Informatiebeveiligingsbeleid SBG



Vergelijkbare documenten
Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

Strategisch Informatiebeveiligingsbeleid Hefpunt

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Informatiebeveiligingsbeleid

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Handboek Hecla Professional Audio & Video Systems INFORMATIEBEVEILIGINGSBELEID. Versie: 3 Datum: Pagina: 1 van 8

Voorwoord. Peter Truijens. directeur-bestuurder Samenwerkingsverband Passend Onderwijs IJmond

Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging. 1. Inleiding

Privacy- en informatiebeveiligingsplan

Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum

Informatiebeveiligings- en privacy beleid (IBP)

Informatiebeveiligings- en privacy beleid

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC

Informatiebeveiligingsbeleid

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Informatiebeveiliging- en privacy beleid (IBP)

Bijlage 11 Taakomschrijving rollen NEN informatiebeveiliging. 1. Doel

Internet Beveiliging en Privacy (IBP) Beleid Aloysius

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Informatiebeveiligingsbeleid

Beveiligingsbeleid Stichting Kennisnet

BIC Building Blocks Beleid & Strategie

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Voorschrift Informatiebeveilging Rijksdienst (VIR) Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

De nieuwe NEN7510: 2017 een introductie Jan Willem Schoemaker, CISO/Business Continuity Manager Erasmus MC. Standards and Regulations 1

Beleid Informatiebeveiliging InfinitCare

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014

Checklist Beveiliging Persoonsgegevens

Gemeente Alphen aan den Rijn

Beleidsplan Informatiebeveiliging en privacy

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

Informatiemanager. Doel. Context

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

Functieprofiel: Manager Functiecode: 0202

BIJLAGE behorende bij ISO/IEC 27002: 2013 Grafimedia

Informatiebeveiliging voor overheidsorganisaties

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

Informatiebeveiligingsbeleid

Verklaring van Toepasselijkheid

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

fysieke beveiliging onder controle Good Governance op het gebied van fysieke beveiliging Thimo Keizer

Definitieve versie d.d. 24 mei Privacybeleid

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Besluit van het college van burgemeester en wethouders van de gemeente Oegstgeest houdende regels voor Basisregistratie Personen Beheerregeling BRP

Informatiebeveiligingsbeleid

ENSIA ROL- EN TAAKBESCHRIJVING VAN GEMEENTELIJKE STAKEHOLDERS

Informatiebeveiligingsbeleid Coöperatie Dichtbij (511-1)

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Informatiebeveiligingsbeleid extern

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen.

Cursusdag ICT-standaarden in de zorg. Nieuwegein, 20 mei 2014

Facilitair accountmanager

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds <Leverancier>

Ondersteunende processen Organisatie Informatiebeveiliging Melding Datalek

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE MANAGEMENT & BESTUURSONDERSTEUNING AFDELINGSHOOFD VERSIE 4 APRIL 2017

Overzicht van taken en competenties. Demandmanager-rol

Informatiebeveiliging en Privacy; beleid CHD

Strategisch Informatiebeveiligingsbeleid. Gemeenten IJsselstein, Montfoort en Nieuwegein

Norm 1.3 Beveiligingsplan

Informatiebeveiligingsbeleid

Controlstatuut Havensteder

Functieprofiel: Teamleider Functiecode: 0203

CONTROLSTATUUT WOONSTICHTING SSW

Medewerker administratieve processen en systemen

Snel naar NEN7510 met de ISM-methode

Informatiebeveiligings- en privacy beleid. Borgesiusstichting

MKB Cloudpartner Informatie TPM & ISAE

Informatieveiligheid in de steiger

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden

Transcriptie:

Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1

Inhoudsopgave 1 Inleiding 3 1.1 Toelichting 3 1.2 Definitie van informatiebeveiliging 3 1.3 Doelstelling informatiebeveiligingsbeleid 3 1.4 Doelstelling informatiebeveiliging 4 1.5 Werkingsgebied 4 1.6 Verantwoordelijkheid informatiebeveiligingsbeleid 4 1.7 Ondersteunende documentatie 4 1.8 Inhoud Informatiebeveiligingsbeleid 4 2 Uitgangspunten informatiebeveiliging SBG 5 3 Beleidsproces voor informatiebeveiliging 7 3.1 Overzicht beleidsproces informatiebeveiliging 7 3.2 Beleidsvorming 7 3.3 Analyse 7 3.4 Planvorming 8 3.5 Implementatie 8 3.6 Evaluatie en controle 8 3.7 Cyclisch proces 8 4 Organisatie van informatiebeveiliging 9 4.1 Toelichting 9 4.2 Strategisch, tactisch en operationeel niveau 9 4.3 Generieke rollen voor informatiebeveiliging 10 4.4 Rollen en functies voor informatiebeveiliging 10 4.5 Overlegvormen voor informatiebeveiliging 12 4.6 Controle en rapportage over informatiebeveiliging 13 Informatiebeveiligingsbeleid SBG 2015 2

1 INLEIDING 1.1 Toelichting Dit document beschrijft het informatiebeveiligingsbeleid van SBG haar kantooromgeving. Het informatiebeveiligingsbeleid van de Benchmark Rapportage Module (BRaM) is vastgelegd in Informatiebeveiligingsbeleid BRaM. Informatievoorziening is belangrijk voor de continuïteit van bedrijfsvoering. Belanghebbenden en medewerkers van SBG zijn voor het dagelijks werk afhankelijk van de beschikbaarheid van betrouwbare informatie. Informatievoorziening is gevoelig voor (opzettelijke) bedreigingen. Door deze bedreigingen moet men maatregelen nemen om risico s te beperken. Informatiebeveiliging begint met het definiëren van beleid en dit is vastgelegd in voorliggend document dat op 10 juni 2014 opnieuw door de directie is vastgesteld en op 4 september 2014 door het SBG-bestuur gefiatteerd. 1.2 Definitie van informatiebeveiliging Informatiebeveiliging is als volgt gedefinieerd: Het samenhangend stelsel van maatregelen dat zich richt op het blijvend realiseren van een optimaal niveau van beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiesystemen. Informatiebeveiliging is een samenhangend stelsel van maatregelen: dit betekent dat de verschillende maatregelen samen de informatiebeveiliging vormen en in onderlinge relatie met elkaar staan. Het stelsel van beveiligingsmaatregelen moet een blijvend niveau van beveiliging realiseren. Door borging wordt bereikt dat het gewenste beveiligingsniveau ook op langere termijn blijft gehandhaafd. Informatiebeveiliging is gericht op het realiseren van een optimaal niveau van beveiliging. Dit meest gunstige niveau bereikt men door afweging van kosten en baten. 1.3 Doelstelling informatiebeveiligingsbeleid Het doel van informatiebeveiligingsbeleid is de doelstellingen en uitgangspunten van informatiebeveiliging vast te stellen en vast te leggen. Hiermee vormt het beleid de leidraad voor alle betrokkenen bij informatiebeveiliging binnen SBG. Met het opstellen van informatiebeveiligingsbeleid wordt invulling gegeven aan de hoofdstukken 5 Beveiligingsbeleid en 6 Organiseren van informatiebeveiliging van NEN 7510: 2011, Informatiebeveiliging in de zorg. Informatiebeveiligingsbeleid SBG 2015 3

