Saxion Data Security Beleid Het data security beleid voor afvoer of hergebruik van gegevensdragers Mei 2015
Documenteigenschappen Documentrevisies Saxion Alle rechten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of op enige andere manier, zonder voorafgaande schriftelijke toestemming van de uitgever.
Inhoudsopgave
1. Inleiding Binnen de Saxion organisatie wordt veel gebruik gemaakt van ICT-middelen met gegevensdragers. Hiermee bedoelen we bijvoorbeeld desktop computers met daarin een harde schijf. Deze gegevensdragers kunnen vertrouwelijke en/of privacy gevoelige informatie bevatten, hierna te noemen digitale gegevens. Wanneer de ICT-middelen met gegevensdragers buiten gebruik worden gesteld of voor hergebruik beschikbaar worden gesteld is het daarom van groot belang dat deze digitale gegevens permanent verwijderd worden. Daarbij moet betracht worden dat dit op een zorgvuldige en vooraf vastgestelde werkwijze wordt uitgevoerd en noodzakelijk dat daar goede afspraken en controlemaatregelen voor bestaan, afgedwongen en gecontroleerd kunnen worden. Het proces voor het onherroepelijk verwijderen van digitale gegevens staat bekend onder de naam Data Sanitization. Er wordt gebruik gemaakt van een softwaretool of apparaat dat er voor zorgt dat zelfs geavanceerde forensische tools geen digitale gegevens meer terug kunnen halen. Dit document heeft tot doel om het data beveiligingsbeleid te beschrijven om ICT-middelen met gegevensdragers veilig te schonen en af te voeren dan wel opnieuw te gebruiken. Hoe te handelen bij de afvoer dan wel hergebruik van losse gegevensdragers zal opgenomen worden in de Saxion ICT-gedragscode. 2. Scope Dit beleid geldt voor alle ICT-middelen met gegevensdragers. Het omvat (maar is niet gelimiteerd tot) het hele spectrum van servers, storage en netwerkapparatuur tot en met interne kantoorautomatiseringsapparatuur, mobiele apparatuur die eigendom zijn van Saxion. Het betreft ICTmiddelen die uitgegeven en ingenomen worden door IC of in opdracht van IC. Uitgesloten zijn hier de losse gegevensdragers (oa. externe harde schijf, geheugenkaarten en USBsticks), dat zal opgenomen worden in de Saxion ICT-gedragscode.. 3. Raakvlakken Dit beleidsdocument maakt onderdeel uit van het Informatiebeveiligingsbeleid en wordt daar ook als zodanig genoemd. Daarnaast heeft het raakvlakken met: ICT-Contracten die worden afgesloten Procedures aangaande ICT-beheer Service Level Agreements (SLA s) Bewerkersovereenkomsten 4. Uitgangspunten Voor de afvoer of hergebruik van ICT-middelen met gegevensdragers worden de volgende uitgangspunten gehanteerd: Alle gegevensdragers waarop zich digitale gegevens (kunnen) bevinden moeten via een standaard werkwijze worden afgevoerd; Alle gegevensdragers worden voorafgaand aan het definitief afvoeren of hergebruik geschoond van digitale gegevens; Verwijderen van digitale gegevens van de gegevensdrager geschiedt door middel van het herhaaldelijk overschrijven van de gegevensdrager met een willekeurig bitpatroon; Alle digitale gegevens worden gecertificeerd opgeschoond als het een dienst van een externe partij betreft;
Alle activiteiten met betrekking tot de afvoer van gegevensdragers en het opschonen van digitale gegevens dienen te worden geregistreerd; ICT-middelen met gegevensdragers dienen veilig te worden opgeslagen totdat het opschonen van digitale gegevens heeft plaatsgevonden; Indien het niet mogelijk is om digitale gegevens op te schonen dienen de gegevensdragers fysiek te worden vernietigd; Deze regels zijn ook van toepassing op gegevensdragers van derde partijen waar Saxion digitale gegevens zijn opgeslagen. 5. Uitvoering van het beleid Voor de uitvoering van het beleid wordt in dit beleidsdocument een aantal kaders beschreven dat procedureel in de uitvoering verder gebracht moet worden. 5.1 Activiteiten op hoofdlijnen Afvoer van ICT-middelen met gegevensdragers omvat op hoofdlijnen de volgende activiteiten: 1. Het verzamelen/innemen van ICT-middelen met gegevensdragers en de registratie ervan; 2. Het opschonen van de gegevensdrager(s) met betrekking tot de digitale gegevens; 3. Controle of de digitale gegevens ook daadwerkelijk definitief verwijderd zijn; 4. Het afvoeren van de ICT-middelen met gegevensdragers; 5. Vastleggen van bewijs (Certificaat) aangaande de opgeschoonde digitale gegevens in relatie tot gegevensdrager(s); 6. Dossiervorming aangaande de eerdergenoemde activiteiten; 7. Periodieke controle of de procedures om bovenstaande te bewerkstelligen ook worden nageleefd. Activiteit 1 t/m 7 valt onder de verantwoordelijkheid van de manager van het IC, ook daar waar het externe partijen betreft. Wat betreft de uitvoering kan activiteit 1 t/m 4 zowel door Saxion als ook door een goedgekeurde/gecertificeerde derde partij uitgevoerd worden, waarbij het opschonen van de digitale gegevens ook in opdracht van Saxion op locatie van derde kan plaatsvinden. De uitvoering van activiteit 5 t/m 7 is belegd bij de afdeling IC van Saxion. Daar waar het digitale gegevens betreft die opgeslagen zijn op gegevensdragers bij een derde partij (bijv. bij een SAAS oplossing), dienen bovengenoemde activiteiten 1 t/m 5 in SLA en bewerkersovereenkomst te zijn geborgd. Tenslotte kan er door Bureau Control op basis van een interne controle (quality assurance) of door een externe partij (accountant, CBP) op basis van een controleactiviteit een onafhankelijke controle plaatsvinden. 6. Data security Om risico s te vermijden worden alle digitale gegevens opgeschoond in een daarvoor geschikte en afgesloten ruimte bij Saxion dan wel bij de leverancier door middel van een afgesproken protocol dat onderdeel uitmaakt van het SLA (Incl. vastlegging en rapportage met auditrecht van Saxion). Voor elke gegevensdrager is een registratie met type en serienummer van de gegevensdragers, datum en gebruikte opschoonmethode vereist.
6.1 Vervoer De partij die het vervoer verzorgt, is verantwoordelijk voor de gegevensdragers tijdens het transport. Indien het verwijderen van de digitale gegevens bij de leveranciers plaatsvindt dienen er specifieke afspraken te worden gemaakt over het verzegelen van colli en/of het gebruik van gespecialiseerde transporteurs en dit alles dient in een overeenkomst te worden vastgelegd. 6.2 Controleren van verwijderen Na het schonen van de gegevensdragers wordt er altijd een controle uitgevoerd of de opschoning van digitale gegevens geslaagd is, daarbij wordt er steekproefsgewijze met een forensische methode gecontroleerd.. Deze controle wordt vermeld in de rapportage en opgenomen in het dossier. 6.3 Vernietigen van gegevensdragers Het vernietigen van gegevensdragers dient bij voorkeur door twee personen te gebeuren en na het vernietigen dient een proces-verbaal van vernietiging te worden opgemaakt waarop vermeld is wat er is vernietigd (omschrijving, serienummer) en hoe. Beide personen dienen dit proces-verbaal te tekenen en het proces-verbaal dient onderdeel uit te maken van het dossier. 6.4 Organisatie Het beleid en de uitvoering ervan wordt op de volgende manier binnen de organisatie geborgd: De Corporate Information Security Officer is verantwoordelijk voor het beleid en voor (het voorstellen van) aanpassingen en de borging van het beleid; Het CvB bekrachtigt het beleid; De Corporate Information Security Manager is ervoor verantwoordelijk dat de bijbehorende procedures/richtlijnen en formulieren worden opgesteld door de beheerorganisatie en dossiervorming plaatsvindt; De manager IC is verantwoordelijk voor de uitvoering van het beleid en de daarbij behorende procedures/richtlijnen. 6.5 Dossiervorming Van alle afgevoerde gegevensdragers en opgeschoonde digitale gegevens zal een digitaal dossier worden aangelegd door de organisatie als hierboven benoemd aangaande formulieren/certificaten inclusief de gemaakte afwegingen. 6.6 Rapportages Jaarlijks zal de manager van het IC een rapportage opstellen waarin in ieder geval de volgende aspecten naar voren komen: Overzicht van ICT-middelen met gegevensdragers welke het afgelopen kalenderjaar aangeboden zijn; Wat er met deze apparatuur is gebeurd; Of het beleid en procedures/richtlijnen zijn uitgevoerd zoals beschreven; Hoe afwijkingen van het beleid zijn behandeld; Of er aanpassingen in het beleid noodzakelijk zijn. Het jaarlijks overzicht wordt aan de Corporate Information Security Officer aangeboden om enerzijds als evidence te dienen en in de GRC 1 op te nemen in het kader van de ISO 27001 en SURF
normenkader en anderzijds onderdeel zal uitmaken van de jaarlijkse verantwoording aangaande informatiebeveiliging en privacy aan het CvB. 6.7 Kosten Aan zowel het vervoer en opschonen van gegevensdragers als ook het vernietigen zijn kosten verbonden en deze komen ten laste van de afdeling IC.
Bijlage 1: Schema Schema Externe partij? Ja Nee Gegevens verwijderd? Nee Ja Gegevens verwijderd? Nee Ja Hergebruik Saxion? Ja Nee