelt dat alle medewerkers een rol hebben binnen de informatiebeveiliging, deze rol met de bijbehorende verantwoordelijkheden zijn voor een ieder nader vastgesteld. Alle gebruikers van informatiesystemen, applicaties en netwerken zijn voorzien van de noodzakelijke beveiligingsrichtlijnen. Zij moeten zich risicobewust zijn van de beveiligingsaspecten en waar nodig zijn getraind en opgeleid. Een en ander zodanig dat zij invulling kunnen geven aan hun verantwoordelijkheden. Verantwoordelijkheid Het college van Burgemeester en Wethouders is integraal verantwoordelijk voor de beveiliging (beslissende rol) van informatie binnen de bedrijfsprocessen van de gemeente. Binnen de gemeente is de bestuurlijke portefeuillehouder informatiebeveiliging aangewezen. Voor de dagelijkse gang van zaken is de rol van beveiligingsfunctionaris (Security Officer) ingevuld. Binnen de gemeente is een werkgroep informatiebeveiliging opgericht met deelnemers vanuit de gehele organisatie. Alle te onderkennen bedrijfsonderdelen zijn hierin vertegenwoordigd. Deze werkgroep wordt voorgezeten door de beveiligingsfunctionaris. Bepaling Risico s De gemeente Alphen aan den Rijn laat risicoanalyses op informatiebeveiliging uitvoeren voor alle binnen de reikwijdte vallende kritische bedrijfsprocessen. De gemeente legt de bedrijfskritische processen vast en onderhoudt hiervoor een agenda. Deze risicoanalyses omvatten de informatiesystemen, applicaties en netwerken welke gebruikt worden om deze bedrijfsprocessen te ondersteunen. Uit deze risicoanalyses worden de bijbehorende beveiligingsmaatregelen genomen. Risicoanalyses dienen te worden uitgevoerd voor alle nieuwe bedrijf kritische applicaties, systemen, netwerken en locaties. Tevens wordt er een wettelijk verplichte tweejaarlijkse risicoanalyse uitgevoerd op bestaande bedrijf kritische applicaties, systemen, netwerken en locaties, of eerder indien er aanleiding is bijvoorbeeld na een wijziging van bedrijf kritische applicaties, systemen en netwerken en/of locaties. Risico s welke voortkomen uit koppelingen met externe partijen worden geïdentificeerd. Er worden gepaste maatregelen getroffen voordat de toegang wordt gerealiseerd. Daarnaast zal de gemeente vanuit haar rol behoefte hebben aan koppelingen met diensten van derden, en/of gekoppeld worden Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 9 van 22

11 aan deze netwerken. Indien dit noodzakelijk is, worden deze risico s in kaart gebracht en worden passende maatregelen getroffen. Het realiseren van koppelingen met derden en afname van diensten zal gepaard gaan met eisen vanuit deze partijen. De gemeente Alphen aan den Rijn zet zich in om te voldoen aan deze eisen, echter zullen deze eisen niet mogen resulteren in een verminderende beveiliging binnen de gemeente. Na het bepalen van de risico s worden de voorstellen voor het treffen van de passende maatregelen voorgelegd aan het management van de gemeente. Indien er contracten zijn afgesloten voor het externe beheer van informatiesystemen of de opslag van gegevensdragers, bevatten deze contracten beveiligingsrichtlijnen welke in overeenstemming zijn met het beveiligingsniveau van de gemeente. Bij het afsluiten van dergelijke contracten worden de wettelijke vereisten meegenomen. De beveiliging van de informatie en ICT-voorzieningen van de gemeente Alphen aan den Rijn behoort niet te worden verminderd door het invoeren van producten of diensten van externe partijen. Beveiligingsplan Het beveiligingsbeleid geeft de kaders aan waarbinnen de informatiebeveiliging binnen de gemeente Alphen aan den Rijn wordt opgebouwd. De nadere uitwerking van dit beleid is gemaakt in het Beveiligingsplan Gemeente Alphen aan den Rijn. opgesteld onder de verantwoordelijkheid van het management. In dit plan is de beschrijving opgenomen met de stappen welke de organisatie denkt te nemen om verdere invulling te geven aan het beleid en de resultaten van de risicoanalyse en de eisen gesteld door derden. Het organiseren van informatiebeveiliging en invulling geven aan het beleid is niet een eenmalige actie en activiteit maar wordt als een continu proces gezien. De invulling moet regelmatig worden beoordeeld en indien noodzakelijk worden herzien en aangepast. Hiertoe werkt de gemeente conform de PDCA cyclus. Plan (ontwerp) In de ontwerpfase wordt het informatiebeveiligingsbeleid Gemeente Alphen aan den Rijn ontwikkeld en vastgesteld. Hierin worden de informatie-beveiligingsdoelstellingen, de relevante processen en procedures vastgesteld, die er voor zorgen dat de risico s gemanaged worden. Deze doelstellingen ondersteunen uiteraard de business doelstellingen van de organisatie. De beveiligingsmaatregelen kunnen genomen worden op basis van de risicoanalyse en een kosten/batenanalyse. Do (implementeer) In deze fase worden het informatiebeveiligingsbeleid Gemeente Alphen aan den Rijn en de onderliggende procedures en maatregelen geïmplementeerd. Per informatiesysteem en/of proces worden verantwoordelijken aangewezen. Check (monitor en controleer) In deze fase wordt door middel van een interne audit gecontroleerd en waar mogelijk gemeten of het informatiebeveiligingsbeleid Gemeente Alphen aan den Rijn correct wordt uitgevoerd. Hiervan wordt een rapport uitgebracht aan het verantwoordelijke management en de Beveiligingsfunctionaris. Act (onderhoud en stel bij) In deze laatste fase wordt gecorrigeerd en worden preventieve maatregelen genomen, gebaseerd op de resultaten van de interne audit. Waar nodig wordt het informatiebeveiligingsbeleid Gemeente Alphen aan den Rijn geactualiseerd. Uitbesteding werkzaamheden Diverse beheerstaken zijn uitbesteed. Deze beheer partij heeft de mogelijkheid om van afstand de systemen van de gemeente te bedienen in geval van calamiteiten en problemen. Door deze mogelijkheden kan deze partij ook kennis nemen van de informatie van de gemeente. De gemeente stelt dan ook dat zij van deze partij verwacht dat zij zich houden aan de gestelde Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 10 van 22

12 betrouwbaarheidseisen. Dit is contractueel vastgelegd en de gemeente is bevoegd controle ( te laten) uitoefenen. Jaarlijks verstrekt de gemeente opdracht voor de uitvoering van deze controle. Hierbij worden gestelde inkoopvoorwaarden getoetst. Doelgroepen Dit informatiebeveiligingsbeleid is bedoeld voor alle in- en externe medewerkers van de gemeente: Doelgroep College van B&W Directie Lijnmanagement (proceseigenaren) Medewerkers Gegevenseigenaren Beleidmakers IB-functionarissen Personeelszaken Facilitaire zaken ICT-diensten (en -ontwikkelaars) Auditors Leveranciers en ketenpartners Relevantie voor IB-beleid Integrale verantwoordelijkheid Kaderstelling en implementatie Sturing op informatieveiligheid en controle op naleving Gedrag en naleving Classificatie: bepalen van beschermingseisen van informatie Planvorming binnen IB-kaders Dagelijkse coördinatie van IB Arbeidsvoorwaardelijke zaken Fysieke toegangsbeveiliging Technische beveiliging Onafhankelijke toetsing Compliance Externe partijen Informatiebeveiligingsbeleid, landelijke normen en wet en regelgeving gelden ook voor externe partijen (leveranciers, ketenpartners) waarmee de gemeente samenwerkt (en informatie mee uitwisselt).ook voor externe partijen geldt hierbij het comply or explain beginsel (pas toe of leg uit). Bij contractuele overeenkomsten gelden in beginsel altijd de Algemene Inkoop Voorwaarden (AIV), waarin onder meer geheimhouding en aansprakelijkheid is geregeld. Afwijkingen op de AIV dienen te worden getoetst aan dit beleid. Vereiste beveiligingsmaatregelen worden aanvullend vastgelegd in contracten en/of bewerkersovereenkomsten. Daarin is onder meer geborgd dat beveiligingsincidenten onmiddellijk worden gerapporteerd en dat de gemeente het recht heeft afspraken te (laten) controleren. Voor het tot stand brengen van datakoppelingen met externe partijen, geldt naast dit beleid ook een gemeentelijke procedure Aanvragen externe toegang Intranet. Het doel van de procedure is risicobeheersing. Cloud computing Voor externe hosting van data en/of services gelden naast dit beleid de richtlijnen voor cloud computing, de gemeente is gehouden aan: o regels omtrent grensoverschrijdend dataverkeer; o toezicht op naleving van regels door de externe partij(en); o hoogste beveiligingseisen voor bijzondere categorieën gegevens; o melding bij college bescherming persoonsgegevens (CBP) bij doorgifte van persoonsgegevens naar derde landen (buiten de EU). 3.2 Beheer van bedrijfsmiddelen De bedrijfsmiddelen zoals hardware, software en digitale en fysieke media zijn belangrijk voor de uitvoering van de bedrijfsprocessen binnen de organisatie. De bedrijfsmiddelen worden periodiek geïnventariseerd en beschreven. Deze beschrijving wordt actueel gehouden. Voor alle bedrijfsmiddelen is een eigenaar aangewezen. Deze eigenaren zijn verantwoordelijk voor het handhaven van de geschikte beheersmaatregelen. Het gebruik van BYOD wordt ondersteund door de gemeente tenzij er redenen zijn om hiervan af te wijken qua technische beperkingen etc. Daarnaast bied de gemeente Alphen aan den Rijn een open wifi aan. Aan de bijbehorende voorwaarden ten aanzien van informatiebeveiliging is voldaan Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 11 van 22

13 Classificatie Ten aanzien van informatie geldt tevens dat deze is geclassificeerd met betrekking tot de waarde, de wettelijke eisen, de gevoeligheid en de onmisbaarheid voor de gemeente Alphen aan den Rijn. Dit is van groot belang bij de behandeling van vertrouwelijke informatie ingegeven vanuit de wetgeving, bijvoorbeeld de Wet Bescherming Persoonsgegevens. Er zijn richtlijnen voor classificatie opgesteld in overeenstemming met het toegangsbeleid. Bij het opstellen van de classificatie wordt minimaal rekening gehouden met openbare informatie en niet openbare informatie. De medewerkers kennen deze richtlijnen handelen er naar. De richtlijnen gelden voor het kenbaar maken van gevoelige en vertrouwelijke informatie en het op de juiste wijze behandelen hiervan, zowel bij de verspreiding, het opbergen als het vernietigen. De classificatie is van toepassing op zowel de digitale als de fysieke vorm van informatie. 3.3 Personeel Personeel vormt een belangrijk onderdeel van de bedrijfsprocessen. Zonder het personeel zal geen bedrijfsproces worden uitgevoerd - de medewerkers vormen dan ook een belangrijke schakel in de informatiebeveiliging. De organisatie stelt dat er specifieke personeelsmaatregelen noodzakelijk zijn om de betrouwbaarheid van de bedrijfsprocessen te garanderen. Dit betekent dat de medewerkers op de hoogte moeten zijn en blijven van de voor hen geldende beveiligingsregels en -maatregelen. De gemeente heeft hiervoor een communicatiekanaal ingericht om de maatregelen bekend te maken. Daarnaast is de lijnmanager aanspreekpunt voor beveiligingsvragen. Indiensttreding van personeel Bij aanstelling worden nieuwe medewerkers, ingehuurd personeel en externe gebruikers op geschikte wijze gescreend, in het bijzonder voor vertrouwensfuncties. Bij de screening van personeel wordt rekening gehouden met de aard van de functie en aansluiting bij de geldende regelgeving (Ambtenarenrecht). De verantwoordelijkheden van iedere werknemer zijn vastgelegd in een bijbehorende functiebeschrijving. Vóór het dienstverband worden deze verantwoordelijkheden vastgelegd in de arbeidsvoorwaarden. Uitdiensttreding Als een medewerker, intern, ingehuurd of externe gebruiker de organisatie verlaat worden de toegekende toegangsrechten ingetrokken, en alle aan hem in bruikleen gegeven apparatuur en programmatuur dient te worden ingeleverd. Bewustwordingsproces Het is van belang dat een ieder zich bewust is van de mogelijke beveiligingsrisico s. Daartoe heeft de gemeente een bewustwordingsproces ontwikkeld, welk door alle medewerkers (intern en inhuur) gevolgd moet worden. Deze bewustwordingscampagne is afgestemd op de functie van de medewerker. Disciplinair proces Door de gemeente is een formeel disciplinair proces voor omgang met beveiligingsinbreuken vastgesteld, welk aansluit bij het Ambtenarenrecht. 3.4 Fysieke beveiliging Uitgangspunt is dat ICT-voorzieningen en data/informatie (zowel elektronisch als niet elektronisch) fysiek is ondergebracht in beveiligde ruimten en in een gecontroleerde omgeving, beveiligd met geschikte beveiligingsbarrières en toegangsbeveiliging. Ze worden fysiek beschermd tegen toegang door onbevoegden en tegen alle andere schade en storingen. Deze bescherming is in overeenstemming met de vastgestelde risico's, dit betekent dat bij de uit te voeren risicoanalyses de fysieke omgeving meegenomen wordt. Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 12 van 22

14 Beveiliging apparatuur Apparatuur dient beschermd te zijn tegen fysieke bedreigingen en gevaren van buitenaf. Bescherming van apparatuur en data die buiten de locatie wordt gebruikt is noodzakelijk om het risico van toegang door onbevoegden tot deze informatie uit te sluiten en om de apparatuur en informatie te beschermen tegen verlies of schade. Verplaatsen of verwijderen van apparatuur Bij het verplaatsen of het verwijderen van (afgeschreven) apparatuur wordt hiermee rekening gehouden. Dit betekent dat de medewerkers bij het vervoer van apparatuur extra maatregelen moeten treffen tegen bijvoorbeeld diefstal en ongeautoriseerde waarneming. Daar waar mogelijk treft de gemeente in relatie tot het risico en mogelijke schade aanvullende maatregelen en zal de gemeente middelen ter beschikking stellen. 3.5 Beheer van communicatie en bedieningsprocessen Verantwoordelijkheden De verantwoordelijkheden en procedures voor beheer en bediening van alle ICT-voorzieningen zijn formeel vastgesteld. Om het risico van nalatigheid of het opzettelijke misbruik van de informatiesystemen te verminderen wordt er een scheiding van functies toegepast. Schadelijke software De gemeente voert een actief beleid om schade door computervirussen, Trojaanse paarden en ongeautoriseerde mobile code (software die zichzelf automatisch installeert) tot een minimum te beperken. De organisatie ondersteund daartoe het juiste gebruik van protectiemiddelen. Er worden bijzondere beheersmaatregelen getroffen om deze ongewenste software te ontdekken, te verwijderen en mobile code te beheersen. Back-up en recovery beleid Om de continuïteit van de processen verder te garanderen wordt er een actief back-up beleid met een bijbehorende back-upstrategie gevolgd. De eisen aan mogelijke minimale uitval zullen worden bepaald door de uitvoering van risicoanalyses, maar worden opgelegd vanuit wettelijke eisen en overeenkomsten. Vanuit de wet en regelgeving zoals GBA en BAG stellen verschillende systemen specifieke eisen aan de continuïteit en hierdoor aan het maken van back-ups. Regelmatig zal geoefend worden met het herstel van de gegevens. Aan de back-up omgeving worden uiteraard specifieke eisen gesteld. De back-up omgeving functioneert onder geconditioneerde omstandigheden waarbij de opslag niet aan dezelfde gevaren blootstaat als de oorspronkelijke locatie. Tevens is de back-up omgeving slechts toegankelijk voor geautoriseerde medewerkers. Beheer media Media behoren te worden beheerd en fysiek te worden beschermd. Er worden passende maatregelen getroffen om documenten, opslagmedia in- en uitvoergegevens en systeemdocumentatie te beschermen tegen onbevoegde openbaarmaking, wijziging, verwijdering en vernietiging. Er zijn procedures en normen vastgesteld ter bescherming van informatie en fysieke media die informatie bevatten, en media die wordt getransporteerd. Netwerkkoppelingen De gemeente maakt gebruik van netwerkkoppelingen en netwerken van en met derden. Ten aanzien van het beheer en de beveiliging hiervan worden door deze partijen extra aanvullende beveiligingeisen gesteld. De gemeente is zich bewust van haar verantwoordelijkheid en neemt de vereiste beheersmaatregelen. Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 13 van 22

15 Indien er een uitwisseling van informatie tussen organisaties, zoals andere gemeenten of overheidsinstanties plaatsvindt, zal dit worden uitgevoerd op basis van een formeel uitwisselingsbeleid, in overeenstemming met relevante wet- en regelgeving. Loggegevens De loggegevens worden opgeslagen en worden alleen ingezien door de geautoriseerde medewerkers. De gegevens worden periodiek gecontroleerd en gerapporteerd aan het management. Tevens wordt er gebruik gemaakt van logbestanden van operators en storingsregistraties om te waarborgen dat de informatiesysteemproblemen worden vastgesteld. Wijzigingsbeheer De gemeente is zich er van bewust dat wijzigingen in ICT-voorzieningen en informatiesystemen op een beheerste en gecontroleerde wijze plaats moeten vinden. De verantwoordelijkheden voor het goedkeuren en doorvoeren voor de wijzigingen zijn vastgelegd om afdoende beheersing van alle wijzigingen aan apparatuur, programmatuur of procedures te waarborgen. Wijzigingen in IT voorzieningen en informatiesystemen zullen beoordeeld worden op het potentiële effect op de beveiliging voordat de wijziging wordt doorgevoerd. De wijzigingen zijn opgenomen in een auditlogbestand met alle relevante informatie. Gemeentelijk Cloud Computing beleid Het Cloud Computing beleid is nog in ontwikkeling bij de gemeente. Alvorens gebruik te maken van diensten op basis van Cloud Computing dient door het management een afgewogen keuze gemaakt te worden waarin alle argumenten worden meegewogen. Bij het afnemen van Cloud-diensten door de gemeente wordt geen verantwoordelijkheid overgedragen. De gemeente is en blijft verantwoordelijk voor de manier waarop een Cloud leverancier omgaat met informatiebeveiliging. In het geval van persoonsgegevens is dit geregeld in de WBP Artikel 14. Cloud Computing raakt alle maatregelen die de gemeente zelf neemt in de eigen infrastructuur. Deze maatregelen worden vervolgens gedeeld door de Cloud leverancier en door de gemeente getoetst. 1. Het management is en blijft verantwoordelijk voor de gegevens en diensten die zij in de Cloud opslaat en gebruikt, en dient een afgewogen keuze te maken of een informatiesysteem in de Cloud gebruikt mag en kan worden. 2. Uitbesteding is goedgekeurd door de voor het informatiesysteem verantwoordelijke lijnmanager. 3. De gemeenten blijft verantwoordelijk voor de betrouwbaarheid (beschikbaarheid, exclusiviteit en integriteit) van uitbestede diensten. 4. Op basis van een risicoanalyse wordt bepaald wat de beschikbaarheids eis van een ICT-voorziening is en wat de impact bij uitval is. Afhankelijk daarvan worden maatregelen bepaald, zoals automatisch werkende mechanismen om uitval van (fysieke) ICT-voorzieningen, waaronder verbindingen op te vangen. Bijvoorbeeld de controle op aanwezigheid van een component en metingen die het gebruik van een component vaststellen. 5. Beveiligingskenmerken, niveaus van dienstverlening en beheerseisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in elke overeenkomst voor netwerkdiensten, zowel voor diensten die intern worden geleverd als voor uitbestede diensten. 6. Op basis van voorspellingen van het gebruik wordt actie genomen om tijdig de benodigde uitbreiding van capaciteit te bewerkstelligen. 7. Er zijn continuïteitsplannen voor het herstel van incidenten, zoals aanvallen met virussen waarin minimaal maatregelen voor back-ups en herstel van gegevens en programmatuur zijn beschreven. 8. Bij transport van vertrouwelijke informatie over onbetrouwbare netwerken, zoals het internet, dient altijd geschikte encryptie te worden toegepast. 9. Gegevensuitwisseling tussen vertrouwde en niet vertrouwde zones dient inhoudelijk geautomatiseerd gecontroleerd te worden op aanwezigheid van malware. 10. Er worden afspraken gemaakt over de inhoud van rapportages, zoals over het melden van incidenten en autorisatiebeheer. 11. De in de bewerkersovereenkomst of dienstverleningscontracten vastgelegde betrouwbaarheidseisen worden gemonitord. Dit kan bijvoorbeeld door audits of rapportages en gebeurt minimaal eens per jaar (voor ieder systeem). Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 14 van 22

16 12. Er zijn voor beide partijen eenduidige aanspreekpunten. 13. In het geval van verwerken van persoonsgegevens is er een bewerkersovereenkomst waarin helder alle rechten en plichten van de leverancier en gemeente zijn vastgelegd. De vastgelegde beveiligingsmaatregelen worden jaarlijks door de gemeente geaudit bij de leverancier (zie ook 11). 3.6 Logische toegangsbeveiliging Toegang tot systemen en netwerken Binnen de gemeente wordt gebruik gemaakt van digitale en niet digitale informatie. De gemeente is zich er van bewust dat deze informatie beveiligd moet worden tegen ongeautoriseerde kennisname, en wijzigingen. Er zijn formele procedures voor de beheersing van toewijzing van toegangsrechten tot informatiesystemen en -diensten. Gebruikersaccount Een toegang is persoonlijk en gebonden aan een medewerker. Een nieuwe medewerker zal slechts mogen werken als deze zijn persoonlijke inloggegevens (gebruikersaccount en wachtwoord ) heeft ontvangen. De gemeente treft beveiligingsvoorzieningen om toegang tot en binnen toepassingssystemen te beperken. De logische toegang tot toepassingsprogrammatuur en informatie behoort te worden beperkt tot bevoegde gebruikers. Toepassingssystemen behoren: de toegang tot de functies van de informatie- en toepassingssystemen te beheersen in overeenstemming met het vastgestelde toegangsbeleid; bescherming te bieden tegen onbevoegde toegang tot alle hulpprogramma s, programmatuur van het besturingssysteem en virussen waarmee beheersmaatregelen in systemen of toepassingen kunnen worden gepasseerd; de beveiliging niet in gevaar te brengen van andere systemen waarmee informatiebronnen worden gedeeld. Als een medewerker de organisatie verlaat, wordt zijn account geblokkeerd en verwijderd. Extra aandacht vragen accounts met speciale toegangsrechten. Met deze rechten zijn gebruikers in staat meer handelingen op het systeem uit te voeren, en is veel informatie en data in te zien. Deze accounts zullen dan streng gecontroleerd worden. Verantwoordelijkheid Een doeltreffende beveiliging is afhankelijk van de medewerking van geautoriseerde gebruikers. Zij moeten hun verantwoordelijkheid voor het handhaven van doeltreffende toegangsbeveiliging nemen, vooral met betrekking tot het gebruik van wachtwoorden en de beveiliging van gebruikersapparatuur. Opslag informatie Binnen de organisatie wordt gebruik gemaakt van dossiers, brieven en dergelijke. Naast de beveiliging van de digitale informatie moeten deze dossiers, brieven en dergelijk ook worden beveiligd. De gemeente draagt het beleid uit om deze informatie in een afgesloten opbergruimte op te slaan om het risico van ongeoorloofde toegang of schade aan papieren media te verminderen. Draagbare computerapparatuur Er worden geschikte beschermingsmaatregelen genomen bij telewerken of werken op afstand. De organisatie beschermd daar waar mogelijk de locatie waar en de apparatuur waarmee het telewerken plaatsvindt en te waarborgen dat geschikte voorzieningen zijn aangebracht voor deze manier van werken. Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 15 van 22

17 3.7 Systeem ontwikkeling en onderhoud De organisatie ontwikkelt zelf geen systemen maar heeft de ontwikkeling uitbesteed. Bij de gebruikersovereenkomsten zal de gemeente van de partij eisen dat de beveiligingseisen in het te ontwikkelen systeem worden meegenomen. Ontwerp en implementatie van het informatiesysteem dat het bedrijfsproces ondersteund kunnen van doorslaggevend belang zijn voor de beveiliging. Beveiligingseisen behoren voorafgaand aan de ontwikkeling en/of implementatie van informatiesystemen te worden vastgesteld en overeengekomen. Alle beveiligingseisen behoren te worden vastgesteld tijdens de specificatie van de eisen voor het project en behoren te worden verantwoord, overeengekomen en gedocumenteerd als onderdeel van de totale aanschaf van het informatiesysteem. Voor systemen waarop gevoelige, waardevolle of kritische informatie wordt verwerkt, of die invloed hebben op deze informatie, kunnen aanvullende beheersmaatregelen vereist zijn. Dergelijke beheersmaatregelen behoren te worden opgesteld op basis van de interne en externe beveiligingseisen en een risicobeoordeling. Toegang tot systeembestanden Bij het verlenen van autorisatie en toegang wordt extra aandacht besteed aan de toegang tot systeembestanden en programmabroncode. De gemeente verbiedt het gebruik van productiedata en productiedatabases in testomgevingen en vice versa. De testdata wordt voor dit doel geanonimiseerd De productiedata zal uitsluitend binnen de gemeente op productiesystemen worden gebruikt. Risicomanagement Om de technische kwetsbaarheid van de ICT-voorzieningen te verminderen behoort risicomanagement op een doeltreffende, systematische en herhaalbare wijze geïmplementeerd te worden, met bijhorende metingen om de doeltreffendheid ervan te bevestigen. In deze overwegingen behoren besturingssystemen en alle andere gebruikte toepassingen te worden meegenomen. 3.8 Incident management Er is een formeel proces voor rapportage van gebeurtenissen en escalatie ingericht. Alle werknemers, ingehuurd personeel en externe gebruikers zijn op de hoogte van de procedures voor het rapporteren van de verschillende soorten gebeurtenissen en zwakke plekken die invloed kunnen hebben op de beveiliging van de bedrijfsmiddelen. Zij zijn verplicht om alle (informatie) beveiligingsincidenten en zwakke plekken zo snel mogelijk te rapporteren aan de aangewezen contactpersoon. Rapportage beveiligingsincidenten Door de daartoe aangewezen verantwoordelijken wordt doeltreffend gehandeld op de rapportage van (informatie)beveiligingsincidenten en zwakke plekken. Er is een proces van continue verbetering ingericht, gericht op het reageren op, het controleren van, het beoordelen en beheer van (informatie)beveiligingsincidenten. Om naleving van wettelijke eisen te waarborgen behoort afdoende bewijs te worden verzameld. 3.9 Continuïteitsplanning De bedrijfscontinuïteit van de informatiesystemen wordt als belangrijk gezien. Als informatie een bepaalde periode niet beschikbaar is, kan de gemeente haar burgers niet meer bedienen. De wet en regelgevingen GBA en BAG stellen specifieke eisen aan de beschikbaarheid van de bedrijfsprocessen. De gemeente stelt vast dat er diverse maatregelen getroffen worden om te zorgen dat uitval van de processen tot een minimum wordt beperkt. Echter erkent de gemeente dat er altijd situaties kunnen optreden dat deze maatregelen niet meer zullen voldoen. De gemeente heeft een beheerproces van bedrijfscontinuïteit geïmplementeerd om de uitwerking op de organisatie, veroorzaakt door het verlies Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 16 van 22

18 van informatie (als gevolg van bijvoorbeeld natuurrampen, ongevallen, uitval van apparatuur en opzettelijke handelingen) en het herstellen daarvan, tot een aanvaardbaar niveau te beperken. Identificatie bedrijfsprocessen Om inzage te krijgen in het belang van de te onderkennen bedrijfsprocessen zullen alle processen beoordeeld worden op hun aard. Er is een proces aanwezig welke de kritische bedrijfsprocessen identificeert. Het behoort de informatiebeveiligingseisen voor de bedrijfscontinuïteit te integreren met andere continuïteiteisen, zoals die zijn bepaald voor personeel, operaties (bijv. verhuizingen), materialen, transport en voorzieningen. Business impact analyse De gevolgen van rampen, beveiligingsincidenten, uitval van diensten en de beschikbaarheid van diensten behoren te worden beoordeeld aan de hand van een business impact analyse. Er zijn continuïteitsplannen ontwikkeld en geïmplementeerd om het tijdig hervatten van essentiële bedrijfsprocessen te waarborgen. Informatiebeveiliging is een integraal onderdeel van het totale bedrijfscontinuïteit proces en andere beheerprocessen binnen de organisatie. Het beheerproces van bedrijfscontinuïteit behoort beheersmaatregelen te omvatten voor het identificeren en verminderen van risico's, als aanvulling op het algemene risicobeoordelingsproces, het beperken van de consequenties van incidenten die schade toebrengen en veiligstellen dat informatie die vereist is voor het bedrijfsproces vlot weer beschikbaar is. Uitwijk Vanuit de wet en regelgeving is aangeven dat het GBA en BAG systeem binnen 48 uur na uitval weer volledig operationeel moeten zijn. Dit houdt in dat de gemeente maatregelen getroffen heeft om aan deze eisen te voldoen. In veel gevallen zullen de werkzaamheden op de huidige locatie voortgezet kunnen worden, maar in uitzonderlijke omstandigheden zal een uitwijk noodzakelijk zijn. De gemeente zal hiervoor passende maatregelen treffen: hierbij zullen niet alleen de technische voorzieningen aanwezig zijn. Er zullen ondersteunende maatregelen (zoals opslag van noodzakelijke documentatie en andere bedrijfsmiddelen) getroffen worden om de voortgang van het proces te waarborgen Toezicht en Naleving De gemeente Alphen aan den Rijn leeft de relevante wettelijke en regelgevende eisen en contractuele verplichtingen na. Hiervoor zijn passende maatregelen getroffen binnen de organisatie. Specifiek betreft het de wettelijke vereisten vanuit: Wet Bescherming Persoonsgegevens; Auteurswet; Wet Computer Criminaliteit; Archiefwet; Basisregistraties voor Adressen en Gebouwen (BAG); Gemeentelijke Basisadministratie ( GBA); SuwiNet. Paspoortuitvoeringsregeling Nederland De maatregelen zijn getroffen voor zowel de bediening, het gebruik als het beheer van informatiesystemen. De gemeente zal bij haar activiteiten de relevante wet- en regelgeving nauwlettend in de gaten houden en daar waar nodig hieraan verdere invulling geven. Indien de gemeente besluit een informatiesysteem te laten ontwerpen zal bij de ontwikkeling de relevante wet- en regelgeving moeten worden betrokken. Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 17 van 22

19 Advisering Ten aanzien van specifieke juridische eisen zal de organisatie advies in winnen bij interne en/of externe juridische adviseurs. Beoordeling informatiesystemen De gemeente laat periodiek haar informatiesystemen beoordelen op basis van het informatiebeveiligingsbeleid. De beoordeling van de technische platforms en informatiesystemen vindt plaats op de naleving van de toepasselijke normen voor de invoering van de beveiliging en gedocumenteerde beveiligingsmaatregelen (naar opzet, bestaan en werking). De wettelijk verplichte beoordeling van het informatiesysteem kan zowel door een intern deskundige als door een externe, onafhankelijke partij plaatsvinden. Over deze audit wordt gerapporteerd aan het management. ICT en externe hosting providers leggen verantwoording af aan de gemeente over de naleving van het IB-beleid. Bij uitbestede (beheer)processen kan een verklaring bij leveranciers worden opgevraagd (TPM of ISAE3402-verklaring). Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 18 van 22

20 4. Verantwoordelijkheden met betrekking tot beveiliging In deze paragraaf worden uitsluitend de verantwoordelijkheden met betrekking tot de beveiliging aangegeven. 4.1 Algemene verantwoordelijkheden Het totale personeel werkend voor de organisatie heeft de verplichting om: De aan hun toevertrouwde hardware, software en informatie te beschermen. Digitaal en niet digitaal Introductie van schadelijke software op de IT systemen van de organisatie te voorkomen. Elke verdachte of actuele bedreiging van de beveiliging te rapporteren. Verantwoordelijkheid voor de implementatie van het beleid voor wat betreft ICT-voorzieningen en gebruik hiervan binnen de organisatie, is verder gedelegeerd aan de manager I&A. De medewerk(st)ers van de gemeentelijke organisatie zijn zelf verantwoordelijk voor alle aspecten van beveiliging met betrekking tot de eigen functie. Dat betekent het in acht nemen van zorgvuldigheid bij het omgaan van informatie (en technologie). 4.2 Verantwoordelijkheden management Het management van de gemeente Alphen aan den Rijn is verantwoordelijk voor: Het tot stand komen van het informatiebeveiligingsbeleid als basis voor de informatiebeveiliging van de organisatie. Beleggen van de verantwoordelijkheden voor de informatiebeveiliging. Benoemen van een functionaris in het kader van de Wet Bescherming Persoonsgegevens (WBP). Waarborgen dat daar waar van toepassing, medewerkers training ondergaan op het vlak van ICTbeveiligingsbewustzijn. 4.3 Verantwoordelijkheden Beveiligingsfunctionaris De beveiligingsfunctionaris is verantwoordelijk voor: Voorzitten van de werkgroep informatiebeveiliging. Het acteren als een centraal aanspreekpunt voor informatiebeveiliging binnen de organisatie, voor zowel interne medewerkers als externe organisaties. Implementeren van een effectief kader voor beveiliging. Ondersteunen bij het formuleren van het informatiebeveiligingsbeleid. Het mede adviseren over de inhoud en implementatie van het informatiebeveiligingsprogramma. Het coördineren van het opstellen en aanpassen van organisatiestandaards, procedures en handleidingen voor informatiebeveiliging en deze ter goedkeuring aanbieden aan het managementforum voor informatiebeveiliging. Beheer van en het toezicht op de naleving van de beveiligingsprocedures t.a.v.: Paspoortuitvoeringsregeling Nederland Coördinatie van informatiebeveiligingsactiviteiten en in het bijzonder met betrekking tot gemeenschappelijk gebruikte informatiesystemen en IT infrastructuren. Het onderhouden van contacten met externe organisaties betreffende informatiebeveiliging. 4.4 Verantwoordelijkheden functionaris ICT Beveiliging (beveiligingsmedewerker) De functionaris ICT-beveiliging is verantwoordelijk voor: Deelname in de werkgroep informatiebeveiliging. Rapporteren aan de beveiligingsfunctionaris over aangelegenheden m.b.t. ICT-beveiliging. Opstellen, onderhouden en uitdragen van richtlijnen over en behouden van overzicht bij de implementatie van de ICT-beveiliging. De organisatie vertegenwoordigen in interne en externe commissies m.b.t. ICT-beveiliging. Waarborgen dat de risico's voor IT-systemen gereduceerd zijn tot een acceptabel niveau door het toepassen van beveiligingsmaatregelen vastgesteld op basis van een risicoanalyse. Waarborgen dat de toepassing en/of ontwikkeling van de vereiste standaards en procedures in Informatiebeveiligingsbeleid Alphen aan den Rijn Pagina 19 van 22