Norm 1.3 Beveiligingsplan

Transcriptie

1 Beantwoording vragen zelftest Suwinet oktober 2014 Norm 1.3 Beveiligingsplan De Inspectie SZW beschrijft norm 1.3 als volgt: De gemeente heeft een formeel vastgesteld beveiligingsbeleid en -plan. Het Beveiligingsplan is het actieprogramma dat het beveiligingsbeleid moet omzetten in daden, door de inzet van mensen en middelen. Een gemeente is verplicht om een beveiligingsbeleid te hebben. Hoe dit beveiligingsbeleid met betrekking tot Suwinet wordt ingevuld staat in het beveiligingsplan. Het beveiligingsplan beschrijft in ieder geval de maatregelen ter bescherming van de beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid van het gebruik van persoonsgegevens en informatiesystemen. Ook moet er worden aangegeven welke mensen en middelen hiervoor beschikbaar worden gesteld en hoe de naleving is geregeld. De gemeente heeft de keuze om het beleid organisatiebreed te beschrijven en/of per informatiesysteem. 85% van de gemeenten heeft een informatiebeveiligingsplan getoond. 24% van deze plannen was echter niet formeel goedgekeurd Het informatiebeveiligingsbeleid en beveiligingsplan zijn goedgekeurd door het management en / of de directie en / of het college van B&W Er is een specifiek op suwinet gericht informatiebeveiligingsbeleid of veiligheidsplan aanwezig of er is een suwi-specifieke passage in een algemeen plan aanwezig. Dit beleid, dit plan of deze passage heeft specifiek betrekking op uw gemeente. ISD-en let op: elke gemeente in uw samenwerkingsverband dient apart het beleid, plan of de passage te accorderen. De goedkeuring is formeel vastgelegd. Het beleid, het plan of de passage is ondertekend of van de goedkeuring is expliciet melding gemaakt in het verslag van de betreffende vergadering. Om aan norm 1.3 te voldoen is het noodzakelijk dat alle drie bovengenoemde eisen is voldaan. Aan norm 1.3 is voldaan. Aan norm 1.3 is niet voldaan. Op 2 september 2014 heeft het college vastgesteld het Beveiligingsplan Suwinet Sociale Zaken gemeente Heerde Daarmee is het vorige, uit 2009 daterende, beveiligingsplan vervangen en geactualiseerd.

2 Norm 1.4 Uitdragen De Inspectie SZW beschrijft norm 1.4 als volgt: De gemeente draagt op reguliere basis het beveiligingsbeleid en -plan uit. Een beveiligingsplan alleen is een dode letter. Daarom moet de organisatie actief het beveiligingsplan binnen de eigen organisatie uitdragen en zo borgen dat haar medewerkers op de hoogte zijn van de inhoud en betekenis van het beveiligingsbeleid en -plan. Maar 31% van de gemeenten kon aantonen dat het beveiligingsplan voldoende was uitgedragen binnen de organisatie. 1.4 Het informatiebeveiligingsbeleid, het beveiligingsplan of de beveiligingspassage worden uitgedragen Het informatiebeveiligheidsbeleid, het beveiligingsplan of de beveiligingspassage is centraal voor alle gebruikers beschikbaar (het is bijvoorbeeld aan iedereen g d of staat op intranet). Er is het afgelopen jaar minimaal 2x een actie geweest om de gebruikers (opnieuw) te attenderen op het bestaan van het veiligheidsbeleid, -plan of -passage. Bijvoorbeeld door hernieuwd te wijzen op intranet, te agenderen voor een afdelingsoverleg of te bespreken in functioneringsgesprekken. Wanneer alleen nieuwe gebruikers wordt gevraagd om een geheimhoudingsverklaring te tekenen is dat een goede actie, maar niet voldoende. Het bezoeken van BKWI-bijeenkomsten strekt tot aanbeveling, maar is op zich evenmin voldoende. Om aan norm 1.4 te voldoen is het noodzakelijk dat aan beide bovengenoemde eisen is voldaan. Aan norm 1.4 is voldaan. Aan norm 1.4 is niet voldaan. Het nieuwe beveiligingsplan is onder de aandacht van de medewerkers gebracht en geplaatst in de digitale beleidsmap 2014.

3 Norm 1.5 Actualiseren De Inspectie SZW beschrijft norm 1.5 als volgt: De gemeente evalueert op reguliere basis beveiligingsbeleid en -plan. Het Beveiligingsbeleid geeft de bestuurlijke visie weer, maar: een visie kan in de loop van de tijd door omstandigheden of voortschrijdend inzicht wijzigen. Daarom moet het beleid op vaste tijden geactualiseerd en zo nodig bijgesteld worden. Het bijbehorende beveiligingsplan is een actieprogramma en moet zeker minimaal jaarlijks geactualiseerd worden. De gemiddelde leeftijd van de beveiligingsplannen is 4 jaar. Slechts 21% van de beveiligingsplannen is jonger dan 2 jaar. 1.5 Het informatiebeveiligingsbeleid, het beveiligingsplan of de beveiligingspassage worden jaarlijks geëvalueerd De laatste evaluatie is minder dan een jaar oud. De laatste evaluatie is vastgesteld door management en / of directie en / of college van B&W. De evaluatie is een concrete actie van alle direct betrokkenen geweest, schriftelijk vastgelegd en leidt zo nodig tot aanpassen van het informatiebeveiligingsbeleid, het veiligheidsplan of de beveiligingspassage. Om aan norm 1.5 te voldoen is het noodzakelijk dat aan de drie bovengenoemde eisen is voldaan. Aan norm 1.5 is voldaan. Aan norm 1.5 is niet voldaan. Het geactualiseerde Beveiligingsplan Suwinet Sociale Zaken gemeente Heerde 2014 is op 2 september 2014 door het college vastgesteld.

