Informatiebeveiligingsbeleid



Vergelijkbare documenten
Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Verklaring van Toepasselijkheid

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Informatiebeveiligings- en privacy beleid

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Informatiebeveiliging

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Informatiebeveiligingsbeleid

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Beveiligingsbeleid Stichting Kennisnet

Hoe operationaliseer ik de BIC?

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum

Informatiebeveiligings- en privacy beleid (IBP)

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm

Internet Beveiliging en Privacy (IBP) Beleid Aloysius

Voorwoord. Peter Truijens. directeur-bestuurder Samenwerkingsverband Passend Onderwijs IJmond

Informatiebeveiligingsbeleid

VVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord

Strategisch Informatiebeveiligingsbeleid Hefpunt

Beleidsplan Informatiebeveiliging en privacy

Informatiebeveiligingsbeleid extern

INFORMATIEBEVEILIGINGS- EN PRIVACYBELEID

Beleid Informatiebeveiliging InfinitCare

Informatiebeveiligingsbeleid

Een checklist voor informatiebeveiliging

De maatregelen in de komende NEN Beer Franken

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Informatiebeveiligings- en privacy beleid. PC Basisschool De Morgenster

ISO 27001:2013 Informatiebeveiligingsbeleid extern

Informatiebeveiligingsbeleid Heemstede

Informatiebeveiligingsbeleid

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC

Informatiebeveiligings- en privacy beleid. Buitenpost, april 2018 vastgesteld door de directeur- bestuurder op

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

Informatiebeveiligingsbeleid SBG

Beleid Informatieveiligheid Gemeente 's-hertogenbosch. Definitief. s-hertogenbosch, A. Kieboom

Informatiebeveiligingsbeleid

In jouw schoenen. Een praktische invulling van informatiebeveiliging

Informatiebeveiligings- en privacybeleid

Informatiebeveiligings- en privacy beleid

Informatiebeveiliging- en privacy beleid (IBP)

Gemeente Alphen aan den Rijn

Informatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR

Informatiebeveiligings- en privacybeleid

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Zorgbalans

Privacy Policy v Stone Internet Services bvba

Informatiebeveiligingsbeleid Gemeente Alphen aan den Rijn

Voorschrift Informatiebeveilging Rijksdienst (VIR) Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Informatieveiligheid in de steiger

HRM in GDPR. 06 feb 2017 Gent. Eddy Van der Stock Voorzitter V-ICT-OR vzw Voorzitter LOLA npo. V-ICT-OR Vlaamse ICT Organisatie

Complan Valens bv Informatiebeveiliging en Privacy beleid

Beleidsplan Privacy. Dr. Nassau College

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Informatiebeveiliging en privacy beleid

Noorderpoort. Informatiebeveiligingsbeleid

Checklist Beveiliging Persoonsgegevens

Informatiebeveiliging en Privacy; beleid CHD

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Informatiebeveiligingsbeleid Drukkerij van der Eems

Informatiebeveiliging. Beleidsuitgangspunten. Versie 2 (concept)

Informatiebeveiligings- en privacy beleid Coöperatie SWV 25-05

Informatiebeveiligings- en privacy beleid

Informatiebeveiligingsbeleid Universiteit Twente

Informatiebeveiligings- beleid

Informatiebeveiliging en privacy beleid binnen de mbo sector Congres sambo-ict te Assen

Normenkader Informatiebeveiliging MBO

Informatiebeveiligings- en privacy beleid Stichting Saenstroom

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Informatiebeveiligings- en privacy beleid.

Security Health Check

Raadsmededeling - Openbaar

Informatieveiligheidsbeleid

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in IJsselmeerziekenhuizen te Lelystad op

Informatiebeveiligingsbeleid Stichting Gave

Informatiebeveiliging voor overheidsorganisaties

Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad

Privacy Policy van Stichting Het Rijnlands Lyceum

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Definitieve bevindingen Rijnland ziekenhuis

Informatiebeveiligings- en privacy beleid

De Plaats GL Hendrik-Ido-Ambacht tel Privacy policy

Informatiebeveiligingsbeleid

Snel naar NEN7510 met de ISM-methode

INFORMATIEBEVEILIGING WHITEPAPER

Informatiebeveiliging als proces

INFORMATIEBEVEILIGINGS- EN PRIVACY BELEID

Informatiebeveiligingsbeleid. Informatiebeveiliging in het Hoger Onderwijs. Gezamenlijk product van het CIO Beraad en SURF-ibo

CONCEPT ISO/IEC 27002: 2005 Grafimedia Implementatie van Informatietechnologie, Beveiligingstechnieken en de Code voor Informatiebeveiliging

BLAD GEMEENSCHAPPELIJKE REGELING

Transcriptie:

Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v

Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING... 3 1.2 DOEL... 3 1.3 MAATREGELEN... 3 2. INFORMATIEBEVEILIGING... 4 BEGRIPPEN... 4 2.2 DOEL VAN INFORMATIEBEVEILIGING... 4 2.3 REIKWIJDTE VAN HET INFORMATIEBEVEILIGINGSBELEID... 4 3. UITGANGSPUNTEN EN RANDVOORWAARDEN... 5 3.1 STANDAARDEN... 5 3.2 ALGEMENE UITGANGSPUNTEN... 5 3.3 BELEIDSUITSPRAKEN... 5 4. ORGANISATIE, TAKEN EN VERANTWOORDELIJKHEDEN... 8 4.1 TAKEN EN BEVOEGDHEDEN... 8 5. MELDEN VAN INCIDENTEN... 9 6. RAPPORTAGE EN EVALUATIE... 10 Datum: 2008-10-05 Pagina 2 van 10

1 Inleiding 1.1 Aanleiding In het informatiespoor van het traject Service en Samenhang werd in 2002 benoemd dat het Alfa-college een informatiebeveiligingsbeleid zal moeten ontwikkelen, vaststellen en implementeren. Als uitvloeisel van dit traject werd onder anderen de blauwdruk van het Alfa-college uitgewerkt waarin het informatiebeveiliging aspect beschreven werd. In februari 2004 1 zijn de eerste beleidsuitgangspunten geformuleerd. Bij menig ROC in Nederland of andere onderwijsinstellingen is de implementatie van niet succesvol verlopen. De oorzaak hiervan is, dat het beleid niet toepasbaar is binnen het onderwijs en er een totale onbekendheid bestaat wat betreft Informatiebeveiliging. Naar aanleiding van deze bevindingen is een memo gepresenteerd in het Portefeuilleoverleg ICT van het Alfa-college 2. Hierin kwam naar voren: Dat de aanpak van informatiebeveiliging moet passen binnen de organisatiecultuur; Er zichtbare steun en betrokkenheid van het management moet zijn. Informatiebeveiliging de aandacht moet krijgen van alle medewerkers en deelnemers van het Alfa-college. In juni 2006 werd het eerste 3 vastgesteld. Dit beleid kwam tot stand in samenwerking met de Informatiemanagers van het Alfa-college, zij gaven aan voor welke onderdelen het eerst informatiebeveiligingsbeleid moest worden vastgesteld. De betreffende onderdelen waren wachtwoordmanagement, clear desk en clear screen en gebruik van Email en Internet. In het kader van het uit besteden van de ICT nutsvoorzieningen van het Alfa-college is verdere uitwerking van het informatiebeveiligingsbeleid noodzakelijk. Dit om duidelijk te kunnen stellen wat de eisen ten aanzien van Informatiebeveiliging zijn bij het Alfa-college. 1.2 Doel Het doel van dit document is het geformuleerde informatiebeveiligingsbeleid vastleggen en ter accordering aanbieden aan het College van Bestuur. Dit document is een dynamisch document, het informatiebeveiligingsbeleid zal regelmatig worden geëvalueerd, gemuteerd en getoetst op actualiteit. 1.3 Maatregelen Het geaccordeerde beveiligingsbeleid wordt vertaald naar bijbehorende maatregelen. Maatregelen zijn nodig om de risico s die de organisatie loopt en die de betrouwbaarheidseisen (beschikbaarheid, integriteit en vertrouwelijkheid) van de informatie en informatiesystemen in gevaar kunnen brengen te voorkomen. 1 memo PO4 Informatiebeveiliging 05022004 2 Informatiebeveiliging MEMO v 1.0 d 8072005 3 20060529 - Informatiebeveiliging beleid v 1.4 d Datum: 2008-10-05 Pagina 3 van 10

2. Informatiebeveiliging Begrippen Informatiebeveiliging is het vakgebied dat zich richt op het beveiligen van informatie, het maken van plannen om te voorkomen dat er beveiligingsincidenten plaatsvinden, en het nemen van maatregelen om de gevolgen daarvan te verkleinen. Beveiligingsincident: is een gebeurtenis die de betrouwbaarheid van de informatie of de informatieverwerking kan verstoren. Betrouwbaarheidsaspecten: de kwaliteitseisen voor informatie worden samengevat met het begrip betrouwbaarheid, dat omvat de aspecten beschikbaarheid, integriteit en vertrouwelijkheid. Beschikbaarheid: de mate waarin de informatie op het juiste moment beschikbaar is voor gebruikers. Integriteit: de mate waarin de gegevens een afspiegeling zijn van de werkelijkheid. Het omvat onder anderen de kenmerken correctheid, volledigheid, nauwkeurigheid en controleerbaarheid. Vertrouwelijkheid: de mate waarin de toegang tot en het gebruik van gegevens beperkt is tot de juiste personen. 2.2 Doel van Informatiebeveiliging Door informatiebeveiliging en bijbehorende maatregelen en procedures wil het Alfa-college de beschikbaarheid, vertrouwelijkheid en integriteit van alle vormen van informatie garanderen met als doel de continuïteit van de organisatie te waarborgen en de gevolgen van eventuele incidenten te beperken. 2.3 Reikwijdte van het informatiebeveiligingsbeleid Het informatiebeveiligingsbeleid is bedoeld voor alle gebruikers van de informatievoorziening van het Alfa-College. Datum: 2008-10-05 Pagina 4 van 10

3. Uitgangspunten en randvoorwaarden 3.1 Standaarden De Managementsystemen voor informatiebeveiliging Eisen en de Code van Informatiebeveiliging (op basis van NEN ISO 27001 en 27002) worden als leidraad genomen. 3.2 Algemene uitgangspunten Het Alfa-college houdt zich aan de geldende wet en regelgeving. Voorbeelden van wetgeving van belang bij informatiebeveiliging zijn: Wet op de computercriminaliteit; Wet Bescherming Persoonsgegevens; Telecommunicatiewet; Auteurswet; Archiefwet. Voorbeeld van Alfa-college regelgeving is: Het Privacyreglement, dit reglement is afgeleid van de Wet Bescherming Persoonsgegevens. 3.3 Beleidsuitspraken Deel 1 reeds geaccordeerd in juni 2006 1. Het Alfa-college past een wachtwoordmanagement toe om het risico van onbevoegde toegang tot en verlies van en schade aan informatie te beperken. 2. Het Alfa-college past een Clear Desk beleid toe voor papieren en verwijderbare opslagmedia en informatie - en communicatievoorzieningen, om het risico van onbevoegde toegang tot, verlies van en schade aan gegevens te beperken. 3. Het Alfa-college past beleid toe op het gebruik van internet en e-mail (zie ook 10) 4. Er dient toezicht te worden gehouden op de uitwisseling van informatie en software tussen verschillende organisaties. De uitwisseling dient in overeenstemming te zijn met de toepasselijke wetgeving. 5. Monitoren van toegang tot en gebruik van systemen is noodzakelijk voor het ontdekken en registreren van ongewenst gebruik. 6. Er dienen maatregelen te worden genomen om de introductie van kwaadaardige software en computervirussen te voorkomen en te ontdekken. Datum: 2008-10-05 Pagina 5 van 10

7. Medewerkers en deelnemers dienen bewust te worden gemaakt van de gevaren van ongeoorloofde of kwaadaardige software. 8. Computers en laptops dienen te worden voorzien van antidiefstal beveiliging. 9. Medewerkers en deelnemers dienen, indien gewenst, een passende training of opleiding te volgen op het gebied informatiebeveiliging. 10. Er dient een gedragscode voor Medewerkers en Deelnemers te worden opgesteld. In deze code moet worden beschreven hoe zij met Informatie en ICT-middelen van het Alfa-college moeten omgaan, hierin dienen bijvoorbeeld ook spelregels voor Internet- en E-mail gebruik te worden beschreven. 11. Er dient voor implementatie van het informatiebeveiligingsbeleid duidelijkheid te zijn over het handhaving - en sanctiebeleid. 12. 4 Om te kunnen toetsen of de maatregelen volgend uit het informatiebeveiligingsbeleid ook worden nageleefd worden interne en/of externe audits uitgevoerd. Deel 2 13. Informatie en ICT middelen waar externe partijen toegang toe moeten hebben of door externe partijen worden verwerkt of beheerd dienen beveiligd te worden. De bedrijfsmiddelen van de organisatie moeten adequaat beschermd worden en blijven. 14. Voor aanvang van het dienstverband zorgt het Alfa-College er voor dat de werknemers, ingehuurd personeel en externe gebruikers kennis genomen hebben van hun verantwoordelijkheden, en geschikt zijn voor de rollen waarvoor zij worden aangesteld. Het Alfa-college bewerkstelligt dat alle werknemers, ingehuurd personeel en externe gebruikers zich bewust zijn van bedreigingen en gevaren voor informatiebeveiliging, van hun verantwoordelijkheid en aansprakelijkheid, en dat ze zijn toegerust om het beveiligingsbeleid van de organisatie in hun dagelijkse werkzaamheden uit te voeren. 15. Apparatuur en ruimten die Informatie en ICT middelen bevatten die kritieke of gevoelige bedrijfsactiviteiten ondersteunen dienen beveiligd te worden. De geboden bescherming dient in overeenstemming te zijn met de vastgestelde risico s. 16. Wijzigingen in productiesystemen en toepassingsprogrammatuur dienen te worden beheerst met strikt wijzigingsbeheer. 4 Toegevoegd en geaccordeerd per 21-09-2007 Datum: 2008-10-05 Pagina 6 van 10

17. Informatie in netwerken en ondersteunende infrastructuur dienen te worden beschermd. 18. Media dienen te worden beheerst en fysiek te worden beschermd. 19. Er dienen beleid, procedures en beheersmaatregelen te worden vastgesteld om de uitwisseling van informatie te beschermen. 20. De toegang tot informatie, ICT middelen en bedrijfsprocessen dient te worden beheerst op grond van bedrijfsbehoeften en eisen. 21. De toegang tot systeembestanden en programmabroncode dient te worden beheerst, en IT-projecten en ondersteuningsactiviteiten dienen veilig te worden uitgevoerd. 22. Informatiebeveiligingsgebeurtenissen en zwakheden die verband houden met informatiesystemen dienen zodanig kenbaar worden gemaakt dat corrigerende maatregelen kunnen worden genomen. 23. Er dient een beheerproces van bedrijfscontinuïteit te worden geïmplementeerd om de uitwerking op de organisatie, veroorzaakt door het verlies van informatie (als gevolg van bijvoorbeeld natuurrampen, ongevallen, uitval van apparatuur en opzettelijke handelingen)en het herstellen daarvan tot een aanvaardbaar niveau te beperken. Datum: 2008-10-05 Pagina 7 van 10

4. Organisatie, taken en verantwoordelijkheden Het doel van een beveiligingsorganisatie is het managen van Informatiebeveiliging binnen de organisatie. College van Bestuur CIO Unitdirecties Functionaris informatiebeveiliging Diensthoofden Opleidingsmanagers Resultaatverantwoordelijke teams (RVT s) Medewerkers (Ondersteunend personeel) Medewerkers (Onderwijzend personeel) Deelnemers 4.1 Taken en bevoegdheden College van Bestuur: Het College van Bestuur is eindverantwoordelijk voor de Informatiebeveiliging. Het College van Bestuur is verantwoordelijk voor het opstellen en uitdragen van het algemene organisatiebeleid en de rol van daarbinnen. Daarnaast houdt het College van Bestuur controle op de naleving en evaluatie van het afgesproken beveiligingsniveau. Datum: 2008-10-05 Pagina 8 van 10

Chief Information Officer (CIO) De Chief Information Officer draagt bij aan het strategisch en innovatiebeleid van de instelling, is verantwoordelijk voor het strategisch, tactisch en operationeel beleid op het gebied van informatiemanagement en ICT en de rol van daarbinnen. Functionaris Informatiebeveiliging De functionaris Informatiebeveiliging draagt zorg voor de ontwikkeling, implementatie en uitvoering van het informatiebeveiligingsbeleid, bewaakt en evalueert het informatiebeveiligingsbeleid. De functionaris Informatiebeveiliging ontvangt leiding van de Chief Information Officer (CIO). Unitdirecteuren /Diensthoofden en Opleidingsmanagers (lijnmanagers): Het management is verantwoordelijk voor de implementatie en uitvoering van het beveiligingsbeleid binnen de eigen organisatorische eenheid. Daarmee is het management verantwoordelijk voor de beveiliging van hun eigen bedrijfsprocessen, de informatiesystemen die daarbij worden gebruikt en de overig betrokken objecten. Medewerkers: Alle medewerkers van het Alfa-college zijn verantwoordelijk voor de beveiligingsaspecten met betrekking tot de eigen functie. De medewerkers maken deel uit van een resultaatverantwoordelijk team. Binnen dit team hebben zij een gezamenlijke verantwoordelijkheid ten aanzien van Informatiebeveiliging. Deelnemers: Alle deelnemers van het Alfa-college zijn verantwoordelijk voor de beveiligingsaspecten met betrekking tot de eigen schoolloopbaan. 5. Melden van Incidenten De doelen die nagestreefd worden met het melden van incidenten zijn: Het minimaliseren van de schade die veroorzaakt wordt door beveiligingsincidenten en storingen; Het wegnemen van de kwetsbaarheid; Het monitoren van incidenten; Er lering uit trekken. Datum: 2008-10-05 Pagina 9 van 10

6. Rapportage en evaluatie Tijdens de evaluatie van de informatiebeveiliging moet aandacht besteed worden aan: De kosten en het effect van de geïmplementeerde beveiligingsmaatregelen; De aansluiting van het informatiebeveiligingsbeleid bij de nieuwe beveiligingseisen van de organisatie; De effectiviteit van het beleid. De lijnmanagers zullen aan de functionaris Informatiebeveiliging rapporteren over de uitvoering van de beveiliging en de incidenten. De functionaris zal aan het College van Bestuur rapporteren over handhaving en naleving van de beveiligingsmaatregelen en de incidenten. Datum: 2008-10-05 Pagina 10 van 10

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback