fnaa&dn. ontco Sociale Dienst Drechtsteden MPGPD2009111212370336 GPD 12.11.2009 0336 Postbus 619 3300 AP Dordrecht Aan het college van Burgemeester en Wethouders van de Gemeente Papendrecht Postbus 11 3350 AA Papendrecht Bezoekadres Spuiboulevard 298 3311 GR Dordrecht Telefoon (078) 6396662 Fax E-maii RC.Hitimana@Drechtsteden.nl Behandeld door R.C. Hitimana-Willemze Onderwerp SDD Beveiligingsplan Bijlagen; 1 Datum 10 november 2009 Ons kenmerk 234491 Geacht College, Het informatiebeveiligingsplan SDD is in de BC SDD van 5 oktober vastgesteld. Het vastgestelde plan bieden wij u nu aan ter vaststelling door uw college en doorgeleiding naar uw gemeenteraad. De door de gemeenteraad vastgestelde versie kan dan door uw college naar de inspectie Werk en Inkomen worden verstuurd (Postbus 11563, 2502 AN Den Haag). De inspectie accepteert namelijk in opdracht van het ministerie van SZW alleen door de gemeenteraad vastgestelde beveiligingspannen; de Drechtraad is een door hen niet erkend orgaan, dus vaststelling door de Drechtraad biedt geen soelaas. Deze noodzakelijke lange procedure betekent dat we de termijn van 4 maanden na de dagtekening van de brief van het ministerie van SZW niet gaan halen. Hiervan zijn het ministerie en de inspectie Werk en Inkomen door de SDD al op de hoogte gebracht. Wij gaan er vanuit u hiermede van dienst te zijn geweest. Voor vragen kunt u contact opnemen met de accountmanager P&C van uw gemeente bij de Stafafdeling Middelen van de SDD, mw. M.P.A. Verloop. Pagina 1 van 1
Informatiebeveiligingsplan Sociale Dienst Drechtsteden Vastgesteld door het MT SDD op 7 juli 2009 Vastgesteld door de BC SDD op 5 oktober 2009
INHOUDSOPGAVE 1 INLEIDING 3 1.1 WAAROM INFORMATIEBEVEILIGING? 3 1.2 DOELSTELLING, PLAATSBEPALING EN REIKWIJDTE 4 1.3 HET BELEIDSDOCUMENT INFORMATIEBEVEILIGING SOCIALE DIENST DRECHTSTEDEN... 5 1.4 DE INFORMATIEBEVEILIGING 5 1.5 OPZET VAN DE INFORMATIEBEVEILIGING 5 2 DE AFHANKELIJKHEIDSANALYSE 7 2.1 DOEL EN INHOUD VAN DE AFHANKELIJKHEIDSANALYSE 7 2.2 BEDRIJFSPROCESSEN 8 2.3 AFHANKELIJKHEID 10 2.4 BETROUWBAARHEIDSEISEN 12 3 DE KWETSBAARHEIDANALYSE 14 3.1 DOEL EN INHOUD VAN DE KWETSBAARHEIDANALYSE 14 3.2 GEKOZEN AANPAK 14 3.3 INVENTARISATIE VAN MAATREGELEN 15 3.4 TOETSING MAATREGELEN AAN MOGELIJKJE BEDREIGINGEN 15 3.5 PERIODIEKE TOETSING VAN DE MAATREGELEN OP BESTAAN EN WERKING 16 4 IMPLEMENTATIEPLAN. 17 4.1 INLEIDING 17 4.2 VEILIGHEIDSBELEID 17 4.3 STANDARD DVO 17 4.4 RICHTLIJNEN 18 4.5 WACHTWOORDENBEHEER 18 4.6 PERSONEELS- EN CLEANDESK BELEID 18 4.7 SDD INFORMATIESYSTEMEN 19 4.8 FORMALISERING 19 5 CALAMITEITEN EN EVALUATIE 20 5.1 CALAMITEITEN 20 5.2 PLAN VOOR EVALUATIE EN ONDERHOUD 20 Informatiebeveiligingsplan pagina 2
1 Inleiding 1.1 Waarom informatiebeveiliging? In de dagelijkse praktijk van ons werk spelen informatie en informatiesystemen een belangrijke rol. Vaak zelfs zonder dat we daarvan bewust zijn. Het laatste halfjaar worden regelmatig geconfronteerd met storingen in de ict-infrastructuur, hierdoor zijn we ons meer bewust hoe afhankelijk we zijn van onze geautomatiseerde informatiesystemen. Wanneer 1 of meerdere van onze informatiesystemen niet beschikbaar zijn dan kunnen we zelfs ons werk niet meer op een normale manier uitvoeren. Deze afhankelijkheid is een belangrijk argument voor de opstelling van dit informatiebeveiligingsplan. Informatiebeveiliging betreft zoals het woord al zegt de beveiliging van informatie. Het gaat daarbij in feite om 3 aspecten aangeduid met de letters BEI: Beschikbaarheid, Exclusiviteit en Integriteit. Of met andere woorden beveiliging van informatie tegen ongewenste verstoringen in de beschikbaarheid, tegen ongewenste bekendmaking en/of kennisneming, en tegen ongeautoriseerde mutaties. De afhankelijkheid wordt mede beïnvloed door de technologische ontwikkelingen op het gebied van de informatievoorziening. Brede verspreiding van apparatuur, software en gegevens leiden ertoe dat de verantwoordelijkheid voor de informatievoorziening niet altijd even duidelijk is. De gegevens komen steeds makkelijker beschikbaar maar de gegevensstromen worden tegelijkertijd steeds moeilijker beheersbaar. De begrippen informatiebeveiliging en informatiesysteem worden soms uitsluitend in verband gebracht met automatisering, maar dat is niet juist. Ze betreffen het geheel van gegevens, bestanden, richtlijnen en procedures en hulpmiddelen, ongeacht of deze al dan niet geautomatiseerd zijn. Hieruit volgt dat medewerkers deel uitmaken van het informatiesysteem en dat bijvoorbeeld ook het archief en de papieren dossiers onder de definitie vallen. Kortom: het gaat in dit plan om alle vormen van gegevensverzameling, - bewerking, -bewaring en -verstrekking; en bovendien om alles en iedereen die daarbij betrokken zijn. In dit Informatiebeveiligingsplan wordt beschreven welke informatiesystemen in de bedrijfsprocessen een rol spelen en welke eisen vanuit de doelstelling van deze bedrijfsprocessen moeten worden gesteld aan de beveiliging daarvan. De verticale toepassingen, zoals GWS4ALL, welke in hoofdstuk 6 onder III limitatief zijn opgesomd, worden vanuit het perspectief van informatiebeveiliging geanalyseerd in afzonderlijke documenten, die met dit Informatiebeveiligingsplan samen een geheel zullen vormen. Informatiebeveiligingsplan pagina 3
1.2 Doelstelling, plaatsbepaling en reikwijdte De doelstelling van de Informatiebeveiliging is het waarborgen van de beschikbaarheid, exclusiviteit én integriteit van informatie. Informatiebeveiliging staat niet op zichzelf maar heeft directe relaties met het: personeels- en organisatiebeleid (functiescheiding, vertrouwelijkheid); informatiebeleid (inrichting informatiearchitectuur); automatiseringsbeleid (hard en software); algemeen beveiligingsbeleid (gebouwen, kritische ruimten). Afstemming tussen deze beleidsgebieden en de informatiebeveiliging is noodzakelijk. Het in dit plan geformuleerde informatiebeveiligingsbeleid is van toepassing op de gemeenschappelijke bedrijfsprocessen en informatiesystemen binnen de Sociale Dienst Drechtsteden. Met gemeenschappelijk worden alle bedrijfsprocessen en informatiesystemen bedoeld, die door de Sociale Dienst Drechtsteden worden gebruikt. Binnen deze systemen onderscheidden we horizontale en verticale toepassingen. Horizontale toepassing wordt door de meerdere of alle onderdelen van de SDD gebruikt. Verticale toepassingen worden door een besperkte groep of specifiek onderdeel gebruikt. De Sociale Dienst Drechtsteden heeft specifieke verantwoordelijkheden waarvoor eigen specifieke procedures en systemen gebruikt worden. Dit worden ook wel de verticale toepassingen genoemd. Dit Informatiebeveiligingsplan betreft uitsluitend de gemeenschappelijke horizontale toepassingen. De veiligheidsaspecten van de SDD specifieke horizontale/verticale toepassingen, met name GWS4ALL, wordt in project Risisco berperkende maatregelen informatiesystemen en de daaronder vallende activiteiten verder uitgewerkt. Dit Informatiebeveiligingsplan is van toepassing op de Sociale Dienst Drechtsteden. Het betreft het gehele proces van informatievoorziening en de gehele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie. Informatiebeveiliging is een lijnverantwoordelijkheid en vormt een onderdeel van de kwaliteitszorg voor de bestuurs- en bedrijfsprocessen en de ondersteunende informatiesystemen. Informatieve relaties tussen de SDD en andere instanties gaan vergezeld van schriftelijke afspraken over het vereiste betrouwbaarheidsniveau en de wijze waarop zekerheid wordt verkregen over de realisatie daarvan. Dit Informatiebeveiligingsplan is geschreven naar de actuele situatie per 1 februari 2009. Informatiebeveiligingsplan pagina 4
1.3 Het Beleidsdocument Informatiebeveiliging Sociale Dienst Drechtsteden Op 13 januari 2009 heeft het MT ingestemd met de Inventarisatie beveiliging persoonsgegevens Sociale Dienst Drechtsteden, dit is de basis voor de informatiebeveiliging binnen de SDD. Het document dwingt de SDD tot opstelling van een Informatiebeveiligingsplan dat is gebaseerd op een analyse van de afhankelijkheid en kwetsbaarheid van de voor de bedrijfsprocessen gebruikte informatiesystemen. Het komt er samengevat op neer dat voor elk kritisch bedrijfsinformatiesysteem: Een afhankelijkheidsanalyse wordt uitgevoerd waarin geïnventariseerd wordt welke bedrijfsprocessen er zijn, welke informatiesystemen daarvoor gebruikt worden en welke betrouwbaarheidseisen (beschikbaarheid, exclusiviteit en integriteit) aan deze informatiesystemen moeten worden gesteld. Een kwetsbaarheidanalyse wordt uitgevoerd waarin de risico's en bedreigingen worden geïdentificeerd. Een informatiebeveiligingsplan wordt geformuleerd waarin de getroffen beveiligingsmaatregelen zijn opgesomd en waarin een calamiteitenparagraaf is opgenomen waarvan de effectiviteit periodiek wordt getoetst. Dit plan is de uitwerking van die activiteiten. In de Inventarisatie beveiliging persoonsgegevens staan verder de strategische uitgangspunten en randvoorwaarden voor de informatiebeveiliging. Voorts zijn de verschillende verantwoordelijkheden benoemd, wordt de organisatie van de informatiebeveiligingsfunctie beschreven en wordt ingegaan op de gemeenschappelijke betrouwbaarheidseisen en maatregelen. 1.4 De Informatiebeveiliging In de SUWI-wetgeving is opgenomen dat een minimum beveiligingsniveau zal worden vastgesteld dat van toepassing zal zijn op alle informatiesystemen van de SDD. Deze vaststelling is geschied in het document Inventarisatie beveiliging persoonsgegevens Sociale Dienst Drechtsteden, vastgesteld door het managementteam van de SDD. In de SUWI-wetgeving zijn de beveiligingseisen geformuleerd voor de aandachtsgebieden die voor de SUWI-keten gelden, zoals de fysieke beveiliging, gemeenschappelijke én lokale hard- en software, de^ietwerkinfrastructuur, gegevensverzamelingen etcetera. Het staat de SDD vrij, wanneer daar op grond van de aan het bedrijfsproces gerelateerde aspecten beschikbaarheid, exclusiviteit en/of integriteit aanleiding voor is, aanvullende eisen en maatregelen te formuleren. 1.5 Opzet van de Informatiebeveiliging Overeenkomstig de Inventarisatie beveiliging persoonsgegevens heeft de aanpak van de Informatiebeveiliging bestaan, en bestaat voortdurend, uit een aantal elkaar in een Informatiebeveiligingsplan pagina 5
logische volgorde opvolgende fasen en stappen die leiden tot een goed beeld van de situatie en een weloverwogen keuze van de daarop toegesneden beveiligingsmaatregelen. Inventarisatie en analyse. bedrijfsprocessen, f Inventarisatie en analyse.informatiesystemen, T X 1 ( "\ / ' 1 Relateren bedrijfsprocessen informatiesvst emen J Stellen van betrouwbaarheidseisen aan Jnformatiesystemen Hoofdlijn A&Kanalyse J \ a fha kelilkh e, d s- analyse I / kwetsbaarheidsanalyse i r maatregelen k \\ \ \ - > j Inventarisatie en analyse incidenten i f 1. Inventarisatie bedreigingen ^ en gevolgen > f r \ Bepalen van maatregel- ^ doelstellingen > / i f vaststelling, uitvoering en evaluatie Informatiebeveiligingsplan pagma 6
2 De Afhankelijkheidsanalyse 2.1 Doel en inhoud van de Afhankelijkheidsanalyse De Afhankelijkheidsanalyse heeft als doel gehad het bepalen van de betrouwbaarheidseisen die vanuit bedrijfsprocessen gesteld worden aan informatiesystemen. Dit doel is bereikt in een aantal stappen: 1. Inventariseren en analyseren van de bedrijfsprocessen; 2. Inventariseren en analyseren van de informatiesystemen; 3. Relateren van informatiesystemen aan de bedrijfsprocessen; 4. Stellen van betrouwbaarheidseisen aan de informatiesystemen. Het vervolg van dit hoofdstuk beschrijft in hoofdlijnen de uitgevoerde Afhankelijkheidsanalyse en de uitkomsten daarvan. Informatiebeveiligingsplan pagina 7
2.2 Bedrijfsprocessen De organisatie ontleent haar bestaansrecht aan de missie waarvoor zij staat. Op basis van de missie zijn doelstellingen geformuleerd. De bedrijfsprocessen dienen op een dusdanige wijze te zijn ingericht, dat de doelstellingen worden gerealiseerd en hiermee de missie van de organisatie wordt ondersteund. Missie van de Sociale Dienst Drechtsteden: Uw partner naar zelfstandigheid. De SDD geeft deze missie handen en voeten in haar taakuitvoering op de terreinen reintegratie, inburgering, educatie, inkomensondersteuning, minimabeleid, WMO en schuldbemiddeling. Voor de uiteindelijke bepaling van betrouwbaarheidseisen is het van belang of een informatiesysteem een vitale rol speelt in de bedrijfsprocessen en hoe groot het belang van het proces is voor het realiseren van de geformuleerde doelstellingen. In het overleg ten behoeve van het opstellen van dit Informatiebeveiligingsplan is geopperd dat de afhankelijkheidsanalyse opgezet kan worden vanuit de bedrijfsprocessen, maar even goed vanuit de informatiesystemen. Uiteindelijk gaat het immers om de confrontatie van beiden. Redenerend vanuit de informatiesystemen luidt de conclusie dat vrijwel alle geïnventariseerde processen gebruik maken van dezelfde informatiesystemen. Dit leidde tot de conclusie dat de bestuursprocessen in het kader van deze afhankelijkheidsanalyse nog verder geclusterd kunnen worden tot slechts één primair bestuursproces. Daarnaast is sprake van financieel beheer als besturend proces en personeel en materieel beheer als secundaire (ondersteunende) processen. Volgende stap in de afhankelijkheidsanalyse was het waarderen van het belang van deze bedrijfsprocessen voor het realiseren van de missie van de Sociale Dienst Drechtsteden. Dit leidde tot de volgende verdeling en conclusie: Informatiebeveiligingsplan pagina 8
Geïnventariseerde bedrijfsprocessen: Primair proces: 1. Bestuursproces : kritisch 2. SDD prim, processen: kritisch Secundair proces 3. Financieel beheer : strategisch 4. Personeelsbeheer : bijdragend 5. ICT beheer : bijdragend 6. Materieel beheer : ondersteunend Kritisch = van levensbelang voor de organisatie Bijdragend = Voeg iets toe tijdens het proces Strategisch = proces is op de (lange) termijn gericht Ondersteunend = procesgerichte ondersteuning Informatiesystemen De tweede inventarisatie betreft die van de informatiesystemen. Een informatiesysteem is een geheel van personen, organisatie, gegevensverzamelingen, programmatuur, opslag-, verwerkings- en communicatie- apparatuur, omgeving en diensten van derden, en kan zowel geautomatiseerd als handmatig zijn. De volgende SDD informatiesystemen werden geïdentificeerd: Informatiebeveiligingsplan pagina 9
Geïdentificeerde horizontale informatiesystemen: A. Communicatiesystemen: A. 1 Groupwise A. 2 Explorer A. 3 Telefonie en netwerkinfrastructuur A. 4 Intranet A. 5 Internet B. Registratiesystemen B. 1 GWS4ALL B. 2 0DAS/ODIAS B. 4 ALLEGRO C. Informatiesystemen C. 1 GWS4ALL C. 2 Allegro C. 3 DDS4all/Key2datadistributie C. 4 Intranet C. 5 Portal alg. website C. 6DKD/EKB C. 7. LRD/GBA-V online D. Hard en software D. 1 Standaard PC configuraties D. 2 Laptops D. 3 (Kleuren)printers D. 4 Scanners (+ pc) Verticaal Verticaal = in gebruik bij vele onderdelen in de organisatie Verticaal = in gebruik bij een specifiek deel of kolom binnen onze organisatie 2.3 Afhankelijkheid Nu de inventarisatie van de bedrijfsprocessen (2.2) en de informatiesystemen (2.3) heeft plaatsgevonden kan de afhankelijkheidsrelatie in beeld gebracht worden. De afhankelijkheid wordt hierbij gedefinieerd als de mate waarin de bedrijfs- en besturingsprocessen in een organisatie steunen op een (betrouwbaar werkend) informatiesysteem. Van ieder informatiesysteem is de mate van afhankelijkheid beoordeeld. Deze afhankelijkheid wordt uitgedrukt in een van de volgende typeringen: Informatiebeveiligingsplan pagina 1 o
Typering van het Informatiesysteem Nuttig Ondersteunend Geen relatie Waardering Het uitvoeren van de bedrijfsprocessen of het tot stand brengen van producten/diensten is (nagenoeg) onmogelijk zonder de inzet van het informatiesysteem. Inzet van het Informatiesysteem is van levensbelang voor een goede uitvoering van het bedrijfsproces. Het informatiesysteem is wezenlijk voor het beheersen of besturen van de bedrijfsactiviteiten. Het informatiesysteem levert een belangrijke bijdrage aan de activiteiten binnen het proces en/of de voortbrenging van producten/diensten. Bij het in het ongerede raken van het informatiesysteem, is slechts met grote, onevenredige inspanning voortzetting van het proces mogelijk. Inzet van het informatiesysteem heeft een positief effect op de doeltreffendheid en doelmatigheid van de organisatie. Het informatiesysteem geeft support bij de activiteiten binnen het bedrijfsproces en is 'handig om te hebben'. Het informatiesysteem wordt niet gebruikt binnen het betreffende proces of de inzet is vruchteloos, onbruikbaar of zinloos. Informatiebeveiligingsplan pagina 11
De beoordeelde afhankelijkheden laten zich als volgt samenvatten: Afhankelijkheid informatiesystemen: A. Communicatiesystemen: A. 1 Groupwise A. 2 Explorer A. 3 Telefonie en netwerkinfrastructuur A. 4 Intranet A. 5 Internet B. Registratiesystemen B. 1GWS4ALL B. 2 0DAS/ODIAS B. 3ALLEGRO C. Informatiesystemen C. 1 GWS4ALL C. 2 Allegro C. 3 DDS4all/Key2datadistributie C. 4 Intranet C. 5 Portal alg. website C. 6DKD/EKB C. 7. LRD/GBA-V online D. Hard en software D. 1 Standaard PC configuraties D. 2 Laptops D. 3 (Kleuren)printers D. 4 Scanners (+ pc) Ondersteunend Ondersteunend Ondersteunend Ondersteunend Nuttig Ondersteunend Nuttig Nuttig 2.4 Betrouwbaarheidseisen Als laatste stap in de afhankelijkheidsanalyse zijn per informatiesysteem betrouwbaarheidseisen geformuleerd. Betrouwbaarheid wordt hierbij gedefinieerd als de mate waarin de organisatie zich kan verlaten op een informatiesysteem voor zijn informatievoorziening. Betrouwbaarheid wordt hierbij gesplitst in 3 aspecten: Beschikbaarheid De mate waarin een informatiesysteem in bedrijfis op het moment dat de organisatie het nodig heeft. Informatiebeveiligingsplan pagina 12
Exclusiviteit Integriteit : De mate waarin de toegang tot een informatiesysteem en de kennisname van de informatie daarin is beperkt tot een gedefinieerde groep van gerechtigden. : De mate waarin een informatiesysteem actueel en zonder fouten is. Deze betrouwbaarheidseisen zijn per informatiesysteem geformuleerd voor elk van de 3 aspecten en pp basis hiervan zijn per informatiesysteem 4 beveiligingsniveaus onderkend: Essentieel : Beveiliging is een primair criterium en verplicht voor de organisatie Belangrijk : Beveiliging is absoluut nodig gezien de belangen van de organisatie Wenselijk : Een zekere mate van beveiliging wordt op prijs gesteld Geen criterium : Beveiliging is geen criterium voor de organisatie De met behulp van deze criteria uitgevoerde afhankelijkheidsanalyse heeft als uitkomst: Beveiliging: A. Communicatiesystemen: A. 1 Groupwise A. 2 Explorer A. 3 Telefonie en netwerkinfrastructuur A. 4 Intranet A. 5 Internet Belangrijk Wenselijk Belangrijk Wenselijk Wenselijk B. Registratiesystemen B. 1 GWS4ALL B. 2 0DAS/ODIAS B. 4 ALLEGRO C. Informatiesystemen C. 1GWS4ALL C. 2 Allegro C. 3 DDS4all/Key2datadistributie C. 4 Intranet C. 5 Portal alg. website C. 6DKD/EKB C. 7. LRD/GBA-V online D. Hard en software D. 1 Standaard PC configuraties D. 2 Laptops D. 3 (Kleuren)printers D. 4 Scanners (+ pc) Essentieel Essentieel Essentieel Essentieel Essentieel Essentieel Wenselijk Belangrijk Essentieel Essentieel Belangrijk Essentieel geen criterium Belangrijk Informatiebeveiligingsplan pagina 13
3 De Kwetsbaarheidanalyse 3.1 Doel en inhoud van de Kwetsbaarheidanalyse In het kader van de Kwetsbaarheidanalyse worden bestaande maatregelen geëvalueerd en eventueel nieuwe maatregelen geïntroduceerd om aan de in de Afhankelijkheidsanalyse (zie hoofdstuk 2) geformuleerde betrouwbaarheidseisen te kunnen voldoen. De uitkomst van de Kwetsbaarheidanalyse is een overzicht van geïmplementeerde en nog te implementeren (aanvullende) maatregelen. 3.2 Gekozen aanpak Het VIAG handboek informatiebeveiliging beschrijft voor de Afhankelijkheids- en Kwetsbaarheidanalyse een methodiek die voor de SDD bruikbaar is gebleken. Daarbij wordt onderscheid gemaakt naar de volgende componenten, kortheidshalve naar de beginletters aangeduid met MAPGOOD: 1. 2. 3. 4. 5. 6. 7. Mens Apparatuur Programmatuur Gegevensverzamelingen Organisatie Omgeving Diensten Daarnaast wordt aangegeven niet te veel in detail te treden en de focus van een A&K analyse is in eerste instantie gericht op het totaalbeeld, organisatie breed. Voor de SDD is daarom gekeken naar de (verticale) toepassingen en de componenten Mens, Gegevensverzamelingen en Organisati, want deze behoren tot het verantwoordelijkheidsgebied van de directeur van SDD. De overige componenten behoren tot het verantwoordelijkheidsgebied van andere managers of directeuren binnen de GRD. Bovendien wordt een groot deel van de informatiebeveiligingsmaatregelen uitgevoerd door het SCD. Om deze redenen is gekozen voor een aanpak van de Kwetsbaarheidanalyse, gebaseerd op een inventarisatie van het genoemde maatregelen in het document "Inventarisatie beveiliging persoonsgegevens Sociale Dienst Drechtsteden". Daarbij is steeds aangegeven of deze al geïmplementeerd en werkzaam zijn, dan wel dat hier nog sprake zal moeten zijn van een implementatietraject van maatregelen. Informatiebeveiligingsplan pagina 14
3.3 Inventarisatie van maatregelen In de SUWI-wetgeving is bepaald dat de uitvoerder van de Sociale zekerheidsregelingen en -wetgeving verantwoordelijk is voor de specifieke beveiliging van (verticale) toepassingen en de componenten Mens, Gegevensverzamelingen en Organisatie. De Kwetsbaarheidanalyse is gebaseerd geweest en gericht op de relevante maatregelen betreffende componenten Mens, Organisatie en Gegevensverzamelingen, waarvoor de directeur van de Sociale Dienst Drechtsteden verantwoordelijk is. Van deze maatregelen is nagegaan of deze binnen de SDD bekend zijn en al volledig geïmplementeerd zijn en zo ja waar de documentatie daarover te vinden is. De maatregelen welke nog niet bij de SDD zijn ingevoerd komen als actiepunt terug in hoofdstuk 4 Implementatie. Dit betreft met name een aantal maatregelen rondom invoering cleandesk beleid, SUWI-systemen, communicatie over het (informatie)beveiligingsbeleid en uitwisseling van gegevens met derden. De overige maatregelen worden geacht begrepen te zijn in de door SCD/A&T beheer aan de SDD te verlenen ICT dienstverlening. Over deze ICT dienstverlening wordt door onze directeur met de directeur van het SCD een Dienstverleningsovereenkomst (DVO) afgesloten. In feite is het DVO te beschouwen als dé maatregel waarmee de bij dit beveiligingsplan de SDD hun informatiebeveiliging voor wat betreft de componenten apparatuur, programmatuur, omgeving en diensten gedelegeerd hebben aan het SCD. 3.4 Toetsing maatregelen aan mogelijke bedreigingen Tijdens deze stap van de Kwetsbaarheidsanalyse zijn de bedreigingen geïnventariseerd. Aan de hand van de geïnventariseerde maatregelen is beoordeeld of deze maatregelen toereikend zijn om deze bedreigingen het hoofd te bieden. Als dat niet het geval is zijn aanvullende maatregelen benoemd. De aanwezigheid van een bedreiging is te beschouwen als de argumentatie voor geïmplementeerde en nog te implementeren maatregelen. Voor de inventarisatie van mogelijke bedreigingen is gebruik gemaakt van de door A&T beheer ontwikkelde checklist bedreigingen. In het kader van dit Informatiebeveiligingsplan is gefocust op de MAPGOOD componenten, te weten: Personen, Organisatie en Gegevens. Per mogelijke bedreiging is beoordeeld of deze voor de SDD relevant is, welke maatregelen al zijn genomen en of aanvullende maatregelen gewenst zijn. De aanvullende maatregelen komen als actiepunt terug in hoofdstuk 4 Implementatie. Informatiebeveiligingsplan pagina 15
3.5 Periodieke toetsing van de maatregelen op bestaan en werking. SCD/A&T beheer moet ook een Afhankelijkheids- en Kwetsbaarheidanalyses uitvoeren en een Informatiebeveiligingsplan opstellen, waarin haar back office maatregelen zijn beschreven. Aan A&T beheer is gevraagd om ieder kwartaal een incidenten rapportage te leveren die in het 2 wekelijks I&A overleg wordt besproken. Een en ander moet beschreven worden in de AO voor uitbestede automatiseringsactiviteiten (DVO) Hoofd staf middelen van de SDD beoordeelt al deze stukken en toetst jaarlijks de opzet en goede werking van de getroffen maatregelen. De uitkomsten hiervan worden middels het dienstrapport jaarlijks gemeentebreed gecommuniceerd en zijn daarmee ook voor de SDD beschikbaar. Ook de onvolkomenheden ten aanzien van de informatiebeveiliging van de SDD zullen hierin zichtbaar worden. De hierboven geschetste maatregelen geven de directeur SDD voldoende zekerheid over opzet en goede werking van de door Automatisering en binnen de SDD getroffen beveiligingsmaatregelen. Informatiebeveiligingsplan pagina 16
4 Implementatieplan 4.1 Inleiding Dit Informatiebeveiligingsplan is bedoeld om de afhankelijkheid van informatiesystemen in beeld te brengen en op basis van een inventarisatie van bestaande maatregelen in kaart te brengen wat additioneel nog geregeld moet worden. Dit hoofdstuk bevat wat additioneel nog geregeld moet worden en heeft daarmee de functie van implementatieplan. Voor alle hiernavolgende met een doorlopende nummering en een "*" voorziene actiepunten is een plan van aanpak zijn opgesteld. Daarin is per actiepunt een detailplanning opgenomen resulterend in implementatie uiterlijk 1 januari 2010. Van deze realisatiedata kan uitsluitend met beargumenteerde en expliciete instemming van de directeur van SDD worden afgeweken. 4.2 Veiligheidsbeleid Iedere medewerker wordt op de hoogte gesteld van de voor hem of haar geldende beveiligingsvoorschriften en maatregelen. Dat is kort samengevat de inhoud van de in de Kwetsbaarheidsanalyse opgenomen maatregelen. Dit zal gebeuren door: 1 * Een artikel op het Intranet over het Informatiebeveiligingsplan 2* De SDD zal op de eigen intranetsite een informatiebeveiligingspagina opnemen waarin de richtlijnen en naar andere beveiligingsaspecten en documenten wordt verwezen. Hierbij zal ook worden ingegaan op het omgaan met auteursrechtelijk beschermd materiaal. 3* Er zal een procedure door SDD/SM worden ontwikkeld voor melding van incidenten, zwakke plekken in de (informatie)beveiliging en bijzondere gebeurtenissen, inclusief de inrichting per dienstonderdeel van een door de informatiebeveiligingsfunctionaris te bemensen centraal meldpunt. 4* Er zal tussen de SDD en in afstemming met SCD/A&T beheernader overlegd worden over de inrichting van een vorm van toezicht op de naleving van vigerende privacywetgeving. 5* Met het SCD/ID zal een DVO moeten worden afgesloten voor de fysieke toegangsbeveiliging. 4.3 Standard DVO Door de GRD is op 1 oktober 2008 de Producten en dienstcatalogus van het SCD ondertekend. Deze PDC bevat de afspraken over de door SCD aan de SDD te verlenen (ICT) dienstverlening: Informatiebeveiligingsplan pagina 17
6* De SDD geeft aan aanvullende ICT-dienstverlening nodig te hebben. Het SCD/A&T beheer beaamt dit verzoek. Het is nu zaak zo spoedig mogelijk de procedures en afspraken binnen de DVO aan te passen door het MT van de SDD en de directie SCD om te komen tot een werkbare DVO. 4.4 Richtlijnen Binnen de GR Drechtsteden zijn 2 richtlijnen actief en door de NDD vastgesteld. Dit betreft de Richtlijn Telewerken en de Richtlijn e-mail en internetgebruik. Deze richtlijnen zullen naar de medewerkers moeten worden gecommuniceerd. Dat zal gebeuren door: 7* Het plaatsen van een artikel op het Intranet over de richtlijnen 8* Tevens zullen we bijeenkomsten gaan organiseren, waarbij medewerkers worden bijgepraat over de richtlijnen en wetgeving bij het gebruik van informatie(systemen). 4.5 Wachtwoordenbeheer Er is in beginsel alleen sprake van persoonsgebonden user-id's (voor een persoon in een bepaalde functie) in casu toegangsrechten tot computers/netwerk/toepassingen. Dit is kort samengevat de inhoud van de in de Kwetsbaarheidsanalyse opgenomen maatregelen 4, 6 en 67 en leidt tot de volgende actiepunten: 9* Geïnventariseerd zal worden welke afwijkingen ten opzichte van deze regel bij de SDD bestaan en als die er zijn zullen deze adequaat beargumenteerd en bij de Informatiebeveiligingsfunctionaris gedocumenteerd worden. 10* Op het Intranet zal als onderdeel van de beveiligingsbeleidspagina de verantwoordelijkheid van de eigenaar voor het geheimhouden en het periodiek wijzigen van zijn password uiteengezet worden. 11 * Met SCD/A&T beheer moeten afspraken gemaakt worden over door het systeem af te dwingen periodieke vernieuwing van wachtwoorden. 4.6 Personeels- en Cleandesk beleid In het personeelsbeleid is bepaald dat binnen de GRD sprake is van een Clean Desk Policy. Bij^le SDD is het nog wel noodzakelijk om hierop te blijven sturen. De daartoe benodigde acties zijn: 12* Met de Afdelings- en bureauhoofden zal handhaving van privacywetgeving en het cleandesk beleid worden besproken. 13* De binnen een dienstonderdeel aanwezige informatie zal in beeld worden gebracht aan de hand van classificatiecategorieën. De onder classificatie hoog risico vallende informatie zal daarbij expliciet zichtbaar worden gemaakt en zonodig van additionele maatregelen worden voorzien. 14* Er zullen voldoende papierversnipperaars of (extra) "blauwe" papierbakken beschikbaar moeten zijn om niet digitale informatiedragers gepast te kunnen vernietigen. Informatiebeveiligingsplan pagina 18
15* Er zal een instructie dossierbeheer worden opgesteld met als belangrijkste inhoud dat in digitaal persoonlijke dossiers geen stukken zitten die ook niet in het fysiek archief en/of beleidsdossiers zouden zijn opgenomen. 4.7 SDD informatiesystemen In het kader van dit Informatiebeveiligingsplan worden alle bedrijfsprocessen en informatiesystemen geïnventariseerd. Dit plan bevat uitsluitend de uitwerking van de SDD toepassingen en organisatieonderdelen. 16* De Afhankelijkheidsanalyse en Kwetsbaarheidsanalyse voor de in hoofdstuk 2 opgesomde systemen zullen qua aanpak en termijnen op identieke wijze worden geïmplementeerd als de andere actiepunten zoals beschreven in paragraaf 4.1. 17* Speciale aandacht bij bovengenoemde inventarisatie zal de uitwisseling van gegevens met derden(re-integratiebedrijven, woningbouwcorporaties) krijgen zo ook onze verantwoordelijkheid tov beveiliging in de suwiketen/suwinet. 18* De autorisatie van medewerkers en functies binnen onze applicaties wordt ook een prominent onderdeel van bovengenoemde inventarisatie. 4.8 Formalisering Dit Informatiebeveiligingsplan en de hierin opgenomen actiepunten vanuit de Afhankelijkheidsanalyse en Kwetsbaarheidanalyse die in dit document zijn opgenomen moeten nog definitief worden goedgekeurd in het MT van de Sociale Dienst Drechtsteden. Informatiebeveiliging is een lijnverantwoordelijkheid en daarom moet dit Informatiebeveiligingsplan door goedkeuring van de Directeur SDD geformaliseerd worden. 19* Formalisering van dit Informatiebeveiligingsplan bij de SDD geschiedt middels vaststelling door het MT SDD. 20* Tegelijk met de formalisering van dit plan dient ook de functie van Informatiebeveiligingsfunctionaris/Security Officer geformaliseerd te worden. Informatiebeveiligingsplan pagina 19
5 Calamiteiten en evaluatie 5.1 Calamiteiten Met de in hoofdstuk 3 en 4 beschreven maatregelen wordt beoogd bescherming te bieden tegen schade als gevolg van incidenten die voortvloeien uit de in de Kwetsbaarheidanalyse opgesomde bedreigingen. Het is echter niet uit te sluiten dat ondanks de getroffen maatregelen zich een incident voordoet waarbij inbreuk wordt gepleegd op de beschikbaarheid, exclusiviteit en/of integriteit van informatie. Als in een dergelijk geval daadwerkelijk schade ontstaat, spreken we van een calamiteit. Alle informatiebeveiligingsincidenten en calamiteiten worden gemeld bij de Informatiebeveiligingsfunctionaris die deze inclusief de afloop registreert ten behoeve van de periodieke evaluaties van dit Informatiebeveiligingsplan. Op het moment dat zich een informatiebeveiligingsincident en/of daaruit voortvloeiende calamiteit voordoet is de lijnmanager verantwoordelijk voor de melding hiervan bij de Informatiebeveiligingsfunctionaris en voor het treffen van adequate maatregelen die erin voorzien dat het bedrijfsproces wordt gecontinueerd en dat de schade wordt hersteld. Het is ondoenlijk voor iedere mogelijk optredende bedreiging vooraf adequate maatregelen te benoemen. Daarom zullen deze maatregelen in geval van een incident en/of calamiteit door de betreffende lijnmanager in afstemming met de Informatiebeveiligingsfunctionaris en eventueel de centrale helpdesk, situationeel worden bepaald. 5.2 Plan voor evaluatie en onderhoud Niets is voor de eeuwigheid en dit Informatiebeveiligingsplan zeker ook niet. Dit maakt het noodzakelijk dat dit plan jaarlijks wordt geëvalueerd en zo nodig ook aangepast wordt. Op dit moment is een werkgroep protocol uitval systemen bezig om bij ICTverstoringen een noodplan achter de hand te hebben ook dit zullen we meenemen bij de implementatie in 2009 van het informatiebeveiligingsplan. Informatiebeveiligingsplan pagina 20