1.4 Doelstelling informatiebeveiliging Zoals in de definitie staat: informatiebeveiliging betreft de volgende aspecten van informatievoorziening: - Beschikbaarheid: de informatie is op de gewenste momenten beschikbaar. - Integriteit: de informatie is juist en volledig, en de informatiesystemen bevatten en verwerken juiste en volledige informatie. - Vertrouwelijkheid: de informatie is alleen toegankelijk voor de persoon die hiervoor bevoegd is. 1.5 Werkingsgebied Het informatiebeveiligingsbeleid betreft de kantooromgeving: de werkplekken en de Hosted Business Suite (HBS): CRM, Exchange en SharePoint. Het beleid richt zich op alle medewerkers en personeel dat door derden is ingezet om diensten te verlenen aan SBG. Ook is het informatiebeveiligingsbeleid van toepassing op de gegevensuitwisseling met organisaties en personen. 1.6 Verantwoordelijkheid informatiebeveiligingsbeleid De directie is eindverantwoordelijk voor het informatiebeveiligingsbeleid. De kwaliteitsfunctionaris is verantwoordelijk voor het opstellen en onderhoud van het informatiebeveiligingsbeleid. 1.7 Ondersteunende documentatie Dit informatiebeveiligingsbeleid is uitgewerkt in met name de volgende documenten: - Arbeidsovereenkomst, inclusief Verklaring van Geheimhouding, - Informatiebeveiligingsplan, - Interne audit, - Personeelshandboek, inclusief Huishoudelijk reglement. 1.8 Inhoud Informatiebeveiligingsbeleid Hoofdstuk 2 beschrijft de uitgangspunten die gelden bij de toepassing van informatiebeveiliging. Hoofdstuk 3 behandelt het beleidsproces voor informatiebeveiliging en hoofdstuk 4 beschrijft de organisatie van informatiebeveiliging. Informatiebeveiligingsbeleid SBG 2015 4

2 UITGANGSPUNTEN INFORMATIEBEVEILIGING Bij de toepassing van informatiebeveiliging gelden de volgende uitgangspunten: - SBG voldoet aan de normen NEN 9001:2008 - Kwaliteitsmanagement en NEN 7510:2011 - Medische informatica - Informatiebeveiliging in de zorg. - SBG voldoet aan de Wet bescherming persoonsgegevens (Wbp) en de regels van het College bescherming persoonsgegevens (CBP). - Informatiebeveiliging is onderdeel van integrale managementverantwoordelijkheid. Alle afdelingen van SBG hebben hiertoe verantwoordelijkheden voor informatiebeveiliging. De in hoofdstuk 4 beschreven organisatie van informatiebeveiliging vormt hierbij de leidraad. - Als een afdeling van SBG een samenwerkingsverband aangaat met een externe partij, dan wordt nadrukkelijk aandacht besteed aan informatiebeveiliging. Afspraken hierover worden schriftelijk vastgelegd in een Service level agreement en op de naleving hiervan wordt toegezien. - Bij de aanname, tijdens het dienstverband en in geval van ontslag van een medewerker wordt nadrukkelijk aandacht besteed aan de betrouwbaarheid van de medewerker en aan de waarborging van de vertrouwelijkheid van informatie. - SBG voert actief beleid om het beveiligingsbewustzijn van alle medewerkers te stimuleren. - Medewerkers beschikken over gedragsregels voor het gebruik van informatievoorzieningen. De leidinggevende en kwaliteitsfunctionaris controleren de naleving van deze gedragsregels. - Bij overtreding van een informatiebeveiligingsvoorschrift of wettelijke bepaling kan de directie een sanctie opleggen overeenkomstig het bepaalde in de Arbeidsovereenkomst en het Personeelshandboek. - Alle afdelingen hebben maatregelen getroffen voor de fysieke beveiliging van mensen en middelen, waaronder vertrouwelijke informatie en apparatuur waarop deze informatie is opgeslagen. - Alle afdelingen hebben maatregelen getroffen voor het beheer en de beveiliging van de communicatie- en informatievoorzieningen. Maatregelen tegen vormen van kwaadaardige programmatuur (computervirussen, phishing, spam, spyware, et cetera) vormen hierin een belangrijk onderdeel. - Alle afdelingen hebben maatregelen getroffen die waarborgen dat alleen geautoriseerde medewerkers gebruik kunnen maken van de communicatie- en informatievoorzieningen. Informatiebeveiligingsbeleid SBG 2015 5

