Informatiebeveiliging. Beleidsuitgangspunten. Versie 2 (concept)



Vergelijkbare documenten
VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Beleid Informatiebeveiliging InfinitCare

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Informatiebeveiligingsbeleid

ISO 27001:2013 INFORMATIE VOOR KLANTEN

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

De Plaats GL Hendrik-Ido-Ambacht tel Privacy policy

GEDRAGS- CODE. Gebruik van elektronische communicatiemiddelen

algemene verordening gegevensbescherming (avg) & datalekken

Informatiebeveiligingsplan

Beveiligingsbeleid Stichting Kennisnet

Gemeente Alphen aan den Rijn

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Informatiebeveiligingsbeleid

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Verklaring van Toepasselijkheid

Voorschrift Informatiebeveilging Rijksdienst (VIR) Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Informatiebeveiligingsbeleid extern

Altelier9 respecteert uw privacy en doet er alles aan om uw persoonsgegevens te beschermen.

In jouw schoenen. Een praktische invulling van informatiebeveiliging

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

ISO 27001:2013 Informatiebeveiligingsbeleid extern

2.1 Borgen van rechten van betrokkenen Betrokkenen hebben het recht op inzage, correctie en dataportabiliteit van persoonsgegevens.

Informatieveiligheid in de steiger

Checklist Beveiliging Persoonsgegevens

Functiebeschrijving. Subsector:

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Informatiebeveiliging en Privacy; beleid CHD

CHECKLIST TELEWERKEN Werkzaamheden Voorwaarden en faciliteiten Telewerkovereenkomst Nota Bene

Online Privacyverklaring Monitored Rehab Systems

Informatiebeveiligings- en privacy beleid

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Privacy Statement Double You Media

Het Wie, Wat en Hoe vanwelzorg in 2012

AB: Ja Opdrachtgever: Klaas de Veen

0.1 Opzet Marijn van Schoote 4 januari 2016

Informatiebeveiligingsplan Dentpoint Centrum voor Mondzorg

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Zonder voorafgaande schriftelijke toestemming van Bronsvast is het niet toegestaan links naar onze website te plaatsen.

Beleidsnota Misbruik en Oneigenlijk gebruik. Gemeente Velsen

Voorwoord. Peter Truijens. directeur-bestuurder Samenwerkingsverband Passend Onderwijs IJmond

Comsave Privacy voorwaarden. Laatste update: 16 mei 2018

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

Privacy statement ROM3D

Informatiebeveiligings- en privacy beleid (IBP)

Privacyreglement Top Support Dakwerken v.o.f.

Privacyverklaring van Enpuls B.V.

De Minister van Sociale Zaken en Werkgelegenheid Wetgevingsadvies AMvB wijziging Besluit SUWI

Privacyreglement AMK re-integratie

Introductie. Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ).

Privacy Statement Forte Welzijn

PRIVACY STATEMENT. Deze website is eigendom van de Kanttekening B.V., hierna te noemen de Kanttekening.

Privacyverklaring Fiscaliade. 24 mei 2018

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF> Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen. Versie <versie/datum>

PRIVACYSTATEMENT LIVELYLIVES

Informatiebeveiligingsbeleid

Aandacht voor privacy en datarisico s is niet meer iets wat je erbij doet. Privacy en datarisico s

Help, een datalek, en nu? IKT-College 16 februari Mirjam Elferink Advocaat IE, ICT en privacy

Medewerker administratieve processen en systemen

Interne beheersing: Aan assurance verwante opdrachten Inleiding. Het kwaliteitsonderzoek. Regelgeving. Vragenlijst.

Privacyverklaring. m.i.v. mei 2018

CERTIFICERING DATASTORAGE ISO 27001:2013 EN NEN7510:2011

Privacy Reglement St. Zorgcentrum Oranjehof

Informatiebeveiliging

ECIB/U Lbr. 17/010

Projectenoverzicht Informatievoorziening en ICT

PLATFORM IZO 21 OKTOBER 2016

Privacyreglement personeelsinformatie gemeente Heerenveen


Privacy- en cookiebeleid

Hoe operationaliseer ik de BIC?

Privacyverklaring MedGezel

Informatie en organisatie. Specialisten in dienstverlening, bedrijfsvoering en informatiemanagement bij lokale overheden

Het onderstaande privacy beleid is van toepassing op alle sitebezoeken, transacties en overeenkomsten met XLNT Connect BV.

