Informatiebeveiliging Gemeenten

Informatiebeveiliging Gemeenten Handreiking beveiligingsplan Tactisch niveau

Dit document vormt een hulpmiddel om tot een beveiligingsplan te komen. Het ondersteunt u bij het opstellen van het beveiligingsplan en de invulling ervan. Ook wordt aangegeven hoe u de werking van uw beveiligingsplan kunt controleren.

Utrecht, augustus 2009

1

Inhoudsopgave Inleiding 1.

2.

3.

4

2 Handreiking beveiligingsplan

4

1.1

Stappen

4

1.2

Indeling handreiking beveiligingsplan

5

Instrumenten controleren beveiligingsplan

15

2.1

Zelfevaluatie

15

2.2

Workshopmethodiek

15

Bedreigingen

18

3.1

Verstoringen door menselijk handelen

18

3.2

Verstoringen door fysieke acties

19

Kerntaken informatiebeveiliging

21

4.1

Omgeving

21

4.2

Werkterreinen

22

4.3

Aanpak

24

Bijlage 1: Handvat voor het indelen van processen en informatie

26

Bijlage 2: Afhankelijkheids- en Kwestbaarheidsanalyse

27

Bijlage 3: Vragenlijst zelfevaluatie

30

Bijalge 4: Integriteits- en Geheimhoudingsverklaring

34

Privacy en Beveiliging Tactisch niveau

Inleiding Binnen uw organisatie is de beveiliging van uw (digitale) informatie essentieel. Met alleen het installeren van een firewall of een virusscanner op de bedrijfscomputers of het toepassen van een toegangsbeveiliging naar de verschillende werk- of opslagruimten bent u er nog lang niet. De informatiebeveiliging van een organisatie vraagt om een structurele en systematische aanpak. Een beveiligingsplan vormt hiervoor de basis. Van beleid naar plan Op strategisch niveau geeft u vorm aan uw beveiligingsbeleid en de organisatie daarvan. De vervolgstap is daar op tactisch niveau invulling aan te geven. Dit doet u door het opstellen van een beveiligingsplan. Daarin staat onder meer omschreven wat u wilt beschermen en hoe u dat gaat aanpakken. Naast het opstellen van een beveiligingsplan dient u op tactisch niveau de stand van zaken regelmatig te controleren, bijvoorbeeld door het uitvoeren van evaluaties, audits of accountantscontroles. Ook gaat het binnen dit niveau om het stimuleren van de bewustwording bij uw medewerkers en het vastleggen van de kerntaken van de beveiligingsorganisatie. Het beveiligingsplan is het eindproduct van een traject dat gericht is op risicoanalyse en bewustwording. Het plan vormt de basis voor het operationele niveau: het bepalen van de te nemen beveiligingsmaatregelen en deze implementeren. Als u besluit het strategisch niveau – het vormgeven aan uw beveiligingsbeleid – over te slaan en direct met het tactisch niveau te starten, raden wij u wel aan een aantal elementen van strategisch niveau in uw beveiligingsplan op te nemen, bijvoorbeeld het onderdeel ‘organisatie’. Benoem ook in uw risicoanalyse het ontbreken van een strategisch beleid op informatiebeveiliging als een risico met een behoorlijke impact. Het beleid is uw kapstok. Als dit ontbreekt, is de kans groot dat er intern geen draagvlak is voor uw beveiligingsplan. Laat u er echter niet van weerhouden op tactisch niveau zorg te dragen voor de totstandkoming van het plan en van bewustwording bij uw medewerkers. Het gaat er uiteindelijk om dat u actie onderneemt om de beveiliging van uw gegevens te verbeteren. Dit document vormt een hulpmiddel om tot een beveiligingsplan te komen en ondersteunt u bij het opstellen van het beveiligingsplan en de uitvoering ervan. Ook wordt aangegeven hoe u de werking van uw beveiligingsplan kunt controleren. Leeswijzer Hoofdstuk 1: Handreiking beveiligingsplan In dit hoofdstuk geven wij u een handreiking voor het opstellen van een beveiligingsplan. Om te komen tot een beveiligingsplan dient u een aantal stappen te volgen. Nadat wij op die stappen zijn ingegaan, treft u een aanpak aan om deze stappen te nemen.


2

Hoofdstuk 2: Mogelijke instrumenten voor het beveiligingsplan Om uw beveiligingsplan op te stellen, te beoordelen of aan te vullen, heeft u twee elkaar aanvullende methodieken ter beschikking. De eerste methode is de zelfevaluatie. De tweede methode is om via workshops een risicoanalyse uit te voeren. In dit hoofdstuk gaan wij in op deze twee methodieken. Hoofdstuk 3: Bedreigingen De bedreigingen komen uit twee richtingen: menselijk handelen en fysieke acties. In dit hoofdstuk gaan wij in op maatregelen die u kunt nemen om deze bedreigingen het hoofd te bieden. Hoofdstuk 4: Kerntaken informatiebeveiliging Informatiebeveiliging staat in een veranderende omgeving. In dit hoofdstuk maken wij inzichtelijk wat de gevolgen van deze veranderingen zijn voor de kerntaken van informatiebeveiliging. Bijlagen In bijlage 1 treft u een handvat aan voor het indelen van processen en informatie. Bijlage 2 geeft stap voor stap aan hoe een afhankelijkheids- en kwetsbaarheidanalyse wordt uitgevoerd. Bijlage 3 bestaat uit de vragenlijst die hoort bij de zelfevaluatie die in hoofdstuk 2 aan de orde komt. In bijlage 4 vindt u de Integriteits- en geheimhoudingsverklaring.


3

Hoofdstuk 1

Handreiking beveiligingsplan

Om te komen tot een beveiligingsplan dient u een aantal stappen te volgen die wij in dit hoofdstuk omschrijven. Nadat wij op die stappen zijn ingegaan, treft u een aanpak aan hoe u deze stappen het beste kunt nemen. Deze handreiking kunt u gebruiken bij het opstellen van uw beveiligingsplan. 1.1 Stappen Voor het opstellen van een beveiligingsplan dient u de volgende vijf stappen te doorlopen: Stap 1: Inventariseren Stap 2: Plannen Stap 3: Uitvoeren Stap 4: Controleren Stap 5: Herhalen Stap 1: Inventariseren Om te bepalen wat er beveiligd moet worden (inclusief de hardware, software en papieren documentatie), moet u eerst onderzoeken welke processen belangrijk zijn en hoe deze processen steunen op apparatuur, informatie, werkruimten en medewerkers. Stel vast met welke bedreigingen en risico’s u te maken kunt krijgen en welke maatregelen reeds getroffen zijn. Maak daarbij een prioriteitenlijst van zaken die beveiligd moeten worden. Stap 2: Plannen Schrijf procedures over hoe bedreigingen kunnen worden voorkomen, hoe deze actief op te sporen zijn en hoe erop gereageerd moet worden. Maak in de organisatie duidelijk wie verantwoordelijk is voor het uitvoeren en controleren van deze procedures. Stel een tijdschema op voor de implementatie van de afzonderlijke onderdelen en zorg voor afspraken en regels voor medewerkers zodat voor hen duidelijk wordt hoe zij om moeten gaan met bedrijfscomputers en het bedrijfsnetwerk, internet, e-mail, klantgevoelige informatie (documentatie, brieven, dossiers) enzovoort. Stap 3: Uitvoeren Voer de plannen uit en introduceer het beleid. Communiceer dit en de voortgang ervan richting de medewerkers en bied waar nodig trainingen aan. Stap 4: Controleren Controleer regelmatig of de procedures en afspraken worden gevolgd en of bijsturing nodig is. Wanneer er veranderingen optreden in personeel, procesgang, hardware of software kan het noodzakelijk zijn plannen aan te passen. Meld u aan bij de Waarschuwingsdienst om op de hoogte te blijven van actuele dreigingen zoals nieuwe virussen. Stap 5: Herhalen


4

Ook een incident kan reden zijn om de plannen en procedures te herzien. Het kan sowieso geen kwaad om met regelmaat (bijvoorbeeld jaarlijks) de plannen en procedures te evalueren en waar nodig aan te passen. Blijf de mogelijke bedreigingen inventariseren om de beveiliging optimaal te houden. 1.2 Indeling handreiking beveiligingsplan In deze paragraaf treft u een handreiking aan voor het opstellen van een beveiligingsplan. Het beveiligingsplan beweegt zich op hoofdlijnen. Dat wil zeggen dat aanduidingen als risico’s en maatregelen in algemene termen beschreven worden. In het uitvoeringsplan (operationeel niveau) dat jaarlijks opgesteld wordt, zijn de maatregelen die u in uw beveiligingsplan heeft genoemd, concreet gemaakt, inclusief een planning. Een voorbeeld van een beveiligingsplan kunt u ook downloaden vanaf de website van het BKWI (www.bkwi.nl) Hieronder geven wij een voorbeeld van een mogelijke hoofdstukindeling voor een beveiligingsplan. Per hoofdstuk/paragraaf wordt kort ingegaan op de benodigde inhoud en volgt een kort voorbeeld voor invulling daarvan.

Hoofdstuk 1. Inleiding Beschrijving van uw beveiligingsbeleid (strategisch niveau) en van de aanleiding en het doel van het beveiligingsplan.

Hoofdstuk 2. Het proces Beschrijving van het proces, de gebruikte middelen, de informatie en de daarbij behorende ondersteunende systemen. Maak bij deze beschrijvingen een afweging tussen generieke- versus specifieke beschrijvingen. Houd er hierbij rekening mee dat generieke beschrijvingen de houdbaarheid van uw beveiligingsplan vergroten. Wijzigingen i.v.m. interne reorganisaties hoeven dan niet te leiden tot aanpassingen binnen het beveiligingsplan. 2.1 Procesbeschrijving Beschrijving van het proces en de doelstelling daarvan. Voorbeelden procesbeschrijvingen Hieronder volgt een korte beschrijving (voorbeelduitwerking) van een aantal primaire processen die normaal gesproken in gemeenten voorkomen. De voorbeelduitwerking geeft een handvat hoe de beveiligingsaanpak is toe te passen. Aangezien de processen en de waarde-inschatting binnen gemeenten niet extreem uit elkaar zullen liggen, kan voor een snelle actie volstaan worden met een toetsing van de hier geboden analyse. Voor bewustwording van het management is het echter goed om, voor een aantal gemeentelijke processen, de exercitie een keer concreet door te lopen. Proces: burgerzaken


5

De afdeling Burgerzaken draagt zorg voor het beheer en onderhoud van de bevolkingsadministratie en verzorgt de wettelijke taak om geboorte-, overlijdens- en huwelijksaktes op te maken en te registreren. Om deze taken naar behoren te kunnen doen, voert de afdeling de navolgende processen uit: Proces

Omschrijving

Burgerlijke Stand

De burgerlijke stand voert de wettelijke taak uit om alle akten op te maken en te registeren zoals bijvoorbeeld de geboorte-, overlijdens- en huwelijksaktes.

Balieteam

Het balieteam is de frontoffice van de gemeente. Hier vindt het directe contact met de burger plaats en worden verzoeken van burgers in behandeling genomen en indien mogelijk direct afgehandeld. Ook vindt hier de financiële ontvangst en registratie plaats van legesgelden e.d.

Vreemdelingenloket

Het vreemdelingenloket is de eerste ingang voor de vreemdeling. Deze vraagt hier zijn verblijfsvergunning aan en krijgt hier een verblijfsdocument uitgereikt.

Verstrekken

Het verstrekken van gegevens uit de bevolkingsadministratie geschiedt aan

gegevens

burgers, derden en instanties. Het betreft zowel individuele verstrekking aan de burger als bulkverstrekking ten behoeve van o.a. onderzoek en verkiezingen.

Verwerken/vastleggen Het verwerken/vastleggen van persoonsgegevens betreft de gemeentelijke P-gegevens

basisadministratie.

Kwaliteitscontrole

Kwaliteitscontrole is een intern proces van de gemeente.

Proces: sociale zaken De afdeling Sociale zaken is verantwoordelijk voor het toekennen van uitkeringsgelden ten behoeve van de burgers. Om deze taken naar behoren te kunnen doen, voert de afdeling de navolgende processen uit: Proces

Omschrijving

(Bijzondere) bijstand

Het proces bijstand vormt het laatste ‘vangnet’ indien er geen of onvoldoende inkomsten uit arbeid (meer) zijn of andere sociale voorzieningen (WW, WAO e.d.). Via dit proces worden uitkeringen aan burgers verstrekt om te voorzien in de noodzakelijke eerste levensbehoefte. Daarnaast is er het proces bijzondere bijstand. Dit betreft een doeluitkering (b.v. wasmachine, bril) voor cliënten die onvoldoende inkomsten hebben om zelf te voorzien in bijzondere kosten van levensonderhoud.

Terugvordering

Voor het maken van bijzondere noodzakelijke kosten (b.v. medische kosten) kan de cliënt een beroep doen op de bijzondere bijstand. Aan hem/haar kan de bijzondere bijstand in de vorm van een leenbijstand worden verstrekt.


6

Proces

Omschrijving Leenbijstand wil zeggen dat dit door de cliënt terugbetaald moet worden. Door middel van inhoudingen op periodieke bijstand kan het betreffende bedrag worden afgelost. Indien uit ‘Bijzonder onderzoek’ blijkt dat een cliënt ten onrechte uitkeringsgelden heeft ontvangen dan wordt het betreffende bedrag teruggevorderd van de cliënt.

Bijzonder onderzoek

Bij vermoeden van misbruik van bijstandsgelden kan de gemeente een bijzonder onderzoek starten.

Verantwoording

De budgetten voor bijstand worden door het Rijk verstrekt. Deze eist een goede uitvoering en besteding van de gelden en een verantwoording daarover.

Proces: PZ/salarisadministratie De afdeling PZ/Salarisadministratie is verantwoordelijk voor de personeelsadministratie, personeelsbeleid en salarisadministratie van de gemeente. Om de taken naar behoren te kunnen doen, voert de afdeling PZ/salarisadministratie het navolgende proces uit: Proces

Omschrijving

Salarisadministratie

Het proces Salarisadministratie betreft activiteiten als: het invoeren van personen, controleren van declaraties en bestanden, correcties op gegevens, blokkeren, sorteren en het verzorgen van aangifte.

2.2 Informatievoorziening Beschrijving van de informatievoorziening voor het proces: welke informatie is nodig in welke stap en welke informatie wordt vanuit welke stap geleverd. 2.3 Ondersteuning en middelen Opsomming van benodigde systemen, middelen, archieven, etc. die nodig zijn in het proces. Hoofdstuk 3. Belang proces en informatie Het inschalen van het belang van het proces, het bepalen van de waarde van de gebruikte informatie en de mate van afhankelijkheid van de informatie in het proces resulteert in het te kiezen beveiligingsniveau. Uitgaande van het proces, de informatie en het beveiligingsniveau worden de bedreigingen en tegenmaatregelen geïnventariseerd. 3.1 Inschatten procesbelang Schat het belang van het proces in. Deze inschatting is o.a. gebaseerd op wie er schade heeft bij uitval van het proces. De processen binnen uw gemeente vormen het hart van de dienstverlening aan de burger. Niet ieder proces is voor hen zichtbaar. De processen zijn niet allemaal even


7

belangrijk. Zo blijkt verstoring van sommige processen alleen een vervelende bijkomstigheid, terwijl verstoring van andere processen grote consequenties kan hebben. Ter ondersteuning van de informatiebeveiliging worden drie procesniveaus onderscheiden. Iedere proceseigenaar dient zijn proces in te delen in één van de drie niveaus. 1. Maatschappelijk

Verstoring van dit proces resulteert in schade voor de burger en

vitaal

aanmerkelijke (imago)schade voor uw gemeente.

2. Bedrijfsvitaal

Verstoring van dit proces resulteert in aanmerkelijke schade voor uw gemeente en/of aan haar gelieerde partners.

3. Ondersteunend

Verstoring van dit proces resulteert uitsluitend in interne schade binnen uw gemeente.

Voorbeelden De voorbeeldprocessen zoals weergegeven in hoofdstuk 2 van het beveiligingsplan, zijn in twee categorieën in te delen. Enerzijds gaat het om processen gericht op de dienstverlening aan de burger, te weten burgerzaken en sociale zaken en anderzijds zijn ze gericht op het reilen en zeilen van de eigen organisatie, te weten PZ/salarisadministratie. De inschaling is als volgt: Burgerzaken

Maatschappelijk vitaal

Sociale zaken

Maatschappelijk vitaal

PZ/salarisadministratie

Bedrijfsvitaal

3.2 Vaststellen informatiewaarde Informatie vertegenwoordigt op ieder moment in de tijd een bepaalde waarde. Gedurende de levensduur van de informatie kan deze waarde toe- of afnemen. De intrinsieke waarde van de informatie wordt onder andere bepaald door het belang dat anderen er aan hechten, wat het afbreukrisico is voor de organisatie en het tijdstip. De waarde wordt uitgedrukt in de begrippen Hoog, Midden en Laag. Als alleen gekeken wordt naar de exclusiviteit ontstaat een vergelijking met de begrippen: Hoog

~

Geheim

Midden

~

Vertrouwelijk

Laag

~

Semi-openbaar

Hiermee wordt niet de volledige lading gedekt maar zijn de begrippen hoog, midden en laag wel tastbaarder. Voorbeelden


8

De informatie die in de voorbeeldprocessen aanwezig is bevat een bepaalde waarde, onafhankelijk van het gebruik van die informatie. Zo kan de informatie waar iemand woont en of deze een uitkering heeft interessant zijn voor postorderbedrijven. De informatie in de onderzochte processen betreft medewerkers, burgers en financiële boekingen. De informatie over medewerkers en burgers valt onder de Wet bescherming Persoonsgegevens (WBP). De waarde daarvan is midden tot hoog. Iedere informatie-eigenaar dient de waarde van zijn informatie te bepalen en kan op basis hiervan eisen stellen aan het gebruik en de kennisname van de informatie. Bijlage 1 Handvat voor het indelen van processen en informatie helpt u bij het inschatten van de waarde van informatie. 3.3 Afhankelijkheidsanalyse Ieder proces steunt in meer of mindere mate op informatie. Er moet worden vastgesteld in hoeverre het proces kan blijven functioneren zonder informatie, met beperkte informatie of met onjuiste informatie. Daarbij moet rekening worden gehouden met alternatieve manieren van het verkrijgen van informatie of andere manieren van werken. Elke informatiebron wordt beoordeeld. De afhankelijkheid van informatie is uit te drukken in drie niveaus: Aanvullend, Nuttig en Noodzakelijk. Afhankelijkheid Omschrijving Noodzakelijk

Dit is de pilaar waarop het werkproces rust. Deze informatie wordt direct gemist. Doorwerken zonder deze informatie betekent een gevoelige terugval in het proces.

Nuttig

Deze informatie ondersteunt het werkproces, en zal gemist worden. Het is wel mogelijk tijdelijk zonder de informatie door te werken.

Aanvullend

Deze informatie bevestigt andere bronnen binnen het werkproces en zal niet direct gemist worden.

Voorbeelden De afhankelijkheid van de voorbeeldprocessen valt uiteen in twee afhankelijkheden. Enerzijds de afhankelijkheid van de informatie: hoe goed functioneert het proces zonder of met onjuiste informatie, en anderzijds de afhankelijkheid van de geautomatiseerde systemen: wat gebeurt er als de automatisering uitvalt. Proces

Afhankelijkheid informatie

Afhankelijkheid systemen

Burgerzaken

Noodzakelijk

Noodzakelijk

Sociale zaken

Noodzakelijk

Nuttig

PZ/salarisadministratie

Noodzakelijk, aanvullend

Noodzakelijk

In bijlage 2: Afhankelijkheids- en kwetsbaarheidanalyse leest u meer over de afhankelijkheidsanalyse


9

3.4 Niveau van beveiliging Op basis van de waarde van de informatie, het belang van het proces en de afhankelijkheid van de informatie bepaalt de proceseigenaar het gewenste beveiligingsniveau. De informatie-eigenaar heeft hierin een aanvullende rol, aangezien deze op basis van de waarde van de informatie eisen kan stellen aan de proceseigenaar. Voor beveiliging worden, conform het beleid, drie niveaus onderkend. Deze niveaus zijn Hoog, Midden en Laag. Per niveau zijn eisen gesteld ten aanzien van beschikbaarheid, exclusiviteit en integriteit. Om deze eisen meetbaar te maken, zijn ze uitgesplitst naar de vier typen maatregelen: voorkomen, beperken, opsporen en herstellen. De eisen gelden voor het totaal van het proces en de informatievoorziening. Bijvoorbeeld de inbraakbestendigheid: de tijd dat het iemand kost voor hij informatie bereikt. Het vertragen van de inbraak kan mogelijk worden gemaakt door bewaking, deuren en sloten, het versleutelen van informatie, zogenaamde fire walls, etc. Per proces en informatietype ontstaat een combinatie van maatregelen om aan de eisen te voldoen. In onderstaande tabellen staan per niveau van informatiebeveiliging de eisen geformuleerd. Deze invalshoeken zijn tegenover elkaar geplaatst en de informatie-eigenaar en de proceseigenaar kunnen het beveiligingsniveau kiezen. In de gekleurde kubus staat rood voor Hoog, groen voor Midden en blauw voor Laag.

La ag

M id de n

Maatschappelijkvitaal

Bedrijfsvitaal

Noodzakelijk


Aanvullend

Ondersteunend

Nuttig

Belang van proces

H oo g

Waarde van informatie

Afhankelijkheid

10

Voorbeelden Op basis van het belang van de voorbeeldprocessen, de waarde van de informatie en de afhankelijkheid van de informatie en systemen, dient het beveiligingsniveau hoog te zijn. Dat wil zeggen het hoogste niveau van beveiliging dat de gemeente wenst na te streven. In onderstaande tabel is op hoofdlijnen een norm geschetst voor het hoogste niveau van beveiliging. Deze norm is overgenomen uit het beleid met bijstelling voor het beveiligingsniveau van Exclusiviteit en Integriteit. De norm komt neer op:

Voorkomen

Beschikbaarheid

Exclusiviteit

Integriteit

Maximaal 10 storingen per jaar, welke

Braakbestendigheid:

Bekende bron

de uitvoering van een proces in gevaar

- fysiek voor 1 uur;

Opgeleide gebruikers

brengt

- elektronisch 24 uur. Toegang voor bekende medewerkers

Beperken Opsporen

Gemiddelde storingsduur 4 uur en

Binnen 1 uur poging

1 op 250 fout

maximale duur 8 uur (per storing)

verijdeld

Reconstrueerbaar

Binnen 1/2 uur problemen

Direct

Wekelijks en na een

gesignaleerd Herstellen

incident

Binnen 3 1/2 uur na signalering

Zelfde dag sloten hersteld

Binnen 6 uur na signalering

“Meestal ongestoord tijdens

“Semi-openbaar” tot

“80% zekerheid”

werkproces”

“Vertrouwelijk”

3.5 Bijstelling niveau Vanuit de aanpak volgt een niveau van informatiebeveiliging. De proceseigenaar en de informatieeigenaar kunnen van dit niveau afwijken. De afwijking mag hooguit één stap omhoog of omlaag en kan verbijzonderd zijn naar de termen beschikbaarheid, exclusiviteit en integriteit. 3.6 Kwetsbaarheidanalyse De eerdere stappen bepaalden het niveau van de treffen maatregelen. De afhankelijkheidsanalyse (3.3) bepaalt mede een prioritering in het veiligstellen van delen van de informatiestroom. De kwetsbaarheidanalyse bepaalt welke bedreigingen kunnen optreden in de informatievoorziening. Het identificeert de risico´s en bedreigingen. Bij risico´s kan gedacht worden aan de toegang, de opslag en het transport van informatie. Op ieder risicopunt zijn bedreigingen te identificeren die de basis vormen voor tegenmaatregelen. Vanzelfsprekend is er een verband met de afhankelijkheidsanalyse. Dit verband zit vooral in de prioritering: eerst analyses van bedreigingen uitvoeren voor de noodzakelijke informatie, vervolgens de bedreigingen analyseren voor de nuttige informatie en tenslotte voor de aanvullende informatie.


11

In bijlage 2: Afhankelijkheids- en kwetsbaarheidanalyse leest u meer over de kwetsbaarheidanalyse. Voorbeelden In onderstaande tabel staat een voorbeeldberekening van de prioriteitsvolgorde van een aantal bedreigingen. Na de tabel volgt een toelichting op de gebruikte getallen. Bedreiging

Kans

Impact Verwijtbaar Uitkomst

Prioriteit

Ondeskundig personeel

4

3

1.1

13

1

Menselijke fouten

2

3

1.1

7

2

Strafrechtelijk handelen

3

2

1.1

7

2

Uitlekken informatie

2

3

1

6

3

Toelichting op prioritering De prioriteit is bepaald door iedere bedreiging te scoren naar: - Kans van optreden (1 zelden, 2 soms, 3 regelmatig, 4 vaak) - Impact van een incident (1 klein, 2 gemiddeld, 3 groot) - Verwijtbaar aan de gemeente (1 Nee, 1.1 Ja) De uitkomsten zijn het resultaat van de kans maal de impact maal de verwijtbaarheid. De context van scoring van kans en impact is niet in de tabellen weer te geven. Deze context resulteert er in dat een ¨soms¨ voor bijvoorbeeld Uitlekken informatie een andere waarde oplevert dan de ¨soms¨ voor Menselijke fouten Voorbeelden van maatregelen Hieronder worden voorbeelden van maatregelen geschetst die kunnen worden genomen om het hoofd te bieden aan de geïnventariseerde dreigingen. De maatregelen zijn onderverdeeld in organisatie, mens, fysiek en ICT. Organisatie De maatregelen zorgen ervoor dat de procedures beschreven zijn en dat er periodiek gecontroleerd wordt of deze werken. De procedures zorgen er voor dat: •

Fraude zoveel als mogelijk uitgesloten wordt

•

Bij calamiteiten duidelijk is hoe te handelen

•

Na calamiteiten herstel van de normale situatie kan plaatsvinden

•

Informatie op meerdere plekken opgeslagen is

•

Vertrouwelijke informatie afgeschermd wordt

•

Medewerkers weten hoe te handelen bij verzoeken om informatie

•

Gegevens regelmatig getoetst worden op juistheid

•

Afdelingen weten welk niveau van diensten van de centrale afdelingen te verwachten is

•

Het basisniveau jaarlijks getoetst wordt


12

•

Incidenten gemeld en afgehandeld worden

Mens De maatregelen zorgen ervoor dat de medewerkers weten wat voor informatie zij in handen hebben en bewust keuzes maken wat wel en niet afgeschermd moet worden. Zij zijn tevens bekend met de geldende gedragcodes. Het volgende wordt bereikt: •

Medewerkers zijn bewust van het belang van beveiliging

•

Medewerkers zijn bekend met de geldende gedragscodes

•

Medewerkers spreken elkaar aan op onveilig gedrag

•

Alle medewerkers hebben een geheimhoudingsverklaring getekend en of een eed/belofte afgelegd

•

Medewerkers zijn bekwaam in het uitvoeren van de functietaken en hebben de benodigde opleidingen gevolgd

Fysiek De maatregelen zorgen ervoor dat de fysieke omgeving een prettige werksfeer behoudt maar de informatie niet voor het grijpen ligt. Hiertoe zijn archieven afgeschermd en geldt een clean desk procedure. De volgende punten worden geregeld: •

De toegang tot de gebouwen en specifieke ruimtes is te herleiden op een persoon

•

Onbevoegden kunnen niet onbegeleid het gebouw binnenkomen

•

Inbraak in het gebouw wordt opgemerkt

•

Alarmopvolging bij inbraak

•

Brandmelding bij brand

•

Sprinklerinstallaties op noodzakelijke plaatsen

•

Noodstroom bij stroomonderbreking

ICT De ICT is een steeds belangrijkere peiler voor de informatiehuishouding van de gemeente. De maatregelen zorgen ervoor dat: •

De centrale faciliteiten uitsluitend door bevoegden te betreden zijn

•

De gegevens op een goede manier worden veiliggesteld in een back-up

•

Back-up op verschillende locaties wordt bewaard

•

Toegang tot de systemen controleerbaar verloopt (wachtwoord/user id)

•

Handelingen van gebruikers traceerbaar zijn (logging)

•

Systemen zoveel als mogelijk goede invoer afdwingen

•

Aanvallen van buitenaf afgeweerd worden

•

Virussen niet bij de gemeente binnen komen

•

De systemen in de meeste gevallen ongestoord functioneren

•

Systeembeheer controleerbaar is


13

Hoofdstuk 4. Advies en afweging In dit hoofdstuk komen het informatiebeveiligingsadvies, de gemaakte keuzes en de argumentatie aan bod. Bij de afweging is het kostenplaatje meegenomen. 4.1 Advies In het advies aan de proces- en informatie-eigenaar over de informatiebeveiliging worden de adviezen van de beveiligingsadviseurs en andere specialisten meegenomen. Op basis van het beveiligingsplan, het kostenplaatje en het advies maken de proces- en informatie-eigenaar een afweging tussen de kosten en de baten. Dus¨van onbewust risico lopen naar bewust risico nemen¨. Het besluit wordt vastgelegd, aan het college voorgelegd en teruggekoppeld aan de security officer. 4.2 Kostenplaatje In het kostenplaatje wordt een vergelijking gemaakt tussen de éénmalige en terugkerende kosten en de opbrengsten. Om met deze laatste te beginnen: de opbrengsten worden zoveel mogelijk uitgedrukt in objectieve cijfers. Een deel van de opbrengsten is niet te objectiveren, bijvoorbeeld als het imago betreft. De kosten voor het nemen van de maatregelen zijn wel te objectiveren. Iedere maatregel vergt een investering en jaarlijks terugkerende kosten. Uiteindelijk ontstaat een kostenoverzicht die door de manager in de afweging kan worden meegenomen. 4.3 Afwegingen Waarom is welke keuze gemaakt? De argumenten voor de gemaakte keuzes wordt kort weergegeven. De argumentatie betreft informatiebeveiliging, werkbaarheid en kosten.

Hoofdstuk 5. Verantwoordelijkheid implementatie De maatregelen die op basis van de afwegingen en het gekozen beveiligingsniveau zijn genomen, moeten worden geïmplementeerd, onderhouden en gecontroleerd. Beschreven wordt welk organisatieonderdeel verantwoordelijk is voor welke maatregelen, wie budget aanvraagt en wie controleert.


14

Hoofdstuk 2

Instrumenten controleren beveiligingsplan

Om uw beveiligingsplan op te stellen, te beoordelen of aan te vullen, heeft u twee elkaar aanvullende methodieken ter beschikking. De eerste methode is de zelfevaluatie. Hiermee kunt u snel inzicht opbouwen waar uw hiaten zitten in uw huidige beveiliging. De tweede methode is om via workshops een risicoanalyse uit te voeren waarmee u alle inhoudelijke onderdelen en afwegingen maakt voor uw beveiligingsplan. Regelmatig zult u de stand van zaken van uw beveiligingsplan moeten controleren, bijvoorbeeld om een nulmeting te verkrijgen als startpunt voor verbeteringen, om ingezette verbeteringen te kunnen monitoren en om risicoanalyses uit te kunnen voeren.

2.1 Zelfevaluatie De zelfevaluatie is er op gericht u met een reeks vragen snel inzicht te verschaffen in uw huidige beveiliging. U moet deze methodiek niet zien als een vervanging van de workshopmethodiek, maar deze kan gebruikt worden om snel te verbeteren of om bestaande plannen te toetsen. U krijgt een gevoel bij uw beveiliging en de hiaten die daarin zitten. Op hoofdlijnen vloeit uit de zelfevaluatie een advies voort. Die is vanzelfsprekend nooit compleet voor uw situatie, maar schept wel inzicht. De zelfevaluatie bestaat uit een vragenlijst die u kunt doorlopen (zie Bijlage 3: Vragenlijst zelfevaluatie).

2.2 Workshopmethodiek Om het beveiligingsplan gebaseerd op de risicoanalyses op te stellen, is een workshopmethodiek de meest aangewezen weg. In de hierna beschreven workshop komen in drie sessies alle tien stappen van de afhankelijkheid- en kwetsbaarheidanalyse aan bod (zie Bijlage 2: Afhankelijksheids- en kwetsbaarheidsanalyse). De workshopmethodiek kan door de gemeente zelf gegeven worden of er kan een deskundige voor worden aangetrokken. Het is de bedoeling dat bij deze workshop zowel de verantwoordelijke managers (proceseigenaar en informatie-eigenaar) als de uitvoerende organisaties aanwezig zijn. Op die manier draagt het bij aan zaken als bewustwording, onderling begrip, gevoel voor elkaars belangen en het nemen van afgewogen beslissing over te accepteren en op te lossen risico’s. In de workshopmethodiek worden drie sessies gevolgd. Bij iedere sessie is het belangrijk dat steeds dezelfde groep deelnemers aanwezig is. Verloop in de deelnemers betekent telkens herhalen van de conclusies en de onderbouwing en zal eindigen in een minder (gedragen) resultaat.


15

De deelnemers van de workshop zijn het verantwoordelijke management en de uitvoerende afdelingen van het werkproces enerzijds en anderzijds de facilitaire afdelingen. Deze zijn aangevuld met de beveiligingsspecialisten en verantwoordelijke(n). Dit komt neer op de volgende deelnemers: 1. proceseigenaar of diens plaatsvervanger, 2. beveiligingsspecialist, 3. teamleiders/coördinatoren van het proces, 4. verantwoordelijke facilitaire afdeling(en) zoals ICT en gebouwen, 5. portefeuillehouder beveiliging (of diens vertegenwoordiger), 6. workshopfacilitator. Sessie 1: Hierin wordt het gewenste niveau van beveiliging bepaald. Dit gebeurt op basis van het belang van het proces, de waarde van de informatie en de afhankelijkheid van de informatie en de (geautomatiseerde) ondersteuning. Hierbij kan gebruik gemaakt worden van Bijlage 1: Handvat voor indelen van processen en informatie. Sessie 2: Hierin wordt de kwetsbaarheid en de specifieke bedreigingen (zie Hoofdstuk 3: Bedreigingen) geïnventariseerd voor de behandelde processen uit sessie 1. Generieke dreigingen die uit standaardlijsten zijn af te leiden hebben geen prioriteit in de workshop. Deze worden vanuit deskundigheid aangevuld. Sessie 3: Deze sessie is gebaseerd op de uitkomsten uit sessie 1 en 2. Het resultaat van sessie 3 is een overzicht van dreigingen gekoppeld aan het gewenste niveau van beveiliging en de afweging tussen oplossen of accepteren van risico’s (zie ook in Hoofdstuk 2 de voorbeelduitwerkingen in de betreffende paragrafen) inclusief een oplossingsrichting. In de volgende afbeelding zijn de sessies symbolisch weergegeven, inclusief hun samenhang. In de bijlagen worden definities en handvatten geschetst voor de inschatting die bij de workshops gemaakt worden.


16

Sessie 1: gewenste niveau van beveiliging Proces

Belang

Waarde

Afhankelijkheid informatie

Niveau beveiliging informatie

Niveau beveiliging applicatie

1 2 3 4

Sessie 2: kwetsbaarheden Dreiging

Kans

Impact

Verwijtbaar

Prioriteit

dreiging bepaalt volgorde van

a

1

b

2

c

3

d

4

e

5

Risico

f

6

1

g

7

h

8


Niveau van

Prioriteit van

beveilging bepaalt norm voor het resultaat

oplossen

Sessie 3: gegevens/resultaat

2 3

Dreiging a, c e, f

4

b g, h

5

d

Oorzaak

Resultaat

17

Hoofdstuk 3.

Bedreigingen

De bedreigingen komen uit twee richtingen: menselijk handelen en fysieke acties. Onder menselijk handelen verstaan wij: verstoringen veroorzaakt door interne of externe personen Onder fysieke acties verstaan wij verstoringen door energie-uitval of calamiteiten zoals brand. 3.1 Verstoringen door menselijk handelen Opvallend is dat bedrijven vaak maatregelen nemen ter bescherming tegen externe personen en zich vergeten te beveiligen tegen de eigen medewerkers. Dat is natuurlijk ook een gevoelig onderwerp en het roept vaak weerstand op in de trant van ‘vertrouw je me niet’. Medewerkers Beveiliging tegen medewerkers is moeilijk en soms onmogelijk. Medewerkers maken nu eenmaal wel eens fouten of kunnen zwichten voor verleiding van derden (omkoping ed.). Beveiliging tegen medewerkers is aan te duiden met de term ‘gecontroleerd vertrouwen’. Hiertoe kunnen de volgende zaken worden ondernomen: • Een duidelijk en helder autorisatiebeleid volgen. Medewerkers beschikken uitsluitend over die rechten die absoluut noodzakelijk zijn voor het verrichten van hun werkzaamheden. • Een lijst met bijzondere functies vaststellen. Het gaat hier om functies die, gezien hun aard, met zich meebrengen dat zeer vertrouwelijke informatie wordt behandeld of waar functiescheiding onmogelijk is. Voor bijzondere functies geldt een zwaarder regime van controle. • Zoveel mogelijk controles voor integriteit in applicaties inbouwen. • Functiescheiding toepassen. De uitvoerende, beschikkende en controlerende taken liggen bij verschillende functionarissen. • Regelmatig het beleid uitdragen, inclusief het van medewerkers verwachte gedrag (d.m.v. bijv. gedragscodes). • De handelingen van medewerkers registreren en controleren voor zover nodig ter controle op de informatiebeveiliging. Iedere medewerker wordt op de hoogte gebracht van de registratie. • In functionerings- en beoordelingsgesprekken aandacht schenken aan geconstateerd onveilig gedrag ten aanzien van de informatiebeveiliging. • Periodiek een (externe) controle houden van de beveiligingssituatie. • De sociale controle binnen uw gemeente stimuleren. Elkaar aanspreken op gedrag moet een vanzelfsprekendheid zijn. • Zorgen voor goede opleidingen en cursussen. • Regelmatig de gegevens op andere media opslaan. Externe partners Uw gemeente werkt nauw samen met externe partners. Breng om een veilige samenwerking te borgen, alle externe partners in kaart. Vervolgens worden onderlinge afspraken gemaakt over welke


18

informatie op welke manier uitgewisseld wordt. Het vooraf maken van deze afspraken voorkomt (deels) het op ad hoc-basis nemen van beslissingen over uitwisseling. Hiertoe kunnen de volgende zaken worden ondernomen: • De keten inclusief de partners beschrijven. • Een lijst opstellen met vertrouwde partners. • Per partner vastleggen welke informatie hoe uitgewisseld wordt (contractueel vastgelegd, protocollen). • Bepalen welke maatregelen over en weer getroffen worden ter beveiliging van elkaars informatie. • Het gebruik van elkaars informatie over en weer toetsen door bv. externe audits. • De waarde van informatie van partners steekproefsgewijs toetsen Derden Uw gemeente moet, gezien de aard van haar bedrijf, rekening houden met personen die vanuit belangstelling/nieuwsgierigheid of economische en criminele motieven zich toegang proberen te verschaffen tot informatie. Om dit te voorkomen kunnen de volgende zaken worden ondernomen: • Een actief beleid voeren om de eigen medewerkers hiervan te doordringen. • Een geconstateerde poging altijd aangegeven. • Technisch en fysiek een afscherming van de informatie realiseren 3.2 Verstoringen door fysieke acties Fysieke acties komen bijna altijd onverwacht en hebben meestal een andere impact dan verwacht. Voor de gevolgen van uitval van de energievoorziening kan wel een standaardoplossing worden gezocht. Bij calamiteiten is dat echter niet goed te voorzien. Voor iedere vooraf gedefinieerde calamiteit kan een noodplan worden opgesteld. Energie-uitval Energie-uitval van het openbare net resulteert in uitval van delen van de werkomgeving. De organisatie kiest ervoor om een deel van het gebouw functionerend te houden met behulp van noodstroom (door de processen bepaald). De ernst van de gevolgen hangt sterk samen met de duur van de energie-uitval. Calamiteiten Door verschillende oorzaken kan de beschikbaarheid van de organisatiefaciliteiten, zoals het gebouw, in het geding komen. Tegen voor de hand liggende oorzaken, denk aan brand, zijn de maatregelen bekend. Bij het optreden van een calamiteit moet ook rekening gehouden worden met onvoorziene gebeurtenissen en/of het (tijdelijk) uitvallen van personeel. Nood- en calamiteitenplannen, crisisorganisatie Per maatschappelijk vitaal proces moet een nood- en calamiteitenplan opgesteld zijn zodat op het moment van een incident zo goed mogelijk doorgewerkt kan worden (uitwijkprocedure ed.). Ook


19

moet het plan gericht zijn op het beperken van de schade door het zo effectief en efficiënt mogelijk bestrijden van de opgetreden gebeurtenis. In het geval dat uitgeweken moet worden, moet geregeld zijn dat de maatschappelijk vitale systemen binnen de vooraf overeengekomen tijden na het ontstaan van de noodzaak, weer up and running zijn. Vergeet niet dat uw gemeente dient te beschikken over een communicatieplan voor incidenten (crisiscommunicatie). Geregeld moet zijn wie wanneer wat tegen wie zegt. Met name persvoorlichting en algemene meldingen aan de medewerkers moeten goed worden vastgesteld .


20

Hoofdstuk 4.

Kerntaken informatiebeveiliging

Informatiebeveiliging staat in een veranderende omgeving. Waar in het verleden de focus lag op technische maatregelen, is sinds een aantal jaren een kentering zichtbaar. Informatiebeveiliging richt zich steeds meer op de advisering van de proces- en informatie-eigenaren over de te stellen eisen, het controleren of de eisen afdoende worden opgepakt door de facilitaire afdelingen en het creëren van eigen verantwoordelijkheid en draagvlak in de organisatie. In dit hoofdstuk maken wij de gevolgen van deze verandering voor de kerntaken van Informatiebeveiliging inzichtelijk. Kerntaken informatiebeveiliging Nadat u op strategisch niveau het kader heeft bepaald van uw beveiligingsorganisatie, vult u dit op tactisch niveau in door kerntaken van informatiebeveiliging toe te wijzen aan de facilitaire beveiligingsorganisatie. Dat doet u door aandacht te schenken aan de omgeving, de werkterreinen en de aanpak. 4.1 Omgeving De kerntaken van Informatiebeveiliging moeten rekening houden met de omgeving waarin zij geplaatst zijn. Ontwikkelingen in die omgeving zullen niet zozeer het totaalpakket aan taken beïnvloeden, als wel de verdeling daarvan tussen de gemeente, de eventuele ISD/RSD, de Sociale Dienst, de facilitaire afdelingen en ketenpartners (zoals UWV en SVB). Definieer dus de omgeving waarbinnen geopereerd wordt, zowel op gemeentelijk als landelijk niveau. De omgeving is namelijk mede bepalend voor uw eigen beveiliging. Het werkt door in de risico’s, bedreigingen en maatregelen. De Gemeente De gemeente is steeds afhankelijker van informatie voor de procesondersteuning voor de burger. De processen kunnen in iedere gemeente anders ingericht zijn, maar blijken op hoofdlijnen hetzelfde te functioneren. Procesanalyses kunnen daarom tussen gemeenten uitgewisseld worden. Informatievoorziening is cruciaal voor de procesuitvoering. De gemeente moet kunnen rekenen op een juiste, veilige en ongestoorde informatievoorziening voor de uren dat de dienstverlening uitgevoerd wordt (vaak kantoortijden). Het land In Nederland zijn er 441 gemeenten (stand 2009). Voor al deze gemeenten gelden dezelfde wettelijke kaders en beveiligingsrichtlijnen. Door de verdergaande integratie van de informatiehuishoudingen binnen de gemeente en de intensievere samenwerking in de keten, treedt steeds vaker wederzijdse invloed op.


21

Dat geldt ook voor informatiebeveiliging. Onveiligheid bij één gemeente kan gevolgen hebben voor de veiligheid van alle gemeenten en ketenpartijen. Daarom wordt gestreefd naar het vaststellen van een normenkader als ondergrens voor alle gemeenten. De invulling daarvan in maatregelen is per gemeente verschillend. 4.2 Werkterreinen Binnen de gemeente richt Informatiebeveiliging zich op drie werkterreinen: beleidsadvisering, controle en operationeel. Belangrijkste accent richt zich op de beleidsadvisering en de daarvan afgeleidde controle. Beleidsadvisering Informatiebeveiliging heeft als hoofdtaak het gevraagd en ongevraagd uitbrengen van beleidsadviezen. Beleidsadvisering geeft op strategisch niveau inhoud aan de te volgen uitgangspunten en de wijze van aanpak van informatiebeveiliging. Deze advisering is vooral gericht op het inzichtelijk maken van mogelijke risico´s en consequenties en de te stellen eisen aan de informatiehuishouding. Het stelt de organisatie in staat keuzes te maken over de te volgen richting en gedragslijn ten aanzien van beveiliging. De beleidsadvisering valt uiteen in de onderstaande taken: 1. Initiatief = een zelfstandige verantwoordelijkheid van informatiebeveiliging en dient op eigen initiatief opgepakt te worden. 2. Verplicht = informatiebeveiliging wordt verplicht gesteld voor het uitvoeren van de taak. Initiatief - Informatiebeveiligingsbeleid opstellen en onderhouden: de kaders voor informatiebeveiliging vormgeven door het opstellen van beleid en dit regelmatig actualiseren aan de hand van gewijzigde omstandigheden. - Adviseren over prioritering: invulling geven aan het beleid door jaarlijkse prioriteiten voor te stellen op het gebied van informatiebeveiliging en deze te verwoorden in uitvoeringsplannen, inclusief begroting. - Stimuleren van beveiligingsbewustzijn: het activeren van eigen verantwoordelijkheid van management en medewerkers over hun gedrag ten aanzien van informatiebeveiliging. Dit door het bewustzijn te verhogen over de mogelijke gevolgen van bepaalde gedragingen. Verplicht - Adviseren over interpretatie en uitvoering van het beleid: bindende uitleg geven over weten regelgeving en het daarvan afgeleidde beleid zodat de realisatie van Informatiebeveiliging gemeentebreed éénduidig blijft.


