2013 Informatiebeveiligingsbeleid Gemeente Heerhugowaard 1.0 Definitief
Versie : 1.0 Status : definitief Auteur : R. Heimering Datum : 20 November 2013
Informatiebeveiligingsbeleid Gemeente Heerhugowaard Versie 1.0, 20 November 2013 Versiebeheer Versie Datum
Status
Aard wijzigingen
0.1
4 November 2013
Concept
Aanpassing beleidsdocument op, voornamelijk, organisatorische aanpassingen + ontwikkelingen Informatie Beveiligings Dienst
1.0
20 November 2013
definitief
Uitwerking details
Pagina 2 van 17
Verstuurd aan
College B&W
Informatiebeveiligingsbeleid Gemeente Heerhugowaard Versie 1.0, 20 November 2013
Inhoudsopgave 1 2
3
4 5
6
7
8
Inleiding ............................................................................................................................................. 4 1.1 ALGEMEEN ........................................................................................................................................ 4 1.2 ACTUALISERING................................................................................................................................. 4 Afbakening informatiebeveiligingsbeleid........................................................................................... 5 2.1 DOELSTELLING INFORMATIEBEVEILIGINGSBELEID ......................................................................... 5 2.2 DEFINITIE INFORMATIEBEVEILIGING.............................................................................................. 5 2.3 REIKWIJDTE INFORMATIEBEVEILIGINGSBELEID ............................................................................. 5 2.4 FINANCIËLE GEVOLGEN INFORMATIEBEVEILIGING ......................................................................... 6 Organisatie taken & verantwoordelijkheden m.b.t. informatiebeveiliging ......................................... 7 3.1 AANSTURING: MANAGEMENTTEAM ............................................................................................... 7 3.2 COÖRDINATIE & ONDERSTEUNING: DE INFORMATIEBEVEILIGINGSFUNCTIONARIS + INFORMATIEBEVEILIGINGSCOMMISSIE ....................................................................................................... 7 3.3 EINDVERANTWOORDELIJKHEID: SECTOREN/AFDELINGEN ............................................................. 8 3.4 VERANTWOORDELIJKHEID VOOR TOEGANG DOOR DERDEN ........................................................... 8 3.5 UITWIJK ...................................................................................................................................... 8 3.6 AUTORISATIEPROCES VOOR NIEUWE OBJECTEN MBT DE INFORMATIEVOORZIENING ....................... 9 3.7 SPECIALISTISCH ADVIES OVER INFORMATIEBEVEILIGING ............................................................... 9 3.8 ONAFHANKELIJKE BEOORDELING VAN DE MAATREGELEN INZAKE INFORMATIEBEVEILIGING ............. 9 Aanpak van informatiebeveiligingsvraagstukken............................................................................ 10 4.1 RISICOANALYSE ........................................................................................................................ 10 4.2 CLASSIFICATIE .......................................................................................................................... 10 Beveiligingseisen mbt personeel .................................................................................................... 12 5.1 FUNCTIEOMSCHRIJVING ............................................................................................................ 12 5.2 SCREENING .............................................................................................................................. 12 5.3 INSTRUCTIE/TRAINING ............................................................................................................... 12 5.4 RAPPORTAGE VAN BEVEILIGINGSINCIDENTEN EN STORINGEN...................................................... 12 5.5 DISCIPLINAIRE MAATREGELEN ................................................................................................... 12 Toegangsbeveiliging ....................................................................................................................... 13 6.1 FYSIEKE BEVEILIGING EN BEVEILIGING VAN DE OMGEVING........................................................... 13 6.2 BEVEILIGING VAN APPARATUUR ................................................................................................. 13 6.3 BEVEILIGING BUITEN DE LOCATIE ............................................................................................... 13 6.4 STROOMVOORZIENING .............................................................................................................. 13 6.5 CLEAN DESK & CLEAR SCREEN POLICY ..................................................................................... 14 6.6 MANAGEMENT VAN TOEGANGSRECHTEN / AUTORISATIEBEHEER ................................................. 14 Beheer van communicatie en bedieningsprocessen ...................................................................... 15 7.1 BEDIENINGSPROCEDURES EN VERANTWOORDELIJKHEDEN ALGEMEEN ........................................ 15 7.2 BEDIENINGSPROCEDURES EN VERANTWOORDELIJKHEDEN SPECIFIEK ........................................ 16 7.3 VASTSTELLING & W IJZIGINGSBEHEER VAN DE PROCEDURES ...................................................... 16 Naleving wettelijke en contractuele verplichtingen ......................................................................... 17 8.1 AUTEURSRECHTEN EN LICENTIERECHTEN ................................................................................. 17 8.2 BEVEILIGING BEDRIJFSDOCUMENTEN ......................................................................................... 17 8.3 BESCHERMING PERSOONSGEGEVENS ........................................................................................ 17 8.4 MISBRUIK VAN ICT VOORZIENINGEN .......................................................................................... 17 8.5 BEOORDELING VAN DE NALEVING VA HET BEVEILIGINGSBELEID ................................................... 17
