INTERPROVINCIALE BASELINE INFORMATIEVEILIGHEID

Transcriptie

1 INTERPROVINCIALE BASELINE INFORMATIEVEILIGHEID Versie 2.0 In voorliggend document staat beschreven hoe de provincies komen tot een adequate inrichting van informatieveiligheid en welke maatregelen daartoe genomen moeten worden.

2 Inhoudsopgave Hoofdstuk 1 Inleiding... 2 Hoofdstuk 2 Informatieveiligheid... 4 De definitie van Informatieveiligheid... 4 Scope... 5 Integratie is belangrijk... 5 Standaard werkwijze en richtlijn voor maatregelen... 6 Doelgroep en gebruik... 6 Hoofdstuk 3 De baseline, uitgangspunten... 7 De baseline, standaardmethode... 7 Standaard Business Impact Analyse... 7 Standaard maatregelensets... 8 Hoofdstuk 4 Beheer en Onderhoud... 9 IPO... 9 CIBO... 9 Bijlage A Business impact analyse Doel van de Business Impact Analyse (BIA) Business Impact Analyse Beschikbaarheid Business Impact Analyse Integriteit Business Impact Analyse Vertrouwelijkheid Bijlage B De baseline, overzicht van maatregelen Pagina 1 van 71

3 Hoofdstuk 1 Inleiding Door de toenemende digitalisering is het zorgvuldig omgaan met de gegevens van burgers, bedrijven en partners ook voor provincies van groot belang. Een betrouwbare informatievoorziening is essentieel voor het goed functioneren van de processen van en het vertrouwen in de provincie. Informatiebeveiliging is het proces dat deze betrouwbare informatievoorziening borgt. Het opnemen van informatieveiligheid als normaal kwaliteitscriterium voor een gezonde bedrijfsvoering is tegenwoordig niet langer een keuze maar een noodzaak. Daarnaast spelen wet- en regelgeving een belangrijke rol. De WBP (Wet Bescherming Persoonsgegevens), de Archiefwet en de Meldplicht datalekken zijn voorbeelden van wetten die eisen stellen aan de verwerking en opslag van informatie. Deze Baseline beschrijft maatregelen die ten dele overlappen met vereisten uit deze wetgeving maar is nadrukkelijk niet bedoeld om hier volledig in te voorzien; de baseline beperkt zich exclusief tot de maatregelen uit de ISO norm. Structurele aandacht voor de betrouwbaarheid van de informatievoorziening, het domein van informatieveiligheid, is noodzakelijk voor een goede invulling van de wettelijke en publieke taken. Een goede borging van informatieveiligheid zorgt voor een betere betrouwbaarheid van de informatievoorziening en continuïteit van de provinciale bedrijfsvoering. Om provincies te helpen de informatieveiligheid op orde te krijgen en te houden is de Interprovinciale Baseline Informatieveiligheid ontwikkeld. De baseline is bedoeld om alle provincies op een vergelijkbare manier te laten werken met Informatieveiligheid. Het geeft een standaard werkwijze waarmee per bedrijfsproces of per informatiesysteem bepaald wordt, welke beveiligingsmaatregelen getroffen moeten worden. Het is daarbij een leidraad om aan alle relevante eisen op het gebied van Informatieveiligheid te kunnen voldoen en geeft het een eenduidig toetsingskader. Provincies kunnen zo laten zien dat zij een aantoonbaar betrouwbare partner zijn, zoals in het convenant overeengekomen is. In 2010 heeft het CIBO de eerste interprovinciale Baseline informatieveiligheid (IBI) voor provincies opgesteld. De Interprovinciale Baseline Informatieveiligheid is tot stand gekomen door een intensieve samenwerking van alle provincies en BIJ12, in opdracht van het IPO. Deze baseline bestaat enerzijds uit een aantal maatregelen die alle provincies genomen hebben of moeten nemen om aan een bepaald beveiligingsniveau te voldoen. Anderzijds bevat de Baseline handreikingen voor het standaardiseren van processen die gericht zijn op informatieveiligheid. Sinds 2010 zijn er op het gebied van informatieveiligheid verschillende ontwikkelingen geweest die aanleiding geven tot herijking van de Baseline: Opdracht vanuit BZK om te komen tot Verplichtende zelfregulering onder leiding van de Taskforce BID in de periode Het convenant interprovinciale regulering informatieveiligheid Actualisering van de ISO normen Dit heeft ertoe geleid dat van uit het AAC-middelen en het Interprovinciaal Overleg (IPO) de opdracht is gegeven om de Baseline te actualiseren. Aan deze opdracht is door het CIBO in 2015 invulling gegeven, met de voorliggende Baseline 2.0 als resultaat. Hieronder staan beknopt beschreven welke ontwikkelingen invloed hebben gehad op het actualiseren van de Baseline. Pagina 2 van 71

4 Taskforce BID In 2013 heeft het ministerie van BZK de Taskforce BID ingesteld om een traject te starten met als doel om te komen tot een verbeterde informatieveiligheid van alle overheden. Met de provincies is afgesproken om via een traject van verplichtende zelfregulering te komen tot aangescherpte eisen aan de informatiehuishouding. Dit heeft geleid tot extra aandacht voor informatieveiligheid bij het bestuur en topmanagement binnen de provincies, met als belangrijkste resultaat het convenant interprovinciale regulering informatieveiligheid (IRI). Convenant interprovinciale regulering informatieveiligheid Het traject dat door de taskforce BID is geïnitieerd heeft geresulteerd in een convenant interprovinciale regulering informatieveiligheid. In dit convenant staan de afspraken welke de provincies hebben vastgesteld om adequaat invulling te kunnen geven aan de zelfregulering. Het convenant beschrijft de volgende deelgebieden: Sturing en verantwoordelijkheid Beleid en normenkader Verantwoording en toezicht Bewustwording, kennisdeling en coördinatie Dit convenant is het strategisch kader voor informatieveiligheid voor provincies. In het convenant is tevens vastgelegd dat het CIBO zorg draagt voor een actuele baseline die door alle provincies toegepast wordt. In dat kader geeft het CIBO met deze nieuwe baseline invulling aan de gemaakte afspraak in het convenant. ISO De inhoud van de Interprovinciale Baseline Informatiebeveiliging is gebaseerd op de landelijke standaard NEN-ISO/IEC-27001/27002 (ook wel de code van informatieveiligheid genoemd). De ISO bestaat uit twee delen: de beschrijft de organisatorische maatregelen die benodigd zijn om informatieveiligheid te organiseren en is de norm voor het Information Security Management System (ISMS). De norm bevat de feitelijke maatregelen die men moet nemen om te komen tot een adequaat veiligheidsniveau. De Interprovinciale Baseline Informatiebeveiliging heeft de code als uitgangspunt, en is aangepast voor gebruik door de provincies: - Alle maatregelen uit de code zijn onveranderd van toepassing voor de provincies: naar de betreffende passage in de code wordt verwezen vanuit de Interprovinciale Baseline Informatieveiligheid; - Voor niet toegepaste maatregelen moet er risicoacceptatie beschikbaar zijn. De ISO normen en zijn in 2013 vernieuwd, en de wijzigingen zijn in deze baseline verwerkt. Hiermee geven wij invulling aan de verplichtingen die voortkomen uit de pas toe of leg uit lijst van het Forum Standaardisatie. Pagina 3 van 71

5 Hoofdstuk 2 Informatieveiligheid Interprovinciale Baseline Informatieveiligheid De definitie van Informatieveiligheid Informatieveiligheid gaat over de betrouwbaarheid van de informatievoorziening van een organisatie, en heeft tot doel risico s tot een acceptabel niveau terug te brengen. Hierbij wordt onderscheid gemaakt tussen beschikbaarheid, integriteit, vertrouwelijkheid. De begrippen informatieveiligheid en informatiebeveiliging worden vaak simultaan gebruikt. Er is echter een verschil tussen die begrippen: om informatieveiligheid (doel) te waarborgen, wordt gebruik gemaakt van informatiebeveiliging (maatregelen). Binnen de IBI geldt de volgende definitie: Beschikbaarheid Beschikbaarheid (Het juiste moment): Geautoriseerde gebruikers hebben toegang tot de informatie en aanverwante bedrijfsmiddelen op het moment dat dit nodig is. De IBI definieert een basis-set aan eisen voor beschikbaarheid voor de infrastructuur van de provincies en voor de informatie-uitwisseling tussen de provincies en andere partijen. Deze set van eisen dient als basis voor het maken van afspraken over de beschikbaarheid tussen de eigenaar van het informatiesysteem en de (diensten)leverancier. Dit houdt in dat voor de beschikbaarheid van de informatievoorziening er een minimale set van normen wordt opgesteld waarbij per dienst en/of applicatie nadere afspraken gemaakt kunnen worden. Integriteit Integriteit (de juiste informatie): Correctheid en volledigheid van de informatie en de informatieverwerking. De integriteit op het IT vlak valt normaliter in twee delen uiteen: de integriteit van datacommunicatie en opslag enerzijds (d.w.z. niet gerelateerd aan het proces zelf ), en de integriteit van de informatie in de applicaties (d.w.z. gerelateerd aan het proces zelf ). Integriteit gekoppeld aan de applicatie is altijd situatieafhankelijk en afhankelijk van de eisen van een specifiek proces. Voor de functionele integriteit van de informatievoorziening wordt er een minimale set van normen opgesteld waarbij er per dienst en/of applicatie nadere afspraken gemaakt kunnen worden. Vertrouwelijkheid Vertrouwelijkheid (De juiste persoon): De informatie is alleen toegankelijk voor degene die hiervoor ook daadwerkelijk geautoriseerd is. De IBI beschrijft de maatregelen die nodig zijn voor het basisvertrouwelijkheidsniveau. Dat wil zeggen dat toegang tot informatie alleen wordt verschaft indien dat vanuit de rol of functie noodzakelijk is. Pagina 4 van 71

6 Scope De scope van de IBI omvat bedrijfsfuncties, ondersteunende middelen en informatie van provincies in de breedste zin van het woord. De IBI is van toepassing op alle ruimten van een provincie, aanverwante gebouwen en beheerde objecten. Alsmede op apparatuur die door provinciale medewerkers gebruikt worden bij de uitoefening van hun taak op diverse locaties. De IBI heeft betrekking op alle informatie die daarbinnen verwerkt wordt. Ook als informatiesystemen niet fysiek bij een provincie draaien of taken zijn uitbesteed aan derden is de IBI van toepassing. Beveiliging Beheer Organisatie Diensten Producten Processen Provinciale Missie Visie Strategie Beleid Medewerkers Applicaties Berichten Gegevens Informatieuitwisseling Technische Componenten Gegevens - opslag Netwerk Figuur 1 NORA Architectuurraamwerk voor bedrijfsinrichting Binnen de scope van deze baseline vallen alle op dit moment geldende wetten, normen en regels op het gebied van informatieveiligheid die door derden aan de provincies opgelegd zijn. Deze Baseline bevat minimaal al deze maatregelen en brengt ze met elkaar in verband. De maatregelen van deze baseline en onderliggende ISO norm, definiëren het door provincies vastgestelde basisbeveiligingsniveau. Indien gekozen wordt om maatregelen niet in te voeren moet dat worden uitgelegd, zogenaamd comply or explain. Integratie is belangrijk Het is van belang dat de focus op het geheel van de aandachtsgebieden Mens en Organisatie, Basisinfrastructuur en ICT gericht wordt. Het nemen van technische maatregelen alleen, is onvoldoende. Veelal wordt gesteld dat het bewustzijn van de gebruiker de belangrijkste basis is voor een goede informatieveiligheid. Inderdaad: gebruikers nemen bewust of onbewust veel risico s zoals de medewerker die nog even een rapport op tijd af wil krijgen en vertrouwelijke informatie op een onbeveiligde USB-stick zet om er thuis verder aan te werken. Dit is met beveiligingsmaatregelen op het gebied van ICT en toegangsbeveiliging slechts ten dele weg te nemen. De diverse maatregelen (uit de aandachtsgebieden Mens en Organisatie, Basisinfrastructuur en ICT) moeten daarom in samenhang worden genomen. Alleen op deze wijze kan er sprake zijn van een goed informatieveiligheidsbeleid 1. 1 De standaard NEN-ISO/IEC-27001/27002 heeft de integratie van de drie aandachtsgebieden ook als basis. Pagina 5 van 71

7 Standaard werkwijze en richtlijn voor maatregelen Bij het treffen van maatregelen moet altijd een afweging gemaakt worden tussen enerzijds de werkbaarheid en anderzijds de (noodzakelijke) beveiliging van de informatie in het proces. De te nemen maatregelen moeten in verhouding staan tot de omvang van het risico. Het proces mag bijvoorbeeld niet gefrustreerd worden door maatregelen die slechts een marginale verlaging van een risico betekenen. De maatregelen moeten gericht zijn op het garanderen van continuïteit en betrouwbaarheid van de informatievoorziening op een niveau dat past bij de behoefte vanuit de primaire provinciale organisatie. Daarom worden maatregelen geselecteerd op basis van een risicoanalyse/risicoafweging die in de primaire organisatie wordt gemaakt. Hierbij kan een adviserende en faciliterende rol weggelegd zijn voor een adviseur op het gebied van Informatieveiligheid maar de verantwoordelijkheid blijft belegd bij het management van organisatie. De organisatie maakt daarbij gebruik van de Interprovinciale Business Impact Analyse (zie Fout! Verwijzingsbron niet gevonden.) en de Interprovinciale Baseline Informatieveiligheid (dit document) als richtlijn voor de te nemen maatregelen. Deze Interprovinciale Baseline Informatieveiligheid geeft een standaard werkwijze waarmee per bedrijfsproces of informatiesysteem bepaald wordt, welke beveiligingsmaatregelen getroffen moeten worden. Daarmee zorgt de Interprovinciale Baseline Informatiebeveiliging ervoor dat: - Alle provincies op een vergelijkbare manier werken met Informatieveiligheid; - Het duidelijk is voor ketenpartners welke eisen provincies stellen aan informatieveiligheid; - Provincies een sterkere positie kunnen innemen bij leveranciers van ICT-systemen en ICTdiensten door deze eisen aan informatieveiligheid mee te nemen. Doelgroep en gebruik Het document is bedoeld voor specifieke functionarissen zoals: informatieveiligheidscoördinatoren, architecten, organisatie- en procesontwerpers, programmamanagers, projectleiders, applicatieontwerpers, functioneel en technisch beheerders van systemen. Maar ook voor de leidinggevenden van provincies. Behalve voor intern gebruik is deze Baseline ook bedoeld voor externe leveranciers als richtsnoer om te waarborgen dat de aangeboden producten en diensten aan het juiste beveiligingsniveau voldoen. De Interprovinciale Baseline Informatiebeveiliging is te gebruiken als: - Richtlijn voor inrichten van een basisbeveiligingsniveau; - Toetsingskader bij de aanvang en uitvoering van projecten; - Instrument voor risicobeheersing; - Instrument voor ondersteuning inkoop; - Richtlijn voor samenhang in de resultaten die via projecten bereikt worden; - Ontwerprichtlijn voor onder meer proces-, DIV- en applicatieontwerpers. - Richtsnoer voor de beoordeling van Leveranciers. - Richtsnoer voor de beoordeling van de technische systemen. - Aantonen van de verplichtende zelfregulering. Pagina 6 van 71

8 Hoofdstuk 3 De baseline, uitgangspunten Deze Interprovinciale Baseline Informatiebeveiliging beschrijft een standaard maatregelenset en een standaard BIA-methodiek die moet leiden tot een uniforme werkwijze voor alle provincies op het gebied van informatieveiligheid. Daarmee hebben de provincies een duidelijk communicatiemiddel naar ketenpartners en leveranciers van ICT-systemen over de door de provincies gehanteerde beveiligingseisen. De uitgangspunten voor de interprovinciale baseline zijn als volgt: De geactualiseerde baseline is gebaseerd op de internationale norm voor informatieveiligheid (de ISO/NEN serie). Het uitgangspunt is dat de te selecteren maatregelen in de baseline de risico s van 75% van de provinciale processen afdekken. Voor de overige 25% van de processen wordt een set van aanvullende maatregelen opgesteld. 2 De maatregelen in de baseline zijn op basis van kwalitatieve risico-analyses vastgesteld, zodat later onderbouwd kan worden op basis van welke uitkomsten de maatregelen zijn bepaald. Op maatregelniveau moet de mate van implementatie worden verantwoord. Op maatregelniveau wordt vastgelegd wie eind- en uitvoeringsverantwoordelijk is. De bijbehorend verantwoordingssystematiek moet uniform en meetbaar zijn. De baseline, standaardmethode De Interprovinciale Baseline Informatiebeveiliging bestaat uit een standaardisatie van maatregelen, en nadrukkelijk niet van methoden. Voor zover hier methoden beschreven worden gaat het om een vrijblijvende handreiking. De baseline bestaat uit de volgende onderdelen: 1) Business Impact Analyse 2) Maatregelensets afhankelijk van het plusniveau Standaard Business Impact Analyse De Business Impact Analyse (BIA) is een hulpmiddel om vast te stellen wat de impact op een bedrijfsproces is indien de informatieveiligheid van de informatie niet gewaarborgd of zelfs geschaad is. Op basis hiervan kunnen de risico s in kaart gebracht worden en kunnen maatregelen genomen worden ter vermindering of opheffing van deze risico s. Met de BIA wordt bepaald of voor een proces de Baseline voldoet, of dat er aanvullende maatregelen (uit een van de Baselines +) noodzakelijk zijn. De BIA is gebaseerd op de Business Impact Analyse van het Information Security Forum (een vooraanstaand internationaal forum op het gebied van informatieveiligheid) en is door het CIBO vertaald naar de provinciale situatie. De Business Impact Analyse wordt vastgesteld tijdens een gesprek met de verantwoordelijke eigenaar. Op basis daarvan wordt een proces geclassificeerd en wordt bepaald welke combinatie van maatregelen vereist of gewenst is. Het template is te vinden in bijlage A. 2 Dit uitgangspunt is gebaseerd op een inventarisatie en analyse van alle processen binnen twee van de twaalf van provincies. Pagina 7 van 71

9 Standaard maatregelensets De Interprovinciale Baseline Informatieveiligheid gaat er van uit dat alle kritische bedrijfsprocessen via de Business Impact Analyse geclassificeerd wordt. Op basis van deze classificatie wordt een standaardpakket aan beveiligingsmaatregelen uit de Interprovinciale Baseline Informatiebeveiliging toegewezen. De maatregelensets zijn verdeeld in twee niveaus: 1. Basisniveau. De hierin genoemde maatregelen zijn niet gekoppeld aan eisen omtrent beschikbaarheid, integriteit of vertrouwelijkheid maar moeten hoe dan ook genomen worden. 2. Plusniveau. Dit niveau van maatregelen valt uiteen in drie aandachtsgebieden met elk specifieke maatregelen. Het gaat dan om een plusniveau op het gebied van: a) Beschikbaarheid b) Integriteit c) Vertrouwelijkheid De term Interprovinciale Baseline Informatiebeveiliging suggereert één niveau aan maatregelen voor informatiebeveiliging voor alle provincies, dus maatregelen die je verwacht altijd aan te treffen. Indien hier van afgeweken wordt dient het risico expliciet geaccepteerd te zijn. Zoals blijkt uit bovenstaande is er echter een onderscheid te maken tussen twee delen: 1) Er is een set aan maatregelen die noodzakelijk zijn om informatieveiligheid op een minimaal niveau te brengen en te houden. Dit is het basisniveau en bevat maatregelen die in principe altijd en overal genomen moeten worden. 2) Er is bovenop het basisniveau een set maatregelen die specifiek geldt voor dat bedrijfsproces of informatiesysteem waarvoor een provinciale Business Impact Analyse is uitgevoerd: dit zijn de juiste maatregelen behorend bij de classificatie Beschikbaarheid, Integriteit of Vertrouwelijkheid op basis van de provinciale Business Impact Analyse. De gedachte van deze Interprovinciale Baseline Informatiebeveiliging is dat ieder Provincie begint met de implementatie van de basis maatregelen. Op basis van de Business Impact Analyses wordt duidelijk of een proces binnen of buiten de baseline (basis) valt. Wanneer de BIA uitwijst dat er meer maatregelen nodig zijn, kan het + niveau uit de Interprovinciale Baseline Informatiebeveiliging worden gebruikt. Indien de aanvullende maatregelen niet genomen geldt ook hier dat de risico s expliciet geaccepteerd moeten zijn. Het overzicht van de maatregelen is te vinden in bijlage B. Pagina 8 van 71

10 Hoofdstuk 4 Beheer en Onderhoud De Interprovinciale Baseline Informatiebeveiliging is een document wat onderhevig is veranderingen. Herziening is mede afhankelijk van wijzigingen in wetgeving, onderliggende normen, het beleid en de beheerorganisatie. Beveiligingsincidenten vormen aanwijzingen waar voor het provincies specifieke aandachtspunten liggen. Dit document en de daarin opgenomen maatregelen worden periodiek op inhoud, uitvoerbaarheid, invoering en werking beoordeeld en, indien nodig, aangepast om te voorkomen dat de Baseline veroudert. IPO Het IPO is eigenaar van dit document en daarmee verantwoordelijk voor het beheer en onderhoud van de interprovinciale baseline informatiebeveiliging. Deze verantwoordelijkheid is gedelegeerd naar het ambtelijke samenwerkingsverband AAC Middelen dat onder het IPO valt. Zij draagt zorgt voor toewijzing van capaciteit en middelen die het CIBO nodig heeft om de Interprovinciale Baseline Informatiebeveiliging actueel te houden. CIBO Het CIBO is het interprovinciaal overleg voor Informatiebeveiliging. In dit overleg zijn alle 12 provincies en BIJ12 vertegenwoordigd. De deelnemers zijn allen werkzaam op het gebied van informatieveiligheid in hun organisatie. Het CIBO is inhoudelijk verantwoordelijk voor de Interprovinciale Baseline Informatiebeveiliging. Zij streeft naar een 3 jaarlijkse update van de Interprovinciale Baseline Informatiebeveiliging, of zoveel vaker als nodig is op grond van de actualisering van de ISO norm of andere ingrijpende ontwikkelingen. Pagina 9 van 71

11 Bijlage A Business impact analyse Interprovinciale Baseline Informatieveiligheid De Provincie is afhankelijk van haar informatie en daarmee dus ook van de processen en systemen waarin deze informatie wordt verwerkt. Een steeds groeiende vervlechting met ketenpartners zorgt ervoor dat ook vanuit dat perspectief steeds strengere eisen aan de kwaliteit van de informatie worden gesteld. Hoe garanderen wij als verantwoordelijke van een proces of informatiesysteem dat de informatie binnen het systeem veilig is? Zijn de eventuele ketenpartners wel zuinig op de informatie van onze organisatie? En gaan wij als Provincie ook zorgvuldig om met de informatie van onze ketenpartners? Of misschien nog wel belangrijker: kunnen we ons als Provincie naar de buitenwereld verantwoorden over de situatie? Om hier op een juiste manier invulling aan te kunnen geven, heeft onze organisatie een minimaal beveiligingsniveau vastgesteld (baseline). Deze baseline bestaat uit een set van maatregelen die er voor zorgen dat de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie die gebruikt wordt binnen een proces of applicatie gegarandeerd is. Door het invullen van deze business impact analyse (BIA) wordt duidelijk of de informatie die gebruikt wordt binnen de baseline valt, of dat er aanvullende maatregelen nodig zijn. Doel van de Business Impact Analyse (BIA) Het doel van de business impact analyse is het eenduidig classificeren van de informatie die gebruikt wordt binnen een proces of applicatie, om daarmee op eenvoudige wijze te kunnen vaststellen of de informatie binnen het vastgestelde basis beveiligingsniveau valt, of dat er eventueel extra maatregelen noodzakelijk zijn. De betreffende maatregelen van toepassing zijn op: - Software - Hardware - Processen - Opslagmedia (USB, papier..) - Locaties die gerelateerd is/zijn aan het gebruik van de betreffende informatie. Pagina 10 van 71

12 Business Impact Analyse Beschikbaarheid Het formulier Business Impact Analyse Beschikbaarheid heeft als doel om inzichtelijk te maken wat de impact is als het betreffende proces of systeem niet beschikbaar is. De beantwoording van de vragen in het formulier wordt gedaan door een kruis te plaatsen in de relevante kolom. Business Impact Analyse Beschikbaarheid Stelling Ja Nee Toelichting Kan het niet beschikbaar zijn van de informatie leiden tot een levensbedreigende situatie? baseline + baseline Kan het niet beschikbaar zijn van de informatie leiden tot licht letsel voor een aantal personen? baseline baseline Kan het niet beschikbaar zijn van de informatie leiden tot het staken van een onderzoek naar een zware misdaad? baseline + baseline Kan het niet beschikbaar zijn van de informatie leiden tot financiële verliezen tussen 4.500,000,- en ,-? baseline + baseline Kan het niet beschikbaar zijn van de informatie leiden tot het opschorten of serieus verstoren van belangrijke processen van voor de organisatie? baseline + baseline Kan het niet beschikbaar zijn van de informatie leiden tot landelijke negatieve publiciteit? baseline + baseline Kan het niet beschikbaar zijn van de informatie leiden tot lokale negatieve publiciteit? baseline baseline Kan het niet beschikbaar zijn van de informatie leiden tot inbreuk op wet, of regelgeving en/of ethiek, resulterend in licht ongemak voor een groep personen (WBP)? baseline baseline Kan het niet beschikbaar zijn van de informatie leiden tot civiele procedure of strafrechtelijke vervolging resulterend in een boete tussen 2.500,- en ,-? baseline baseline Kan het niet beschikbaar zijn van de informatie leiden tot het staken van het vervolgen van een misdaad? baseline baseline Kan het niet beschikbaar zijn van de informatie leiden tot voordeel voor een concurrent voor een bedrag tussen ,- en ,-? baseline baseline Kan het niet beschikbaar zijn van de informatie leiden tot directe of indirecte verliezen tussen de 4.500,000,- en ,- baseline baseline Kan het niet beschikbaar zijn van de informatie leiden tot het ondermijnen van goed besturen van de organisatie? baseline baseline Business Impact Analyse Integriteit Het formulier Business Impact Analyse Integriteit is bedoeld om te achterhalen wat de impact is indien de integriteit van de informatie binnen het betreffende proces of systeem niet langer gegarandeerd is. Pagina 11 van 71

13 De beantwoording van de vragen in het formulier wordt gedaan door een kruis te plaatsen in de relevante kolom. Business Impact Analyse Integriteit Stelling Ja Nee Toelichting Kan onjuistheid van de informatie leiden tot een levensbedreigende situatie? baseline + baseline Kan onjuistheid van de informatie leiden tot licht letsel voor een aantal personen? baseline baseline Kan onjuistheid van de informatie leiden tot het staken van een onderzoek naar een zware misdaad? baseline + baseline Kan onjuistheid van de informatie leiden tot financiële verliezen tussen 4.500,000,- en ,-? baseline + baseline Kan onjuistheid zijn van de informatie leiden tot het opschorten of serieus verstoren van belangrijke processen van voor de organisatie? baseline + baseline Kan onjuistheid van de informatie leiden tot landelijke negatieve publiciteit? baseline + baseline Kan onjuistheid van de informatie leiden tot lokale negatieve publiciteit? baseline baseline Kan onjuistheid van de informatie leiden tot inbreuk op wet, of regelgeving en/of ethiek, resulterend in licht ongemak voor een groep personen (WBP)? baseline baseline Kan onjuistheid zijn van de informatie leiden tot civiele procedure of strafrechtelijke vervolging resulterend in een boete tussen 2.500,- en ,-? baseline baseline Kan onjuistheid van de informatie leiden tot het staken van het vervolgen van een misdaad? baseline baseline Kan onjuistheid van de informatie leiden tot voordeel voor een concurrent voor een bedrag tussen ,- en ,-? baseline baseline Kan onjuistheid van de informatie leiden tot directe of indirecte verliezen tussen de 4.500,000,- en ,- baseline baseline Kan onjuistheid van de informatie leiden tot het ondermijnen van goed besturen van de organisatie? baseline baseline Business Impact Analyse Vertrouwelijkheid Het formulier Business Impact Analyse Vertrouwelijkheid is bedoeld om te achterhalen wat de impact is indien de vertrouwelijkheid van de informatie binnen het betreffende proces of systeem niet langer gegarandeerd is. De beantwoording van de vragen in het formulier wordt gedaan door een kruis te plaatsen in de relevante kolom. Business Impact Analyse Vertrouwelijkheid Stelling Ja Nee Toelichting Pagina 12 van 71

14 Kan onbevoegde toegang tot de informatie leiden tot waarschijnlijk meer dan licht letsel voor een persoon? baseline + baseline Kan onbevoegde toegang tot de informatie leiden tot licht letsel voor een aantal personen? Baseline Baseline Kan onbevoegde toegang tot de informatie leiden tot inbreuk op wet of regelgeving en/of ethiek, resulterend in aanzienlijk ongemak voor een groep personen (WBP)? Baseline + baseline Kan onbevoegde toegang tot de informatie leiden tot inbreuk op wet of regelgeving en/of ethiek, resulterend in licht ongemak voor een groep personen (WBP)? Baseline Baseline Kan onbevoegde toegang tot de informatie kan leiden tot een voordeel voor een concurrent voor een bedrag van minimaal ,-? baseline + baseline Kan onbevoegde toegang tot de informatie leiden tot voordeel voor een concurrent voor een bedrag tussen ,- en ,-? Baseline Baseline Kan onbevoegde toegang tot de informatie leiden tot directe of indirecte schade tussen de 4.500,000,- en ,-? baseline + baseline Kan onbevoegde toegang tot de informatie leiden tot een civiele procedure of strafrechtelijke vervolging resulterend in een boete tussen ,- en ,-? baseline + baseline Kan onbevoegde toegang tot de informatie leiden tot een civiele procedure of strafrechtelijke vervolging resulterend in een boete tussen 2.500,- en ,-? Baseline Baseline Kan onbevoegde toegang tot de informatie leiden tot het vergemakkelijken van het begaan van een zware misdaad of het onderzoek daarnaar belemmeren? Baseline + baseline Kan onbevoegde toegang tot de informatie leiden tot het staken van het vervolgen van een misdaad? Baseline Baseline Kan onbevoegde toegang tot de informatie leiden tot benadeling van de organisatie in commerciële of beleidsonderhandelingen met anderen? Baseline + baseline Kan onbevoegde toegang tot de informatie leiden tot negatieve publiciteit op landelijk niveau? Baseline + baseline Kan onbevoegde toegang tot de informatie leiden tot lokale negatieve publiciteit? Baseline Baseline Kan onbevoegde toegang tot de informatie leiden tot directe of indirecte verliezen tussen de 4.500,000,- en ,-? baseline baseline Kan het niet beschikbaar zijn van de informatie leiden tot het ondermijnen van goed besturen van de organisatie? baseline baseline Uitkomsten Business Impact Analyse Pagina 13 van 71

15 De uitgevoerde impactanalyse heeft betrekking op: Datum: Business Impact Analyse ingevuld door: Begeleid door: Conclusie Op het gebied van beschikbaarheid is gebleken dat de informatie die gebruikt wordt in het proces/systeem wel/niet binnen de gestelde baseline valt. Conclusie Op het gebied van integriteit is gebleken dat de informatie die gebruikt wordt in het proces/systeem wel/niet binnen de gestelde baseline valt. Conclusie Op het gebied van Vertrouwelijkheid is gebleken dat de informatie die gebruikt wordt in het proces/systeem wel/niet binnen de gestelde baseline valt. Overall Analyse Beschikbaarheid Overall Analyse Integriteit Opmerkingen Opmerkingen Overall Analyse Vertrouwelijkheid Opmerkingen Bijlage B De baseline, overzicht van maatregelen In dit hoofdstuk staat de Interprovinciale Baseline Informatiebeveiliging in detail uitgewerkt. De Interprovinciale Baseline Informatiebeveiliging is gebaseerd op de Nederlandse norm NEN-ISO/IEC-27002:2005 en is naar de ISO 27002:2013 omgezet. De interprovinciale baseline informatiebeveiliging bestaat uit een aantal componenten, te weten: 1. Het basisniveau 2. Het plusniveau. Ad 1 Het basis niveau Het basisniveau bestaat uit een set maatregelen die in elke situatie voor elk bedrijfsonderdeel van toepassing is en die een standaard risiconiveau afdekt tegen geïdentificeerde dreigingen. Als dat niveau voldoende is zoals bij standaard kantoorautomatiseringstoepassingen dan is het niet nodig een risicoanalyse uit te voeren. Pas wanneer duidelijk is dat meer beveiliging vereist is, zullen aanvullende maatregelen noodzakelijk zijn. Om te bepalen of het proces boven het basisbeveiligingsniveau uitkomt wordt een risicoanalyse uitgevoerd. Pagina 14 van 71

16 Ad 2: Het plusniveau Het plus niveau bestaat uit een set aanvullende maatregelen voor het geval dat uit de BIA blijkt dat het basisniveau voor het onderdeel beschikbaarheid, integriteit of vertrouwelijkheid ontoereikend is. Elk onderdeel van de hierboven genoemde baselines bevat: een beheersdoelstelling die vermeldt wat er moet worden bereikt, en een of meer beheersmaatregelen die kunnen worden toegepast om de beheersdoelstelling te realiseren. De beschrijving van beheersmaatregelen is als volgt gestructureerd: Beheersmaatregel: Definieert de specifieke maatregel om aan de beheersdoelstelling te voldoen. Implementatierichtlijnen: Geven nadere informatie om de implementatie van de beheersmaatregel te ondersteunen en om de beheersdoelstelling te realiseren. Sommige richtlijnen zullen niet in alle gevallen van toepassing zijn; andere manieren om de beheersmaatregel te implementeren kunnen daarom geschikter zijn. Pagina 15 van 71

17 Overzicht baseline maatregelen (ISO) Niveau basis * 5 Beveiligingsbeleid * 5.1 Informatiebeveiligingsbeleid Directie richting en ondersteuning bieden voor informatiebeveiliging overeenkomstig de bedrijfsmatige eisen en relevante wetten en voorschriften. * Beleidsdocument voor informatiebeveiliging Een document met informatiebeveiligingsbeleid moet door de directie worden goedgekeurd en gepubliceerd en kenbaar worden gemaakt aan alle werknemers en relevante externe partijen. 1 Het management van een organisatie stelt het informatiebeveiligingsbeleid inclusief de beveiliging van smartphones en tablets vast en draagt dit beleid uit binnen de organisatie. 1-1 Bij het opstellen van het beveiligingsbeleid wordt aandacht besteed aan de wijze waarop de gebruikers toegang krijgen tot de data van de organisatie. 1-2 Bij het opstellen van het beveiligingsbeleid wordt aandacht besteed aan het al dan niet toestaan van het gebruik van data-roaming bij gebruik in het buitenland. 1-3 Bij het opstellen van het beveiligingsbeleid wordt aandacht besteed aan het al dan niet toestaan van het gebruik van data-roaming bij gebruik in het buitenland. 1-4 Bij het opstellen van het beveiligingsbeleid wordt aandacht besteed aan de grenzen aan de mogelijkheden tot het synchroniseren van data. 1-5 Bij het opstellen van het beveiligingsbeleid wordt aandacht besteed aan het gebruik van applicaties van derden (Apps) op apparatuur van de organisatie. 2 Hanteer een relevant mobiel beleid voor BYOD apparaten. 2-1 Beschrijf wie toegang heeft tot het netwerk en wie niet, met name de noodzaak van mobiele toegang tot bedrijfsinformatie dient hierbij te worden vastgesteld op organisatieniveau. 2-2 Borg in het beleid dat indien een medewerker eigen apparatuur zakelijk gebruikt dit gebeurt binnen de eisen gesteld in het beveiligingsbeleid, privacybeleid en mobiel data beleid van de organisatie. 2-3 Borg in het beleid dat er voortdurend actief risico management wordt uitgevoerd op mobiele verbindingen en apparaten. 2-4 Stel in beleid vast wie in het hoogste management verantwoordelijk is voor het toezicht op de uitvoering van het beleid. 2-5 Voer een risicoanalyse uit om te bepalen binnen welke grenzen gebruik van BYOD apparaten kan worden toegestaan. 2 3 Definieer een scholings- en trainingsstrategie op het gebied van beveiliging. 3-1 Het hoogste management moet zowel mondeling als schriftelijk commitment afgeven met betrekking tot beveiliging. 3-2 Baseer de strategie op het beleid van de organisatie. Pagina 16 van 71

18 5 Beveiligingsbeleid 5 1 Informatiebeveiligingsbeleid Directie richting en ondersteuning bieden voor informatiebeveiliging overeenkomstig de bedrijfsmatige eisen en relevante wetten en voorschriften Beleidsdocument voor informatiebeveiliging 502 Bij het opstellen van het beveiligingsbeleid wordt aandacht besteed aan de wijze waarop de gebruikers toegang krijgen tot de data van de organisatie. 503 Bij het opstellen van het beveiligingsbeleid wordt aandacht besteed aan het al dan niet toestaan van het gebruik van data-roaming bij gebruik in het buitenland. 504 Bij het opstellen van het beveiligingsbeleid wordt aandacht besteed aan de grenzen aan de mogelijkheden tot het synchroniseren van data. 505 Bij het opstellen van het beveiligingsbeleid wordt aandacht besteed aan het gebruik van applicaties van derden (Apps) op apparatuur van de organisatie. 530 Beschrijf wie toegang heeft tot het netwerk en wie niet, met name de noodzaak van mobiele toegang tot bedrijfsinformatie dient hierbij te worden vastgesteld op organisatieniveau. 531 Borg in het beleid dat indien een medewerker eigen apparatuur zakelijk gebruikt dit gebeurt binnen de eisen gesteld in het beveiligingsbeleid, privacybeleid en mobiel data beleid van de organisatie. 532 Borg in het beleid dat er voortdurend actief risico management wordt uitgevoerd op mobiele verbindingen en apparaten. 533 Stel in beleid vast wie in het hoogste management verantwoordelijk is voor het toezicht op de uitvoering van het beleid. 534 Voer een risicoanalyse uit om te bepalen binnen welke grenzen gebruik van BYOD apparaten kan worden toegestaan Het hoogste management moet zowel mondeling als schriftelijk commitment afgeven met betrekking tot beveiliging Baseer de strategie op het beleid van de organisatie Neem het organisatiebeleid op in het ICT-beveiligingsbeleid Beschrijf in het beleidsdocument alle gebruikelijke aspecten van ICT-beveiliging Stel het beleidsdocument ter beschikking aan alle werknemers Het exemplaar moet worden onderhouden Documenteer en onderhoud voor ieder (hoofd)systeem het beveiligingsbeleid Geef in het beveiligingsbeleid van de organisatie aan welke extra beveiligingseisen specifiek voor het bedrijf zijn Het informatiebeveiligingsbeleid dient door een directielid goedgekeurd te worden Werknemers dienen een verklaring te ondertekenen waarin staat dat ze de inhoud van het beveiligingsbeleid begrijpen en aanvaarden Leg verifieerbaar vast dat het beveiligingsbeleid is geëvalueerd Beoordeling van het informatiebeveiligingsbeleid 3360 Het beveiligingsbeleid dient een aangewezen eigenaar te hebben Het is de verantwoordelijkheid van de eigenaar van het beveiligingsbeleid om het beleid minstens eenmaal per jaar te herzien Het beveiligingsbeleid dient herzien te worden na een belangrijke verandering in het systeem of organisatie De doeltreffendheid van het beleid dient te worden beoordeeld De beleidseffecten op de bedrijfsvoering en resultaat dienen te worden beoordeeld. Pagina 17 van 71

19 3367 Ga na wat het effect van veranderingen in technologie voor het beleid kan zijn. Pagina 18 van 71

20 6 Organisatie van informatiebeveiliging 6 1 Interne organisatie Beheren van de informatiebeveiliging binnen de organisatie Betrokkenheid van de directie bij informatiebeveiliging 3427 Het beveiligingsforum dient over een duidelijk referentiekader te beschikken Het beveiligingsforum moet uit een vaste kern bestaan en in voorkomend geval met tijdelijke deelnemers aangevuld worden Vergaderingen van het beveiligingsforum zijn formeel van aard en worden genotuleerd Het beveiligingsforum dient rapporten van interne audits kritisch door te nemen Het beveiligingsforum dient van alle beveiligingsincidenten de details te beoordelen Het beveiligingsforum dient beveiligingsbeleid en beveiligingsprocedures te beoordelen Het beveiligingsforum dient de voortgang van verbeterprogramma( s) ten aanzien van beveiliging te monitoren Het beveiligingsforum dient na te gaan in hoeverre derden zich conformeren aan het beveiligingsbeleid Coördinatie van informatiebeveiliging 2798 Het management moet normale, commercieel verantwoorde maatregelen vaststellen Ontwikkel geheugensteuntjes voor het afhandelen van bommeldingen Voorzie het betrokken management van een analyse-hulpmiddel voor bommeldingen Als de telefooncentrale dit ondersteunt, moeten er procedures zijn om een gesprek te 2836 De verstrekking van werkinstructies moet worden gebaseerd op de kans dat een melding wordt ontvangen en het type telefoonsysteem Verzamel dezelfde informatie als de melding aan een derde partij is gedaan, zoals de pers of een liefdadigheidsinstelling Leg een escalatieschema vast voor het omgaan met bommeldingen met duidelijk gedefinieerde handelingen, inclusief de beoordeling van de melding Test het bomalarm regelmatig om er zeker van te zijn dat het personeel weet wat het moet doen Coördineer de acties met andere betrokkenen Coördineer de beveiligingsverantwoordelijkheden Toewijzing van verantwoordelijkheden voor informatiebeveiliging 1698 Er moet bepaald worden wie verantwoordelijk is voor het beheer van apparatuur buiten de deur, ook daar waar gebruikers werken Wijs een brandpreventiefunctionaris aan Train aangewezen personeel in het gebruik van brandbestrijdings- en 3375 Ken verantwoordelijkheden toe voor de bescherming van voorzieningen Definieer en documenteer de verantwoordelijkheden voor het uitvoeren van specifieke beveiligingsprocessen Er dient te worden bepaald en vastgesteld wat de bij een bepaald systeem horende bedrijfsmiddelen en veiligheidsprocedures zijn Voor elk bedrijfsmiddel of veiligheidsprocedure dient de verantwoordelijk leidinggevende te worden vastgesteld De verantwoordelijk leidinggevende voor bedrijfsmiddel of veiligheidsprocedure dient de autorisatieniveaus te bepalen Goedkeuringsproces voor IT-voorzieningen 520 Het moet mogelijk zijn om het apparaat op afstand te beheren. 521 Het moet mogelijk zijn om het apparaat op afstand te wissen. 522 Reguleer het gebruik van de camera in de apparatuur. 523 Indien de simkaart van het apparaat wordt verwijderd dient het apparaat automatisch te worden gewist. 524 Het moet mogelijk zijn om het apparaat op afstand te localiseren Nieuwe voorzieningen moeten een veiligheidsgoedkeuring hebben voordat ze geïnstalleerd worden (b,v, door een beveiligingsfunctionaris, of iemand bevoegd tot accreditatie) Voordat nieuwe voorzieningen geïnstalleerd kunnen worden dient er vanuit de bedrijfskundige hoek goedkeuring te zijn verleend Voordat nieuwe voorzieningen geïnstalleerd kunnen worden dient er vanuit de technische hoek goedkeuring te zijn verleend Geheimhoudingsovereenkomst 3198 Personeel moet bij aanstelling een geheimhoudingsverklaring tekenen. Pagina 19 van 71

21 3199 Contractanten moeten bij het afsluiten van het contract een geheimhoudingsverklaring tekenen De geheimhoudingsverklaring moet worden beoordeeld wanneer er sprake is van wijzigingen in personeels- of contractvoorwaarden Er moet bijgehouden worden welke personeelsleden bewustwordingstraining in informatiebeveiliging hebben gehad Contact met overheidsinstanties 3394 Houdt contact met wetshandhavingautoriteiten Houdt contact met telecommunicatie autoriteiten Houdt contact met wetgevende autoriteiten Houdt contact met beveiliging- en industrie forums Contact met speciale belangengroepen 3385 Een in-house aanspreekpunt voor informatiebeveiliging vraagstukken dient te worden 3391 Houdt contact met dienstverleners Houdt contact met geassocieerde organisaties Onafhankelijke beoordeling van informatiebeveiliging 3418 De individuen verantwoordelijk voor de onafhankelijke beoordeling dienen te worden geïdentificeerd. 6 2 Externe partijen Beveiligen van de informatie en IT-voorzieningen van de organisatie handhaven waartoe externe partijen toegang hebben of die door externe partijen worden verwerkt of beheerd, of die naar externe partijen wordt gecommuniceerd Identificatie van risico's die betrekking hebben op 3399 Stel de risico's voor informatiecomponenten vast Beveiliging behandelen in de omgang met klanten 1398 Klanten dienen een verklaring te ondertekenen waarin zij aangeven zich bewust te zijn van hun verantwoordelijkheid voor de beveiliging van de informatie die voor hun toegankelijk is Beveiliging behandelen in overeenkomsten met een 3401 Neem beveiligingsvoorwaarden op in een contract Er moet een overzicht van derden worden bijgehouden die onderdelen van de beveiliging verzorgen. Pagina 20 van 71

22 7 Beheer van bedrijfsmiddelen 7 1 Verantwoordelijkheid voor bedrijfsmiddelen Bereiken en handhaven van een adequate bescherming van bedrijfsmiddelen van de organisatie Inventarisatie van bedrijfsmiddelen 180 Van alle informatiecomponenten moet er een registratie worden bijgehouden. 182 De registratie met de informatiecomponenten moet elke 6 maanden worden gecontroleerd. 183 In de registratie van informatiebedrijfsmiddelen dient niet zo zeer elk bedrijfsmiddel afzonderlijk te worden opgenomen als wel globale categorieën van bedrijfsmiddelen. 657 Verantwoord alle apparatuur. 714 Elk jaar moet er een audit van de netwerkonderdelen worden gehouden Houd een hardware-overzicht bij Er moet een overzicht worden bijgehouden van alle te onderhouden voorzieningen In het overzicht van de voorzieningen moet de datum van de laatste onderhoudsbeurt opgenomen zijn Voor iedere voorziening moet een onderhoudsverantwoordelijke aangewezen zijn In het overzicht van de voorzieningen moeten alle problemen of storingen opgenomen zijn Er dienen registers van aanwezige programmatuur te worden bijgehouden Eigendom van bedrijfsmiddelen 224 Een gegevenseigenaar moet op basis van wat iemand vanuit zijn functie moet weten toegangsprofielen voor afzonderlijke gebruikers opstellen Aanvaardbaar gebruik van bedrijfsmiddelen 546 Stel een gebruikersovereenkomst op voor gebruik van privé middelen voor zakelijke 547 In de overeenkomst is opgenomen dat gebruikers zich door ondertekening aan het beleid conformeren en geven toegang tot hun mobile device indien dit nodig is voor het oplossen van problemen of ondersteuning. 753 Iedereen die elektronische post gebruikt moet een mededeling ontvangen waarin staat wat als ongeoorloofd gebruik van elektronische post wordt beschouwd. 755 Document dat ongeoorloofd gebruik van elektronische post definieert dient door de leden van het management geaccordeerd te zijn. 756 Gebruikers dienen een document te ondertekenen waarin staat waaruit ongeoorloofd gebruik van elektronische post bestaat. 771 Alle gebruikers van faciliteiten om op internet te bladeren dienen een document te ontvangen waarin staat wat geoorloofd en wat ongeoorloofd gebruik van deze faciliteiten is. 773 Document dat ongeoorloofd gebruik van internet-faciliteiten definieert dient door de leden van het management geaccordeerd te zijn. 774 Gebruikers dienen een document te ondertekenen waarin staat waaruit ongeoorloofd gebruik van faciliteiten om op het internet te bladeren bestaat. 7 2 Classificatie van informatie Bewerkstelligen dat informatie een geschikt niveau van bescherming krijgt Richtlijnen voor het classificeren 2068 Men dient een lijst met rubriceringniveaus op te stellen waarover men het eens is Het rubriceringsschema dient er rekening mee te houden dat gevoeligheid niet voor altijd vastligt De verantwoordelijkheid voor het classificeren van een onderdeel ligt bij degene van wie de informatie afkomstig is of bij de aangewezen eigenaar van de informatie Degene van wie de informatie afkomstig is of de aangewezen eigenaar van de informatie is verantwoordelijk voor het aanpassen van de rubricering van onderdelen Labeling en verwerking van informatie 2056 De rubricering moet boven- en onderaan iedere pagina worden getoond De rubricering moet worden afgeleid van het label van de gegevens die worden afgedrukt Alle printuitvoer moet per pagina zijn genummerd Er moet een leeg rapport worden gemaakt als zoekcriteria geen informatie waarover gerapporteerd kan worden opleveren Alle gegevensdragers tonen de hoogste rubricering van de informatie op het medium. Pagina 21 van 71

23 2074 Controleer gegevensdragers om ervoor te zorgen dat de rubricering correct is Gebruik labels om het verschil aan te geven tussen productie-, test-, historische en gekopieerde gegevens Bewaar gegevensdragers in een afsluitbare kast Breng op bedrijfsmiddelen identificatieaanduidingen aan. Pagina 22 van 71

24 8 Beveiliging van personeel 8 1 Voorafgaand aan het dienstverband Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden begrijpen, en geschikt zijn voor de rollen waarvoor zij worden overwogen, en om het risico van diefstal, fraude of misbruik van faciliteiten te verminderen Rollen en verantwoordelijkheden 3178 De verantwoordelijkheid met betrekking tot informatiebeveiliging moet gedurende het hele dienstverband gelden De verantwoordelijkheid met betrekking tot informatiebeveiliging moet een vastgestelde periode na beëindiging van het dienstverband nog gelden Er moet worden bepaald welke stappen men zou kunnen nemen wanneer een medewerker zich niet aan de beveiligingsvoorschriften houdt De wettelijke rechten en plichten van de werknemer dienen te worden vastgesteld De verantwoordelijkheid met betrekking tot informatiebeveiliging dient zich tot buiten de panden van de organisatie uit te strekken Screening 3172 Wanneer ingehuurd of tijdelijk personeel door een bureau geleverd wordt, dient de verantwoordelijkheid voor het screenen duidelijk in de contracten met het bureau vermeld te worden Niet-elektronische personeeldossiers moeten achter slot en grendel worden bewaard Alleen bevoegde personeelsfunctionarissen mogen toegang tot elektronische personeeldossiers hebben Een willekeurig gekozen groep dossiers uit het personeelsregister moet onafhankelijk gecontroleerd worden om na te gaan of de veiligheidscontroles juist zijn uitgevoerd Arbeidsvoorwaarden 3189 Beschrijf algemene verantwoordelijkheden met betrekking tot beveiliging Functieomschrijvingen dienen specifieke verantwoordelijkheden met betrekking tot beveiliging te bevatten Een verklaring dat men zich aan de Wet Computercriminaliteit houdt Een verklaring dat men zich aan de Wet Bescherming Persoonsgegevens houdt Een verklaring dat men zich aan de wet op auteursrecht en octrooirecht houdt Een verklaring dat men zich aan het beleid van de organisatie met betrekking tot geheimhouding en vertrouwelijkheid houdt Zorg voor een specifieke toelichting bij rubriceringcriteria Geef speciale richtlijnen die bij de verantwoordelijkheid voor het bewaken van commercieel gevoelige informatie of apparatuur horen. 8 2 Tijdens het dienstverband Bewerkstelligen dat alle werknemers, ingehuurd personeel en externe gebruikers zich bewust zijn van bedreigingen en gevaren voor informatiebeveiliging, van hun verantwoordelijkheid en aansprakelijkheid, en dat ze zijn toegerust om het beveiligingsbeleid van de organisatie in hun dagelijkse werkzaamheden te ondersteunen, en het risico van een menselijke fout te verminderen Directieverantwoordelijkheid 3370 Beleg verantwoordelijkheden voor het sturen van beveiligingsinitiatieven Bewustzijn, opleiding en training ten aanzien van 2845 Al het personeel dient geïnstrueerd te worden in het verschil in systemen voor brand- en bomalarm Instrueer al het personeel bij een bommelding de bureaus leeg te ruimen, PC's af te dekken, weg te gaan bij de ramen en op instructies te wachten Zorg voor mechanismen om al het personeel te instrueren over de specifieke handelingen die het bij een bommelding moet uitvoeren Stel nieuw personeel tijdens de introductiefase op de hoogte van de bommeldingsprocedure Maak al het personeel duidelijk welke directe stappen het moet nemen, wanneer men vermoedt dat men een bom ontdekt heeft. Pagina 23 van 71