22

- Adviseren over en het coördineren van de totstandkoming van beveiligingsplannnen: ervoor zorgen dat proceseigenaren hun verantwoordelijkheid voor informatiebeveiliging op kunnen pakken door hen te helpen bij de totstandkoming van beveiligingsplannen door o.a. het verzorgen van workshops. - Adviseren over de inhuur van beveiligingsexpertise: informatiebeveiligingsdeskundigen die ingehuurd (gaan) worden voor werkzaamheden op het terrein van de kerntaken van Informatiebeveiliging. - Adviseren in concrete aanvragen over afgebakende situaties zoals: informatieverstrekking aan een specifieke derde, bewaartermijn van back-up voor specifiek systeem, uitzondering op gangbare praktijk, vertrouwensfuncties, etc. - Inzichtelijk maken van consequenties en risico´s van projecten en/of samenwerkingsconvenanten zijn: informatiebeveiliging ondersteunt het analyseren van de gevolgen van een project/samenwerkingsconvenant voor de gemeente en adviseert over te stellen normen en eisen om de gevolgen te beperken. Invulling van maatregelen geschiedt door de facilitaire afdelingen binnen of buiten de gemeente op basis van de gestelde eisen. Informatiebeveiliging kan deze eisen (doen) toetsen. Alle beleidsadviezen van informatiebeveiliging zijn bindend. Dat betekent dat uitsluitend proceseigenaren of het college gemotiveerd kunnen afwijken van de voorgestelde adviezen. Gemotiveerd afwijken betekent een door de proceseigenaar of het college gemaakte afweging tussen werkbaarheid, veiligheid, risico´s en kosten. Informatiebeveiliging wordt bij deze afweging betrokken. Controle en onderzoek De toetsing van de werking van de beveiliging in de organisatie draagt bij aan het verbeteren van die beveiliging. Sec adviseren zoals hierboven beschreven zonder in de organisatie te toetsen of adviezen uitvoerbaar zijn, leidt uiteindelijk tot weerstand tegen beveiliging. Bij de toetsing door informatiebeveiliging wordt een concrete situatie onderzocht op basis van de voorgestane aanpak en werkwijze. Dat betekent dat eerst een inschatting van het belang van de werkprocessen en de informatie wordt gemaakt zodat adviezen aansluiten bij het noodzakelijke niveau van beveiliging. Ook moet vooraf worden ingeschat binnen welke processen risico´s aanwezig zijn en hoe beveiligingsmaatregelen zijn te nemen. Controleer of het onderzoek geïnitieerd kan worden door of namens het management, door informatiebeveiliging zelf of doordat toetsing is vastgelegd in overeenkomsten. De uitkomsten van de controle of het onderzoek worden opgedeeld in drie categorieën, te weten ¨bindend¨, ¨wenselijk¨ of ¨verstandig¨. Deze categorieën zijn aflopend in zwaarte. De categorie bindend dient onverkort uitgevoerd te worden, van de categorie wenselijk kan gemotiveerd worden afgeweken en de categorie verstandig kan om pragmatische redenen anders ingevuld worden. Operationeel


23

De operationele werkzaamheden van informatiebeveiliging beperken zich tot het waarmaken van het proces- en informatie-eigenaarschap van de informatie. Het betreft hier de operationele vertaling van de beleidskaders en -normen. De operationele werkzaamheden bestaan uit het maken van afspraken, inclusief de AO/IC, over: !

Autoriseren.

!

Beveiligingsincidenten.

!

Mobiele toepassingen.

!

Basisbeveiligingsniveau.

!

Realisatie van extra beveiligingsniveaus/eisen.

!

Functiescheiding.

!

Vertrouwensfuncties.

!

Toegangsbeveiliging.

4.3 Aanpak U geeft een voorzet voor de wijze waarop de beveiligingsorganisatie haar werk aanpakt en controleerbaar maakt. Hierin specificeert u onder andere de wijze van verantwoording, planning en het vaststellen van beleidsprioriteiten. U borgt hiermee dat de beveiligingsorganisatie onder bestuurlijke controle blijft, maar toch een stuk vrijheid krijgt in haar onafhankelijke advisering. Speerpunten Ieder jaar zal informatiebeveiliging speerpunten voorstellen waaraan extra aandacht wordt geschonken. Hiermee wordt beoogd de inzet van de beperkte capaciteit zo goed als mogelijk in te zetten. De speerpunten zijn enerzijds gebaseerd op de actualiteit en anderzijds op de doorgaande lijn van informatiebeveiliging. Bij het vaststellen van speerpunten moeten keuzes gemaakt worden. Uitvoeringsplannen Ieder jaar stelt informatiebeveiliging een uitvoeringsplan op waarin onder andere de speerpunten voor volgend jaar staan beschreven. Communicatie Bewustwording is een continue activiteit van informatiebeveiliging. Om de maatregelen voor beveiliging effectief te laten zijn, moeten deze door de organisatie geaccepteerd worden. Meer bewustwording zal ook resulteren in het melden van mogelijke problemen. Bewustwording is een belangrijk aspect binnen informatiebeveiliging. Alleen als de medewerkers weten hoe ze met informatie om moeten gaan en waar hun verantwoordelijkheid ligt, hebben maatregelen blijvend effect. Om dit te bereiken, moeten de medewerkers weten wat van hun verwacht wordt, hoe dat gecontroleerd wordt en welke sancties er bestaan.


24

Iedere medewerker (intern en extern) tekent een integriteits- of geheimhoudingsverklaring (zie bijlage 3) waar in staat wat er verstaan wordt onder zorgvuldig omgaan met informatie. Voor het bieden van het handvat aan de medewerkers gelden de ‘Tien geboden’ voor het omgaan met informatie: 1. Gebruik informatie niet om anderen te hinderen of te schaden. 2. Weet of de informatie die je bezit van belang is voor derden (en geef deze informatie niet ongeautoriseerd uit handen). 3. Gebruik informatie als hulpmiddel bij het uitvoeren van je taak. 4. Vraag alleen informatie op voor zover die nodig is voor je taak. 5. Verzamel en gebruik informatie op een rechtmatige manier. 6. Wees je bewust van de risico´s van het uitlekken van informatie. 7. Accepteer de verantwoordelijkheid voor de manier waarop je met informatie omgaat. 8. Leef de reglementen voor de omgang met informatie na. 9. Neem kennis van het gemeentelijke informatiebeveiligingsbeleid. 10. Gebruik informatie in overleg en met respect. Deze tien geboden kunnen uitgewerkt worden naar specifieke regels en gedragscodes. Voortgang en verantwoording Informatiebeveiliging rapporteert de voortgang en legt verantwoording af. Zo wordt snel inzichtelijk wat de voortgang is en waar eventuele problemen ontstaan. In de rapportages worden deze problemen toegelicht.


25

Bijlage 1: Handvat voor het indelen van processen en informatie Voor het indelen van de processen en het indelen van de informatie staan hier een aantal vragen die een handvat bieden voor die indeling. Proces Wie heeft er schade? Hoe groot is de schade? Waar ontstaat de schade? Wat stokt er aan dienstverlening? Neemt de schade toe in de tijd? Voor wie doe je het proces? Informatie Per tijdstip Wie heeft er belang bij? Wat kunnen anderen ermee? Waarvoor gebruik je het? Aan wie verstrek je het? Is de waarde in geld uit te drukken?


26

Bijlage 2: Afhankelijkheids- en Kwetsbaarheidanalyse In deze bijlage gaan wij in op de uitvoering van een afhankelijkheids- en kwetsbaarheidanalyse. Stap voor stap geven wij aan hoe u een dergelijke analyse moet aanpakken. De kwetsbaarheidanalyse kunt u pas doen als u de afhankelijkheidsanalyse hebt voltooid. 1. Afhankelijkheidsanalyse Het resultaat van de Afhankelijkheidsanalyse is inzicht in de mate waarin de bedrijfsprocessen afhankelijk zijn van het adequaat functioneren van het informatiesysteem. Ook vloeit uit deze analyse een set betrouwbaarheidseisen voort die aan het informatiesysteem worden gesteld. Het uitvoeren van de Afhankelijkheidsanalyse vindt plaats met behulp van verschillende stappen die hier worden toegelicht. Stap 1: Organisatiecheck De organisatiecheck is een goed middel om gevoel voor de organisatie te krijgen. Voor het uitvoeren van deze stap wordt gebruik gemaakt van de organisatiedocumenten. Stap 2: Benoemen van de processen Voor het realiseren van de doelstellingen van de organisatie moeten de bedrijfsprocessen goed functioneren. Ieder proces wordt geclassificeerd naar prioriteit. De volgende classificaties worden gebruikt: maatschappelijk vitaal, bedrijfsvitaal en ondersteunend. Deze stap vindt plaats aan de hand van procesmodellen. Stap 3: Stellen van eisen aan de processen Per bedrijfsproces wordt aangegeven welk betrouwbaarheidscriterium (beschikbaarheid, exclusiviteit en integriteit) belangrijk is. Aan het betrouwbaarheidscriterium wordt een classificatie gegeven en zowel het criterium als de classificatie worden beargumenteerd. Stap 4: Benoemen van de informatiesystemen en relateren aan processen Er wordt een opsomming gegeven van de informatie(deel)systemen die de processen ondersteunen. Het al dan niet geautomatiseerd zijn van een informatiesysteem is hier niet aan de orde. Het maakt ook niet uit of een informatiesysteem operationeel of nog in ontwikkeling is. De informatie(deel)systemen worden gekoppeld aan de bedrijfsprocessen. De koppeling en de mate van belang worden via een codering (Vitaal, Nuttig, Ondersteunend, Geen belang) aangegeven. Stap 5: Relateren informatiesystemen aan (IT-)diensten In deze stap van de Afhankelijkheidsanalyse wordt per informatiesysteem(functie) aangegeven welke (IT-)dienst of verantwoordelijkheidsgebied belangrijk is voor het functioneren van het systeem. Stap 6: Stellen van betrouwbaarheidseisen


27

Per informatiesysteem en betrouwbaarheidscriterium wordt het belang aangegeven. Deze classificatie kent vier mogelijkheden: Essentieel, Belangrijk, Wenselijk en Geen criterium. Bij classificatievermeldingen kan de uitkomst triviaal zijn, bij discussiepunten kan een argumentatie worden gegeven. Het uitvoeren van de stappen 3 t/m 6 vindt plaats door het afnemen van interviews bij management en medewerkers of workshops. 2. Kwetsbaarheidsanalyse Het resultaat van de Afhankelijkheidsanalyse en de vastgestelde kaders in de beleidsuitgangspunten informatiebeveiliging vormen de basis voor het uitvoeren van de Kwetsbaarheidsanalyse. Het resultaat van de Kwetsbaarheidanalyse is een pakket van te nemen maatregelen. Dit pakket voorkomt en/of reduceert de gevolgen van het manifest worden van de bedreigingen waar de informatiesystemen en de verantwoordelijkheidsgebieden die de processen van de organisatie ondersteunen, aan bloot kunnen staan. Ook kan het resultaat van de Kwetsbaarheidanalyse worden gebruikt voor het opstellen van een (informatie)beveiligings- en implementatieplan. Het opstellen van een kwetsbaarheidanalyse gebeurd aan de hand van de volgende stappen: Stap 7: Inventariseren bestaande maatregelen Inventariseer welke maatregelen er binnen de organisatie al bestaan. Stap 8: Verdeling in (IT-)diensten en componenten Bij de informatiesystemen die de processen ondersteunen, wordt gebruik gemaakt van diensten van anderen, waarbij al of niet informatietechnologie (IT) betrokken is. Aan de leveranciers van deze diensten en de daarin betrokken componenten worden ook informatiebeveiligingseisen gesteld, die voortvloeien uit de eisen gericht op de ‘eigen’ bedrijfsvoering. De leveranciers van deze diensten zullen de opzet en werking van die informatiebeveiligingseisen naar tevredenheid van de organisatie moeten aantonen. Stap 9: Bepalen incidenten, gevolgen en ernst Geef aan met welke incidenten rekening gehouden moet worden, wat de gevolgen voor de bedrijfsvoering van de organisatie zouden kunnen zijn en wat de ernst is van de gevolgen van het manifest worden van een incident. Stap 10: Bepalen stelsel van maatregelen Stel een stelsel van informatiebeveiligingsmaatregelen vast ter waarborging van een betrouwbaar functioneren van de informatiesystemen die de processen van de organisatie ondersteunen.


28

Het uitvoeren van stap 9 en 10 vindt plaats door het houden van een interview of workshop met management en medewerkers.


29

Bijlage 3: Vragenlijst zelfevaluatie Organisatie Vraag

Subvraag

Heeft u een

a. Voert u regelmatig, b.v. jaarlijks, een audit uit?

beveiligingsorganisatie

b. Heeft u een incidentmeldingsprocedure?

ingericht?

c. Is het (lijn)management verantwoordelijk voor IB (als onderdeel van integraal management)? d. Is er een informatiebeveiligingsfunctionaris aangewezen? e. Heeft u een autorisatieprocedure? e1. Verwerkt u personeelsmutaties, zoals vertrek, in de autorisaties?

Beheerst u uw risico’s?

a. Kent u uw risico’s? a1. Heeft u keuzes gemaakt welke risico’s op te lossen en welke te accepteren? b. Slaat u een kopie van uw informatie ook elders op? c. Heeft u een calamiteiten procedure?

Kent u uw positie in de

a. Stelt u beveiligingseisen aan uw informatieafnemers?

keten?

b. Stelt uw informatieleverancier beveiligingseisen aan uw organisatie? c. Toetst u het gebruik van uw informatie door derden?

Zijn uw werkprocessen

a. Zijn uw processen beschreven?

gestandaardiseerd?

b. Werkt uw organisatie conform de beschrijvingen? c. Heeft u een procedure voor vernietiging van informatie? d. Houden de processen rekening met functiescheiding?

Controleert u de juistheid van

a. Toetst u aangeleverde informatie op juistheid en volledigheid?

uw informatie?

b. Bevatten uw werkprocessen controle momenten voor gebruikte informatie? c. Staat u in voor de juistheid van door u geleverde informatie? d. Heeft u een tekenprocedure voor de verstrekking van informatie?

Mens Vraag

Subvraag

Vertrouwt u uw eigen

a. Weten uw medewerkers hoe zij zich in uw bedrijf dienen te

medewerkers?

gedragen? b. Heeft u de “antecedenten” van uw medewerkers onderzocht? c. Weet u alle bijverdiensten van uw medewerkers? d. Komt er vaak gelekte informatie in de pers? e. Laten medewerkers vaak beveiligde deuren openstaan?


30

Zijn uw medewerkers zich

a. Tonen medewerkers begrip voor beperkingen in hun taken of

bewust van de vertrouwelijke

werk ingegeven vanuit beveiliging?

aard van (delen) van uw

b. Bergen medewerkers vertrouwelijke informatie consequent op?

informatie?

c. Is informatie terug te vinden als dit nodig is? C1. Is informatie vaak zoek in het werkproces?

Heerst in uw bedrijf een open

a. Worden medewerkers gestimuleerd problemen snel te melden?

cultuur?

b. Rekent u medewerkers af op incidenten? c. Weten medewerkers van elkaar waar ze aan werken? d. Is voor iedereen duidelijk wat de verantwoordelijkheden en bevoegdheden zijn?

Kunnen uw medewerkers hun a. Is er vervanging voor het personeel geregeld in geval van ziekte taken aan?

o.i.d.? b. Zijn uw medewerkers opgeleid voor hun taken? c. Heeft u een ontwikkelingsplan voor uw medewerkers? d. Controleert u de kwaliteit van het werk van uw medewerkers? e. Zijn medewerkers oproepbaar in geval van calamiteiten?

Controleert u in te huren

a. Toetst u de “antecedenten” van een in te huren bedrijf?

medewerkers?

b. Worden externe medewerkers belemmerd in hun bewegingsvrijheid? c. Onderzoekt u de “antecedenten” van externe medewerkers?

Juridisch Vraag

Subvraag

Werkt uw bedrijf met

a. Sluit u alle aansprakelijkheid voor onjuiste informatie uit?

disclaimers?

b. Is uw uitsluiting van aansprakelijkheid juridisch getoetst? c. Weten cliënten welk risico zij lopen bij gebruik van uw informatie?

Neemt u informatiebeveiliging a. Weten uw contractpartijen welke voorwaarden u stelt aan het op in uw contracten?

gebruik van uw informatie? b. Zijn contractpartijen aansprakelijk bij misbruik van uw informatie? c. Heeft u in het afgelopen jaar een conflict gehad met een contractpartij over het gebruik van uw informatie?

Voldoet u aan de Wet

a. Voert uw organisatie uitsluitend vrijgestelde registraties?

Bescherming

b. Meldt u geregistreerden over verstrekking van persoonsgegevens

Persoonsgegevens?

aan derden? c. Meldt u geregistreerden over opname in uw administratie?

Gelden er voor uw

a. Voldoet u aan branche specifieke beveiligingsvoorschriften?

organisatie specifieke

b. Bent u bekent met het hoe en waarom van deze voorschriften?

beveiligingsvoorschriften? Fysiek


31

Vraag

Subvraag

Bevindt het archief zich in

a. Controleert u regelmatig de klimaatbeheersing in uw archief?

een brandveilige en aparte

b. Test u de brandveiligheid van uw archief?

ruimte?

c. Is de toegang tot het archief geregeld via strikte procedures? d. Wordt uit het archief verstrekte informatie gekopieerd?

Verloopt de toegang tot het

a. Dienen bezoekers zich te melden?

gebouw volgens vaste

b. Kunnen bezoekers op andere manieren het gebouw betreden?

procedures?

c. Zijn bezoekers in uw gebouw als zodanig herkenbaar? d. Worden bezoekers in uw gebouw begeleid door een medewerker? e. Voert u een registratie van bezoekers? f. Houdt u in uw ontruiming bij calamiteiten rekening met bezoekers?

Worden buiten kantoortijden

a. Heeft u een alarminstallatie voor uw gebouw?

inbraakpogingen opgepakt?

b. Wordt een alarmmelding direct doorgeschakeld naar een beveiligingsbedrijf? c. Toetst u de reactietijden van uw beveiligingsbedrijf? d. Ligt gevoelige informatie buiten kantoortijden voor het grijpen? e. Zijn ramen en deuren buiten kantoortijden gesloten?

Is gevoelige apparatuur in

a. Zijn uw computerruimtes alleen toegankelijk voor bevoegd

aparte ruimtes opgesteld?

personeel? b. Staan uw printers in algemeen toegankelijke ruimtes? c. Staat uw fax opgesteld bij b.v. een secretariaat? d. Worden kopieën direct meegenomen van het apparaat?

Heeft u mechanismen om

a. Heeft u informatie op meerdere plekken opgeslagen?

verminkte informatie te

b. Kunt u uw archief reconstrueren?

herstellen? ICT Vraag

Subvraag

Kunt u doorwerken zonder

a. Heeft u uw systemen dubbel uitgevoerd of zijn er reserve

uw geautomatiseerde

onderdelen aanwezig?

systemen?

b. Heeft u een voorziening voor noodstroom?

Is uw apparatuur buiten uw

a. Is de informatie op uw draagbare apparatuur beveiligd in geval

eigen organisatie

van diefstal?

toegankelijk?

b. Slaan uw medewerkers veel vertrouwelijke informatie op, op een usb-stick of andere informatiedragers? c. Heeft u beveiligde toegang via b.v. het internet? (indien nee geen subvragen wel punten) C1. Is de toegang beveiligd m.b.v. een fire wall? C2. Laat u wel eens penetratietesten uitvoeren?


32

Heeft u het beheer van uw

a. Worden beveiligingsvoorzieningen, zoals virusscanners,

ICT-ondersteuning goed

regelmatig vernieuwd?

ingericht?

b. Wordt nieuwe apparatuur vooraf getest? c. Heeft u een acceptatieprocedure voor nieuwe software? d. Heeft u een monitorfunctie ingericht?