Pagina 3 van 17
Informatiebeveiligingsbeleid Gemeente Heerhugowaard Versie 1.0, 20 November 2013
1 Inleiding 1.1 Algemeen Het College van B&W van de gemeente Heerhugowaard stelt zich ten aanzien van de informatiebeveiliging als doelstelling die beveiligingsmaatregelen te treffen die enerzijds uit de wettelijke verplichtingen voortvloeien en anderzijds de continuïteit van de gemeentelijke bedrijfsprocessen op een gedefinieerd niveau garanderen. Deze doelstelling geldt ten aanzien van alle gegevensverwerkende processen en opgeslagen informatie waarvoor het College van B&W de verantwoordelijkheid draagt. Het beveiligingsbeleid is gebaseerd op de Code voor Informatiebeveiliging en sluit aan op door de gemeente Heerhugowaard gekozen aanpak voor Risicomanagement zoals door de Raad vastgesteld in de Kadernota Weerstandsvermogen en Risicomanagement Gemeente Heerhugowaard 2007. In dit informatiebeveiligingsbeleidsdocument ligt de nadruk op het vastleggen van de formele keuzes en beschrijving van de verantwoordelijkheden. De taakverdeling in het kort Informatiebeveiliging is primair de verantwoordelijkheid van het lijnmanagement. In het kader van Risicomanagement worden door de organisatie ook de informatiebeveiligingsrisico’s geïnventariseerd. De planning van de te nemen beveiligingsmaatregelen en -procedures wordt door de verantwoordelijke afdelingen opgenomen in de reguliere planning. De Informatie-beveiligingsfunctionaris (IBF) formuleert voor het management het beleid, adviseert het management over de prioriteitstelling en informeert het management over de acties en de voortgang daarvan (control). Inhoudelijke en vaktechnische afstemming over maatregelen en procedures voor informatiebeveiliging vindt plaats tussen de IBF en de materiedeskundigen. De IBF, vormt samen met de sectordirecteur Dienstverlening en de materiedeskundigen informatie beveiligingscommissie. Per domein (bijvoorbeeld GBA of DigiD) wordt bepaald welke groep medewerkers verantwoordelijk is voor de afhandeling van beveiligingsincidenten. In het kader van de aansluiting op de Informatiebeveiligingsdienst zijn er 2 rollen belegd: - Algemeen Contactpersoon Informatiebeveiliging: hier komen waarschuwingen binnen voor beveiligingsdreigingen van algemene aard. - Vertrouwde Contactpersoon Informatiebeveiliging: hier worden beveiligingsincidenten gemeld die binnen onze organisatie spelen met een vertrouwelijke aard. (bijvoorbeeld een medewerker die risicovolle websites bezoekt). Jaarlijks bepaalt de concerncontroller in samenspraak met de IBF of c/q welke toetsingswerkzaamheden door de concerncontroller worden uitgevoerd (als onderdeel van het controlplan) om na te gaan of de maatregelen gericht op informatiebeveiliging daadwerkelijk geëffectueerd zijn en voldoende functioneren. Bewustwording Door de uitvoering van het beleid ter hand te nemen wordt het bewustzijn rondom dit onderwerp aangescherpt. Daarnaast wordt in het kader van Integriteit en Risicomanagement ook aandacht besteed aan bewustwording voor dit onderwerp.
1.2 Actualisering De beveiligingsmaatregelen worden geëvalueerd in het kader van Risicomanagement, maar ook aan de hand van incidenten wordt bekeken of aanscherping of wijziging van maatregelen noodzakelijk is. Indien daar aanleiding toe is, kunnen voorstellen voor wijzigingen in beleidsuitgangspunten of uitvoeringsmaatregelen aan het management worden voorgesteld door de IBF. Wijzigingen in het beleid worden door het College van B&W vastgesteld. Aanpassingen van uitvoeringsmaatregelen worden door het Managementteam vastgesteld. De geconstateerde afwijkingen van het Informatiebeveiligingsbeleid worden door de IBF schriftelijk vastgelegd en 5 jaar bewaard.
Pagina 4 van 17
Informatiebeveiligingsbeleid Gemeente Heerhugowaard Versie 1.0, 20 November 2013
2 Afbakening informatiebeveiligingsbeleid 2.1
Doelstelling Informatiebeveiligingsbeleid
Door middel van het informatiebeveiligingsbeleid geeft het management sturing aan het onderwerp en handvaten voor de aanpak en de handhaving op het terrein van informatiebeveiliging.
2.2
Definitie Informatiebeveiliging
Het beleid en de maatregelen gericht op behoud van continuïteit, betrouwbaarheid en vertrouwelijkheid van informatie. Waarbij Continuïteit betekent dat op juiste momenten geautoriseerde toegang tot informatie en daartoe benodigde bedrijfsmiddelen inclusief huisvesting mogelijk is. Betrouwbaarheid zegt iets over in welke mate de gegevens in de informatiesystemen overeenkomen met de werkelijkheid. Vertrouwelijkheid betekent dat Informatie slechts toegankelijk is voor degenen die hiertoe geautoriseerd zijn.
2.3
Reikwijdte Informatiebeveiligingsbeleid
Het informatiebeveiligingsbeleid heeft betrekking op onderstaande informatiebeveiligingsobjecten: de informatiebestanden en documenten de apparatuur en programmatuur de fysieke toegang daartoe de facilitaire voorzieningen (huisvesting, stroomvoorziening) procedures technische maatregelen organisatorische afspraken, taken en verantwoordelijkheden van de Raad, het College van Burgemeester en wethouders en de sectoren en afdelingen van de bestuursdienst.
Expliciet buiten het domein van dit beleid vallen derhalve gesubsidieerde instellingen, scholen en administraties van de politieke partijen. Pagina 5 van 17
Informatiebeveiligingsbeleid Gemeente Heerhugowaard Versie 1.0, 20 November 2013
2.4
Financiële gevolgen informatiebeveiliging
De uitvoering van de beheerwerkzaamheden inzake informatiebeveiliging maken onderdeel uit van de primaire taken en verantwoordelijkheden. Deze werkzaamheden worden geformaliseerd door dit beleidsdocument. Als uitgangspunt wordt daarom voor de reguliere beheertaken gehanteerd dat deze binnen de bestaande bedrijfsvoeringsbudgetten worden uitgevoerd.
Pagina 6 van 17
Informatiebeveiligingsbeleid Gemeente Heerhugowaard Versie 1.0, 20 November 2013
3 Organisatie taken & verantwoordelijkheden m.b.t. informatiebeveiliging In dit hoofdstuk wordt uiteengezet welke taken en verantwoordelijkheden met betrekking tot informatiebeveiliging op welke plaats belegd zijn binnen de organisatie. in bijlage 1 wordt door de beveiligingsfunctionaris bijgehouden wie welke rol vervult.
3.1
Aansturing: Managementteam
Informatiebeveiliging valt onder de verantwoordelijkheden van alle leden van het managementteam. Primaire aanspreekpunt binnen het MT op dit onderwerp is de sectordirecteur Dienstverlening. Het MT stelt het gewenste niveau van continuïteit en vertrouwelijkheid vast en stelt de daartoe benodigde middelen vast. Het MT autoriseert de benodigde procedures en uitvoeringsmaatregelen. Het onderwerp informatiebeveiliging wordt in de gemeente Heerhugowaard gezien als een integraal onderdeel van Risicomanagement.
3.2
Coördinatie & ondersteuning: informatiebeveiligingscommissie
de
informatiebeveiligingsfunctionaris
+
Gegeven de omvang van de gemeentelijke organisatie kan worden volstaan met één functionaris die de activiteiten inzake informatiebeveiliging coördineert. Voor de gemeente Heerhugowaard is dit een medewerker die door het College is benoemd als de informatiebeveiligingsfunctionaris, kortweg de IBF. Deze informatiebeveiligingsfunctionaris heeft als taken: opstellen informatiebeveiligingsbeleid advisering inzake de prioriteitstelling en planning bevorderen van zichtbare betrokkenheid van management en bestuur bij informatiebeveiliging. het doen van voorstellen inzake het toekennen van taken en verantwoordelijkheden voor informatiebeveiliging over de organisatie het periodiek adviseren en informeren van het management over voortgang van de voorgenomen activiteiten in het kader van informatiebeveiliging het in overleg met de inhoudelijk deskundigen bepalen van de te hanteren aanpak, methoden en processen voor informatiebeveiliging bevorderen van initiatieven ter verbetering van informatiebeveiliging, bijvoorbeeld bewustwordings en cultuurtrajecten gericht op beveiligingsbewustzijn beoordeling van de geschiktheid van informatiebeveiligingsmaatregelen voor systemen of diensten evaluatie van beveiligingsincidenten initiëren van maatregelen op basis van evaluatie van informatiebeveiligingsincidenten het geven van specialistisch advies c.q. het vervullen van een verwijsfunctie naar interne - c.q. externe specialistische kennis. Afstemming met de sectoren over de inhoudelijke aanpak vindt plaats door minimaal 2 keer per jaar het onderwerp Informatiebeveiliging te bespreken in de informatiebeveiligingscommissie. Leden hiervan worden gevormd Door de sectordirecteur Dienstverlening, de IBF en een aantal materiedeskundigen. Taken van de leden van de informatiebeveiligingscommissie zijn: het leveren van input voor wijzigingen op maatregelen en procedures bespreking van beveiligingsincidenten en de consequenties die dit moet hebben voor beleid en maatregelen Voorbereiding en coördinatie van het overleg ligt bij de informatiebeveiligingsfunctionaris.
Pagina 7 van 17
Informatiebeveiligingsbeleid Gemeente Heerhugowaard Versie 1.0, 20 November 2013
3.3
Eindverantwoordelijkheid: Sectoren/Afdelingen
Sectordirecteuren en afdelingshoofden zijn verantwoordelijk voor de applicaties en gegevens waar zij eigenaar van zijn en daarmee ook voor de informatiebeveilligingsaspecten daarvan. Sector Dienstverlening, afdeling I&A is verantwoordelijk voor alle ICT apparatuur en (systeem)programmatuur ten behoeve van de gemeenschappelijke ICT infrastructuur. Afdeling Facilitair is verantwoordelijk voor de aan het archief in beheer gestelde documenten. De eigenaar van een beveiligingsobject heeft de volgende verantwoordelijkheden: bepalen van de classificatie van informatiebeveiliging het zekerstellen dat beveiligingsmaatregelen afdoende zijn belegd in de organisatie het zorgdragen voor de benodigde middelen ten behoeve van de gedefinieerde maatregelen het aan afdeling I&A verstrekken van initiële- en wijzigingsinformatie mbt o classificatie van de beveiligingsobjecten o autorisatie (intern + externen) o aanspreekpunt voor beheer- en beveiligingsincidenten Voornoemde afspraken en maatregelen worden door Sector Dienstverlening, afdeling I&A voor alle beveiligingsobjecten in een register bijgehouden. 3.3.1
Risicoanalyse
Gemeente Heerhugowaard kiest er voor om het bepalen van risico’s en de hieruit voortvloeiende prioriteitstelling te baseren op een brede, integrale aanpak: Risicomanagement. Daarom worden er in het kader van informatiebeveiliging geen aparte activiteiten uitgevoerd voor organisatiebrede inventarisaties of risico-analyse. Onder de vlag van het algemene Risicomanagement worden door de organisatie ook de informatiebeveiligingsrisico’s geïnventariseerd en prioriteiten voor maatregelen gesteld. De planning van de te nemen beveiligingsmaatregelen en -procedures wordt door de verantwoordelijke afdelingen opgenomen in de reguliere planning. Inhoudelijke advisering en ondersteuning wordt hierbij geleverd door de IBF en de materiedeskundigen in de sectoren en afdeling facilitair. Voor enkele organisatieonderdelen c.q. werkprocessen geldt dat er een gemiddeld hoger risico geldt. Voor deze afdelingen en werkprocessen wordt intensiever aandacht besteed aan beveiliging en worden specifieke maatregelen en rapportages uitgevoerd. (o.a. Burgerzaken en gebruik van SUWInet)
3.4
Verantwoordelijkheid voor toegang door derden
De eigenaar van een informatiebeveiligingsobject is verantwoordelijk voor het bepalen van risico’s en maatregelen als er sprake is van toegang (fysiek en/of logisch) door derden tot het te beveiligen object. (Reden voor de toegang kan zijn: ondersteuning, externe samenwerking, ingehuurd personeel.) In de standaard leveringsvoorwaarden van de gemeente Heerhugowaard worden eisen gesteld inzake ingehuurd personeel in het kader van informatiebeveiliging. De functionaris die verantwoordelijk is voor de betreffende opdracht is er ook verantwoordelijk om er op toe te zien dat de leverancier van de betreffende diensten aan deze beveiligingseisen voldoet. Verstrekking en publicatie van informatie aan partijen buiten de gemeentelijke organisatie (burgers, bedrijven, andere overheden) wordt per product en/of dienst bepaald door specifieke kaders en/of wetgeving. De kennis hierover en dus de autorisatie daarvan ligt bij de sectoren.
3.5
Uitwijk
Het besluit tot uitwijk wordt genomen door de gemeentesecretaris of de loco-secretaris op voordracht van hoofd afdeling I&A.
Pagina 8 van 17
Informatiebeveiligingsbeleid Gemeente Heerhugowaard Versie 1.0, 20 November 2013
3.6
Autorisatieproces voor nieuwe objecten mbt de Informatievoorziening
De procedure voor aanschaf en invoering van nieuwe objecten van de informatievoorziening is vastgelegd in het document: “Procedure aanschaf apparatuur & programmatuur gemeente Heerhugowaard juni 2006”. De sector/afdeling die eigenaar is van de nieuwe objecten is dus ook verantwoordelijk voor het doorgeven van wijzigingen, afdeling I&A is verantwoordelijk voor het registreren daarvan in het centrale register.
3.7
Specialistisch advies over Informatiebeveiliging
Aanspreekpunt voor advisering over sectorspecifieke informatiebeveiligingsvraagstukken is de afdeling I&A.
3.8
Onafhankelijke beoordeling van de maatregelen inzake informatiebeveiliging
Jaarlijks bepaalt de concerncontroller in samenspraak met de IBF of c/q welke toetsingswerkzaamheden door de concerncontroller worden uitgevoerd (als onderdeel van het controlplan) om na te gaan of de maatregelen gericht op informatiebeveiliging daadwerkelijk geëffectueerd zijn en voldoende functioneren.
Pagina 9 van 17
Informatiebeveiligingsbeleid Gemeente Heerhugowaard Versie 1.0, 20 November 2013
4 Aanpak van informatiebeveiligingsvraagstukken Informatiebeveiliging sluit aan bij de aanpak zoals deze is beschreven in de Kadernota Weerstandsvermogen en Risicomanagement van Gemeente Heerhugowaard December 2007.
4.1
Risicoanalyse
Gemeente Heerhugowaard kiest er voor om informatiebeveiligingsvraagstukken op een integrale wijze te benaderen. Concreet houdt dit in dat voor de Identificatie van de risico’s op het dit terrein geen specifieke inventarisatie wordt gedaan, maar dat gebruik wordt gemaakt van de van een bedrijfsbrede risicoanalyse. Onder de vlag van Risicomanagement wordt dus ook de planning en prioriteitstelling vaan onderwerpen en maatregelen voor informatiebeveiliging actueel gehouden. Uiteraard wordt hierbij inhoudelijk afgestemd met de IBF en de inhoudelijk deskundigen.
4.2
Classificatie
Op een totaaloverzicht van alle te beveiligen componenten wordt per object aangegeven welk niveau van maatregelen passend is. Dit wordt bepaald aan de hand van 2 aspecten: 4.2.1
Continuïteit
Aan de continuïteit worden de volgende eisen gesteld: Voor wat betreft de ongestoorde voortzetting van de dagelijkse bedrijfsvoering geldt als eis: o De infrastructuur als geheel mag op jaarbasis, tijdens kantooruren/openingsuren maximaal 2 x in zijn geheel uitvallen. De componenten die benodigd zijn voor de bedrijfsvoering en externe dienstverlening dienen binnen 4 uur operationeel te zijn. o De systemen worden na uitval weer operationeel gemaakt in een door het Managementteam vast te stellen volgorde op voordracht van het PIM-Team. o Sectoren maken met hun software leveranciers nadere afspraken inzake de continuïteit van de applicatie, inclusief eventuele een escrow regeling1. In geval van calamiteiten (uitval van het hoofdgebouw van de gemeente) o is na maximaal 4 uur een minimale toegang ter ondersteuning van de rampenorganisatie beschikbaar. De rampencoördinator is verantwoordelijk voor de specificatie van het begrip “minimale toegang”. o Na maximaal 24 uur is de dienstverlening aan de Burger en aan derden (waaronder afnemers en andere gemeenten die zijn aangesloten op het landelijke voorzieningen zoals de basisregistraties) beschikbaar via een gemeentelijk uitwijklocatie. In het geval dat in de gehele gemeente de stroom- en datacommunicatievoorzieningen uitvallen (bijvoorbeeld door overstroming van het gehele gemeentelijke grondgebied) o is na maximaal 4 uur een minimale toegang ter ondersteuning van de rampenorganisatie beschikbaar. De rampencoördinator is verantwoordelijk voor de specificatie van het begrip “minimale toegang”. o Na maximaal 24 uur is de dienstverlening aan de Burger en aan derden (waaronder afnemers en andere gemeenten die zijn aangesloten op het landelijke voorzieningen zoals de basisregistraties) beschikbaar middels een buitengemeentelijke uitwijklocatie. Omdat de bedrijfsvoering voor alle producten en diensten afhankelijk is van de beschikbaarheid van de ICT voorzieningen zijn de beheermaatregelen voor lokale uitwijk en vervanging ingericht op het geheel aan ICT voorzieningen. Door afdeling I&A wordt de lijst van te beveiligen objecten en maatregelen om continuïteitseisen te borgen beheerd. Bij deze maatregelen wordt ook aandacht besteedt aan de beschikbaarheid van personeel c.q. kennis. De eigenaar van het betreffende informatiebeveiligingsobject blijft er verantwoordelijk voor dat de benodigde maatregelen ook daadwerkelijk worden gerealiseerd.
1
De afweging om wel of niet een escrow contract af te sluiten is een bedrijfs-economische keuze en wordt niet verplicht vanuit beleid.
Pagina 10 van 17
Informatiebeveiligingsbeleid Gemeente Heerhugowaard Versie 1.0, 20 November 2013 De uitwerking van de technische maatregelen en de daartoe benodigde mensen en middelen worden uitgewerkt door afdeling I&A, voor de organisatorische maatregelen, benodigd om de dienstverlening te continueren is de betreffende sector/afdeling zelf verantwoordelijk.
4.2.2
Exclusiviteit / vertrouwelijkheid
Exclusiviteit of vertrouwelijkheid geeft aan welke personen toegang hebben tot - en gebruik kunnen maken van gegevens. Uitgangspunt is dat gegevens intern voor alle medewerkers toegankelijk zijn, tenzij…… Toegang tot gegevens wordt altijd beperkt tot leesrechten. Wijzigingsrechten worden alleen toegekend aan medewerkers die dit in het kader van de uitoefening van de functie nodig hebben. Heerhugowaard kent voor wat betreft de interne informatievoorziening 2 klassen van exclusiviteit. 1. Intern Openbaar Alle gegevens die niet vertrouwelijk of geheim zijn. Dit houdt in dat vrijwel alle gegevens binnen de gemeentelijke organisatie voor alle ambtenaren toegankelijk zijn. Consequentie hiervan is dat alle informatie wordt opgeslagen in één, voor iedereen toegankelijke structuur. Er hoeft dus ook minder tijd gestoken te worden in afschermen en onderling doorgeven van informatie. 2. Gemeentelijk Vertrouwelijk of Geheim Dit niveau is van toepassing op privacy gevoelige gegevens met betrekking tot personen en of bedrijven. Uitsluitend uit hoofde van de functie bevoegde personen hebben toegang tot - en kunnen gebruik maken van in de betreffende registratie opgenomen gegevens. De bevoegdheid van een persoon wordt afgeleid van de taak, functie of verantwoordelijkheid van de betreffende persoon, dit ter beoordeling van de eigenaar van het betreffende gegeven c.q. de applicatie. Hieronder vallen ook autorisaties in het kader van AO/IC zoals functiescheiding en 4-ogen principe. Autorisatie vindt plaats op aangeven van de direct leidinggevende van de betreffende medewerker/ster. Geheim is slechts een zeer beperkte groep van gegevens van bedrijfsvertrouwelijke of persoonlijk vertrouwelijke aard zoals medische gegevens van personeel, disciplinaire maatregelen en politiek gevoelige documenten. Personen hebben op een “need to know” basis toegang tot dit soort informatie. De exclusiviteit van gegevens wordt, onder verantwoordelijkheid van de eigenaar door middel van de autorisatietabellen in de verschillende applicaties bijgehouden en geregistreerd.
Pagina 11 van 17
Informatiebeveiligingsbeleid Gemeente Heerhugowaard Versie 1.0, 20 November 2013
5 Beveiligingseisen mbt personeel In dit hoofdstuk staan de maatregelen beschreven die genomen worden ter vermindering van de risico’s van menselijke fouten, diefstal, fraude of misbruik van voorzieningen van de gemeente Heerhugowaard.
5.1
Functieomschrijving
Rollen en verantwoordelijkheden in het kader va informatiebeveiliging worden daar waar van toepassing in de functieomschrijving expliciet gedocumenteerd.
5.2
Screening
Bij de aanname van nieuw personeel wordt de screening aangepast aan de risico’s die aan de functie verbonden zijn. In het HRM beleid wordt hiertoe het regime vastgesteld.
5.3
Instructie/training
Bij het inwerken van personeel wordt bij de werkinstructie en training uitdrukkelijk aandacht besteed aan de informatiebeveiligingsaspecten zoals het beheer van wachtwoorden en het zich houden aan de regels met betrekking tot de bescherming van bedrijfs- of persoonsvertrouwelijke gegevens. Degene die verantwoordelijk is voor het inwerken van een personeelslid is tevens verantwoordelijk voor het overdragen van de benodigde kennis op het vlak van informatiebeveiliging.
5.4
Rapportage van beveiligingsincidenten en storingen
Een beveiligingsincident is ieder voorval of gebeurtenis die schade toebrengt of kan toebrengen aan de beveiliging van het systeem. Hiermee wordt bedoeld iedere inbreuk op het gebied van beschikbaarheid, betrouwbaarheid en/of exclusiviteit. Schending van de geheimhouding van GBAgegevens is een voorbeeld van een dergelijk incident. Een handeling die in strijd is met de beveiligingsprocedures van de gemeente Heerhugowaard is ook een beveiligingsincident. Een beveiligingsincident kan op verschillende manieren ter kennis komen van de gemeente: een melding van de leverancier, burgers, eigen personeel, externe diensten zoals Logius, NCSC, GovCert, collega-gemeenten, et cetera. Het is van belang dat de ernst van een dergelijke melding direct wordt onderkend en op de juiste wijze in behandeling wordt genomen binnen de gemeente Heerhugowaard. Een ernstig beveiligingsincident zal in de meeste gevallen als eerste ter kennis komen van de servicedesk, applicatiebeheerder, de leverancier of de webcoördinator. Zodra één van deze partijen vermoedt dat het een ernstig incident betreft, wordt de Informatiebeveiligingsfunctionaris direct geïnformeerd. Hierbij wordt gebruik gemaakt van een meldingsprocedure die voorziet in terugkoppeling aan de melder, de eigenaar, een evaluatie en eventuele agendering van verbetervoorstellen. 5.4.1
Procedure Beveiligingsincidentbeheer
De informatiebeveiligingsfunctionaris is verantwoordelijk voor het opstellen van deze procedure. De medewerkers van de organisatie zijn verantwoordelijk voor de naleving daarvan.
5.5
Disciplinaire maatregelen
Schending van het beveiligingsbeleid of –procedures wordt middels een disciplinair proces door het verantwoordelijke lijnmanagement afgehandeld. Afdeling advies & Financiën is verantwoordelijk voor het opstellen en beheren van de richtlijnen voor het bewuste disciplinair proces.
Pagina 12 van 17
Informatiebeveiligingsbeleid Gemeente Heerhugowaard Versie 1.0, 20 November 2013
6 Toegangsbeveiliging 6.1
Fysieke beveiliging en beveiliging van de omgeving
Doelstelling: Het voorkomen van ongeautoriseerde toegang tot, schade aan of verstoring van de gebouwen, bekabeling en informatiebeveiligingsobjecten van de gemeente Heerhugowaard. In Heerhugowaard worden twee niveaus van beveiliging van ruimten onderscheiden: kritisch en niet kritisch. Een “kritische ruimte” is een ruimte waarin een risicofactor zoveel schade kan aanrichten dat de continuïteit van de gemeente en/of haar klanten kan worden verstoord. Voorbeelden van kritische ruimten zijn de computerruimte en de ruimte waar de uit te geven paspoorten bewaard worden. De kritische ruimten van de gemeente moeten op een adequate wijze fysiek worden beveiligd. Door het management wordt op voordracht van afdeling facilitair een lijst vastgesteld met de kritische ruimten. Fysieke toegang tot alle ruimten en bekabeling wordt beperkt door maatregelen op het vlak van afsluiting van kritische ruimten een systeem van toegangspasjes en fysieke begeleiding van bezoekers c.q. extern onderhoudspersoneel. Afdeling facilitair treft hiertoe de benodigde maatregelen. Door het management wordt op voordracht van afdeling facilitair vastgesteld welke fysieke maatregelen genomen worden. Afdeling facilitair is verantwoordelijk voor het opstellen en onderhouden van een aanpak voor toegangsbeveiliging en het realiseren van de daartoe benodigde maatregelen. Leidraad voor de maatregelen worden gevormd door dit beveiligingsbeleid. Iedere medewerker draagt ervoor zorg dat de in zijn of haar bezit zijnde sleutels c.q. toegangspasje van gemeentelijke eigendommen niet toegankelijk zijn voor onbevoegden.
6.2
Beveiliging van apparatuur
De bedrijfskritische servers worden op een zodanige wijze geplaatst en beveiligd dat de risico's van schade, storing en gebruik door ongeautoriseerde personen minimaal zijn. Dit wordt bereikt door: plaatsing op een afgezonderde plek; plaatsing in een beveiligde ruimte; geen plaatsing van bedrijfskritische servers in de nabijheid van ramen.
6.3
Beveiliging buiten de locatie
De eigenaar van een informatiebeveiligingsobject is verantwoordelijk voor toezicht op gebruik daarvan buiten de locatie en ziet toe op toepassing van de benodigde maatregelen, rekening houdende met - tijdens vervoer mogen media niet onbeheerd achter worden gelaten. - voorschriften van de fabrikant - verzekering tegen brand en/of diefstal - afvoer en vernietiging van afgeschreven beveiligingsobjecten - contractuele verplichtingen bij uitbesteding De werkgever voorziet op steeds meer manieren het personeel van hulpmiddelen waarop informaie van de organisatie gebruikt kan worden. Denk bijvoorbeeld aan smart phones, laptops en tablets. Het personeel ondertekent hiervoor in voorkomende gevallen een bruikleenovereenkomst voor. Daarnaast is het personeel gehouden om zich te houden aan de volgende regelementen: - Het Privacy- en Gebruiksreglement Telecommunicatiemiddelen geldt voor alle werknemers van de gemeente Heerhugowaard - De gedragscode voor ambtenaren
6.4
Stroomvoorziening
De apparatuur wordt beveiligd tegen stroomstoringen. Door het management wordt op voordracht van afdeling facilitair een lijst vastgesteld met getroffen maatregelen tegen stroomstoringen.
Pagina 13 van 17
Informatiebeveiligingsbeleid Gemeente Heerhugowaard Versie 1.0, 20 November 2013 De maatregelen worden jaarlijks getest op correcte werking.