4 Norm 2.2 Functiescheiding De Inspectie SZW beschrijft norm 2.2 als volgt: De taken, verantwoordelijkheden en bevoegdheden ten aanzien van het gebruik, de inrichting, het beheer en de beveiliging van Suwinetgegevens, -applicaties, -processen en -infrastructuur moeten zijn beschreven en duidelijk en afhankelijk van de schaalomvang van de organisatie gescheiden zijn belegd. Hoe groter je organisatie is, hoe meer mogelijkheden er zijn om ook het verlenen van toegang apart te zetten van het gebruik, en om controle apart te zetten van het kwaliteitsadvies. Hierdoor wordt het nog lastiger voor medewerkers om gegevens onzorgvuldig te gebruiken. De taken, verantwoordelijkheden en bevoegdheden ten aanzien van Suwinet moeten zijn beschreven en zijn belegd bij de juiste personen. Het gaat dan on zaken als inrichting, beheer, beveiliging en gebruik van de infrastructuur, de applicaties, de processen en de gegevens. In ieder geval moeten de volgende zaken zijn beschreven: 1. Onverenigbare functies. 2. Functies die in principe onverenigbaar zijn maar toch bij een persoon belegd zijn: -waarom de organisatie dit nodig acht. -welke maatregelen getroffen zijn ter bescherming van de hierdoor ontstane risico's. Circa 30% van de gemeenten heeft de taken, verantwoordelijkheden en bevoegdheden t.a.v. het gebruik, de inrichting, het beheer en de beveiliging van Suwinet-applicaties, -processen en infrastructuur beschreven en gescheiden belegd 2.2 Functiescheiding Bij de functiescheiding is het belangrijk dat bij verschillende personen is belegd: Uitvoering van taken (het gebruik van suwinet); Het beheer van autorisaties (toegang verlenen tot suwinet); Kwaliteitszorg en borging van rechtmatig gebruik (controle op gebruik van suwinet); Management (beslissen over bevoegdheden van functiegroepen, en/of individuele medewerkers, uitdragen belang goed gebruik, bijsturen na oneigenlijk gebruik, optreden na misbruik suwinet). Deze scheiding is schriftelijk vastgelegd. Er is een aanvullend document aanwezig waaruit blijkt dat ten aanzien van functiescheiding duidelijke keuzes zijn gemaakt bij het beleggen van taken. Of er is een onderbouwde verklaring waarom zo n document er niet is en er is een alternatieve aanpak om misbruik te voorkomen (bijvoorbeeld extra controle waar functiescheiding niet of minder goed mogelijk bleek). Om aan norm 2.2 te voldoen is het noodzakelijk dat aan beide vereisten is voldaan. Aan norm 2.2 is voldaan. Aan norm 2.2 is niet voldaan. Dit is vastgelegd in het geactualiseerde beveiligingsplan.

5 Norm 2.3 Security Officer De Inspectie SZW beschrijft norm 2.3 als volgt: De Security Officer beheert en beheerst beveiligingsprocedures en -maatregelen in het kader van Suwinet, zodanig dat de beveiliging van Suwinet overeenkomstig wettelijke eisen is geïmplementeerd. Richtinggevend hoe de norm i ngevuld moet zijn: De Security Officer bevordert en adviseert over de beveiliging van Suwinet, verzorgt rapportages over de status, controleert dat, met betrekking tot de beveiliging van Suwinet, de maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de beveiliging van Suwinet. De Security Officer rapporteert rechtstreeks aan de bestuurlijk verantwoordelijke. De organisatie heeft iemand aangesteld die eindverantwoordelijk is voor de beveiliging van Suwinet. Bij voorkeur heeft deze persoon de eindverantwoordelijkheid van de beveiliging van de gehele informatiehuishouding van de organisatie. In ieder geval moet deze functionaris (meestal Security Officer) de beveiligingsprocedures en -maatregelen in het kader van Suwinet zo beheren en beheersen dat de beveiliging van Suwinet overeenkomt met de wettelijke eisen. De Inspectie heeft vastgesteld dat 58% van de gemeenten een Security Officer heeft aangemeld bij BKWI. Bij deze Security Officers is meestal sprake van een beperkte taakopvatting. 2.3 Security officer Er is een medewerker verantwoordelijk gemaakt om periodiek ten minste twee keer per jaar - naar de beveiliging van suwinet kijken. Deze medewerker rapporteert en adviseert periodiek rechtstreeks aan het management en / of de directie en / of het college van B&W. ISD-en let op: het is de bedoeling dat de security officer van de ISD naar elke gemeente apart rapporteert en adviseert. Dat is vastgelegd in zijn / haar functieomschrijving inclusief takenoverzicht. Om aan norm 2.3 te voldoen is het noodzakelijk dat aan elk van de drie bovengenoemde eisen is voldaan. Aan norm 2.3 is voldaan. Aan norm 2.3 is niet voldaan. Dit is vastgelegd in het geactualiseerde beveiligingsplan. De security officer heeft begin december 2013 rapporten opgevraagd bij het BKWI, maar niet ontvangen. Op 21 oktober 2014 is het BKWI opnieuw verzocht rapportage aan te leveren, nu over 2013 en 2014.