Heeft u gestandaardiseerde

a. Is uw informatie na een calamiteit te herstellen?

procedures voor back up?

b. Wordt uw back up op een aparte plaats opgeslagen?

Controleert u het gebruik van a. Is traceerbaar wie wat gewijzigd heeft? uw ICT-middelen?

b. Zijn wijzigingen in de informatie te herstellen? c. Heeft u de toegang tot uw apparatuur geregeld via: - User-id en password - Token en password - Biometrie


33

Bijlage 4: Integriteits- en Geheimhoudingsverklaring Ondergetekenden: 1. De gemeente .........., vertegenwoordigd door ..............................., hierna te noemen ‘gemeente’. en 2. naam en voornamen : geboorte datum en plaats : wonende te : hierna te noemen ’de medewerker ‘ Verklaren hierbij: - dat de gemeente op grond van haar wettelijke taakstelling ondermeer privacy gevoelige en vertrouwelijke informatie verzamelt, vastlegt en verwerkt. - dat een medewerker krachtens een aanstelling dan wel door middel van inhuur werkzaamheden uitvoert voor de gemeente, hierna te noemen ‘gemeente werkzaamheden’ die door gemeente rechtstreeks aan hem dan wel aan zijn eventuele werkgever zijn opgedragen. - dat onder medewerker in het kader van deze geheimhoudingsverklaring tevens gerekend wordt iedere persoon die krachtens een wettelijke taak, dan wel op basis van een convenant, werkzaamheden in samenwerking met de gemeente uitvoert (al dan niet in haar panden). - dat onder medewerker in het kader van deze geheimhoudingsverklaring tevens gerekend wordt iedere persoon die op eigen verzoek toestemming krijgt onderzoek te verrichten op basis van registraties van de gemeente. - dat de medewerker hiertoe kennis neemt van informatie en gegevens betreffende gemeente aangelegenheden en aan de gemeente gelieerde partijen. - dat de medewerker de noodzakelijke voorzorgsmaatregelen dient te treffen en zich van bepaalde gedragingen dient te onthouden ter handhaving van de vertrouwelijkheid van de gemeente informatie en gegevens die hij onder zich houdt. - dat in beginsel alle informatie, gegevensdragers en apparatuur betreffende gemeente werkzaamheden eigendom zijn van de gemeente. De medewerker verklaart voorts zich conform de normen en waarden van de gemeente te gedragen en alles te doen of na te laten te doen dat de gemeente of haar partners schade kan berokkenen of het aanzien van de gemeente zal schaden. De medewerker heeft voor het verkrijgen van de opdracht tot het uitvoeren van gemeente werkzaamheden middellijk of onmiddellijk in welke vorm ook tot het verkrijgen van deze opdracht aan niemand iets gegeven of beloofd. De medewerker zal in zijn relatie tot de gemeente en uitvoering van zijn werkzaamheden geen geschenken aannemen om iets te doen of te laten. Komen overeen: 1. Geheimhoudingsverplichtingen De medewerker verplicht zich, zowel tijdens als ook na de beëindiging van zijn gemeente werkzaamheden, tot strikte geheimhouding over alle gemeente aangelegenheden en/of aangelegenheden van gelieerde instanties waarvan de medewerker in redelijkheid kan vermoeden dat het hierbij gaat om vertrouwelijke informatie, behoudens voor zover een bij of krachtens de wet gegeven voorschrift tot verstrekking verplicht. 2. Derden De medewerker is verplicht er, voor zover dat in zijn macht ligt, zorg voor te dragen dat daartoe onbevoegde personen en/of rechtspersonen geen gelegenheid hebben kennis te nemen van gemeente gegevens en informatie. 3. Verklaring omgang met informatie


34

De medewerker verklaart dat hij zorgvuldig zal omgaan met de hem toevertrouwde informatie, conform deze geheimhoudingsverklaring en de bijlage. Als handvat en richtlijn van zorgvuldige omgang zijn in de bijlage de vijf gouden regels en een niet uitputtende lijst gebruiksvoorwaarden opgenomen. 4. Informatiegebruik De medewerker zal geen kopieën maken, anders dan die welke noodzakelijk zijn voor de overeengekomen werkzaamheden. Deze gegevens dienen uitsluitend op de afgesproken werkplek te worden gebruikt en bewaard en, mogen behoudens toestemming, nooit naar elders worden meegenomen of anderszins naar buiten worden gebracht. 5. Gemeente informatie na beëindiging werkzaamheden De medewerker dient bij beëindiging van de gemeente werkzaamheden dan wel op eerste verzoek van de gemeente alle in het kader van de werkzaamheden verkregen informatie ongevraagd over te dragen aan de gemeente en zorg te dragen dat deze niet, onbedoeld, meegenomen worden op gegevensdragers. 6. Meldplicht De medewerker dient terstond aan zijn leidinggevende melding te maken van feiten en/of omstandigheden die hem de indruk geven dat vertrouwelijke informatie onterecht in de openbaarheid komt, kan komen, is gebracht of zal worden gebracht. 7. Publicaties Het publiceren van informatie van welke aard ook aangaande de gemeente en/of gelieerde instanties is verboden, behoudens voorafgaande schriftelijke toestemming door of namens het college van Burgemeester en Wethouders. 8. Beeld- en geluidsopnamen Geen beeld- of geluidsopnamen (waaronder GSM-opnames) te zullen maken zonder schriftelijke toestemming van de hieronder vermelde leidinggevende of diens plaatsvervanger. 9. Opvolgen aanwijzingen Alle binnen de gemeente geldende voorschriften en door gemeente medewerkers in het belang van de orde of veiligheid gegeven opdrachten of aanwijzingen stipt en onverwijld te zullen opvolgen en zelf de redelijkerwijs te verlangen zorgvuldigheid bij de gemeente werkzaamheden in acht te zullen nemen. 10. Onmiddellijke beëindiging Ermee bekend te zijn dat op ieder moment met onmiddellijke ingang de opdracht tot uitvoering van gemeente werkzaamheden, de toegang tot de gemeente gebouwen en/of de toegang tot informatie kan worden ingetrokken. Hierbij aangetekend dat de onmiddellijke beëindiging op geen enkele wijze gelijkstaat aan ontslag of andere arbeidsrechterlijke begrippen dienaangaande. 11. Schadevergoeding Gemeente houdt zich het recht voor om bij overtreding van de verplichtingen neergelegd in deze geheimhoudingsverklaring schadevergoeding te eisen. Dit laat overige rechten van de gemeente onverlet. 12. Geldende regels De geldende Nederlandse weten regelgeving en verdragsteksten en de geldende interne beveiligingsprocedures dienen altijd nageleefd te worden. Door dit document te tekenen verklaart de medewerker kennis te hebben genomen van de vijf gouden regels en de geheimhoudingsverplichtingen en –voorwaarden en zowel naar de letter als naar de intentie ervan te handelen. De medewerker is zich bewust van de consequenties, mogelijk zelfs strafrechtelijk, indien de informatie op andere wijze gebruikt wordt dan omschreven. De medewerker is er mee bekend dat handelingen via geautomatiseerde systemen geregistreerd en Privacy en Beveiliging Tactisch niveau

35

bewaard kunnen worden. Bij vermoeden van misbruik kunnen de geregistreerde handelingen gelden als bewijs. Alle handelingen onder de door de gemeente toegekende gebruikersidentificatie voor toegang tot geautomatiseerde systemen worden toegerekend aan de medewerker.

Plaats en datum: De heer/mevrouw …………………………. Handtekening ………………………….. Legitimatienummer en –type: …………….

gemeente Leidinggevende Handtekening …………

………………… …………………

Bijlage Vijf gouden regels voor de omgang met informatie: 1. Houdt je nieuwsgierigheid in toom en raadpleeg alleen zaakgerelateerde informatie 2. Weeg de risico’s van het uitlekken van informatie en bewaar de informatie op een veilige manier 3. Verstrek informatie uitsluitend aan daartoe gerechtigde collega’s, ketenpartners of burgers 4. Gebruik informatie niet om anderen te hinderen of te schaden 5. Accepteer verantwoordelijkheid voor de manier waarop je met informatie omgaat Gebruiksvoorwaarden De informatie welke verkregen wordt vanuit of via de gemeente: -

Mag alleen gebruikt worden conform het doel van de gevoerde registraties. Mag alleen benaderd en bewerkt worden door een daartoe bevoegde functionaris in dienst van de gemeente of door de gemeente aangewezen derden. Dient op een veilige wijze te worden bewaard. Moet tijdens transport in het oog gehouden worden en dus niet per b.v. post verzonden worden. Mag niet onbeheerd achtergelaten worden (ook niet in de kofferbak van een auto). Mag de werklocatie niet verlaten tenzij dit voor het werk noodzakelijk of onvermijdelijk is De voor de toegang tot informatie benodigde apparatuur mag alleen voor zakelijke doeleinden tijdens werktijd worden gebruikt. Mag niet gebruikt worden voor privé raadplegingen. Mag niet verstrekt worden aan derden (ook zijnde ketenpartners) tenzij deze verstrekking binnen de kaders van de wet valt. Iedere verstrekking dient te worden geregistreerd en daarbij worden de gebruiksvoorwaarden van gemeente aan derden verstrekt. De toegangsmogelijkheden tot informatie zijn persoonlijk en niet overdraagbaar aan anderen. De toegangsmogelijkheden tot informatie worden afgesloten bij het verlaten van de werkplek.


36

Informatiebeveiliging Gemeenten

Recommend Documents