Gedragscode Persoonlijk Onderzoek. 21 december 2011

PRIVACY STATEMENT. Versie

Whitepaper: Online merkbeveiliging. Stationsplein EX Hilversum +31 (0)

honderd procent een 2020-visie op dienstverlening door de lokale overheid

Privacybeleid Tredion Automatisering B.V.

2.1.1 Informatie die u verstrekt bij het aanmelden voor een account

PRIVACY. Welke informatie vergaart de applicatie en hoe wordt het gebruikt?

Strategisch Informatiebeveiligingsbeleid Hefpunt

tekst raadsvoorstel Rekenkameronderzoek Digitale Veiligheid

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Transcriptie:

Informatiebeveiliging Beleidsuitgangspunten Versie 2 (concept) 1

1. INLEIDING... 4 1.1 Inleiding... 4 1.2 Aanleiding... 4 1.3 Wat is informatiebeveiligingsbeleid... 4 1.4 Doelgroep... 5 1.5 Eindverantwoordelijkheid... 6 1.6 Evaluatie informatiebeveiligingsbeleid en -plan... 6 1.7 Wijzigingproces en risico-inventarisatie... 6 1.8 De Ondernemingsraad (OR)... 7 1.9 Communicatie... 7 2 EISEN EN RANDVOORWAARDEN... 8 3. KADERS... 9 3.1 Samenwerken aan partnerschap (Nota SWAP)... 9 3.2 De visie op dienstverlening... 9 3.3 Het kantoorconcept... 9 3.4 Plaats- en tijdsonafhankelijk werken... 9 3.5 Integriteit... 10 3.6 Wettelijke informatiebeveiligingsvoorschriften en maatregelen... 10 3.7 Continuïteit/ calamiteit (Uitwijk)... 10 4. BELEIDSUITGANGSPUNTEN... 11 4.1 Openbaar tenzij... 11 4.2 Toegang mits geautoriseerd... 11 4.3 Beschikbaarheid versus risicobeperkend... 12 4.4 Beheer versus flexibiliteit... 12 2

4.5 Vertrouwen versus controle... 13 4.6 Openheid versus... 13 3

1. Inleiding 1.1 Inleiding Met de renovatie van het gemeentehuis krijgt Venray te maken met een nieuw kantoorconcept, een nieuwe manier van werken en een andere wijze van omgaan met informatie. Een van de uitgangspunten is het tijd- en plaatsonafhankelijk werken. Dit betekent dat elke medewerker op elke gewenst moment vanuit elke gewenste locatie toegang heeft tot zijn werkomgeving. Dit maakt vergaande digitalisering van de werkomgeving noodzakelijk. De toegang tot informatie wordt door digitalisering weliswaar vele malen eenvoudiger, maar het gevaar voor oneigenlijk gebruik ook. De noodzaak voor heldere afspraken en richtlijnen over hoe we om willen en moeten gaan met informatie is groot. Van belang hierbij is dat de balans tussen vertrouwen en controle niet uit het oog wordt verloren. Venray heeft als uitgangspunt een taakvolwassen medewerker, die integer, verantwoordelijk en betrouwbaar is. Een medewerker die tevens klantgericht is, goed kan samenwerken en initiatief neemt. Het informatie-beveiligingsbeleid moet aansluiten bij de behoeften van deze medewerker. 1.2 Aanleiding Waarom informatiebeveiliging? Een gemeente is een informatie-intensieve organisatie. De afhankelijkheid van informatiesystemen en archieven voor de uitvoering van de gemeentelijke taken is zeer groot. Een gemiddelde ambtenaar kan zijn werk niet uitvoeren als hij niet over de juiste gegevens, informatie en systemen beschikt. In nagenoeg alle primaire processen is sprake van het gebruik van gegevens en informatie die aan personen zijn te relateren. Deze informatie ligt vast in geautomatiseerde informatiesystemen of in analoge dossiers in werkarchieven, afdelingsarchieven of centrale archieven. Het is van belang dat we in het gebruik en beheer van persoonsgegevens en -informatie zorgvuldigheid in acht nemen, dit zijn we de burger verplicht. Het kunnen waarborgen van de continuïteit in de bedrijfsvoering, de kwaliteit van dienstverlening en de beveiliging van gegevens behoren tot de scope van het informatiebeveiligingsbeleid en plan. 1.3 Wat is informatiebeveiligingsbeleid De doelstelling van het informatiebeveiligingsbeleid en plan zijn: Het bieden van een raamwerk van beleidsuitgangspunten met betrekking tot de vertrouwelijkheid, integriteit en beschikbaarheid van de informatievoorziening, waarbinnen een evenwichtig (doeltreffend en doelmatig) stelsel van onderling samenhangende maatregelen ontwikkeld wordt, met als doel de informatievoorziening te beschermen tegen interne en externe bedreigingen. Strategisch Niveau Op strategisch niveau worden de bedrijfsbelangen met de relevante uitgangspunten, zoals beschikbaarheid, integriteit, en vertrouwelijkheid vastgesteld. We noemen dit het informatiebeveiligingsbeleid. 4