6.5
Clean Desk & Clear screen policy
Ter voorkoming van diefstal en beschadiging van informatie wordt in Heehugowaard het Clean Desk & Clear screen policy gehanteerd, hetgeen inhoudt dat vertrouwelijke papieren documenten niet onbeheerd worden achtergelaten op bureau of kamer. Bij het verlaten van de werkplek wordt het scherm altijd afgesloten.
6.6
Management van toegangsrechten / Autorisatiebeheer
Toegang tot de informatiesystemen & gegevens De eigenaar van een informatiebeveiligingsobject is ervoor verantwoordelijk dat bij afdeling I&A bekend is wie geautoriseerd is voor de betreffende informatiesystemen en gegevens. Dit geldt voor alle fasen in de levenscyclus van een autorisatie: van nieuwe gebruikers tot en met het afmelden van gebruikers die niet langer toegang hebben tot informatiesystemen. Door afdeling I&A wordt de toegang tot informatiesystemen gedocumenteerd en onderhouden. Beheer van wachtwoorden Voor alle gebruikers geldt dat het wachtwoord dat toegang geeft tot de ICT infrastructuur minimaal 1 x per 6 maanden verplicht veranderd moet worden. Het MT stelt op voordracht van de informatiebeveiligingscommissie de eisen vast die gesteld worden aan de lengte etc. van het wachtwoord. De benodigde maatregelen worden door Afdeling I&A uitgevoerd. Voor zover technisch mogelijk wordt zoveel mogelijk gebruik gemaakt van autorisatie op basis van deze algemene login (single sign-on). Van dit gebruik van één login kan vanuit risicobeperking in specifieke situaties worden afgeweken. Voor de systemen die geen algemene login ondersteunen geldt dat, voor zover dit technisch ondersteund kan worden door de beheersystemen, het de voorkeur heeft dat het aanpassen van wachtwoorden tegelijkertijd plaatsvindt voor meerdere applicaties. Toegang binnen de informatiesystemen & gegevens Door de betreffende applicatiebeheerder worden procedures opgesteld voor het beheer van de autorisaties voor de toegang en het gebruik van functionaliteit binnen informatiesystemen. Uitgangspunten voor toegangsrechten en authorisatiebeheer: De toewijzing en het gebruik van speciale bevoegdheden dienen zoveel mogelijk te worden beperkt. Toegang tot gegevens wordt zo weinig mogelijk beperkt. Bevoegdheden tot wijziging van gegevens worden zo beperkt mogelijk toegekend.
Pagina 14 van 17
Informatiebeveiligingsbeleid Gemeente Heerhugowaard Versie 1.0, 20 November 2013
7 Beheer van communicatie en bedieningsprocessen 7.1
Bedieningsprocedures en verantwoordelijkheden algemeen
Doelstelling: garanderen van een correcte en veilige bediening van de gemeenschappelijke ICT voorzieningen c.q. de ICT infrastructuur. De verantwoordelijkheden en procedures voor het beheer en de bediening van alle gemeenschappelijke ICT voorzieningen worden in opdracht van het hoofd van de afdeling I&A vastgelegd. Bij wijziging van procedures worden deze door het afdelingshoofd vastgesteld. In de procedurebeschrijvingen wordt vastgelegd: - beschrijving/instructies van de uit te voeren handelingen (inclusief logging en verantwoording) - verantwoordelijkheden - contactpersonen en vervanging - toetsing De volgende bedieningsprocedures worden gedocumenteerd en onderhouden door afdeling I&A: 7.1.1
Procedure Back-up
Deze procedure voorziet in de gestructureerde en vastgelegde werkwijze voor het maken van periodieke back-ups van het besturingssysteem inclusief instellingen en parameters, de data en de applicaties. 7.1.2
Procedure Restore
Deze procedure voorziet in de gestructureerde en vastgelegde werkwijze voor het automatisch terugplaatsen en beproeven van gegevens na een (laatst uitgevoerde) back-up. 7.1.3
Procedure Uitwijk
Deze procedure voorziet in de gestructureerde en vastgelegde werkwijze voor het uitwijken met computerconfiguraties en software, evenals de beproeving daarvan. 7.1.4
Procedure Wijzigingsbeheer / - Procedure Goedkeuren updates applicatie
De procedure voorziet in het vastleggen van de verschillende stappen die noodzakelijk zijn om versies, releases of updates van applicaties en/of apparatuur goed te keuren alvorens er wordt geïnstalleerd. De goedkeuring van de installatie van ICT voorzieningen omvat vier onderdelen: - een zakelijke goedkeuring: voldoet het geleverde product aan de gestelde afspraken tussen de leverancier en de gemeente (verantwoordelijke: sector/afdeling). - een functionele goedkeuring: voldoet het geleverde product aan het programma van eisen (verantwoordelijke: sector/afdeling) - een beveiligingsgoedkeuring: wordt voldaan aan alle relevante beveiligingseisen en procedures (verantwoordelijke: sector/afdeling) - een technische goedkeuring: functioneert het geleverde product naar behoren in de bestaande ICTomgeving (verantwoordelijke: afdeling I&A). 7.1.5
Procedure Afvoeren van computers
Deze procedure voorziet in het vastleggen van de verschillende stappen die noodzakelijk zijn voor het afvoeren van Pc’s en/of andere computersystemen (hardware) van de gemeente Heerhugowaard. 7.1.6
Procedure voorzieningen tegen kwaadaardige software (virussen, trojaanse paarden)
De procedure beschrijft de preventieve en repressieve maatregelen in het kader van virusbestrijding op de relevante (rand)apparatuur van de gemeente Heerhugowaard. 7.1.7
Procedure vernietiging papier
De procedure voorziet in de gestructureerde werkwijze voor vernietiging van papieren documenten.
Pagina 15 van 17
Informatiebeveiligingsbeleid Gemeente Heerhugowaard Versie 1.0, 20 November 2013 7.1.8
Procedure Vernietiging van verwijderbare media
De procedure voorziet in de gestructureerde en vastgelegde werkwijze voor vernietiging van verwijderbare media. Er is bij verwijderbare media o.a. sprake van DVD’s, CD’s (R en RW), back-up tapes en andere gegevensdragers.
7.2
Bedieningsprocedures en verantwoordelijkheden Specifiek
Daarnaast zijn er de volgende bedieningsprocedures met betrekking tot specifieke applicaties die gedocumenteerd en onderhouden worden door de betreffende applicatiebeheerder: 7.2.1
Procedure Herstel van mutaties
De gestructureerde en vastgelegde werkwijze voor het (eventueel handmatig) herstellen van de mutaties welke zijn gedaan na het tijdstip waarop de teruggezette back-up werd gemaakt. 7.2.2
Procedure uitwisseling van informatie
Beschrijving van de maatregelen en procedures ter voorkoming van verlies, ongeoorloofde wijziging en/of misbruik van informatie die met derden wordt uitgewisseld. 7.2.3
Informatiebeveiligingsprocedures GBA
- Procedure Ongedaan maken van verkeerd uitgevoerde systematische verstrekkingen (GBA) - Procedure Rapportage van GBA-incidenten (opzetten/ombouwen als aanvulling op algemene procedure) - Procedure Verstrekkingen via alternatief medium - Procedure Overvalinstructie 7.2.4
Informatiebeveiligingsprocedures Sociale Zaken
Beveiligingsnota Suwinet afdeling Sociale Zaken Gemeente Heerhugowaard, waarin de volgende onderwerpen zijn uitgewerkt: 1. Uitgangspunten 1.1. Uitgangspunten algemeen 1.2. Uitgangspunten privacy 2. Verdeling verantwoordelijkheden medewerkers afdeling Sociale Zaken 3. Gebruik Suwinet-Inkijk 4. Logging rapportages 5. Tien gouden regels bij beveiliging persoonsgegevens 6. Protocol inzage Suwinet door cliënt en/of gemachtigde
7.3
Vaststelling & Wijzigingsbeheer van de procedures
Alle genoemde beschrijvingen van procedures zijn formele documenten die bij vaststelling en wijziging door de informatiebeveiligingscommissie getoetst - en door het management geautoriseerd worden. Algemene procedures worden vastgesteld door het MT, specifieke door het betreffende sectormanagement. Autorisatie door het management houdt ook in het beschikbaar stellen van de benodigde mensen en middelen om de beschreven taken uit te voeren. Bij het opstellen van de procedures wordt hierover dan ook de relevante informatie bij de besluitvorming betrokken. Voorstellen voor wijzigingen kunnen door elke medewerker worden aangemeld bij de Informatiebeveiligingsfunctionaris. In overleg met de betrokkene(n) bepaalt deze of het voorstel wordt voorgelegd aan de informatiebeveiligingscommissie. de informatiebeveiligingscommissie bepaalt of het voorstel in procedure wordt gebracht en /of de maatregelen voor goedkeuring aan het managementteam zullen worden voorgelegd. Ook kunnen wijzigingen door de informatiebeveiligingsfunctionaris worden geïnitieerd als gevolg van beveiligingsincidenten.
Pagina 16 van 17
Informatiebeveiligingsbeleid Gemeente Heerhugowaard Versie 1.0, 20 November 2013
8 Naleving wettelijke en contractuele verplichtingen Doelstelling: het voorkomen van schending van strafrechtelijke of civielrechtelijke wetgeving, wettelijke, of contractuele verplichtingen.
8.1
Auteursrechten en Licentierechten
Als onderdeel van de procedure wijzigingsbeheer ziet afdeling I&A er op toe dat de gemeente Heerhugowaard zich houdt aan de wettelijke eisen inzake auteursrecht en licentierechten.
8.2
Beveiliging bedrijfsdocumenten
In het Documentair Structuur Plan (DSP) wordt een overzicht bijgehouden van alle gearchiveerde documenten binnen de organisatie conform de hieraan verbonden wettelijke eisen. In het DSP staan alle werkprocessen benoemd en per werkproces is o.a. aangegeven welke documenten bij een proces horen en per document staat vastgelegd wie het document behandelt, hoe en hoelang het gearchiveerd blijft c.q. na hoeveel tijd het vernietigd wordt.
8.3
Bescherming persoonsgegevens
In Nederland is de wetgeving inzake de persoongegevens geregeld in de Wet Bescherming Persoonsgegegevens. In het kader van deze wet heeft de gemeente Heerhugowaard een register van registraties die persoonsgegevens bevatten. Afdeling Advies & Financiën beheert dit register en de procedures die hierop betrekking hebben.
8.4
Misbruik van ICT voorzieningen
Afspraken inzake het gebruik van ICT voorzieningen en procedures in geval van misbruik zijn vastgelegd in: - Het Privacy- en Gebruiksreglement Telecommunicatiemiddelen geldt voor alle werknemers van de gemeente Heerhugowaard - De gedragscode voor ambtenaren
8.5
Beoordeling van de naleving va het beveiligingsbeleid
Jaarlijks wordt door de concerncontroller een Interne audit gedaan op (een deel-) van de maatregelen inzake informatiebeveiliging. Als onderdeel van de jaarlijkse externe accountantscontrole wordt ook gerapporteerd over de informatiebeveiligingsaspecten.
Pagina 17 van 17