- Bij de ontwikkeling en aanschaf van informatiesystemen wordt in alle fasen van het aanschaf- of ontwikkelingsproces nadrukkelijk aandacht besteed aan informatiebeveiliging. - Alle afdelingen hebben maatregelen getroffen waardoor de beschikbaarheid van de bedrijfsprocessen en de hierbij gebruikte informatie(systemen) is gewaarborgd, zowel in normale als in buitengewone omstandigheden. - Als onderdeel van het beleidsproces voor informatiebeveiliging wordt binnen SBG door interne en externe partijen toegezien op de naleving van het informatiebeveiligingsbeleid. - Alle afdelingen beschikken over middelen voor het melden en afhandelen van beveiligingsincidenten. De evaluatie van de afhandeling van beveiligingsincidenten wordt gebruikt voor de verbetering van informatiebeveiliging. Informatiebeveiligingsbeleid SBG 2015 6

3 BELEIDSPROCES VOOR INFORMATIEBEVEILIGING 3.1 Overzicht beleidsproces informatiebeveiliging Het beleidsproces voor informatiebeveiliging omvat de volgende vijf stappen. 1. Beleids - vorming 5. Evaluatie en controle 2. Analyse 4. Implementatie 3. Plan - vorming In de volgende paragrafen zijn deze vijf stappen toegelicht. 3.2 Beleidsvorming Zoals beschreven in paragraaf 1.1 start het beleidsproces voor informatiebeveiliging met het opstellen van informatiebeveiligingsbeleid. In dit beleid zijn de doelstellingen en uitgangspunten voor informatiebeveiliging vastgelegd. Hiermee vormt het beleid de leidraad voor de overige stappen van het beleidsproces. 3.3 Analyse De tweede stap van het beleidsproces voor informatiebeveiliging bestaat uit analyse van de bestaande situatie en dit heeft tot doel: - Inzicht in de kwaliteit van de bestaande beveiligingsmaatregelen. - Inzicht in de risico s die het realiseren van het gewenste beveiligingsniveau beperken. - Het gewenste niveau van informatiebeveiliging vaststellen in de vorm van een classificatie van bedrijfsprocessen, gegevensverzamelingen en informatiesystemen. Over de uitkomsten van de analyse van de bestaande situatie voor informatiebeveiliging wordt gerapporteerd aan de afdeling-leidinggevende en de directie. Informatiebeveiligingsbeleid SBG 2015 7

3.4 Planvorming Op basis van de uitkomsten van de analyse van de bestaande situatie voor informatiebeveiliging noteert de kwaliteitsfunctionaris in overleg met de Teamleider ICT een Concept Informatiebeveiligingsplan. Dit vermeldt de verbeteractiviteiten voor de realisatie van het gewenste beveiligingsniveau. Het Informatiebeveiligingsplan wordt vastgesteld door de directie. 3.5 Implementatie Aan de hand van het Informatiebeveiligingsplan realiseert de kwaliteitsfunctionaris de implementatie van de aanvullende beveiligingsmaatregelen door, onder andere, het opstellen van procedures en richtlijnen voor informatiebeveiliging, het invoeren van beveiligingshulpmiddelen en het informeren van directie en medewerkers. 3.6 Evaluatie en controle De laatste stap van het beleidsproces voor informatiebeveiliging bestaat uit evaluatie en controle. Met betrekking tot informatiebeveiliging zijn de volgende controlevormen: - Controle op de naleving van het informatiebeveiligingsbeleid en de hieruit voortvloeiende maatregelen en richtlijnen. - Controle op de voortgang van de implementatie en borging van het informatiebeveiligingsbeleid en de hieruit voortvloeiende maatregelen en richtlijnen. - Onafhankelijke controle. De organisatie van deze controle en de afspraken voor rapportage zijn in Hoofdstuk 4 uitgewerkt. 3.7 Cyclisch proces Het beleidsproces voor informatiebeveiliging is een cyclisch proces. Dit betekent dat op basis van de uitkomst van controles en evaluaties, of door nieuwe ontwikkelingen zoals de introductie van nieuwe bedrijfsprocessen of informatiesystemen, het noodzakelijk kan zijn om het informatiebeveiligingsbeleid te wijzigen. Informatiebeveiligingsbeleid SBG 2015 8

