Informatiebeveiligingsbeleid Avans Hogeschool

Transcriptie

1 xx Informatiebeveiligingsbeleid Avans Hogeschool Colofon ons datum 15 juni 2010 auteurs A.W.M. van Dreumel Versie 3 definitief Bron document: Informatiebeveiliging in het Hoger Onderwijs, Gezamenlijk product van het CIO Beraad en SURF-ibo versie juni 2010

2 pagina 2 van 21 Versiebeheer Datum Door Wijzigingen Ad van Dreumel Ad Vogels Reacties Henri Vossen Ad Vogels Opmaak definitieve versie

3 pagina 3 van 21 Voorwoord Dit document biedt een structuur voor de initiatieven op het gebied van informatiebeveiliging binnen Avans Hogeschool (hierna Avans). Ook geeft het de samenhang weer tussen de verschillende documenten, overlegorganen en hoe verantwoordelijkheden voor informatiebeveiliging binnen Avans belegd zijn. Het document beoogt een kader te geven waarbinnen nieuwe voorzieningen op het gebied van informatiebeveiliging kunnen worden opgezet en geeft het normenkader aan de hand waarvan maatregelen voor informatiebeveiliging worden afgewogen. Het document bevat geen concrete risico-inventarisaties of maatregelen maar beschrijft hoe binnen Avans het proces van informatiebeveiliging is ingericht en welke rollen daarin vervuld moeten worden. Dit document is geënt op het model informatiebeveiligingsbeleid dat binnen het SURF- InformatieBeveiligers Overleg (SURF-IBO) ontwikkeld en vertaald is naar de situatie van Avans. Deze standaard is vastgesteld in het CIO-Beraad.

4 pagina 4 van 21 Inhoud 1. Inleiding 5 Algemeen 5 Reikwijdte van het beleid 5 Doelstelling informatiebeveiligingsbeleid 6 Leeswijzer 7 2. Beleidsprincipes informatiebeveiliging 8 Beleidsuitgangspunten en principes 8 Classificatie van gegevens 9 Classificatie van systemen 9 3. Wet- en regelgeving 11 Wettelijke voorschriften Wet op het Hoger onderwijs en Wetenschappelijk onderzoek Wet Bescherming Persoonsgegevens 11 Archiefwet 11 Auteurswet 11 Telecommunicatiewet 11 Wet Computercriminaliteit 11 Overige richtlijnen en landelijke afspraken Governance informatiebeveiligingsbeleid 13 Inpassing in de instellings IT-governance 13 Documenten informatiebeveiliging 14 Controle, naleving en sancties 16 Bewustwording en training 16 Organisatie van de informatiebeveiligingsfunctie 16 Overleg Melding en afhandeling van incidenten 19 Computer Security Incident Response Team (CSIRT) Bijlagen 21 Geraadpleegde documenten 21

5 pagina 5 van Inleiding Algemeen Onder informatiebeveiliging wordt verstaan het treffen en onderhouden van een samenhangend pakket aan maatregelen om de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening te garanderen. De kwaliteitsaspecten: Beschikbaarheid: de mate waarin gegevens of functionaliteit op de juiste momenten beschikbaar zijn voor gebruikers; Integriteit: de mate waarin gegevens of functionaliteit juist ingevuld zijn; Vertrouwelijkheid: de mate waarin de toegang tot gegevens of functionaliteit beperkt is tot degenen die daartoe bevoegd zijn. 1 Hierbij gaat het ook om de controleerbaarheid van de maatregelen die genomen zijn om deze kwaliteitsaspecten te borgen. Informatiebeveiliging is een beleidsverantwoordelijkheid van het bestuur van Avans. Ook in het onderwijsveld is sprake van toenemende afhankelijkheid van informatie en computersystemen, waardoor nieuwe kwetsbaarheden en risico s kunnen optreden. Het is daarom van belang hiertegen adequate maatregelen te nemen. Immers, onvoldoende informatiebeveiliging kan leiden tot onacceptabele risico s bij de uitvoering van onderwijs en onderzoek en bij de bedrijfsvoering van de instelling. Incidenten en inbreuken in deze processen kunnen leiden tot financiële schades en imagoverlies. Avans heeft de ambitie om met het onderhavige beleidsdocument informatiebeveiliging structureel naar een hoger niveau te brengen en daar op te houden door de aspecten governance, wet- en regelgeving, de organisatie van de beveiligingsfunctie en het informatiebeveiligingsbeleid -ook in hun onderlinge relatie- duidelijk te beschrijven en vast te stellen. Reikwijdte van het beleid In de reikwijdte van het beleid wordt beschreven wat de afbakening is van het toepassingsgebied ervan. Bij Avans wordt informatiebeveiliging breed geïnterpreteerd. We realiseren ons dat er een belangrijke relatie en een gedeeltelijke overlap ligt met aanpalende beleidsterreinen, zoals safety (ARBO- en milieuwetgeving), security (fysieke beveiliging) en business continuity. Het informatiebeveiligingsbeleid binnen Avans heeft betrekking op alle medewerkers, studenten, gasten, bezoekers en externe relaties (inhuur / outsourcing), op alle organisatieonderdelen, alsmede 1 Overbeek, Roos Lindgreen, Spruit: Informatiebeveiliging onder controle, ISBN

6 pagina 6 van 21 op alle netwerken en werkplekken van Avans. Ook in het geval gebruikers met een eigen ICT-device of vanaf een werkplek buiten de Avans-gebouwen gebruik maken van de Avans-ICT-faciliteiten gelden de regels van dit informatiebeveiligingsbeleid. Doelstelling informatiebeveiligingsbeleid Het informatiebeveiligingsbeleid bij Avans heeft als doel het waarborgen van de continuïteit van de bedrijfsvoering en het minimaliseren van de schade door het trachten te voorkomen van beveiligingsincidenten en het minimaliseren van eventuele gevolgen. Het doel van het informatiebeveiligingsbeleid voor Avans is concreet het volgende: Kader: het beleid biedt een kader om (toekomstige) maatregelen in de informatiebeveiliging te toetsen aan een vastgestelde best practice of norm en om de taken, bevoegdheden en verantwoordelijkheden in de organisatie te beleggen; Normen: de basis voor de inrichting van het security management is ISO Maatregelen worden op basis van best practices in het hoger onderwijs en op basis van ISO genomen 3 ; Expliciet: uitgangspunten en organisatie van informatiebeveiligingsfuncties zijn vastgelegd en worden gedragen door de Raad van Bestuur, en afgeleid daarvan, door de hele organisatie; Daadkrachtig: duidelijke keuzes in maatregelen, actieve controle op beleidmaatregelen en de uitvoering daarvan; Compliance: het beleid biedt de basis om te voldoen aan wettelijke voorschriften. Door het beter structureren van het informatiebeveiligingsbeleid bij Avans wordt aantoonbaar dat dit beleid bijdraagt aan de realisering van de overall doelstellingen die Avans voor zichzelf heeft geformuleerd ( alignment ). Die doelstellingen zijn het bieden van een kwalitatief hoogwaardige onderwijs- en onderzoeksomgeving, die bijdraagt aan de verbetering van de kwaliteit van de samenleving als geheel. Deze omgeving behoort veilig te zijn en te voldoen aan relevante wet- en regelgeving. 2 Voluit: NEN-ISO/IEC 27001: Eisen aan Managementsystemen voor informatiebeveiliging 3 Voluit: NEN-ISO/IEC 27002: Code voor Informatiebeveiliging

7 pagina 7 van 21 Leeswijzer In hoofdstuk 2 worden de uitgangspunten van het informatiebeveiligingsbeleid weer gegeven. Hoofdstuk 3 geeft in het kort aan met welke wet- en regelgeving Avans in haar dagelijks functioneren rekening dient te houden. Hoofdstuk 4 behandelt hoe de controle op naleving en de organisatorische inpassing van deze weten regelgeving binnen Avans vorm is gegeven. Hoofdstuk 5 tenslotte beschrijft op welke wijze Avans omgaat met computerbeveiliging gerelateerde incidenten.

8 pagina 8 van Beleidsprincipes informatiebeveiliging Beleidsuitgangspunten en principes Security management wordt als proces ingericht om het informatiebeveiligingsbeleid operationeel te maken. Dat houdt in dat de jaarlijkse planning- en controlcyclus gebaseerd is op ISO (Plan, Do, Check, Act). Hierin wordt een jaarplan opgesteld en uitgevoerd. De resultaten ervan worden geëvalueerd en vertaald in een nieuw jaarplan. De beleidsuitgangspunten bij Avans zijn: Onze filosofie is dat we een open instelling zijn, waar veel mogelijk is. Er wordt van medewerkers en studenten (en andere doelgroepen zoals genoemd onder Reikwijdte van het beleid) verwacht dat zij zich qua techniek en ook qua houding fatsoenlijk gedragen (eigen verantwoordelijkheid). Niet acceptabel is dat door al dan niet opzettelijk gedrag onveilige situaties ontstaan die leiden tot schade en/of imagoverlies. Het is om deze reden dat er de laatste jaren gedragscodes zijn geformuleerd en geïmplementeerd. De beveiliging dient te voldoen aan de relevante wet- en regelgeving, in het bijzonder aan de Wet Bescherming Persoonsgegevens (2001). De beveiliging dient de volgende aspecten te waarborgen: o Beschikbaarheid; o Integriteit; o Vertrouwelijkheid. Avans hanteert de volgende beleidsprincipes: Informatiebeveiliging is een lijnverantwoordelijkheid: dat betekent dat de directies van de organisatieonderdelen de primaire verantwoordelijk dragen voor een goede informatiebeveiliging op hun organisatie-eenheid. Dit omvat ook de keuze van maatregelen en de uitvoering en handhaving ervan; Informatiebeveiliging is ieders verantwoordelijkheid. Verwachtingen t.a.v. individuen: er wordt gecommuniceerd met medewerkers, studenten, docenten en derden dat er van hen verwacht wordt dat ze actief bijdragen aan de veiligheid van geautomatiseerde systemen en de daarin opgeslagen informatie. Dat kan in de aanstellingsbrief, tijdens functioneringsgesprekken, met een instellingsbrede gedragscode, met periodieke bewustwordingscampagnes, et cetera. Met het opleggen van sancties na overtredingen maakt Avans het geheel geloofwaardig; Informatiebeveiliging is een continu proces. Avans herijkt regelmatige het beleid door het uitvoeren van audits. Technologische en organisatorische ontwikkelingen binnen en buiten de instelling maken het noodzakelijk om periodiek te bezien of Avans nog wel op de juiste wijze bezig is de beveiliging te waarborgen; Eigendom van informatie: de onderwijsinstelling is als rechtspersoon eigenaar van de informatie die onder haar verantwoordelijkheid wordt geproduceerd, tenzij dit voor bijvoorbeeld onderzoek anders is overeengekomen. Daarnaast beheert de instelling informatie, waarvan het eigendom

9 pagina 9 van 21 (auteursrecht) toebehoort aan derden. Medewerkers en studenten worden goed geïnformeerd over de regelgeving voor het (her)gebruik van deze informatie; Waardering van informatie: iedereen behoort de waarde van informatie te kennen en daarnaar te handelen. Deze waarde wordt bepaald door de schade als gevolg van verlies van beschikbaarheid, integriteit en vertrouwelijkheid. Classificatie kan hierbij behulpzaam zijn; zie volgende paragraaf; Bij grote projecten, zoals infrastructurele wijzigingen of de aanschaf van nieuwe systemen, wordt vanaf de start rekening gehouden met informatiebeveiliging. Classificatie van gegevens Bij Avans zijn alle gegevens waarop dit informatiebeveiligingsbeleid van toepassing is, geclassificeerd in één van de onderstaande klassen. Het niveau van de beveiligingsmaatregelen is afhankelijk van de klasse. Klasse Basisprincipes Openbaar Iedereen mag de gegevens inzien, bijvoorbeeld de algemene website van de instelling Een geselecteerde groep mag deze gegevens wijzigen Intern Iedereen die aan de instelling is verbonden als medewerker, student of onderzoeker mag deze gegevens inzien; toegang kan zowel binnen als buiten de instelling (remote) worden verleend, bijvoorbeeld lesroosters Een geselecteerde groep mag deze gegevens wijzigen Vertrouwelijk Er is expliciet aangegeven wie welke rechten heeft t.a.v. de raadpleging en de verwerking van deze gegevens, bijvoorbeeld studieresultaten Classificatie van systemen Periodieke evaluatie van de risico s van systemen is noodzakelijk om vast te stellen of het gekozen pakket aan maatregelen nog steeds voldoet aan de gewijzigde omstandigheden. Immers, bedreigingen kunnen in de loop der tijd veranderen, informatiesystemen en/of de organisatie kunnen inmiddels zijn aangepast en maatregelen werken wellicht anders uit dan oorspronkelijk bedoeld. De risicoanalyses worden besproken met de systeemeigenaren en over maatregelen wordt geadviseerd aan de directeur van het betreffende organisatieonderdeel. Een evaluatie kan overigens ook leiden tot bijstelling van de baseline.

10 pagina 10 van 21 De risicoanalyses worden gemaakt onder de verantwoordelijkheid van de Information Security Officer door de Information Security Manager in samenwerking met de systeem-/gegevenseigenaren. Periodiek vinden audits plaats waarbij wordt beoordeeld of maatregelen ook daadwerkelijk zijn geïmplementeerd. De classificatie van informatiesystemen is afhankelijk van de gegevens in het informatiesysteem en wordt bepaald op basis van risico analyses. Daarbij zijn de volgende aspecten van belang: a. Beschikbaarheid b. Integriteit c. Vertrouwelijkheid Ten aanzien van de beschikbaarheidseisen worden de volgende klassen onderscheiden: Niet vitaal: algeheel verlies of niet beschikbaar zijn van deze informatie gedurende langer dan 1 week brengt geen merkbare schade toe aan de belangen van de instelling, haar medewerkers of haar klanten; Vitaal: algeheel verlies of niet beschikbaar zijn van deze informatie gedurende langer dan 1 week brengt merkbare schade toe aan de belangen van de instelling, haar medewerkers of haar klanten; Zeer vitaal: algeheel verlies of niet beschikbaar zijn van deze informatie gedurende langer dan 1 etmaal brengt merkbare schade toe aan de belangen van de instelling, haar medewerkers of haar klanten. Welk beveiligingsniveau geschikt is voor een bepaald informatiesysteem hangt af van de classificatie van de informatie die het systeem verwerkt. De classificatie dient door of namens de eigenaar van het betreffende informatiesysteem te worden bepaald. Onderstaande tabel geeft weer welk beveiligingsniveau bij welke klasse van informatie behoort: Vertrouwelijkheid / Integriteit Openbaar Basisbescherming Intern Basisbescherming Vertrouwelijk Basisbescherming + Beschikbaarheid Niet vitaal Basisbescherming Vitaal Basisbescherming + Zeer vitaal Basisbescherming ++ Daar waar de basisbescherming niet voldoende is moeten voor elk informatiesysteem individueel afgestemde maatregelen worden genomen.

11 pagina 11 van Wet- en regelgeving Wettelijke voorschriften Bij Avans wordt op de volgende wijze omgegaan met relevante wet- en regelgeving. Wet op het Hoger onderwijs en Wetenschappelijk onderzoek Avans heeft een kwaliteitszorgsysteem, waarin (onder meer) het zorgvuldig omgaan met gegevens in de studentenadministratie en met de studieresultaten is gewaarborgd. Daarnaast worden integriteitscodes voor wetenschappelijk onderzoek nageleefd en toegepast. Wet Bescherming Persoonsgegevens Avans heeft de wettelijke vereisten (juistheid en nauwkeurigheid van gegevens en passende technische en organisatorische maatregelen tegen verlies en onrechtmatige verwerking) geïmplementeerd via het informatiebeveiligingsbeleid. Naleving van de beveiligingsmaatregelen leidt tot voldoen aan de wet. Archiefwet Avans houdt zich aan de voorschriften uit de Archiefwet en het Archiefbesluit over de wijze waarop omgegaan moet worden met informatie vastgelegd in (gedigitaliseerde) documenten, informatiesystemen, websites, e.d. Dit is onderdeel van de jaarlijkse externe accountantsrapportages. Auteurswet Avans verspreidt geen originele werken zonder dat daarvoor toestemming is verkregen van de eigenaar van de auteursrechten. Dit impliceert ook dat Avans het gebruik van software zonder het bezitten van de juiste licenties tegen gaat. Telecommunicatiewet Het openbare deel van het netwerk moet voldoen aan de Telecommunicatiewet. De maatregelen die Avans genomen heeft om aan de privacywetgeving te voldoen zijn tevens toereikend om de bescherming van de persoonlijke levenssfeer van gebruikers op onze openbare netwerken te waarborgen. De regelgeving van de Telecommunicatiewet met betrekking tot het bevoegd aftappen en de bewaarplicht zijn separaat geïmplementeerd. Wet Computercriminaliteit De Wet Computercriminaliteit richt zich op de strafrechtelijke probleemgebieden in relatie tot het computergebruik. De wet schrijft voor dat enige beveiliging vereist is alvorens er sprake kan zijn van het eventueel strafrechtelijk vervolgen van delicten jegens de onderwijsinstelling en het eventueel vrijwaren van bestuurders van de instelling. Naleving van dit informatiebeveiligingsbeleid en implementatie van de basis maatregelen bij Avans moet leiden tot een niveau van beveiliging dat als voldoende mag worden gezien in het kader van de

12 pagina 12 van 21 Wet Computercriminaliteit. Overige richtlijnen en landelijke afspraken Zoals eerder gesteld is het informatiebeveiligingsbeleid bij Avans gebaseerd op de Plan- Do- Check- Act-cyclus overeenkomstig ISO Avans voldoet aan de volgende richtlijnen en landelijke afspraken: Integriteitscodes voor wetenschappelijk onderzoek; Studielink afspraken; Aansluitvoorwaarden SURFfederatie / SURFnet; OCW Beleidsvisie Veiligheid en radicalisering. Daarnaast is zoveel mogelijk voldaan aan gemeenschappelijke landelijke afspraken in de branche.

13 pagina 13 van Governance informatiebeveiligingsbeleid Het goed, efficiënt en verantwoord leiden van een organisatie wordt vaak aangeduid met de term governance. Het omvat vooral ook de relatie met de belangrijkste belanghebbenden van de instelling, zoals de eigenaren, werknemers, studenten, andere afnemers en de samenleving als geheel. Een goed corporate governance-beleid draagt zorg voor de rechten van alle belanghebbenden. In dit hoofdstuk wordt uitsluitend ingegaan op IT-governance en de positionering van informatiebeveiliging daarin. Inpassing in de instellings-it-governance In deze paragraaf wordt beschreven hoe IT-governance in Avans is georganiseerd en wie waarvoor verantwoordelijk is. Van belang daarbij is om onderscheid te maken naar richtinggevend of strategisch, sturend of tactisch en uitvoerend niveau. Wat betreft de benaming van functies wordt zoveel mogelijk aangesloten bij het PvIB. 4 De functie van Information Security Officer is binnen Avans als volgt vormgegeven: het collegelid dat informatiebeveiliging in portefeuille heeft is eindverantwoordelijk voor informatiebeveiliging binnen Avans. Het collegelid heeft een Information Security Officer aangesteld om het informatiebeveiliging te borgen. De Information Security Officer is een rol van de directeur van de Diensteenheid ICT en Facilitaire Dienst (DIF). De directeur DIF adviseert de RvB, de RvB stelt vast. De Information Security Manager functioneert op stafniveau binnen DIF en vervult een rol bij de vertaling van de strategie naar een tactisch (en operationeel) plan. Dit doet hij samen met de Information Security Officer en de systeemeigenaren. Op operationeel niveau wordt overlegd met de functioneel beheerders en locale IT-functionarissen. Er wordt aandacht geschonken aan de implementatie van de informatiebeveiligingsmaatregelen. Schematisch weergegeven: Niveau Wat? Wie? Overleg Documenten Richtinggevend - Bepalen IBstrategie - Organisatie t.b.v. IB inrichten - IB-planning en control - RvB, i.c. Portefeuillehouder IB, o.b.v. advies portefeuillehouder informatiebeveiliging directeur IT - RvB stelt vast - Strategisch ICT-overleg adviseert - IB-beleidsplan - IB-baseline (basis maatregelen) - Business continuity plan 4 Functies in de informatiebeveiliging. GvIB, PI, 2006

14 pagina 14 van 21 vaststellen - Business continuity management Sturend Planning & Control - Systeem eigenaar IB: - voorbereiden - Information Security Manager normen en wijze van toetsen - evalueren beleid en maatregelen - begeleiding externe audits - Functionaris Gegevensbescherming Uitvoerend - implementeren - Information Security IB-maatregelen Manager - registreren en - Functioneel beheerder evalueren - DIF ICT incidenten - communicatie eindgebruikers * voor definities zie volgende paragraaf Tactisch IBoverleg Operationeel IB-overleg - Risicoanalyses en audits - Jaarplan en verslag - DVO s (security paragraaf) - Incident registratie, incl. evaluatie De financiering van informatiebeveiliging wordt bij Avans als volgt geregeld: Algemene zaken, zoals het opstellen van een informatiebeveiligingsplan voor de gehele instelling, worden uit het DIF-budget betaald. De beveiliging van informatiesystemen komen ten laste van de eigenaren van deze informatiesystemen. Beveiligingskosten van werkplekken maken integraal onderdeel uit van de werkplekkosten. Het zelfde geldt voor awareness en training: er kunnen instellingsbrede bewustwordingscampagnes zijn (centraal gefinancierd) en locale voorlichting en training voor specifieke toepassingen of doelgroepen (decentraal gefinancierd). Documenten informatiebeveiliging Voor informatiebeveiliging wordt bij Avans de managementcyclus gevolgd, die ook voor andere onderwerpen geldt: beleid, analyse, plan implementatie, uitvoering, controles en evaluatie. In het kader van informatiebeveiliging kent Avans de volgende documenten: 1. Het informatiebeveiligingsbeleid Het informatiebeveiligingsbeleid ligt ten grondslag aan de aanpak van informatiebeveiliging binnen de instelling. In het informatiebeveiligingsbeleid worden de

15 pagina 15 van 21 randvoorwaarden en uitgangspunten vastgelegd en de wijze waarop het beleid wordt vertaald in concrete maatregelen. Om er voor te zorgen dat het beleid gedragen wordt binnen de organisatie en de organisatie er naar handelt wordt het uitgedragen door (of namens) de Raad van Bestuur. Het informatiebeveiligingsbeleid wordt opgesteld door de Information Security Officer en vastgesteld door de Raad van Bestuur. 2. Baseline van maatregelen (basisniveau maatregelen) Deze baseline beschrijft de maatregelen die minimaal nodig zijn om instellingsbreed een minimaal niveau van informatiebeveiliging te kunnen waarborgen. Dit vloeit voort uit het beleid of uit besluiten die door het tactisch overleg genomen zijn. Deze basis maatregelen dienen dus overal in de instelling genomen te worden. De baseline wordt gemaakt door de Information Security Manager, vastgesteld door de Information Security Officer en (zonodig) goedgekeurd door de Raad van Bestuur. Wanneer er systemen zijn die na een risicoanalyse hogere beveiligingseisen nodig hebben, dan worden deze bovenop de minimale maatregelen genomen. 3. Jaarplan/verslag Elk jaar levert de Information Security Manager een jaarverslag en een jaarplan voor het volgende jaar in bij de Directeur DIF. Het jaarplan is mede gebaseerd op de resultaten van de periodieke controles / audits. Er wordt o.a. ingegaan op incidenten, resultaten van risicoanalyses (incl. genomen maatregelen) en andere initiatieven die het afgelopen jaar hebben plaatsgevonden. Dergelijke verslagen kunnen geconsolideerd worden in de bestuurlijke Planning & Control-cyclus. Waar nodig wordt apart aandacht besteed aan decentrale systemen. 4. Business Continuity Plan Business Continuity Management (BCM) is de benaming van het proces dat potentiële bedreigingen voor een organisatie identificeert en bepaalt wat de impact op de operatie van de organisatie is als deze bedreigingen daadwerkelijk manifest worden. Het product van BCM bestaat uit een samenhangend stelsel van maatregelen, die zowel preventief, detectief, repressief als correctief werkzaam zijn. Het Business Continuity Plan wordt opgesteld door de Information Security Officer in samenwerking met de systeemeigenaren. 5. Diensten niveau overeenkomsten (DVO s) Systeem eigenaren sluiten met DIF en met externe leveranciers t.b.v. de ondersteuning van concernsystemen een DVO af. Dat zijn contracten met afspraken en randvoorwaarden over geleverde diensten. Standaard hoort daarin een informatiebeveiligingsparagraaf te zitten, waarin de verantwoordelijkheden van de leverancier zijn opgenomen. 6. Policies Gedragscodes en richtlijnen voor medewerkers, studenten en derden, al dan niet voor specifieke doelgroepen, op het gebied van informatiebeveiliging. Zoals: Protocol gebruikersvoorzieningen 2010; DMCS Communicatie protocol;

16 pagina 16 van 21 Controle, naleving en sancties Bij Avans initieert de Information Security Manager de controle op de uitvoering van het informatiebeveiligingsjaarplan. De externe controle wordt uitgevoerd door onafhankelijke accountants. Dit is gekoppeld aan het jaarlijkse accountantsonderzoek en wordt zoveel mogelijk gecoördineerd met de normale Planning & Control cyclus. Steeds vaker is er ook sprake van branche audits, zoals de SURFAudit die momenteel wordt uitgevoerd. De bevindingen van de interne en externe audits zijn input voor het nieuwe jaarplan van Avans. De naleving bestaat uit algemeen toezicht op de dagelijkse praktijk van het security management proces. Van belang hierbij is dat lijnmanagers hun verantwoordelijkheid nemen en hun medewerkers aanspreken in geval van tekortkoningen. Mocht de naleving ernstig tekort schieten, dan kan Avans de betrokken verantwoordelijke medewerkers een sanctie opleggen, binnen de kaders van de CAO en de wettelijke mogelijkheden. Bewustwording en training Beleid en maatregelen zijn niet voldoende om risico s op het terrein van informatiebeveiliging uit te sluiten. In de praktijk blijkt de mens meestal de belangrijkste speler. Daarom wordt bij Avans het bewustzijn voortdurend aangescherpt, zodat kennis van risico s wordt verhoogd en het (veilig en verantwoord) gedrag wordt aangemoedigd. Onderdeel van het beleid zijn de regelmatig terugkerende bewustwordingscampagnes voor medewerkers, studenten en gasten. Zulke campagnes kunnen aansluiten bij landelijke campagnes in het hoger onderwijs, zo mogelijk in afstemming met beveiligingscampagnes voor ARBO, milieu en fysiek. Verhoging van het beveiligingsbewustzijn is zowel een verantwoordelijkheid van de organisatieonderdelen, specifiek DIF en de Security Manager; uiteindelijk is ook hiervoor de Raad van Bestuur eindverantwoordelijk. Organisatie van de informatiebeveiligingsfunctie Om informatiebeveiliging gestructureerd en gecoördineerd op te pakken worden bij Avans taken, bevoegdheden en verantwoordelijkheden toegewezen aan functionarissen in de bestaande organisatie. Raad van Bestuur De Raad van Bestuur is eindverantwoordelijk voor de informatiebeveiliging binnen Avans en stelt het beleid en de basis maatregelen op het gebied van informatiebeveiliging vast.

17 pagina 17 van 21 Information Security Officer De inhoudelijke verantwoordelijkheid voor informatiebeveiliging is gemandateerd aan de directeur DIF in de rol van Information Security Officer. Deze heeft de opdracht om voor de informatiebeveiliging voor de gehele instelling zorg te dragen. Information Security Manager De Information Security Manager functioneert op stafniveau van DIF en vervult een rol bij de vertaling van de strategie naar een tactisch (en operationeel) plan. Systeemeigenaar De systeemeigenaar is er verantwoordelijk voor dat de applicatie een goede ondersteuning biedt aan het proces waarvoor deze verantwoordelijk is. Dit betekent dat de systeemeigenaar er voor zorgt dat zowel nu als in de toekomst de applicatie blijft beantwoorden aan de eisen en wensen van de gebruikers en aan wet- en regelgeving. Uiteraard moet de applicatie voldoen aan het informatiebeveiligingsbeleid en tenminste aan de basis maatregelen. Leidinggevende Naleving van het informatiebeveiligingsbeleid is onderdeel van de integrale bedrijfsvoering. Iedere leidinggevende heeft de taak om: er voor te zorgen dat zijn medewerkers op de hoogte zijn van het beveiligingsbeleid; toe te zien op de naleving van het beveiligingsbeleid door zijn medewerkers; periodiek het onderwerp informatiebeveiliging onder de aandacht te brengen in werkoverleggen; als aanspreekpunt beschikbaar te zijn voor alle personeel gerelateerde informatiebeveiligingszaken. De leidinggevende kan hierin ondersteund worden door de Security Manager. Functionaris gegevensbescherming De verantwoordelijkheid voor deze functie is belegd binnen de eenheid Beleids Evaluatie en Control (BE&C). De functionaris voor de gegevensbescherming (FG) houdt binnen Avans toezicht op de toepassing en naleving van de Wet Bescherming Persoonsgegevens. De wettelijke taken en bevoegdheden van de FG geven deze functionaris een onafhankelijke positie in de organisatie. Csirt-coördinator Het Csirt (Computer Security Incident Response Team) bij Avans wordt geleid door een onafhankelijk functionaris, die bevoegd is het isoleren van computersystemen of netwerksegmenten te gelasten. De Csirt- coördinator rapporteert aan de directeur DIF.

18 pagina 18 van 21 Overleg Om de samenhang in de organisatie van de informatiebeveiligingsfunctie goed tot uitdrukking te laten komen en de initiatieven en activiteiten op het gebied van informatiebeveiliging binnen de verschillende onderdelen op elkaar af te stemmen wordt bij Avans gestructureerd overleg gevoerd over het onderwerp informatiebeveiliging op vele niveaus. Op strategisch niveau wordt richtinggevend gesproken over governance en compliance, alsmede over doelen, scope en ambitie op het gebied van informatiebeveiliging. Op tactisch niveau wordt de strategie vertaald naar plannen, te hanteren normen, evaluatiemethoden, e.d. Deze plannen en instrumenten zijn sturend voor de uitvoering. Dit tactisch overleg is per organisatie-eenheid georganiseerd. Op operationeel niveau worden de zaken besproken die de dagelijkse bedrijfsvoering (uitvoering) aangaan. Deze overlegvorm is zeer decentraal georganiseerd, indien nodig in elk organisatieonderdeel. Voor alle drie de typen overleg geldt dat het zoveel mogelijk ingepast moet worden in bestaande overlegvormen met hetzelfde karakter. Zo zal op strategisch niveau niet alleen over informatiebeveiliging gesproken worden, maar ook over andere risico s waarmee de instelling te maken kan krijgen, zoals bijvoorbeeld financieel, personeel en commercieel.

19 pagina 19 van Melding en afhandeling van incidenten Incidentbeheer en registratie hebben betrekking op de wijze waarop geconstateerde dan wel vermoede inbreuken op de informatiebeveiliging door de medewerkers, studenten en onderzoekers gemeld worden en de wijze waarop deze worden afgehandeld. Het is van belang om te leren van incidenten. Incidentregistratie en periodieke rapportage over opgetreden incidenten horen thuis in een volwassen informatiebeveiligingsomgeving. Bij Avans is er daarom een meldpunt ingericht en is bekend gemaakt hoe dat is te benaderen. Elke eenheid is zelf verantwoordelijk voor het signaleren en melden van incidenten en inbreuken op informatiebeveiliging. De lijnmanager dient de incidenten en inbreuken direct te melden aan het centrale meldpunt Servicedesk DIF (tel. servicedesk.dif@avans.nl) of aan het Csirt (tel. security.dif@avans.nl) De incidenten worden geregistreerd en afgehandeld en dienen als input voor de incidentrapportages en waarover in het operationeel overleg wordt gesproken. Bij constatering van bepaalde trends kan hierop meteen worden ingespeeld, bijvoorbeeld door het nemen van extra maatregelen of een bewustwordingscampagne. Computer Security Incident Response team (Csirt) Het doel van het Csirt bij Avans is instellingsbrede preventie en curatieve zorg voor informatiebeveiligingsincidenten. Het Csirt houdt zich ook bezig met beveiligingsincidenten buiten Avans als daar eigen medewerkers of studenten in enige rol bij betrokken zijn. In zulke gevallen wordt in principe gebruik gemaakt van de diensten van SURFcert, die wereldwijd in verbinding staat met andere Csirt s. De leden van het Csirt zijn benoemd door de directeur DIF en opereren in diens opdracht. Het Csirt kan in geval van ernstige incidenten rechtstreeks escaleren naar de directeur DIF. Het Csirt is gerechtigd het isoleren van computersystemen of netwerksegmenten te gelasten. Het Csirt van Avans heeft de volgende opdracht: Het signaleren en registreren van alle beveiligingsincidenten, het coördineren van de bestrijding en het toezien op de oplossing van problemen die tot incidenten hebben geleid of door de incidenten zijn veroorzaakt (of het bieden van ondersteuning daarbij); Het geven van voorlichting en het doen van algemene aanbevelingen aan netwerkbeheerders, systeembeheerders, ontwikkelaars en eindgebruikers door het verspreiden van informatie; Het leveren van managementrapportages aan directeur DIF over de beveiligingsincidenten en het doen van voorstellen tot betere preventie van of curatie op incidenten.

20 pagina 20 van 21 Het Csirt bij Avans levert de volgende diensten: Afhandelen van binnenkomende s; Afhandelen van binnenkomende telefoons; Inrichten en operationeel houden van een meldpunt voor alle beveiligingsincidenten en het coördineren en bewaken van een adequate afhandeling daarvan. De bereikbaarheid van het Csirt (tijden/middelen) worden bekend gemaakt aan alle betrokkenen; Geven van voorlichting aan IT-gebruikers, ontwikkelaars en beheerders over preventie van incidenten en actuele bedreigingen Adviseren over instellingsbrede beveiligingsaspecten; Periodiek opstellen van managementrapportages. Het Csirt bij Avans behandelt meldingen vertrouwelijk en verstrekt alleen informatie over beveiligingsincidenten als dat noodzakelijk en relevant is voor de oplossing van een incident. De dienstverlening van het Csirt bij Avans is gedocumenteerd en bij deze door de Raad van Bestuur bekrachtigd.

21 pagina 21 van Bijlagen Geraadpleegde documenten Nr. Instelling Titel Versie, datum 1 Universiteit van Amsterdam Beleid Informatiebeveiliging UvA V0.13, Universiteit van Amsterdam Baseline Informatiebeveiliging V0.9, Universiteit van Amsterdam Informatiebeveiligingsbeleid, De V0.4, governance van de Informatiebeveiliging VU 4 Universiteit van Amsterdam Bijlage 1. V0.4, Informatiebeveiligingsbeleid VU, toepassing ISO Universiteit van Amsterdam Plan van Aanpak Implementatie V0.6, Computer Security Incident Response Team (CSIRT) 6 TU Delft Informatiebeveiligingsbeleid V1.7, juni Universiteit Twente Informatiebeveiligingsbeleid UT V2.0, SAXION Hogescholen Beveiligingsbeleid ICT-Infrastructuur V0.91g, SAXION Hogescholen Inrichten informatiebeveiligingsorganisatie V1.0, SAXION Hogescholen Calamiteitenplan ICT-infrastructuur V.0.2, SAXION Hogescholen Eigenaarschap Erasmus Universiteit Rotterdam Informatiebeveiligingsbeleid V0.4-2, Universiteit Leiden Beleid informatiebeveiliging 2010 December Universiteit Leiden Baseline informatiebeveiliging INHolland Informatiebeveiligingsnorm V0.9, OpenUniversiteitNederland Informatiebeveiligingsbeleid voor de V16, OUN 17 OpenUniversiteitNederland Uitvoeringsregels V06, informatiebeveiliging 18 Universiteit Utrecht Informatiebeveiliging, Beleid en V1.0, Basisregels 19 Universiteit Utrecht Gebruiksreglement ICT-middelen en voorzieningen 20 NHL Hogeschool Informatiebeveiligingsbeleid V1.0, Windesheim Informatiebeveiliging, beleidsnota V1.11, maart Windesheim Classificatiesysteem, Vaststellen BIV classificatie en maatregelen V1.2, december aeres groep Beveiligingsbeleid Groenhorst College 2006 V1.4