Informatiebeveiligingsbeleid

Transcriptie

1 Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : vastgesteld door het CvB Bestandsnaam : Informatiebeveiliging beleid v

2 Inhoudsopgave 1 INLEIDING AANLEIDING DOEL MAATREGELEN INFORMATIEBEVEILIGING... 4 BEGRIPPEN DOEL VAN INFORMATIEBEVEILIGING REIKWIJDTE VAN HET INFORMATIEBEVEILIGINGSBELEID UITGANGSPUNTEN EN RANDVOORWAARDEN STANDAARDEN ALGEMENE UITGANGSPUNTEN BELEIDSUITSPRAKEN ORGANISATIE, TAKEN EN VERANTWOORDELIJKHEDEN TAKEN EN BEVOEGDHEDEN MELDEN VAN INCIDENTEN RAPPORTAGE EN EVALUATIE Datum: Pagina 2 van 10

3 1 Inleiding 1.1 Aanleiding In het informatiespoor van het traject Service en Samenhang werd in 2002 benoemd dat het Alfa-college een informatiebeveiligingsbeleid zal moeten ontwikkelen, vaststellen en implementeren. Als uitvloeisel van dit traject werd onder anderen de blauwdruk van het Alfa-college uitgewerkt waarin het informatiebeveiliging aspect beschreven werd. In februari zijn de eerste beleidsuitgangspunten geformuleerd. Bij menig ROC in Nederland of andere onderwijsinstellingen is de implementatie van niet succesvol verlopen. De oorzaak hiervan is, dat het beleid niet toepasbaar is binnen het onderwijs en er een totale onbekendheid bestaat wat betreft Informatiebeveiliging. Naar aanleiding van deze bevindingen is een memo gepresenteerd in het Portefeuilleoverleg ICT van het Alfa-college 2. Hierin kwam naar voren: Dat de aanpak van informatiebeveiliging moet passen binnen de organisatiecultuur; Er zichtbare steun en betrokkenheid van het management moet zijn. Informatiebeveiliging de aandacht moet krijgen van alle medewerkers en deelnemers van het Alfa-college. In juni 2006 werd het eerste 3 vastgesteld. Dit beleid kwam tot stand in samenwerking met de Informatiemanagers van het Alfa-college, zij gaven aan voor welke onderdelen het eerst informatiebeveiligingsbeleid moest worden vastgesteld. De betreffende onderdelen waren wachtwoordmanagement, clear desk en clear screen en gebruik van en Internet. In het kader van het uit besteden van de ICT nutsvoorzieningen van het Alfa-college is verdere uitwerking van het informatiebeveiligingsbeleid noodzakelijk. Dit om duidelijk te kunnen stellen wat de eisen ten aanzien van Informatiebeveiliging zijn bij het Alfa-college. 1.2 Doel Het doel van dit document is het geformuleerde informatiebeveiligingsbeleid vastleggen en ter accordering aanbieden aan het College van Bestuur. Dit document is een dynamisch document, het informatiebeveiligingsbeleid zal regelmatig worden geëvalueerd, gemuteerd en getoetst op actualiteit. 1.3 Maatregelen Het geaccordeerde beveiligingsbeleid wordt vertaald naar bijbehorende maatregelen. Maatregelen zijn nodig om de risico s die de organisatie loopt en die de betrouwbaarheidseisen (beschikbaarheid, integriteit en vertrouwelijkheid) van de informatie en informatiesystemen in gevaar kunnen brengen te voorkomen. 1 memo PO4 Informatiebeveiliging Informatiebeveiliging MEMO v 1.0 d Informatiebeveiliging beleid v 1.4 d Datum: Pagina 3 van 10

4 2. Informatiebeveiliging Begrippen Informatiebeveiliging is het vakgebied dat zich richt op het beveiligen van informatie, het maken van plannen om te voorkomen dat er beveiligingsincidenten plaatsvinden, en het nemen van maatregelen om de gevolgen daarvan te verkleinen. Beveiligingsincident: is een gebeurtenis die de betrouwbaarheid van de informatie of de informatieverwerking kan verstoren. Betrouwbaarheidsaspecten: de kwaliteitseisen voor informatie worden samengevat met het begrip betrouwbaarheid, dat omvat de aspecten beschikbaarheid, integriteit en vertrouwelijkheid. Beschikbaarheid: de mate waarin de informatie op het juiste moment beschikbaar is voor gebruikers. Integriteit: de mate waarin de gegevens een afspiegeling zijn van de werkelijkheid. Het omvat onder anderen de kenmerken correctheid, volledigheid, nauwkeurigheid en controleerbaarheid. Vertrouwelijkheid: de mate waarin de toegang tot en het gebruik van gegevens beperkt is tot de juiste personen. 2.2 Doel van Informatiebeveiliging Door informatiebeveiliging en bijbehorende maatregelen en procedures wil het Alfa-college de beschikbaarheid, vertrouwelijkheid en integriteit van alle vormen van informatie garanderen met als doel de continuïteit van de organisatie te waarborgen en de gevolgen van eventuele incidenten te beperken. 2.3 Reikwijdte van het informatiebeveiligingsbeleid Het informatiebeveiligingsbeleid is bedoeld voor alle gebruikers van de informatievoorziening van het Alfa-College. Datum: Pagina 4 van 10

5 3. Uitgangspunten en randvoorwaarden 3.1 Standaarden De Managementsystemen voor informatiebeveiliging Eisen en de Code van Informatiebeveiliging (op basis van NEN ISO en 27002) worden als leidraad genomen. 3.2 Algemene uitgangspunten Het Alfa-college houdt zich aan de geldende wet en regelgeving. Voorbeelden van wetgeving van belang bij informatiebeveiliging zijn: Wet op de computercriminaliteit; Wet Bescherming Persoonsgegevens; Telecommunicatiewet; Auteurswet; Archiefwet. Voorbeeld van Alfa-college regelgeving is: Het Privacyreglement, dit reglement is afgeleid van de Wet Bescherming Persoonsgegevens. 3.3 Beleidsuitspraken Deel 1 reeds geaccordeerd in juni Het Alfa-college past een wachtwoordmanagement toe om het risico van onbevoegde toegang tot en verlies van en schade aan informatie te beperken. 2. Het Alfa-college past een Clear Desk beleid toe voor papieren en verwijderbare opslagmedia en informatie - en communicatievoorzieningen, om het risico van onbevoegde toegang tot, verlies van en schade aan gegevens te beperken. 3. Het Alfa-college past beleid toe op het gebruik van internet en (zie ook 10) 4. Er dient toezicht te worden gehouden op de uitwisseling van informatie en software tussen verschillende organisaties. De uitwisseling dient in overeenstemming te zijn met de toepasselijke wetgeving. 5. Monitoren van toegang tot en gebruik van systemen is noodzakelijk voor het ontdekken en registreren van ongewenst gebruik. 6. Er dienen maatregelen te worden genomen om de introductie van kwaadaardige software en computervirussen te voorkomen en te ontdekken. Datum: Pagina 5 van 10

6 7. Medewerkers en deelnemers dienen bewust te worden gemaakt van de gevaren van ongeoorloofde of kwaadaardige software. 8. Computers en laptops dienen te worden voorzien van antidiefstal beveiliging. 9. Medewerkers en deelnemers dienen, indien gewenst, een passende training of opleiding te volgen op het gebied informatiebeveiliging. 10. Er dient een gedragscode voor Medewerkers en Deelnemers te worden opgesteld. In deze code moet worden beschreven hoe zij met Informatie en ICT-middelen van het Alfa-college moeten omgaan, hierin dienen bijvoorbeeld ook spelregels voor Internet- en gebruik te worden beschreven. 11. Er dient voor implementatie van het informatiebeveiligingsbeleid duidelijkheid te zijn over het handhaving - en sanctiebeleid Om te kunnen toetsen of de maatregelen volgend uit het informatiebeveiligingsbeleid ook worden nageleefd worden interne en/of externe audits uitgevoerd. Deel Informatie en ICT middelen waar externe partijen toegang toe moeten hebben of door externe partijen worden verwerkt of beheerd dienen beveiligd te worden. De bedrijfsmiddelen van de organisatie moeten adequaat beschermd worden en blijven. 14. Voor aanvang van het dienstverband zorgt het Alfa-College er voor dat de werknemers, ingehuurd personeel en externe gebruikers kennis genomen hebben van hun verantwoordelijkheden, en geschikt zijn voor de rollen waarvoor zij worden aangesteld. Het Alfa-college bewerkstelligt dat alle werknemers, ingehuurd personeel en externe gebruikers zich bewust zijn van bedreigingen en gevaren voor informatiebeveiliging, van hun verantwoordelijkheid en aansprakelijkheid, en dat ze zijn toegerust om het beveiligingsbeleid van de organisatie in hun dagelijkse werkzaamheden uit te voeren. 15. Apparatuur en ruimten die Informatie en ICT middelen bevatten die kritieke of gevoelige bedrijfsactiviteiten ondersteunen dienen beveiligd te worden. De geboden bescherming dient in overeenstemming te zijn met de vastgestelde risico s. 16. Wijzigingen in productiesystemen en toepassingsprogrammatuur dienen te worden beheerst met strikt wijzigingsbeheer. 4 Toegevoegd en geaccordeerd per Datum: Pagina 6 van 10

7 17. Informatie in netwerken en ondersteunende infrastructuur dienen te worden beschermd. 18. Media dienen te worden beheerst en fysiek te worden beschermd. 19. Er dienen beleid, procedures en beheersmaatregelen te worden vastgesteld om de uitwisseling van informatie te beschermen. 20. De toegang tot informatie, ICT middelen en bedrijfsprocessen dient te worden beheerst op grond van bedrijfsbehoeften en eisen. 21. De toegang tot systeembestanden en programmabroncode dient te worden beheerst, en IT-projecten en ondersteuningsactiviteiten dienen veilig te worden uitgevoerd. 22. Informatiebeveiligingsgebeurtenissen en zwakheden die verband houden met informatiesystemen dienen zodanig kenbaar worden gemaakt dat corrigerende maatregelen kunnen worden genomen. 23. Er dient een beheerproces van bedrijfscontinuïteit te worden geïmplementeerd om de uitwerking op de organisatie, veroorzaakt door het verlies van informatie (als gevolg van bijvoorbeeld natuurrampen, ongevallen, uitval van apparatuur en opzettelijke handelingen)en het herstellen daarvan tot een aanvaardbaar niveau te beperken. Datum: Pagina 7 van 10

8 4. Organisatie, taken en verantwoordelijkheden Het doel van een beveiligingsorganisatie is het managen van Informatiebeveiliging binnen de organisatie. College van Bestuur CIO Unitdirecties Functionaris informatiebeveiliging Diensthoofden Opleidingsmanagers Resultaatverantwoordelijke teams (RVT s) Medewerkers (Ondersteunend personeel) Medewerkers (Onderwijzend personeel) Deelnemers 4.1 Taken en bevoegdheden College van Bestuur: Het College van Bestuur is eindverantwoordelijk voor de Informatiebeveiliging. Het College van Bestuur is verantwoordelijk voor het opstellen en uitdragen van het algemene organisatiebeleid en de rol van daarbinnen. Daarnaast houdt het College van Bestuur controle op de naleving en evaluatie van het afgesproken beveiligingsniveau. Datum: Pagina 8 van 10

9 Chief Information Officer (CIO) De Chief Information Officer draagt bij aan het strategisch en innovatiebeleid van de instelling, is verantwoordelijk voor het strategisch, tactisch en operationeel beleid op het gebied van informatiemanagement en ICT en de rol van daarbinnen. Functionaris Informatiebeveiliging De functionaris Informatiebeveiliging draagt zorg voor de ontwikkeling, implementatie en uitvoering van het informatiebeveiligingsbeleid, bewaakt en evalueert het informatiebeveiligingsbeleid. De functionaris Informatiebeveiliging ontvangt leiding van de Chief Information Officer (CIO). Unitdirecteuren /Diensthoofden en Opleidingsmanagers (lijnmanagers): Het management is verantwoordelijk voor de implementatie en uitvoering van het beveiligingsbeleid binnen de eigen organisatorische eenheid. Daarmee is het management verantwoordelijk voor de beveiliging van hun eigen bedrijfsprocessen, de informatiesystemen die daarbij worden gebruikt en de overig betrokken objecten. Medewerkers: Alle medewerkers van het Alfa-college zijn verantwoordelijk voor de beveiligingsaspecten met betrekking tot de eigen functie. De medewerkers maken deel uit van een resultaatverantwoordelijk team. Binnen dit team hebben zij een gezamenlijke verantwoordelijkheid ten aanzien van Informatiebeveiliging. Deelnemers: Alle deelnemers van het Alfa-college zijn verantwoordelijk voor de beveiligingsaspecten met betrekking tot de eigen schoolloopbaan. 5. Melden van Incidenten De doelen die nagestreefd worden met het melden van incidenten zijn: Het minimaliseren van de schade die veroorzaakt wordt door beveiligingsincidenten en storingen; Het wegnemen van de kwetsbaarheid; Het monitoren van incidenten; Er lering uit trekken. Datum: Pagina 9 van 10

10 6. Rapportage en evaluatie Tijdens de evaluatie van de informatiebeveiliging moet aandacht besteed worden aan: De kosten en het effect van de geïmplementeerde beveiligingsmaatregelen; De aansluiting van het informatiebeveiligingsbeleid bij de nieuwe beveiligingseisen van de organisatie; De effectiviteit van het beleid. De lijnmanagers zullen aan de functionaris Informatiebeveiliging rapporteren over de uitvoering van de beveiliging en de incidenten. De functionaris zal aan het College van Bestuur rapporteren over handhaving en naleving van de beveiligingsmaatregelen en de incidenten. Datum: Pagina 10 van 10