4 ORGANISATIE VAN INFORMATIEBEVEILIGING 4.1 Toelichting Dit hoofdstuk omvat de organisatie van informatiebeveiliging. Het is belangrijk dat de verantwoordelijkheden, taken en bevoegdheden met betrekking tot informatiebeveiliging eenduidig zijn toegewezen. Deze toewijzing moet voorkomen dat beveiligingstaken niet of dubbel worden uitgevoerd. Ook biedt toewijzing van taken en verantwoordelijkheden de mogelijkheid om decharge te verlenen voor de uitgevoerde werkzaamheden. De organisatie van informatiebeveiliging is beschreven volgens de invalshoeken: - Het niveau van de beveiligingstaken, waarbij onderscheid wordt gemaakt naar strategische, tactische en operationele informatiebeveiliging. - Generieke rollen voor informatiebeveiliging, waarbij de rollen van eigenaar, functioneel beheerder, applicatiebeheerder, technisch beheerder en gebruiker worden onderscheiden. - Rollen en functies voor informatiebeveiliging binnen SBG. Ook besteedt dit hoofdstuk aandacht aan de overlegvormen die voor informatiebeveiliging van belang zijn en aan de manier waarop controle en rapportage is vormgegeven. 4.2 Strategisch, tactisch en operationeel niveau Onderstaande overzicht toont de indeling van activiteiten van informatiebeveiliging, waarbij het niveau van de activiteiten als onderscheidend criterium is gehanteerd. Niveau Activiteit Verantwoordelijke Documentatie Strategisch Beleid vaststellen Directie Informatiebeveiligingsbeleid, Informatiebeveiligingsplan, Richtlijnen Strategisch, tactisch en operationeel Beleid en plan open bijstellen, uitvoeren audits Kwaliteitsfunctionaris Informatiebeveiligingsbeleid, Informatiebeveiligingsplan, Richtlijnen Tactisch Plannen Teamleider ICT Informatiebeveiligingsplan, Richtlijnen Operationeel Uitvoeren Medewerkers Richtlijnen Op strategisch niveau is de directie, ondersteund door de kwaliteitsfunctionaris, verantwoordelijk voor beleidsvorming van informatiebeveiliging. De beleidsvorming wordt vastgelegd in het Informatiebeveiligingsbeleid en uitgewerkt in het Informatiebeveiligingsplan, maatregelen en richtlijnen. Het tactisch niveau omvat de planning van activiteiten van informatiebeveiliging. Informatiebeveiligingsbeleid SBG 2015 9

De kwaliteitsfunctionaris is verantwoordelijk voor dit Informatiebeveiligingsplan, het meet- en stuurinstrument dat bij deze planning wordt ingezet. De kwaliteitsfunctionaris wordt hierin ondersteund door de teamleider ICT. De uitvoering van activiteiten van informatiebeveiliging vindt plaats op operationeel niveau. De eerstverantwoordelijke voor deze activiteit is de kwaliteitsfunctionaris, zie paragraaf 4.4. Het structureren van de uitvoering van taken met betrekking tot informatiebeveiliging is vastgelegd in procedures. 4.3 Generieke rollen voor informatiebeveiliging Voor gegevensverzamelingen en informatiesystemen zijn de volgende rollen en verantwoordelijkheden toegewezen. Rol Verantwoordelijkheden Directie: eindverantwoordelijke Beslissingsrecht voor de gegevensverzamelingen en informatiesystemen. Bepalen van de beveiligingseisen. Kwaliteitsfunctionaris Adviseert de eindverantwoordelijke bij het bepalen van de beveiligingseisen. Ziet toe op een juiste werking van de informatiesystemen. Adviseert en controleert medewerkers bij het naleven van beveiligingsrichtlijnen en procedures. Functioneel Ondersteunt de kwaliteitsfunctionaris bij het bepalen van de Applicatiebeheerder beveiligingseisen. Operationele instandhouding van de informatiesystemen. Gebruiker (medewerkers) Toepassing van de gegevensverzamelingen en de informatiesystemen. Naleving van beveiligingsrichtlijnen en procedures. Ontwikkelaar: ICT-leverancier Ontwikkelt de informatiesystemen conform de (beveiligings)eisen die door de eindverantwoordelijke zijn gesteld, adviseert over de realisatie en de beveiliging van de informatiesystemen. Technisch beheerder: ICTleverancier Exploitatie van de technische infrastructuur. Ziet toe op een juiste technische werking van de technische infrastructuur. De directie en ICT-leverancier maken afspraken over de uitvoering van de beveiligingstaken en leggen deze vast in een Service level agreement (SLA). 4.4 Rollen en functies voor informatiebeveiliging Toelichting Alle afdelingen zijn bij informatiebeveiliging betrokken. In dit informatiebeveiligingsbeleid worden de verantwoordelijkheden van de volgende functies en rollen beschreven: - Directie, - Functioneel applicatiebeheerder en teamleider ICT, - Kwaliteitsfunctionaris, - Office manager. Informatiebeveiligingsbeleid SBG 2015 10