Tactisch/operationeel niveau Vertaling van de beleidsuitgangspunten naar een concreet stelsel van maatregelen. We noemen dit het informatiebeveiligingsplan. Informatiebeveiliging beleid Geeft antwoord op: Welke uitgangspunten, randvoorwaarden gelden voor Informatiebeveiliging en wie is verantwoordelijk? Informatiebeveiligingsplan Geeft antwoord op: Welke maatregelen/oplossingen worden toegepast? Hoe worden bepaalde zaken ingevuld? Handboeken, processen, procedures Geeft antwoord op: Welke instructie, procedures gelden er?wat wordt er dagelijks gedaan in het kader van informatiebeveiliging? Uitvoering Voor het opstellen van het informatiebeveiligingsplan wordt gebruik gemaakt van de code voor informatiebeveiliging (NEN ISO 27001 / 27002). Deze code bevat een gemeenschappelijk raamwerk voor informatiebeveiliging voor de overheid en bedrijfsleven. 1.4 Doelgroep De doelgroepen van de beleidsnotitie en het plan zijn: Het college van B&W De directeur en het management De beveiligingsorganisatie De ICT- organisatie Afdelingen Medewerkers Het college stelt het initiële beveiligingsbeleid vast en mandateert wijzigingen aan de directie. De directeur en het management dienen ervoor te zorgen, dat de geformuleerde beleidsuitgangspunten worden meegenomen bij de inrichting van de organisatie, procedures, werkwijze en de daarbij gehanteerde informatiesystemen. Het management ziet toe op handhaving van de maatregelen, en is verantwoordelijk voor bewustwording ten aanzien van informatiebeveiliging bij het personeel. De vertaling van de beleidsuitgangspunten naar een concreet stelsel van maatregelen is een taak van de beveiligingsorganisatie, de ICT- beheerorganisatie en de diverse afdelingen waarbij functioneel de maatregel thuishoort. In het informatiebeveiligingsplan, paragraaf 3.2 is de beveiligingsorganisatie verder uitgewerkt. 5

De medewerkers zijn de eindgebruikers van de informatiesystemen. De maatregelen in het informatiebeveiligingsplan hebben direct invloed op het werk van de medewerkers. 1.5 Eindverantwoordelijkheid Het college is eindverantwoordelijk voor het beleid inzake de beveiliging en de (interne) controle van de informatievoorziening. 1.6 Evaluatie informatiebeveiligingsbeleid en -plan Elke 2 jaar wordt het informatiebeveiligingsbeleid en plan geëvalueerd en opnieuw een risicoinventarisatie uitgevoerd. Op basis van de uitkomsten, de dan geldende wet- en regelgeving en de ontwikkeling binnen Venray zal het bestaande beleid en plan bijgesteld dan wel een nieuw beleid vastgesteld worden door de directeur c.q. het college. PLAN Informatiebeveiligingsbeleid IST Risicoanalyse SOL L Verzameling maatregelen Vaststellen prioriteiten ACT DO Bijstellen beleid en plan 2 Jarige cyclus Invoeren beperkt aantal maatregelen Plan opstellen voor niet urgente maatregelen Motiveren niet doen overige maatregelen CHECK Evaluatie en controle 1.7 Wijzigingproces en risico-inventarisatie Bij de aanschaf van nieuwe informatiesystemen of bij majeure wijzigingen wordt een risicoinventarisatie uitgevoerd. De wijze waarop dit plaats vindt, wordt vastgelegd in het proces wijzigingsbeheer. Mocht dit tot een aanpassing van het plan en maatregelen leiden, wordt op basis van een kosten-baten analyse (kosten t.o.v. de effecten) dit door de stuurgroep vastgesteld en doorgevoerd in (onderdelen van) het plan. 6

Bij verzoeken die wezenlijk in strijd zijn met het beveiligingsbeleid of -plan wordt dit ter besluitvorming voorgelegd aan de stuurgroep ICT. De procedure wordt verder uitgewerkt in het informatiebeveiligingsplan. 1.8 De Ondernemingsraad (OR) De Wet op de ondernemingsraden geeft de ondernemingsraad conform artikel27 instemmingsrecht met voorgenomen besluiten tot vaststelling, wijziging of intrekking van regelingen die de medewerkers raken. Ook voorzieningen die gericht zijn op of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen vallen onder het instemmingsrecht van de OR. 1.9 Communicatie Mensen zijn de sleutel tot informatiebeveiliging. Naast dat de medewerker vooraf in kennis moet worden gesteld van de inhoud van het beleid en maatregelen, is het van belang dat zij op de hoogte zijn van de mogelijke consequenties van het gebruik van systemen. In het vervolgtraject wordt een communicatieplan opgesteld. 7

2 Eisen en randvoorwaarden De volgende eisen en randvoorwaarden gelden voor informatiebeveiligingsbeleid en plan: Gemeente Venray moet te alle tijden kunnen voldoen aan alle relevante wet- en regelgeving. Enerzijds betekent dit dat de beveiligingsmaatregelen het uitvoeren van de primaire wettelijke taak van de gemeente te allen tijden moeten ondersteunen. Anderzijds betekent het ook dat we ons houden aan geldend wet- en regelgeving in het kader van de bescherming en beveiliging van persoonsgegevens, zoals opgenomen in de privacywetgeving. Continuïteit in dienstverlening en bedrijfsvoering staat voorop. De (wettelijke) eisen die gesteld worden aan continuïteit worden verder uitgewerkt in het informatiebeveiligingsplan. De gemeente is verplicht een disaster en recovery plan te hebben. Dit om de continuïteit in de dienstverlening op belangrijke onderdelen, zoals de burgerlijke stand bij bijvoorbeeld een ramp te kunnen garanderen. Veelal treffen gemeente uitwijkvoorzieningen om dit te kunnen realiseren. Het is wettelijk voorgeschreven wat gemeenten minimaal in een uitwijkvoorziening moeten hebben geborgd. De maatregelen en voorschriften voor Venray worden verder uitgewerkt in het continuïteitsplan wat onderdeel is van informatiebeveiligingsplan Gemeente Venray is verplicht te zorgen dat gegevens en informatie niet in handen komen van personen of partijen die daar geen rechten toe hebben. De gemeente moet de vertrouwelijkheid van gegevens kunnen garanderen. Vertrouwelijkheid is de mate waarin de toegang tot informatie beperkt is tot een gedefinieerde groep die daar rechten toe heeft. Gemeente Venray is verplicht te zorgen dat informatie niet (geheel of gedeeltelijk) verloren kan gaan. De gemeente moet maatregelen nemen tegen verlies en enige vorm van onrechtmatige verwerking, zoals het treffen van back-upvoorzieningen en het vastleggen van regels en procedures voor gegevensverwerking. Gemeente Venray kan ten allen tijden verantwoording afleggen over de kwaliteit en gebruik van gegevens. De gemeente moet de integriteit van gegevens kunnen garanderen en daar verantwoording over kunnen afleggen. Veel factoren kunnen van invloed zijn op het niveau van de integriteit, zoals fraude, menselijk falen, hacking, virussen etc. De gemeente moet zich maximaal beschermen tegen deze bedreigingen. Daarnaast moet de gemeente maatregelen vastleggen tbv weerlegbaarheid en verantwoordelijkheid. Uitgangspunt hierbij is dat als er binnen de gegevensen informatieverwerking zaken fout gaan, we kunnen zien wáár de fout is gemaakt en wie verantwoordelijk is. 8

3. Kaders Uitgangspunten die richtinggevend zijn voor informatiebeveiligingsbeleid 3.1 Samenwerken aan partnerschap (Nota SWAP) In de nota SWAP wordt uitgegaan van medewerkers die klantgericht zijn, goed kunnen samenwerken, initiatief nemen en zich pro actief opstellen. Medewerkers die tevens verantwoordelijk en betrouwbaar zijn en helder en tijdig communiceren. De organisatie faciliteert de medewerkers hierin. Directie, management en bestuur hebben vertrouwen in de medewerker en de verantwoordelijkheden liggen zo laag mogelijk in de organisatie. Samenwerking met in- en externe partners. In de nota SWAP wordt uitgegaan van bereiken van klantgericht werken door dit in partnerschap op te pakken. 3.2 De visie op dienstverlening De visie op dienstverlening, Venray voorkomt vragen, waarbij we streven naar een proactieve houding in de contacten met de klanten. We gevraagd en ongevraagd advies geven op basis van de behoefte van de klant. De klant heeft een keuzevrijheid in kanaal en mate van persoonlijke benadering. We beschouwen de klant als een volwaardige partner en participant met eigen verantwoordelijkheden. Om kwalitatieve hoogwaardige dienstverlening te kunnen bieden streven we naar samenwerking met partners om producten en diensten collectief te kunnen aanbieden. Medewerkers zijn in staat de vraag achter de vraag te achterhalen en beantwoorden die op een adequaat niveau. Dit gebeurt digitaal waar het kan en persoonlijk waar dat nodig is. 3.3 Het kantoorconcept Als dienstverlenende organisatie werken we niet alleen samen met collega s, ook met inwoners, organisaties en bedrijven. Dat willen we mogelijk maken in het nieuwe gebouw. Of laten we het anders stellen. Het nieuwe gebouw stelt ons in staat om samen te werken met deze partijen. Het nieuwe gemeentehuis moet samenwerken mogelijk maken. Naast het gebouw kijken we ook naar de manier waarop we onze werkprocessen automatiseren. Het gaat om de bricks (het gebouw), de brains (onze mensen) en de bits (automatisering). De bricks, brains en bits moeten in het nieuwe gemeentehuis in balans zijn. 3.4 Plaats- en tijdsonafhankelijk werken Werkplekconcept, we gaan uit van plaats- en tijdsonafhankelijk werken; op verschillende plekken in de organisatie kun je werken. Tot en met het werkrestaurant aan toe. Ondanks dat Venray geen formeel beleid heeft voor thuiswerken is thuiswerken wel toegestaan. Thuiswerken betekent tijdsonafhankelijk werken. 9

Om plaats en tijdonafhankelijk te kunnen werken wordt een digitale werkomgeving gecreëerd. Elke medewerker moet vanuit elke plek de digitale werkomgeving kunnen gebruiken. Ook wordt in de digitale werkomgeving gebruikt gemaakt van digitale parafen en handtekeningen. 3.5 Integriteit Nota Integer partnerschap in Venray Met integriteit - of integer handelen - wordt bedoeld dat je je functie adequaat en zorgvuldig uitoefent, met inachtneming van je verantwoordelijkheden en de geldende regels. In Venray is een integriteitgedragscode van toepassing. Dit vormt de basis voor de ambtseed of belofte. Met het afleggen van de ambtseed/belofte verklaart de medewerker te handelen volgens de integriteitsgedragscode. Integriteit en Accountability Integriteit betekent in dit kader dat informatie en gegevens juist, volledig en actueel zijn. Processen die betrekking hebben op informatieverwerking dienen dit te borgen. Bij accountability gaat het vooral om vragen op het gebied van verantwoordelijkheid en weerlegbaarheid. Uitgangspunt hierbij is dat als er binnen de gegevens- en informatieverwerking zaken fout gaan, we kunnen zien wáár de fout is gemaakt en wie verantwoordelijk is. 3.6 Wettelijke informatiebeveiligingsvoorschriften en maatregelen Vanuit de wetgeving worden eisen gesteld aan hoe gemeenten om moeten gaan met (persoons)gegevens en de beveiliging daarvan. o Wet GBA, BAG, SUWI o Verplichte binnengemeentelijke gebruik basisgegevens o Wet bescherming persoonsgegevens o Privacywetgeving o Wet bibob o Wet openbaarheid van bestuur o Archiefwet 3.7 Continuïteit/ calamiteit (Uitwijk) De wet GBA schrijft voor dat gemeenten bij een calamiteit maatregelen moeten treffen die het mogelijk maken om de GBA op een andere wijze, binnen een termijn van 2 x 24 uren, weer volledig operationeel te krijgen. De juridische basis hiervoor is het L.O. 3.3 hoofdstuk 7.4.1 waarin wordt beschreven dat de gegevens moeten kunnen worden hersteld zoals deze waren één werkdag geleden. Voor deze reconstructie mag maximaal één werkdag worden gebruikt. Kortom binnen 2 x 24 uren weer operationeel. 10

4. Beleidsuitgangspunten 4.1 Openbaar tenzij. Voorop staat dat elke medewerker de beschikking heeft tot alle informatie en systemen die hij nodig heeft voor de uitvoering van zijn (publiekrechterlijke) taken. We maken het volgende onderscheid: Openbare informatie uit bronnen beschikbaar binnen het netwerk van Venray. Niet openbare informatie uit bronnen beschikbaar binnen het netwerk van Venray. Openbare informatie uit bronnen buiten het netwerk van Venray. Niet openbare informatie uit bronnen buiten het netwerk van Venray. Per functie (of rol) kan vastgesteld worden uit welke bronnen een medewerker informatie nodig heeft. Het toegangsniveau wordt per functie (of rol) verder uitgewerkt in een toegangsmanagementsysteem. De onderlegger voor dit toegangsmanagementsysteem wordt in het informatiebeveiligingsplan verder uitgewerkt. Het management van de afdeling is verantwoordelijk voor het aanmelden en afmelden van medewerkers en het doorgeven van inhoudelijke wijzigingen. Alle medewerkers krijgen straks toegang tot de digitale werkomgeving en kunnen de informatie die daarin opgeslagen is, raadplegen. Hierop zijn enkele uitzonderingen, zoals persoonsdossiers. Deze dossiers zijn alleen toegankelijk voor medewerkers die daar in het kader van hun functie bevoegdheden voor hebben. In het informatiebeveiligingsplan wordt vastgelegd welke informatie niet openbaar is. Dit wordt vervolgens meegenomen in de inrichting van de digitale werkomgeving. De integriteitgedragscode schrijft vervolgens voor dat medewerkers worden geacht zorgvuldig met vertrouwelijke informatie om te gaan en er voor te zorgen dat onbevoegden er geen kennis van kunnen nemen. De toegang tot taakspecifieke applicaties is afhankelijk van de bevoegdheden die een medewerker heeft in het kader van zijn taken en verantwoordelijkheden. Ook hier geldt dat medewerkers worden geacht hier zorgvuldig mee om te gaan. De toegang tot openbare informatie uit openbare netwerken, zoals het internet heeft in het verleden veel discussie opgeleverd. Voor medewerkers is het vaak onduidelijk waarom ze bepaalde websites of webmailsystemen niet mogen raadplegen. Het is van belang dat in een internet- en e- mailprotocol helder wordt weergeven waarom bepaalde zaken wel of niet mogen. Uitgangspunt hierbij is dat elke medewerker de beschikking heeft tot alle informatie en systemen die hij nodig heeft voor de uitvoering van zijn werk. Het is de medewerkers tevens toegestaan gebruik te maken van de middelen van de werkgever voor privé-doeleinden, zolang dit binnen alle redelijkheid is (bijvoorbeeld alleen in eigen tijd). De werkgever kan en mag dit de medewerker niet verbieden. 4.2 Toegang mits geautoriseerd We gaan in de opbouw van de beveiligingsorganisatie uit van het principe toegang mits de juiste autorisatie. Het uitgangspunt hierbij is het vastleggen van gebruikersautorisaties op het niveau van gegevens en informatiesystemen. 11