6 Norm: 13.1 Autorisatiestructuur De Inspectie SZW beschrijft norm 13.1 als volgt: De organisatie autoriseert en registreert de toegang die gebruikers hebben tot de Suwinet applicat ies op basis van een formele procedure. Het toegangsbeheer tot de Suwinet applicaties ligt bij de organisatie. Daarom heeft de organisatie op zijn minst een procedure met criteria om toegang te mogen verlenen tot de Suwinet applicaties. Ook staat de registratie van de autorisaties hierin beschreven. Slechts 38% van de gemeenten konden een geformaliseerde, correcte en in gebruik zijnde autorisatieprocedure en matrix verstrekken Autorisatieprocedure Elke gebruiker van suwinet moet geautoriseerd worden. Er is een formeel vastgelegde autorisatieprocedure waarin functies aan autorisaties en in het verlengde daarvan aan rollen worden gekoppeld. Het accountbestand wordt meerdere keren per jaar gecontroleerd en aansluitend worden inactieve accounts verwijderd. Er is geen toegang verstrekt buiten de sociale dienst, de gemeentelijke belastingdeurwaarders, burgerzaken en de regionale meld- en coördinatiefunctie bij voortijdig schoolverlaten. Voor het gebruik door gemeentelijke belastingdeurwaarders, burgerzaken en de regionale meld- en coördinatiefunctie bij voortijdig schoolverlaten is een apart contract afgesloten. Het is op dit moment niet geoorloofd om WMO-medewerkers, medewerkers Parkeerbeheer of andere hierboven niet benoemde medewerkers toegang te verstrekken tot suwinet. Om aan norm 13.1 te voldoen is het noodzakelijk dat aan elk van de drie bovengenoemde eisen is voldaan. Aan norm 13.1 is voldaan. Aan norm 13.1 is niet voldaan. Dit is opgenomen in het geactualiseerde beveiligingsplan.

7 Norm 13.5 Controle De Inspectie SZW beschrijft norm 13.5 als volgt: De controle op verleende toegangsrechten en gebruik vindt meerdere keren per jaar plaats. Richtinggevend hoe de norm ingevuld moet zijn: Interne controle op rechten en gebruik van Suwinet. Analyseren van de van het BKWI verkregen informatie over het gebruik van Suwigegevens. De organisatie controleert meerdere keren per jaar de verleende toegangsrechten Circa 33% van de gemeenten voldoet aan de norm dat er meerdere keren per jaar controle plaatsvindt op de verleende toegangsrechten en het gebruik Controle op toegang en gebruik Een medewerker van de gemeente vraagt ten minste meerdere keren per jaar bij BKWI een rapportage over het gebruik van suwinet-inkijk op. Let op: medewerkers van BKWI mogen niet op eigen initiatief aan gemeenten meegeven dat zij opmerkelijkheden constateren in de loggings. Het verdient aanbeveling om bij het opvragen expliciet naar de waarnemingen van BKWI zelf te vragen. Dan is het weergeven van de BKWI-waarneming wel geoorloofd. De beoordeling van deze rapportage (door wie en langs welke criteria) is centraal belegd. Deze beoordelaar maakt hiervan een schriftelijk verslag. Als uit dit verslag blijkt dat nadere beoordeling gewenst is, wordt vervolgens bij BKWI een specifieke rapportage opgevraagd die vervolgens wordt beoordeeld. Bij geconstateerd oneigenlijk gebruik c.q. misbruik wordt er ook opgetreden c.q. gesanctioneerd. Om aan norm 13.5 te voldoen is het noodzakelijk dat aan elk van de vijf bovengenoemde eisen is voldaan. Aan norm 13.5 is voldaan. Aan norm 13.5 is niet voldaan. Dit is opgenomen in het geactualiseerde beveiligingsplan.

8 Totaalscore zelftest oktober 2014 Norm: Score: 1.3. Het informatiebeveiligingsbeleid en beveiligingsplan zijn goedgekeurd door het management en / of de directie en / of het college van B&W 1.4 Het informatiebeveiligingsbeleid, het beveiligingsplan of de beveiligingspassage worden uitgedragen 1.5 Het informatiebeveiligingsbeleid, het beveiligingsplan of de beveiligingspassage worden jaarlijks geëvalueerd 2.2 Functiescheiding 2.3 Security officer 13.1 Autorisatieprocedure 13.5 Controle op toegang en gebruik Totaal