Directie De directie is eindverantwoordelijk voor alle activiteiten binnen SBG en dus ook voor informatiebeveiliging. Deze verantwoordelijkheid omvat: - Het vaststellen van het informatiebeveiligingsbeleid en daaruit voortvloeiende richtlijnen. - Het toezien op de naleving door de afdelingen van het informatiebeveiligingsbeleid. - Het evalueren van de toepassing en werking van het informatiebeveiligingsbeleid op basis van rapportages over informatiebeveiliging. De directie is verantwoordelijk voor de inrichting en uitvoering van de bedrijfsprocessen. De verantwoordelijkheid voor de bedrijfsprocessen omvat ook informatiebeveiliging en de ICTinfrastructuur, waarvan een afdeling eventueel zelf eigenaar is. De kwaliteitsfunctionaris ondersteunt hierbij de directie. De verantwoordelijkheid van de directie omvat ook de volgende taken: - actieve en positieve houding ten aanzien van informatiebeveiliging en fungeren als voorbeeldfunctie, - autoriseren van medewerkers, - informatiebeveiliging behandelen in werkoverleg, beoordelingen, et cetera, - toezicht houden op de naleving van informatiebeveiligingsmaatregelen, - medewerking verlenen aan verbeteracties, - afhandelen van informatiebeveiligingsincidenten, en - de directie is verplicht het bestuur direct te informeren in geval van een ernstige schending van de informatiebeveiliging. Informatiebeveiliging betreft de beschikbaarheid, integriteit en de vertrouwelijkheid van de informatievoorziening. Hiermee levert informatiebeveiliging een bijdrage aan de kwaliteit van de bedrijfsvoering. De directie en de kwaliteitsfunctionaris stemmen hun activiteiten af om bedrijfsvoering en informatiebeveiliging optimaal tot hun recht te laten komen. Functioneel applicatiebeheerder en teamleider ICT De functioneel applicatiebeheerder en teamleider ICT zijn verantwoordelijk voor de instandhouding van de centrale geautomatiseerde informatievoorziening. Dit betreft ook informatiebeveiliging en de volgende verantwoordelijkheden: de functioneel applicatiebeheerder en zijn teamleider zijn, samen met de andere leden van de afdeling ICT, verantwoordelijk voor de beveiliging van de centrale ICTinfrastructuur, inclusief de aan de ICT-leverancier uitbestede ICT-architectuur. Kwaliteitsfunctionaris De kwaliteitsfunctionaris is de centrale medewerker met betrekking tot informatiebeveiliging. Op hoofdlijnen omvat deze functie de volgende verantwoordelijkheden: - Beleidsvorming, het beheren van SBG-brede informatiebeveiligingsbeleid en hieruit voortvloeiende SBG-brede richtlijnen en procedures. Informatiebeveiligingsbeleid SBG 2015 11

- Controle en registratie, het bewaken van het niveau van informatiebeveiliging binnen SBG. Middelen hierbij zijn interne en externe audits, en incidentregistratie en -afhandeling. - Communicatie en voorlichting, het coördineren van de implementatie van het gewenste niveau van informatiebeveiliging en het stimuleren van het beveiligingsbewustzijn bij directie, medewerkers en externen. - Evaluatie en advies, het adviseren van de directie en andere leidinggevenden over informatiebeveiliging en het rapporteren over de status van informatiebeveiliging binnen SBG. - Planvorming, het beheren van het Informatiebeveiligingsplan en hieruit voortvloeiende richtlijnen en procedures. - Coördinatie en registratie, het coördineren van de implementatie van het gewenste niveau van informatiebeveiliging binnen de afdelingen. - Evaluatie en advies, het adviseren van de afdeling-leidinggevende over informatiebeveiliging en het rapporteren over de status van informatiebeveiliging binnen het organisatieonderdeel. - Het onderzoeken en registreren van informatiebeveiligingsincidenten. De kwaliteitsfunctionaris rapporteert aan zijn leidinggevende, de directie. Als de directie bij de uitvoering van het Informatiebeveiligingsbeleid en -plan onvoldoende verantwoordelijkheid neemt, overlegt de kwaliteitsfunctionaris rechtstreeks met het bestuur. De taken, verantwoordelijkheden en bevoegdheden van de kwaliteitsfunctionaris staan in zijn functiebeschrijving. Office manager De office manager is verantwoordelijk voor het beheer van het personeelsbeleid. De relatie van personeelsbeleid en informatiebeveiliging betreft met name de selectie en het ontslag van personeel. Dit moet zorgvuldig geschieden met de waarborging van een adequate informatiebeveiliging. Hiertoe bewaakt de office manager, samen met de administratief medewerkster en de kwaliteitsfunctionaris, de samenhang tussen personeelsbeleid en informatiebeveiliging. 4.5 Overlegvormen voor informatiebeveiliging Voor afstemming, communicatie en coördinatie van informatiebeveiliging zijn de volgende overlegvormen: - Periodiek Primair Overleg (PPO), - SBG werkoverleg ( Negen-uurtje ), - Structureel overleg kwaliteitsfunctionaris met de afdeling ICT en directie, en - Extern overleg met onder andere bestuur, (ICT-)leveranciers en externe auditoren. De directie en de kwaliteitsfunctionaris overleggen maandelijks over informatiebeveiliging. In dit overleg bespreekt men onder andere (voortgangs-)rapportages, voorstellen voor de directie, voorstellen voor wijzigingen van het Informatiebeveiligingsbeleid en -plan, investeringsvoorstellen voor beveiligingsmaatregelen. Informatiebeveiligingsbeleid SBG 2015 12

De kwaliteitsfunctionaris heeft bilateraal overleg met de in dit hoofdstuk genoemde betrokkenen. De frequentie en inhoud van dit overleg wordt met betrokkenen vastgesteld. 4.6 Controle en rapportage over informatiebeveiliging Betreffende informatiebeveiliging gelden de volgende controles: - controle op naleving van het Informatiebeveiligingsbeleid en de hieruit voortvloeiende maatregelen en richtlijnen; - controle op de voortgang van de implementatie en borging van het Informatiebeveiligingsbeleid en de hieruit voortvloeiende maatregelen en richtlijnen; - onafhankelijke controle. Controle naleving Informatiebeveiligingsbeleid Controle op de naleving van beleid, maatregelen en richtlijnen wordt verricht door de leidinggevende. Hierover is geen formele rapportage. Voortgangscontrole De kwaliteitsfunctionaris rapporteert aan de directie over de voortgang van de implementatie van informatiebeveiliging. Hierbij wordt de voortgang afgezet tegen gemaakte afspraken, die zijn vastgelegd in het Informatiebeveiligingsplan. Deze rapportage wordt eenmaal per jaar uitgevoerd en wordt besproken met de directie. De status van de voortgang van beveiligingsmaatregelen wordt aan deze rapportage toegevoegd. De kwaliteitsfunctionaris bespreekt de gehele rapportage met de directie en wordt daarna ingebracht in het bestuur. Onafhankelijke controle Met betrekking tot informatiebeveiliging worden onafhankelijke (werkplek)controles uitgevoerd door de kwaliteitsfunctionaris: de interne audits. Periodiek voert een externe auditor een technische audit uit op de Hosted Business Suite (HBS): CRM, Exchange en SharePoint. Informatiebeveiligingsbeleid SBG 2015 13

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback