Informatiebeveiligingsbeleid SBG

Transcriptie

1 Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan BK Bilthoven T: E: W: Informatiebeveiligingsbeleid SBG

2 Inhoudsopgave 1 Inleiding Toelichting Definitie van informatiebeveiliging Doelstelling informatiebeveiligingsbeleid Doelstelling informatiebeveiliging Werkingsgebied Verantwoordelijkheid informatiebeveiligingsbeleid Ondersteunende documentatie Inhoud Informatiebeveiligingsbeleid 4 2 Uitgangspunten informatiebeveiliging SBG 5 3 Beleidsproces voor informatiebeveiliging Overzicht beleidsproces informatiebeveiliging Beleidsvorming Analyse Planvorming Implementatie Evaluatie en controle Cyclisch proces 8 4 Organisatie van informatiebeveiliging Toelichting Strategisch, tactisch en operationeel niveau Generieke rollen voor informatiebeveiliging Rollen en functies voor informatiebeveiliging Overlegvormen voor informatiebeveiliging Controle en rapportage over informatiebeveiliging 13 Informatiebeveiligingsbeleid SBG

3 1 INLEIDING 1.1 Toelichting Dit document beschrijft het informatiebeveiligingsbeleid van SBG haar kantooromgeving. Het informatiebeveiligingsbeleid van de Benchmark Rapportage Module (BRaM) is vastgelegd in Informatiebeveiligingsbeleid BRaM. Informatievoorziening is belangrijk voor de continuïteit van bedrijfsvoering. Belanghebbenden en medewerkers van SBG zijn voor het dagelijks werk afhankelijk van de beschikbaarheid van betrouwbare informatie. Informatievoorziening is gevoelig voor (opzettelijke) bedreigingen. Door deze bedreigingen moet men maatregelen nemen om risico s te beperken. Informatiebeveiliging begint met het definiëren van beleid en dit is vastgelegd in voorliggend document dat op 10 juni 2014 opnieuw door de directie is vastgesteld en op 4 september 2014 door het SBG-bestuur gefiatteerd. 1.2 Definitie van informatiebeveiliging Informatiebeveiliging is als volgt gedefinieerd: Het samenhangend stelsel van maatregelen dat zich richt op het blijvend realiseren van een optimaal niveau van beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiesystemen. Informatiebeveiliging is een samenhangend stelsel van maatregelen: dit betekent dat de verschillende maatregelen samen de informatiebeveiliging vormen en in onderlinge relatie met elkaar staan. Het stelsel van beveiligingsmaatregelen moet een blijvend niveau van beveiliging realiseren. Door borging wordt bereikt dat het gewenste beveiligingsniveau ook op langere termijn blijft gehandhaafd. Informatiebeveiliging is gericht op het realiseren van een optimaal niveau van beveiliging. Dit meest gunstige niveau bereikt men door afweging van kosten en baten. 1.3 Doelstelling informatiebeveiligingsbeleid Het doel van informatiebeveiligingsbeleid is de doelstellingen en uitgangspunten van informatiebeveiliging vast te stellen en vast te leggen. Hiermee vormt het beleid de leidraad voor alle betrokkenen bij informatiebeveiliging binnen SBG. Met het opstellen van informatiebeveiligingsbeleid wordt invulling gegeven aan de hoofdstukken 5 Beveiligingsbeleid en 6 Organiseren van informatiebeveiliging van NEN 7510: 2011, Informatiebeveiliging in de zorg. Informatiebeveiligingsbeleid SBG

4 1.4 Doelstelling informatiebeveiliging Zoals in de definitie staat: informatiebeveiliging betreft de volgende aspecten van informatievoorziening: - Beschikbaarheid: de informatie is op de gewenste momenten beschikbaar. - Integriteit: de informatie is juist en volledig, en de informatiesystemen bevatten en verwerken juiste en volledige informatie. - Vertrouwelijkheid: de informatie is alleen toegankelijk voor de persoon die hiervoor bevoegd is. 1.5 Werkingsgebied Het informatiebeveiligingsbeleid betreft de kantooromgeving: de werkplekken en de Hosted Business Suite (HBS): CRM, Exchange en SharePoint. Het beleid richt zich op alle medewerkers en personeel dat door derden is ingezet om diensten te verlenen aan SBG. Ook is het informatiebeveiligingsbeleid van toepassing op de gegevensuitwisseling met organisaties en personen. 1.6 Verantwoordelijkheid informatiebeveiligingsbeleid De directie is eindverantwoordelijk voor het informatiebeveiligingsbeleid. De kwaliteitsfunctionaris is verantwoordelijk voor het opstellen en onderhoud van het informatiebeveiligingsbeleid. 1.7 Ondersteunende documentatie Dit informatiebeveiligingsbeleid is uitgewerkt in met name de volgende documenten: - Arbeidsovereenkomst, inclusief Verklaring van Geheimhouding, - Informatiebeveiligingsplan, - Interne audit, - Personeelshandboek, inclusief Huishoudelijk reglement. 1.8 Inhoud Informatiebeveiligingsbeleid Hoofdstuk 2 beschrijft de uitgangspunten die gelden bij de toepassing van informatiebeveiliging. Hoofdstuk 3 behandelt het beleidsproces voor informatiebeveiliging en hoofdstuk 4 beschrijft de organisatie van informatiebeveiliging. Informatiebeveiligingsbeleid SBG

5 2 UITGANGSPUNTEN INFORMATIEBEVEILIGING Bij de toepassing van informatiebeveiliging gelden de volgende uitgangspunten: - SBG voldoet aan de normen NEN 9001: Kwaliteitsmanagement en NEN 7510: Medische informatica - Informatiebeveiliging in de zorg. - SBG voldoet aan de Wet bescherming persoonsgegevens (Wbp) en de regels van het College bescherming persoonsgegevens (CBP). - Informatiebeveiliging is onderdeel van integrale managementverantwoordelijkheid. Alle afdelingen van SBG hebben hiertoe verantwoordelijkheden voor informatiebeveiliging. De in hoofdstuk 4 beschreven organisatie van informatiebeveiliging vormt hierbij de leidraad. - Als een afdeling van SBG een samenwerkingsverband aangaat met een externe partij, dan wordt nadrukkelijk aandacht besteed aan informatiebeveiliging. Afspraken hierover worden schriftelijk vastgelegd in een Service level agreement en op de naleving hiervan wordt toegezien. - Bij de aanname, tijdens het dienstverband en in geval van ontslag van een medewerker wordt nadrukkelijk aandacht besteed aan de betrouwbaarheid van de medewerker en aan de waarborging van de vertrouwelijkheid van informatie. - SBG voert actief beleid om het beveiligingsbewustzijn van alle medewerkers te stimuleren. - Medewerkers beschikken over gedragsregels voor het gebruik van informatievoorzieningen. De leidinggevende en kwaliteitsfunctionaris controleren de naleving van deze gedragsregels. - Bij overtreding van een informatiebeveiligingsvoorschrift of wettelijke bepaling kan de directie een sanctie opleggen overeenkomstig het bepaalde in de Arbeidsovereenkomst en het Personeelshandboek. - Alle afdelingen hebben maatregelen getroffen voor de fysieke beveiliging van mensen en middelen, waaronder vertrouwelijke informatie en apparatuur waarop deze informatie is opgeslagen. - Alle afdelingen hebben maatregelen getroffen voor het beheer en de beveiliging van de communicatie- en informatievoorzieningen. Maatregelen tegen vormen van kwaadaardige programmatuur (computervirussen, phishing, spam, spyware, et cetera) vormen hierin een belangrijk onderdeel. - Alle afdelingen hebben maatregelen getroffen die waarborgen dat alleen geautoriseerde medewerkers gebruik kunnen maken van de communicatie- en informatievoorzieningen. Informatiebeveiligingsbeleid SBG

6 - Bij de ontwikkeling en aanschaf van informatiesystemen wordt in alle fasen van het aanschaf- of ontwikkelingsproces nadrukkelijk aandacht besteed aan informatiebeveiliging. - Alle afdelingen hebben maatregelen getroffen waardoor de beschikbaarheid van de bedrijfsprocessen en de hierbij gebruikte informatie(systemen) is gewaarborgd, zowel in normale als in buitengewone omstandigheden. - Als onderdeel van het beleidsproces voor informatiebeveiliging wordt binnen SBG door interne en externe partijen toegezien op de naleving van het informatiebeveiligingsbeleid. - Alle afdelingen beschikken over middelen voor het melden en afhandelen van beveiligingsincidenten. De evaluatie van de afhandeling van beveiligingsincidenten wordt gebruikt voor de verbetering van informatiebeveiliging. Informatiebeveiligingsbeleid SBG

7 3 BELEIDSPROCES VOOR INFORMATIEBEVEILIGING 3.1 Overzicht beleidsproces informatiebeveiliging Het beleidsproces voor informatiebeveiliging omvat de volgende vijf stappen. 1. Beleids - vorming 5. Evaluatie en controle 2. Analyse 4. Implementatie 3. Plan - vorming In de volgende paragrafen zijn deze vijf stappen toegelicht. 3.2 Beleidsvorming Zoals beschreven in paragraaf 1.1 start het beleidsproces voor informatiebeveiliging met het opstellen van informatiebeveiligingsbeleid. In dit beleid zijn de doelstellingen en uitgangspunten voor informatiebeveiliging vastgelegd. Hiermee vormt het beleid de leidraad voor de overige stappen van het beleidsproces. 3.3 Analyse De tweede stap van het beleidsproces voor informatiebeveiliging bestaat uit analyse van de bestaande situatie en dit heeft tot doel: - Inzicht in de kwaliteit van de bestaande beveiligingsmaatregelen. - Inzicht in de risico s die het realiseren van het gewenste beveiligingsniveau beperken. - Het gewenste niveau van informatiebeveiliging vaststellen in de vorm van een classificatie van bedrijfsprocessen, gegevensverzamelingen en informatiesystemen. Over de uitkomsten van de analyse van de bestaande situatie voor informatiebeveiliging wordt gerapporteerd aan de afdeling-leidinggevende en de directie. Informatiebeveiligingsbeleid SBG

8 3.4 Planvorming Op basis van de uitkomsten van de analyse van de bestaande situatie voor informatiebeveiliging noteert de kwaliteitsfunctionaris in overleg met de Teamleider ICT een Concept Informatiebeveiligingsplan. Dit vermeldt de verbeteractiviteiten voor de realisatie van het gewenste beveiligingsniveau. Het Informatiebeveiligingsplan wordt vastgesteld door de directie. 3.5 Implementatie Aan de hand van het Informatiebeveiligingsplan realiseert de kwaliteitsfunctionaris de implementatie van de aanvullende beveiligingsmaatregelen door, onder andere, het opstellen van procedures en richtlijnen voor informatiebeveiliging, het invoeren van beveiligingshulpmiddelen en het informeren van directie en medewerkers. 3.6 Evaluatie en controle De laatste stap van het beleidsproces voor informatiebeveiliging bestaat uit evaluatie en controle. Met betrekking tot informatiebeveiliging zijn de volgende controlevormen: - Controle op de naleving van het informatiebeveiligingsbeleid en de hieruit voortvloeiende maatregelen en richtlijnen. - Controle op de voortgang van de implementatie en borging van het informatiebeveiligingsbeleid en de hieruit voortvloeiende maatregelen en richtlijnen. - Onafhankelijke controle. De organisatie van deze controle en de afspraken voor rapportage zijn in Hoofdstuk 4 uitgewerkt. 3.7 Cyclisch proces Het beleidsproces voor informatiebeveiliging is een cyclisch proces. Dit betekent dat op basis van de uitkomst van controles en evaluaties, of door nieuwe ontwikkelingen zoals de introductie van nieuwe bedrijfsprocessen of informatiesystemen, het noodzakelijk kan zijn om het informatiebeveiligingsbeleid te wijzigen. Informatiebeveiligingsbeleid SBG

9 4 ORGANISATIE VAN INFORMATIEBEVEILIGING 4.1 Toelichting Dit hoofdstuk omvat de organisatie van informatiebeveiliging. Het is belangrijk dat de verantwoordelijkheden, taken en bevoegdheden met betrekking tot informatiebeveiliging eenduidig zijn toegewezen. Deze toewijzing moet voorkomen dat beveiligingstaken niet of dubbel worden uitgevoerd. Ook biedt toewijzing van taken en verantwoordelijkheden de mogelijkheid om decharge te verlenen voor de uitgevoerde werkzaamheden. De organisatie van informatiebeveiliging is beschreven volgens de invalshoeken: - Het niveau van de beveiligingstaken, waarbij onderscheid wordt gemaakt naar strategische, tactische en operationele informatiebeveiliging. - Generieke rollen voor informatiebeveiliging, waarbij de rollen van eigenaar, functioneel beheerder, applicatiebeheerder, technisch beheerder en gebruiker worden onderscheiden. - Rollen en functies voor informatiebeveiliging binnen SBG. Ook besteedt dit hoofdstuk aandacht aan de overlegvormen die voor informatiebeveiliging van belang zijn en aan de manier waarop controle en rapportage is vormgegeven. 4.2 Strategisch, tactisch en operationeel niveau Onderstaande overzicht toont de indeling van activiteiten van informatiebeveiliging, waarbij het niveau van de activiteiten als onderscheidend criterium is gehanteerd. Niveau Activiteit Verantwoordelijke Documentatie Strategisch Beleid vaststellen Directie Informatiebeveiligingsbeleid, Informatiebeveiligingsplan, Richtlijnen Strategisch, tactisch en operationeel Beleid en plan open bijstellen, uitvoeren audits Kwaliteitsfunctionaris Informatiebeveiligingsbeleid, Informatiebeveiligingsplan, Richtlijnen Tactisch Plannen Teamleider ICT Informatiebeveiligingsplan, Richtlijnen Operationeel Uitvoeren Medewerkers Richtlijnen Op strategisch niveau is de directie, ondersteund door de kwaliteitsfunctionaris, verantwoordelijk voor beleidsvorming van informatiebeveiliging. De beleidsvorming wordt vastgelegd in het Informatiebeveiligingsbeleid en uitgewerkt in het Informatiebeveiligingsplan, maatregelen en richtlijnen. Het tactisch niveau omvat de planning van activiteiten van informatiebeveiliging. Informatiebeveiligingsbeleid SBG

10 De kwaliteitsfunctionaris is verantwoordelijk voor dit Informatiebeveiligingsplan, het meet- en stuurinstrument dat bij deze planning wordt ingezet. De kwaliteitsfunctionaris wordt hierin ondersteund door de teamleider ICT. De uitvoering van activiteiten van informatiebeveiliging vindt plaats op operationeel niveau. De eerstverantwoordelijke voor deze activiteit is de kwaliteitsfunctionaris, zie paragraaf 4.4. Het structureren van de uitvoering van taken met betrekking tot informatiebeveiliging is vastgelegd in procedures. 4.3 Generieke rollen voor informatiebeveiliging Voor gegevensverzamelingen en informatiesystemen zijn de volgende rollen en verantwoordelijkheden toegewezen. Rol Verantwoordelijkheden Directie: eindverantwoordelijke Beslissingsrecht voor de gegevensverzamelingen en informatiesystemen. Bepalen van de beveiligingseisen. Kwaliteitsfunctionaris Adviseert de eindverantwoordelijke bij het bepalen van de beveiligingseisen. Ziet toe op een juiste werking van de informatiesystemen. Adviseert en controleert medewerkers bij het naleven van beveiligingsrichtlijnen en procedures. Functioneel Ondersteunt de kwaliteitsfunctionaris bij het bepalen van de Applicatiebeheerder beveiligingseisen. Operationele instandhouding van de informatiesystemen. Gebruiker (medewerkers) Toepassing van de gegevensverzamelingen en de informatiesystemen. Naleving van beveiligingsrichtlijnen en procedures. Ontwikkelaar: ICT-leverancier Ontwikkelt de informatiesystemen conform de (beveiligings)eisen die door de eindverantwoordelijke zijn gesteld, adviseert over de realisatie en de beveiliging van de informatiesystemen. Technisch beheerder: ICTleverancier Exploitatie van de technische infrastructuur. Ziet toe op een juiste technische werking van de technische infrastructuur. De directie en ICT-leverancier maken afspraken over de uitvoering van de beveiligingstaken en leggen deze vast in een Service level agreement (SLA). 4.4 Rollen en functies voor informatiebeveiliging Toelichting Alle afdelingen zijn bij informatiebeveiliging betrokken. In dit informatiebeveiligingsbeleid worden de verantwoordelijkheden van de volgende functies en rollen beschreven: - Directie, - Functioneel applicatiebeheerder en teamleider ICT, - Kwaliteitsfunctionaris, - Office manager. Informatiebeveiligingsbeleid SBG

11 Directie De directie is eindverantwoordelijk voor alle activiteiten binnen SBG en dus ook voor informatiebeveiliging. Deze verantwoordelijkheid omvat: - Het vaststellen van het informatiebeveiligingsbeleid en daaruit voortvloeiende richtlijnen. - Het toezien op de naleving door de afdelingen van het informatiebeveiligingsbeleid. - Het evalueren van de toepassing en werking van het informatiebeveiligingsbeleid op basis van rapportages over informatiebeveiliging. De directie is verantwoordelijk voor de inrichting en uitvoering van de bedrijfsprocessen. De verantwoordelijkheid voor de bedrijfsprocessen omvat ook informatiebeveiliging en de ICTinfrastructuur, waarvan een afdeling eventueel zelf eigenaar is. De kwaliteitsfunctionaris ondersteunt hierbij de directie. De verantwoordelijkheid van de directie omvat ook de volgende taken: - actieve en positieve houding ten aanzien van informatiebeveiliging en fungeren als voorbeeldfunctie, - autoriseren van medewerkers, - informatiebeveiliging behandelen in werkoverleg, beoordelingen, et cetera, - toezicht houden op de naleving van informatiebeveiligingsmaatregelen, - medewerking verlenen aan verbeteracties, - afhandelen van informatiebeveiligingsincidenten, en - de directie is verplicht het bestuur direct te informeren in geval van een ernstige schending van de informatiebeveiliging. Informatiebeveiliging betreft de beschikbaarheid, integriteit en de vertrouwelijkheid van de informatievoorziening. Hiermee levert informatiebeveiliging een bijdrage aan de kwaliteit van de bedrijfsvoering. De directie en de kwaliteitsfunctionaris stemmen hun activiteiten af om bedrijfsvoering en informatiebeveiliging optimaal tot hun recht te laten komen. Functioneel applicatiebeheerder en teamleider ICT De functioneel applicatiebeheerder en teamleider ICT zijn verantwoordelijk voor de instandhouding van de centrale geautomatiseerde informatievoorziening. Dit betreft ook informatiebeveiliging en de volgende verantwoordelijkheden: de functioneel applicatiebeheerder en zijn teamleider zijn, samen met de andere leden van de afdeling ICT, verantwoordelijk voor de beveiliging van de centrale ICTinfrastructuur, inclusief de aan de ICT-leverancier uitbestede ICT-architectuur. Kwaliteitsfunctionaris De kwaliteitsfunctionaris is de centrale medewerker met betrekking tot informatiebeveiliging. Op hoofdlijnen omvat deze functie de volgende verantwoordelijkheden: - Beleidsvorming, het beheren van SBG-brede informatiebeveiligingsbeleid en hieruit voortvloeiende SBG-brede richtlijnen en procedures. Informatiebeveiligingsbeleid SBG

12 - Controle en registratie, het bewaken van het niveau van informatiebeveiliging binnen SBG. Middelen hierbij zijn interne en externe audits, en incidentregistratie en -afhandeling. - Communicatie en voorlichting, het coördineren van de implementatie van het gewenste niveau van informatiebeveiliging en het stimuleren van het beveiligingsbewustzijn bij directie, medewerkers en externen. - Evaluatie en advies, het adviseren van de directie en andere leidinggevenden over informatiebeveiliging en het rapporteren over de status van informatiebeveiliging binnen SBG. - Planvorming, het beheren van het Informatiebeveiligingsplan en hieruit voortvloeiende richtlijnen en procedures. - Coördinatie en registratie, het coördineren van de implementatie van het gewenste niveau van informatiebeveiliging binnen de afdelingen. - Evaluatie en advies, het adviseren van de afdeling-leidinggevende over informatiebeveiliging en het rapporteren over de status van informatiebeveiliging binnen het organisatieonderdeel. - Het onderzoeken en registreren van informatiebeveiligingsincidenten. De kwaliteitsfunctionaris rapporteert aan zijn leidinggevende, de directie. Als de directie bij de uitvoering van het Informatiebeveiligingsbeleid en -plan onvoldoende verantwoordelijkheid neemt, overlegt de kwaliteitsfunctionaris rechtstreeks met het bestuur. De taken, verantwoordelijkheden en bevoegdheden van de kwaliteitsfunctionaris staan in zijn functiebeschrijving. Office manager De office manager is verantwoordelijk voor het beheer van het personeelsbeleid. De relatie van personeelsbeleid en informatiebeveiliging betreft met name de selectie en het ontslag van personeel. Dit moet zorgvuldig geschieden met de waarborging van een adequate informatiebeveiliging. Hiertoe bewaakt de office manager, samen met de administratief medewerkster en de kwaliteitsfunctionaris, de samenhang tussen personeelsbeleid en informatiebeveiliging. 4.5 Overlegvormen voor informatiebeveiliging Voor afstemming, communicatie en coördinatie van informatiebeveiliging zijn de volgende overlegvormen: - Periodiek Primair Overleg (PPO), - SBG werkoverleg ( Negen-uurtje ), - Structureel overleg kwaliteitsfunctionaris met de afdeling ICT en directie, en - Extern overleg met onder andere bestuur, (ICT-)leveranciers en externe auditoren. De directie en de kwaliteitsfunctionaris overleggen maandelijks over informatiebeveiliging. In dit overleg bespreekt men onder andere (voortgangs-)rapportages, voorstellen voor de directie, voorstellen voor wijzigingen van het Informatiebeveiligingsbeleid en -plan, investeringsvoorstellen voor beveiligingsmaatregelen. Informatiebeveiligingsbeleid SBG

13 De kwaliteitsfunctionaris heeft bilateraal overleg met de in dit hoofdstuk genoemde betrokkenen. De frequentie en inhoud van dit overleg wordt met betrokkenen vastgesteld. 4.6 Controle en rapportage over informatiebeveiliging Betreffende informatiebeveiliging gelden de volgende controles: - controle op naleving van het Informatiebeveiligingsbeleid en de hieruit voortvloeiende maatregelen en richtlijnen; - controle op de voortgang van de implementatie en borging van het Informatiebeveiligingsbeleid en de hieruit voortvloeiende maatregelen en richtlijnen; - onafhankelijke controle. Controle naleving Informatiebeveiligingsbeleid Controle op de naleving van beleid, maatregelen en richtlijnen wordt verricht door de leidinggevende. Hierover is geen formele rapportage. Voortgangscontrole De kwaliteitsfunctionaris rapporteert aan de directie over de voortgang van de implementatie van informatiebeveiliging. Hierbij wordt de voortgang afgezet tegen gemaakte afspraken, die zijn vastgelegd in het Informatiebeveiligingsplan. Deze rapportage wordt eenmaal per jaar uitgevoerd en wordt besproken met de directie. De status van de voortgang van beveiligingsmaatregelen wordt aan deze rapportage toegevoegd. De kwaliteitsfunctionaris bespreekt de gehele rapportage met de directie en wordt daarna ingebracht in het bestuur. Onafhankelijke controle Met betrekking tot informatiebeveiliging worden onafhankelijke (werkplek)controles uitgevoerd door de kwaliteitsfunctionaris: de interne audits. Periodiek voert een externe auditor een technische audit uit op de Hosted Business Suite (HBS): CRM, Exchange en SharePoint. Informatiebeveiligingsbeleid SBG