Informatiebeveiligingsbeleid

Transcriptie

1

2 Document informatie onderwerp Informatiebeveiligingsbeleid versie 1.0 Kenmerk EB Penvoerder E. Braaksma Datum goedkeuring 24 januari 2008

3 Inhoudsopgave Voorwoord Inleiding Informatiebeveiliging Doelstelling informatiebeveiligingsbeleid NHL Basispakket informatiebeveiligingsmaatregelen Risicoanalyses en aanvullende maatregelen Reikwijdte Informatiebeveiligingsbeleid Inleiding Beleidsuitgangspunten Beveiligingsorganisatie Inleiding Verantwoordelijkheden Eindverantwoordelijkheid Management verantwoordelijkheid Eigen verantwoordelijkheid Implementatie en borging informatiebeveiligingsbeleid Adviesgroep informatiebeveiliging Toewijzen beveiligingstaken Uitwerking van de toewijzing van beveiligingstaken Plannings- en controlecyclus Procesbeschrijving informatiebeveiliging Toelichting processtappen Beleid en organisatie Beoordeling risico s Maatregelen Implementatie Bewaking Evaluatie en audit Communicatie... 15

4 Voorwoord Voor u ligt het informatiebeveiligingsbeleid van NHL Hogeschool (hierna de NHL). In het beleid wordt beschreven hoe de NHL om wil gaan met informatiebeveiliging. Informatiebeveiliging als vakgebied is niet nieuw en wordt ook binnen de NHL al vele jaren toegepast. Echter, de toepassing is tot nu toe altijd ongecoördineerd geweest en veelal decentraal uitgevoerd. Daarnaast is informatiebeveiliging tot nu toe altijd gekoppeld aan ICT. In steeds meer organisaties groeit het besef dat informatiebeveiliging veel meer is dan de fysieke beveiliging van ICT-systemen en applicaties. De uitdaging voor de NHL is om de komende jaren informatiebeveiliging structureel te borgen in de organisatie en daarnaast ook aandacht te besteden aan andere aspecten van informatiebeveiliging zoals, de beveiliging van meer traditionelere gegevensdragers, bewustwording, vaststellen van eigenaarschap, het creëren van duidelijke normen en richtlijnen, etc. Met het strategisch plan is de NHL een nieuwe koers ingeslagen. Sleutelwoorden op het gebied van informatie zijn openheid en kennisdelen. Medewerkers worden geacht informatie zoveel mogelijk tijdig en betrouwbaar digitaal op te slaan en intern te delen. Daarnaast wil de NHL zich meer naar buiten toe gaan richten en een vooraanstaande kennispartner worden binnen de regio. Een goed ingerichte en geborgde organisatie van informatiebeveiliging is hierbij onmisbaar, zo niet voorwaardelijk. In een organisatie waar alles om informatie draait moet de beschikbaarheid, integriteit en vertrouwelijkheid hiervan gewaarborgd zijn. Informatiebeveiliging zou hierbij gezien moeten worden als enabler en niet als disabler. Informatiebeveiliging zorgt immers voor een ongestoorde doorgaan van de bedrijfsvoering. De nieuwe ambities van de NHL, samen met steeds strengere eisen vanuit de Nederlandse wet- en regelgeving, hebben geleid tot dit informatiebeveiligingsbeleid. Uitgangspunt is geweest om niet zelf het wiel uit te vinden, maar te kijken naar collega-instellingen en aan te sluiten bij een breed geaccepteerde standaard. In dit beleidsdocument staat beschreven wat de NHL verstaat onder informatiebeveiliging, hoe informatiebeveiliging binnen de NHL wordt vormgegeven, wie hierbij worden betrokken en welke procesmatige aanpak hiervoor wordt gehanteerd. Het lijkt overbodig te zeggen dat de NHL informatiebeveiliging serieus neemt. Namens het College van Bestuur van de NHL, 4

5 1 Inleiding 1.1 Informatiebeveiliging Informatie komt in veel vormen voor (geschreven op papier, elektronisch opgeslagen, per post of via elektronische media verzonden of in gesproken vorm). Welke vorm of drager de informatie ook heeft, informatie is een bedrijfsmiddel dat net als andere belangrijke bedrijfsmiddelen van waarde is voor de NHL en voortdurend op een passende manier beveiligd dient te zijn. Onder informatiebeveiliging wordt verstaan het treffen en onderhouden van een samenhangend basispakket aan maatregelen om de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening te garanderen. Deze kwaliteitsaspecten worden hieronder nader toegelicht: Informatiebeveiliging Kwaliteitsaspect Definitie Beschikbaarheid Het waarborgen dat gegevens binnen een redelijke termijn kunnen worden geraadpleegd, gewijzigd en/of toegevoegd, wanneer dit voor de uitvoering van de werkzaamheden of studie noodzakelijk is. Integriteit Het waarborgen van de juistheid, volledigheid en tijdigheid van gegevens en gegevensverwerking. Vertrouwelijkheid Het waarborgen dat het lezen, wijzigen, verwijderen en/of kopiëren van gegevens beperkt is tot degenen, die uit hoofde van hun functie of rol over toegang tot de gegevens dienen te beschikken. 1.2 Doelstelling informatiebeveiligingsbeleid NHL De NHL is een onderwijsinstelling en per definitie open en gericht op het uitwisselen van kennis. Het beschikbaar stellen van informatie is een voorwaarde voor het succes van de NHL. Dit staat soms op gespannen voet met een aantal administratieve processen. Doel van het informatiebeveiligingsbeleid is om, rekening houdende met het onderscheid tussen de domeinen onderwijs en administratief, te komen tot een basispakket aan beveiligingsmaatregelen waarmee de continuïteit van de bedrijfsvoering wordt gewaarborgd en eventuele gevolgen van beveiligingsincidenten tot een acceptabel en vooraf bepaald niveau beperkt blijven. Benadrukt wordt dat de continuïteit van de bedrijfsvoering op het gebied van alle 3 kwaliteitsaspecten van informatiebeveiliging kan worden bedreigd t.w.: Beschikbaarheid, Integriteit en Vertrouwelijkheid Op basis van een risicoanalyse dient per bedrijfsproces bepaald te worden of aanvullende maatregelen bovenop het basispakket noodzakelijk zijn. Door de toenemende mogelijkheden en wensen op het gebied van ICT als het gaat om het open stellen en delen van informatie, richt informatiebeveiliging zich steeds meer op de beveiliging van elektronische gegevens en informatiesystemen. Even zo belangrijk is echter de zachtere kant van informatiebeveiliging. De organisatie rondom informatiebeveiliging, afspraken over de omgang met informatie, bewustwording en andere meer traditionele gegevensdragers (papieren archieven) dienen met dezelfde mate van aandacht te worden behandeld. 5

6 1.3 Basispakket informatiebeveiligingsmaatregelen In de voorgaande paragraaf is het doel van informatiebeveiliging beschreven. Het verschilt per organisatie of type organisatie wat het gewenste niveau van informatiebeveiliging wordt. Aan de hand van een risicoanalyse wordt bepaald wat een acceptabel basisniveau van informatiebeveiliging is. Met dit basispakket aan beveiligingsmaatregelen moet dan de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens en informatiesystemen worden gewaarborgd. De maatregelen zelf zijn geen onderdeel van dit beleid. Maatregelen moeten voortdurend worden beoordeeld op hun toereikendheid en toegevoegde waarde en moeten worden afgestemd met de organisatie. Het beleid is een duurzaam raamwerk waarbinnen de beveiligingskaders zijn gedefinieerd. De Code voor Informatiebeveiliging (kortweg de Code) is door de NHL als richtsnoer voor het informatiebeveiligingsbeleid genomen. De Code is gebaseerd op best practices van verschillende organisaties. De Code is een internationale ISO-standaard die ook binnen het (hoger) onderwijs veelvuldig wordt toegepast. De definities, structuur en richtlijnen in de Code bieden maximale duidelijkheid over de mate van beveiliging. De Code bestaat uit de volgende onderwerpen: 1. Beveiligingsbeleid 2. Beveiligingsorganisatie 3. Classificatie en beheer van bedrijfsmiddelen 4. Beveiligingseisen ten aanzien van personeel 5. Fysieke beveiliging en beveiliging van de omgeving 6. Beheer van communicatie- en bedieningsprocessen 7. Toegangsbeveiliging 8. Ontwikkeling en onderhoud van systemen 9. Management van beveiligingsincidenten 10. Continuïteitsmanagement 11. Naleving 1.4 Risicoanalyses en aanvullende maatregelen Naast het basispakket aan maatregelen dient per bedrijfsproces door de proceseigenaar afgewogen te worden in hoeverre aanvullende beveiligingsmaatregelen noodzakelijk zijn. Hiertoe dient voor de meest kritische bedrijfsprocessen en/of applicaties een risicoanalyse te worden uitgevoerd. Eens per jaar of bij significante wijzigingen in de informatievoorziening dient de NHL een risicoanalyse uit te voeren om te toetsen of de relevante maatregelen uit het basispakket voldoende zijn of dat aanvullende maatregelen nodig zijn. Het belang van de bedrijfsprocessen dient bepaald te worden op basis van de mate waarin de processen de primaire taken van de NHL ondersteunen, als ook de mate waarin incidenten ten aanzien van de informatievoorziening binnen deze processen zouden kunnen leiden tot schade. In deze risicoanalyse dient expliciet aandacht te worden geschonken aan de aspecten beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiesystemen. Bij de totstandkoming van dit informatiebeveiligingsbeleid is een globale risicoanalyse uitgevoerd op basis van interviews met medewerkers binnen de NHL. Hierbij zijn belangrijke processen, bedreigingen en kwetsbaarheden benoemd. Naar inzicht van de NHL zijn op dit moment de meest essentiële activiteiten c.q. bedrijfsprocessen: Onderwijs o Studieproces (elektronisch leren, portfolio, toetsing, assessment, afstuderen) o Planning / roostering o Studievoortgang o Archivering 6

7 o Relatiebeheer Onderwijsondersteunend o Inschrijving o Financiële- en Personele administratie o Salarisbetalingen o ICT Facilitair o Klantenservice o BHV o Postafhandeling o Gebouwen beveiliging Tijdens de interviews die zijn gehouden bij de totstandkoming van dit informatiebeveiligingsbeleid is eveneens een aantal belangrijke bedreigingen en kwetsbaarheden ten aanzien van de essentiële processen benoemd: Integriteit van de informatie; hiermee wordt enerzijds gedoeld op de juistheid en volledigheid van informatie, oftewel klopt de informatie. Anderzijds op de tijdigheid. Doordat informatie op vele manieren wordt gekopieerd, is het niet zeker of informatie actueel is. Imagoschade voor de Hogeschool. Fraudegevoeligheid onderwijsprocessen. Informatieobjecten zijn niet centraal volgens een standaard geclassificeerd, hierdoor is invulling van informatiebeveiliging veelal een persoonlijke inschatting. Aansprakelijkheid van de Hogeschool. Toenemende afhankelijkheid van systemen en van de actualiteit van systemen (de NHL moet bijblijven ). Bescherming van persoonlijke informatie. Er wordt gebruik gemaakt van onvoldoende beveiligde mobiele apparatuur, zoals laptops, PDA s, USB-sticks, etc. Bij verlies of diefstal van deze apparatuur is het risico aanwezig dat vertrouwelijke informatie openbaar wordt gemaakt. Awareness onder personeel en studenten. 1.5 Reikwijdte Het informatiebeveiligingsbeleid is op zich een zelfstandig document, maar kan niet los worden gezien van de strategisch gekozen richting en doelstellingen van de NHL. Het beleid omvat alle locaties van de NHL. Verder geldt het informatiebeveiligingsbeleid, samen met de Code voor alle studenten, cursisten, medewerkers, en derden, die studeren aan of werkzaam zijn voor de NHL. 7

8 2 Informatiebeveiligingsbeleid 2.1 Inleiding Informatiebeveiliging is geen doel op zich maar dient een integraal onderdeel van de bedrijfsprocessen en informatievoorziening binnen de NHL te zijn. In dit hoofdstuk worden de beleidsuitgangspunten gegeven voor de inrichting van informatiebeveiliging binnen de NHL. 2.2 Beleidsuitgangspunten De NHL hanteert de volgende beleidsuitgangspunten ten aanzien van informatiebeveiliging: 1. Informatiebeveiliging is geen doel op zich. De processen binnen de NHL worden als uitgangspunt genomen. Met behulp van risicoanalyse wordt bepaald in hoeverre (aanvullende) maatregelen noodzakelijk zijn; Een onderwijsinstelling is per definitie open en gericht op het uitwisselen van kennis. Bij het beoordelen van risico s moet worden gedacht in kansen en mogelijkheden (i.e. ondernemend zijn ) in plaats van bedreigingen en belemmeringen. 2. De NHL hanteert de Code voor Informatiebeveiliging als basis voor het inrichten en onderhouden van maatregelen voor het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van haar bedrijfsgegevens; De Code voor Informatiebeveiliging is een algemeen geaccepteerde basis voor informatiebeveiliging in Nederland. 3. Bij het inrichten en onderhouden van de maatregelen houdt de NHL rekening met de geldende wet- en regelgeving op het gebied van Informatiebeveiliging; De Code komt niet per se overeen met de (veranderende) wet- en regelgeving. Het niveau van informatiebeveiliging zal dus expliciet getoetst moeten worden aan de relevante wet- en regelgeving zoals de Wet Bescherming Persoonsgegevens, de Archiefwet, het Burgerlijk wetboek en de fiscale wetgeving. 4. Het inrichten van het informatiebeveiligingsbeleid is een cyclisch proces, wat ook geldt voor het nader invulling geven aan het informatiebeveiligingsbeleid binnen de verschillende organisatieonderdelen (instituten, afdelingen/domeinen); Om de kwaliteit en actualiteit van het informatiebeveiligingsbeleid te garanderen, zal het door middel van een Plan-Do-Check-Act cyclus (PDCA) worden gereviewed en verbeterd opdat informatiebeveiliging niet alleen op orde komt, maar ook blijft. De PDCA-cyclus is nader uitgewerkt in hoofdstuk Informatiebeveiliging is een lijnverantwoordelijkheid; Informatiebeveiliging is onderdeel van integraal management. De manager van de organisatorische eenheid is verantwoordelijk voor de naleving van het informatiebeveiligingsbeleid en de getroffen maatregelen. 8

9 6. Informatiebeveiliging is een persoonlijke verantwoordelijkheid; De persoonlijke verantwoordelijkheid van iedere medewerker of student van de NHL ten aanzien van informatiebeveiliging is vastgelegd in gedragscodes en eventueel in functiebeschrijvingen. 7. Het informatiebeveiligingsbeleid is bindend voor alle medewerkers en studenten van de NHL en voor alle organisaties en personen die voor de NHL werkzaamheden verrichten; Het gewenste resultaat van het informatiebeveiligingsbeleid kan alleen worden bereikt, wanneer alle afdelingen, studenten, medewerkers en derde partijen die verbonden zijn aan de informatie zich aan het beleid conformeren. 8. Afwijking van het beleid vereist toestemming van het CvB van de NHL; Indien en voor zover noodzakelijk kan (beargumenteerd) van het beleid worden afgeweken na schriftelijke toestemming van het CvB van de NHL. 9. Bij overtreding van het informatiebeveiligingsbeleid kunnen door het CvB sancties worden opgelegd. In geval van overtreding van regels voor informatiebeveiliging worden betrokkenen hier persoonlijk op aangesproken. De mogelijkheid tot het opleggen van sancties geeft aan dat naleving van het informatiebeveiligingsbeleid niet vrijblijvend is, maar bindend is voor alle organisatieonderdelen. 3 Beveiligingsorganisatie 3.1 Inleiding De beveiligingsorganisatie waarborgt dat het opgestelde informatiebeveiligingsbeleid wordt verankerd in de huidige organisatie van de NHL. De taken, bevoegdheden en verantwoordelijkheden met betrekking tot het informatiebeveiligingsbeleid samen met de implementatie en borging ervan, worden in de nu volgende paragrafen beschreven. 3.2 Verantwoordelijkheden Eindverantwoordelijkheid De eindverantwoordelijkheid voor informatiebeveiliging ligt bij het College van Bestuur. Het CvB is verantwoordelijk voor de bekrachtiging van dit informatiebeveiligingsbeleid, de coördinatie van de implementatie van beleid en richtlijnen door de ondergelegen organisatie en het toezicht op de handhaving van het beleid en de getroffen maatregelen. Taken die hieruit voortvloeien, kunnen worden gedelegeerd aan een functionaris informatiebeveiliging, die vervolgens een gedelegeerde verantwoordelijkheid draagt. De hogeschoolbrede plannings- en controlecyclus inzake het gebruik is een verantwoordelijkheid van afdeling I&R. De afdeling ICT draagt zorg voor het meten van gebruik en gedrag. Daarnaast stelt het CvB jaarlijks een (geactualiseerd) informatiebeveiligingsplan vast, waarin de speerpunten voor het komende jaar zijn vastgelegd. De Functionaris Informatiebeveiliging (hierna FIB) is verantwoordelijk voor het opstellen van het informatiebeveiligingsplan. De FIB is verantwoordelijk voor het voorbereiden, definiëren, coördineren en communiceren van NHLbrede activiteiten op het gebied van informatiebeveiliging. In die hoedanigheid is de FIB verantwoordelijk voor het initiëren van activiteiten binnen de organisatie ten aanzien van de uitvoering en naleving van de genomen maatregelen, evenals het bewaken van de actualiteit van het informatiebeveiligingsbeleid en de beveiligingsmaatregelen. Daarnaast kan de FIB het CvB gevraagd 9

10 en ongevraagd adviseren over de stand en inrichting van de informatiebeveiliging. Tevens heeft de FIB een coördinerende / overkoepelende rol bij de uitvoering van de informatiebeveiligingsplannen van de verschillende afzonderlijke instituten, het Bureau Bestuursondersteuning en het Service Centre voor Kwaliteit en Organisatie Management verantwoordelijkheid Elke manager binnen de hogeschool is verantwoordelijk voor een adequate beveiliging binnen zijn/haar organisatorische eenheid en houdt toezicht op de correcte naleving daarvan conform het stelsel van richtlijnen. Het is een lijnverantwoordelijkheid van de manager hierover te rapporteren volgens een nader vast te stellen format Eigen verantwoordelijkheid Alle medewerkers en studenten van de NHL hebben toegang tot informatie. De medewerker en studenten zijn verantwoordelijk voor het zorgvuldig omgaan met deze informatie en daarnaast voor alle aspecten van informatiebeveiliging binnen de eigen invloedssfeer, zoals het zich houden aan de opgestelde beveiligingsrichtlijnen. 3.3 Implementatie en borging informatiebeveiligingsbeleid Adviesgroep informatiebeveiliging De FIB speelt een belangrijke rol bij het ontwikkelen, implementeren, onderhouden en continu verbeteren van het informatiebeveiligingsbeleid. De FIB wordt daarbij ondersteund door de adviesgroep informatiebeveiliging. De adviesgroep heeft een besluitvormende taak en zorgt daarnaast voor draagvlak en betrokkenheid binnen de organisatie. De adviesgroep komt periodiek bij elkaar en bestaat uit de volgende functionarissen: De adviesgroep Hoofd afdeling Informatisering (voorzitter) Functionaris informatiebeveiliging Hoofd ICT Jurist Hoofd I&R Instituutsdirecteur Afdelingshoofd Voorzitter VNICT 3.4 Toewijzen beveiligingstaken Uitgaande van de beleidsmatige cyclus van informatiebeveiliging wordt onderscheid gemaakt naar de volgende taken: Beleidsvoorbereiding; Beleidsbepaling; Uitvaardigen van regelgeving met betrekking tot informatiebeveiliging; Coördinatie van informatiebeveiliging; Communicatie en voorlichting; Uitvoering van beveiligingsactiviteiten; Controle; Evaluatie; Rapportage. Studenten zijn in de adviesgroep niet vertegenwoordigd. Dit betekent niet dat zij op het gebied van informatiebeveiliging nooit gehoord zullen worden. Bij het bepalen van maatregelen zullen zij, indien nodig, worden betrokken bij uit te voeren risicoanalyses. Tijdens een risicoanalyse wordt niet alleen gekeken naar bedreigingen, maar ook naar het belang van het proces of de applicatie. 10

11 Met behulp van een RACI-model worden rollen en verantwoordelijkheden inzichtelijk gemaakt. Het RACI model is een hulpmiddel dat gehanteerd kan worden om de rollen en verantwoordelijkheden tijdens een veranderingsproces inzichtelijk te maken. Een confrontatie van verschillende rollen met de beveiligingstaken geeft de volgende RACI-matrix: Taak Rol CvB FIB Adviesgroep Informatiebeveiliging Lijnmanagement Interne/ Externe auditor Beleidsvoorbereiding A R R, C I I Beleidsbepaling A C R, C I I Uitvaardigen regels A C R, C I I Coördinatie A R R I I Communicatie A R C I I Uitvoering A C I R I Controle A C I R R Evaluatie A C I R I Rapportage A R I R C Legenda: R = Responsible eigenaar van/verantwoordelijke voor het probleem A = Accountable persoon aan wie R rekenschap moet afleggen, persoon die moet aftekenen, voordat de activiteit effectief is. C = Consulted persoon die vooraf geraadpleegd wordt. Is tweerichting communicatie. Deze persoon geeft (mede) richting aan het resultaat, hij/zij wordt voorafgaand aan beslissingen of acties geraadpleegd I = Informed persoon die achteraf geïnformeerd wordt over de genomen beslissingen, over de voortgang, bereikte resultaten enz. Dit is éénrichting communicatie. = gedelegeerde verantwoordelijkheid 3.5 Uitwerking van de toewijzing van beveiligingstaken Het CvB van de NHL heeft in het kader van informatiebeveiliging de volgende taken: Vaststellen van het informatiebeveiligingsbeleid en de wijzigingen daarop; Vaststellen en uitvaardigen van regelgeving met betrekking tot informatiebeveiliging, bijvoorbeeld in de vorm van gedragscodes; Bepalen van passende sancties bij overtreding van het informatiebeveiligingsbeleid; Evalueren en beoordelen van rapportages over informatiebeveiliging; Beoordelen van afwijkingen op het informatiebeveiligingsbeleid. De functionaris informatiebeveiliging heeft de volgende taken: Beheren van de strategische informatiebeveiligingsdocumentatie naar aanleiding van interne (bijv. nieuwe informatiesystemen) of externe (bijv. wet- en regelgeving of bedreigingen) ontwikkelingen, bestaande uit: o Het informatiebeveiligingsbeleid; o Het informatiebeveiligingsplan. Het adviseren van de adviesgroep informatiebeveiliging en het management over informatiebeveiliging; Coördineren en borgen van (de uitvoering van) activiteiten met betrekking tot informatiebeveiliging binnen de NHL; Het bevorderen van het bewustzijn voor informatiebeveiliging bij management en medewerkers van de NHL, onder andere door het organiseren en/of geven van voorlichting over informatiebeveiliging; Het onderhouden van beveiligingsvoorwaarden in interne en externe contracten voor de levering van ICT-diensten; 11

12 Het beoordelen van strategische, tactische en operationele (ICT-)wijzigingen binnen de NHL op beveiligingsconsequenties; Het initiëren en coördineren van controleactiviteiten door middel van het uitvoeren van interneof externe (IT-)audits; Het rapporteren over de voortgang van de implementatie van informatiebeveiligingsbeleid en de naleving hiervan aan de adviesgroep informatiebeveiliging en het management; Signaleren van afwijkingen op het informatiebeveiligingsbeleid; Onderhouden van interne en externe contacten op het terrein van informatiebeveiliging. De adviesgroep informatiebeveiliging heeft de volgende taken: Advisering aan het CvB inzake het vaststellen van het informatiebeveiligingsbeleid en de wijzigingen daarop; Advisering aan het CvB inzake het vaststellen en uitvaardigen van regelgeving met betrekking tot informatiebeveiliging, bijvoorbeeld in de vorm van gedragscodes; Vaststellen van prioriteiten inzake de implementatie van informatiebeveiliging; Bevorderen van het bewustzijn voor informatiebeveiliging bij medewerkers van de NHL; Rapporteren aan het CvB, onder andere over naleving van het informatiebeveiligingsbeleid en over de voortgang van de implementatie van de informatiebeveiligingsmaatregelen. Aan het lijnmanagement van de NHL worden in het kader van informatiebeveiliging de volgende taken toegewezen: Uitvoeren van operationele beveiligingstaken die onderdeel vormen van het takenpakket van het eigen organisatieonderdeel; Toezicht houden op de eigen medewerkers gericht op de naleving van wet- en regelgeving en getroffen beveiligingsmaatregelen; Evalueren van rapportages van medewerkers over beveiligingsincidenten; Rapporteren aan de adviesgroep informatiebeveiliging en het CvB, onder andere over de voortgang van de implementatie van informatiebeveiliging binnen het eigen organisatieonderdeel en over opgetreden beveiligingsincidenten; Rapporteren over dan wel aanvragen van afwijkingen op het informatiebeveiligingsbeleid. De interne en externe auditor hebben in het kader van informatiebeveiliging de volgende taken: Uitvoeren van interne en/of externe audits in overleg met de FIB; Rapporteren aan de FIB van de NHL over de uitkomsten van de audits. 12

13 4 Plannings- en controlecyclus 4.1 Procesbeschrijving informatiebeveiliging Het proces van informatiebeveiliging zoals gehanteerd binnen de NHL is hieronder weergegeven: Het procesmodel bestaat uit zes stappen welke cyclisch worden uitgevoerd op zowel instituuts- als op afdelingsniveau. 4.2 Toelichting processtappen Beleid en organisatie Tijdens de processtap Beleid & Organisatie formuleren verantwoordelijke functionarissen het informatiebeveiligingsbeleid en richten zij de beveiligingsorganisatie in. De beveiligingsorganisatie wordt zodanig ingericht, dat deze waarborgen biedt voor verankering van het informatiebeveiligingsbeleid binnen de NHL. Richtinggevende bronnen voor het formuleren en bijsturen van het informatiebeveiligingsbeleid en de daarmee samenhangende beveiligingsorganisatie zijn: Het strategisch beleid van de NHL; Het informatiebeveiligingsbeleid moet passen binnen en nauw aansluiten bij het strategische beleid van de NHL. Het informatiebeleid; Het informatiebeleid is een onderdeel van het strategisch beleid, maar is voor het informatiebeveiligingsbeleid dermate belangrijk, dat een aparte benoeming gerechtvaardigd is. Externe factoren; Het informatiebeveiligingsbeleid mag niet in strijd zijn met bijv. wet- en regelgeving (denk hierbij aan de Wet Bescherming Persoonsgegevens, de Archiefwet, het Burgerlijk wetboek en de fiscale wetgeving). Beveiligingsincidenten; Resultaten van de uitgevoerde risicobeoordelingen; 13

14 Bevindingen en aanbevelingen vanuit de processtap Evaluatie & Audit. Na evaluatie van implementatie van het informatiebeveiligingsbeleid kan bijsturing van het beleid noodzakelijk of gewenst zijn. Elke wijziging in het informatiebeveiligingsbeleid wordt schriftelijk goedgekeurd door het CvB Beoordeling risico s De beveiligingsbehoefte wordt bepaald door de risico s die de NHL loopt. Om passende beveiligingsmaatregelen te selecteren worden daarom risicoanalyses uitgevoerd. Er is voor gekozen om dit binnen de NHL op 2 niveaus uit te voeren t.w. op proces- en applicatieniveau. Risicoanalyses worden dus uitgevoerd op het moment dat er substantiële veranderingen plaatsvinden op het niveau van processen en/of applicaties. De processtappen Beleid & Organisatie en Evaluatie & Audit zijn belangrijke bronnen voor risicoanalyses. De beoordeling van beveiligingsrisico s wordt bepaald door drie aspecten: De waarschijnlijkheid van het optreden van een beveiligingsincident; De schade voor de organisatie die ontstaat als gevolg van het optreden van dat beveiligingsincident; De kosten van beveiligingsmaatregelen om het risico van het beveiligingsincident tot een aanvaardbaar niveau te reduceren. Het resultaat van de beoordeling bepaalt voor welke beveiligingsrisico s en met welke prioriteit, maatregelen moeten worden getroffen Maatregelen Vanuit de beoordeling van de risico s worden waar nodig, bovenop het basispakket beveiligingsmaatregelen, aanvullende maatregelen getroffen Implementatie Na het ontwerpen van de maatregelen worden deze geïmplementeerd. De verantwoording voor het implementeren van de maatregel ligt bij de leidinggevende die primair verantwoordelijk is voor het organisatieonderdeel, waarvoor de maatregel geldt. Enerzijds kan dit een algemene maatregel betreffen op NHL-niveau en anderzijds een specifieke maatregel binnen een instituut / afdeling. De FIB ondersteunt de manager bij deze invoering Bewaking Informatiebeveiliging is een lijnverantwoordelijkheid. Dit houdt ook in dat de bewaking van maatregelen bij de leidinggevenden ligt. De (instituuts)directeuren, managers, proceseigenaren en/of systeemeigenaren dienen ervoor zorg te dragen dat de in het informatiebeveiligingsbeleid geformuleerde beleidsuitgangspunten, en daaraan gekoppeld de maatregelen, als integraal onderdeel van hun bedrijfsvoering worden meegenomen Evaluatie en audit Het informatiebeveiligingsbeleid en de beveiligingsmaatregelen worden periodiek geëvalueerd en waar nodig bijgestuurd. Hierbij zijn de volgende zaken van belang: Informatiebeveiliging dient een integraal onderdeel van de bedrijfsprocessen binnen de instituten te zijn en is als zodanig onderhevig aan continue zelfcontrole van medewerkers en verbijzonderde interne controle door een functionaris binnen een instituut; De FIB evalueert jaarlijks de naleving van het informatiebeveiligingsbeleid; Interne audits vinden gedurende het jaar plaats. Deze activiteiten worden uitgevoerd door de afdeling I&R op basis van een controleplan dat is afgestemd met de externe accountant. Tevens kan een externe partij hierbij de afdeling I&R ondersteunen; 14

15 Externe onderzoeken vinden minimaal één en maximaal drie keer per jaar plaats en wordt uitgevoerd door een objectieve en deskundige derde partij. De onderzoeken worden naar redelijkheid uitgevoerd op onaangekondigde momenten, zodat een zo objectief mogelijk beeld van de huidige stand van de informatiebeveiliging kan worden beoordeeld. De resultaten van de onderzoeken worden gepresenteerd aan het CvB. Bevindingen en aanbevelingen vanuit de onderzoeken worden daarnaast in de plannings- en controlecyclus meegenomen in de processtap Beleid & Organisatie Communicatie Communicatie is geen afzonderlijke processtap maar speelt een belangrijke rol in het gehele informatiebeveiligingsproces. Een adequate communicatie van het informatiebeveiligingsbeleid en het onderliggende informatiebeveiligingsplan als ook het informeren en instrueren van medewerkers over beveiligingsrisico s is van groot belang. Deze toelichting en bewustwording vormen vaste onderdelen van het informatiebeveiligingsplan. 15