In een meer klassieke benadering wordt beveiliging vaak ingericht vanuit het perspectief van het tegenhouden van onwenselijke acties. Een wachtwoord geeft geen toegang tot een systeem, maar sluit personen zonder wachtwoord uit. Dit is vergelijkbaar met een paspoortencontrole. Er wordt wel bepaald wie naar binnen of buiten mag maar er wordt niet in de koffer gekeken naar de meegebrachte inhoud. Met deze benadering valt of staat de veiligheid met detectie. Een gebruiker die onder de radar uit weet te blijven, kan vrijwel ongelimiteerd z'n gang gaan. Voorbeelden hiervan zijn thuiswerkers die met interne gegevens werken op thuissystemen. Of mobiele apparaten zoals laptops, Ipods en USB-sticks. Beveiliging begint met vertrouwen. We weten wie werkzaam zijn binnen de organisatie en dus toegang moeten krijgen tot ons netwerk. De volgende stap is het treffen van maatregelen om ondubbelzinnig vast te stellen of een medewerker daadwerkelijk degene is die hij beweert te zijn. Daarna is het een kwestie van ervoor zorgen dat een medewerker toegang heeft tot de data die hij/zij werkelijk nodig heeft. 4.3 Beschikbaarheid versus risicobeperkend Het uitgangspunt van het kantoorconcept is plaats- en tijdsonafhankelijke werkplekken. Het gebruik van mobiele apparaten zal hierdoor toenemen. Dit betekent dat informatie ook plaats- en tijdsonafhankelijk beschikbaar moet zijn en mobiel te raadplegen. Beveiligingsmaatregelen moeten passen bij dit uitgangspunt. Naast het daadwerkelijk beschikbaar hebben van taakafhankelijke informatie is het van belang de informatie ook op een adequate wijze wordt beveiligd. Uitgangspunt hierbij is dat medewerkers, ongeacht de locatie (thuis of op kantoor) op identieke wijze toegang heeft tot voorzieningen. Medewerkers kunnen gebruik maken van de applicaties als ware ze op kantoor (een virtuele Venrayse desktop). Bij formeel telewerken maakt men gebruik van de apparatuur van de gemeente, de medewerker heeft toegang tot systemen vergelijkbaar met een PC in het Venrays netwerk. Naast de juiste technische voorzieningen is het van belang dat medewerkers die plaats- en tijdsonafhankelijk werken zich bewust zijn van hun verantwoordelijkheid om goed om te gaan met alle informatie die ze bij zich hebben of waartoe ze altijd en overal toegang hebben. Deze verantwoordelijkheid is vastgelegd in de integriteitgedragscode van de gemeente Venray. 4.4 Beheer versus flexibiliteit We maken een duidelijk onderscheid tussen wat we moeten beveiligen en wat we willen beveiligen. Onder moeten verstaan we alle maatregelen die nodig zijn om de continuïteit in de dienstverlening en de veiligheid van gegevens te garanderen. Met name op het onderdeel willen is een duidelijke richtlijn van belang. De mens staat centraal bij de gemeente Venray en moet maximaal met middelen en diensten worden ondersteund. We gaan hierbij uit van een medewerker die integer en betrouwbaar is. Duidelijke richtlijnen over wat een medewerker binnen het kader van integriteit mag en niet mag zijn van belang. De techniek kent veel functionaliteiten om het werk van mensen te beveiligen en gebruik en gedrag te monitoren. Uitgangspunt is dat we het technisch onmogelijk maken van bepaalde zaken, 12

minimaal inzetten. Uitzondering hierop zijn zaken die aantoonbaar schade kunnen berokkenen aan ICT-systemen en de continuïteit in de bedrijfsvoering in gevaar brengen, bijvoorbeeld door onwetendheid van gebruikers. Dit leggen we vast in de integriteitgedragscode en in het interneten e-mailprotocol. 4.5 Vertrouwen versus controle We loggen het gebruik en gedrag. Dit mag, mits vastgelegd en vastgesteld is voor welke doeleinden het loggen gebeurt. Het loggen valt onder de privacywetgeving. De organisatie dient dit vast te leggen in een privacyreglement. Medewerkers moeten vooraf geïnformeerd zijn van alle logactiviteiten waarbij gebruiksgegevens vastgelegd worden. Het controleren van gebruik en gedrag van medewerkers doen we in principe niet, met uitzondering van de verplichte controles bijvoorbeeld in het kader van de GBA-audit. Ook als er aantoonbaar sprake is van ongeoorloofd gebruik is het toegestaan de log-bestanden te controleren. Wat we onder ongeoorloofd gebruik verstaan, leggen we vast in de integriteitgedragscode en in het internet- en e-mailprotocol. 4.6 Openheid versus.. In het kader van het Venrays werken en Ramen en Deuren open wordt het gebruik van social media binnen en buiten de organisatie maximaal gestimuleerd. Om dit goed te faciliteren moeten we toestaan dat er voldoende openheid in communicatie en systemen bestaat. We realiseren ons dat er beveiligingsrisico s met deze mate van openheid gepaard gaan. Uitgangspunt is dat we beveiligingmaatregelen inzetten om de openheid maximaal mogelijk te faciliteren en risico s beperken. Daarnaast staat en valt informatiebeveiliging vaak met het gebruik en gedrag van medewerkers. Zij zijn zich vaak niet bewust van de risico s die hun gebruik van social media met zich meebrengt. In de gedragscode zullen hiervoor een aantal uitgangspunten en regels vastgelegd worden. 13

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback