MPGPD GPD

fnaa&dn. ontco Sociale Dienst Drechtsteden

Postbus 619 3300 AP Dordrecht

Aan het college van Burgemeester en Wethouders van de Gemeente Papendrecht Postbus 11 3350 AA Papendrecht

MPGPD2009111212370336

GPD

12.11.2009

0336

Bezoekadres Spuiboulevard 2 9 8 3 3 1 1 GR Dordrecht

Telefoon (078) 6 3 9 6 6 6 2 Fax E-maii [email protected]

Behandeld door R.C. Hitimana-Willemze

Datum 1 0 november 2 0 0 9

Onderwerp SDD Beveiligingsplan

Ons kenmerk 2 3 4 4 9 1

Bijlagen; 1

Geacht College, Het informatiebeveiligingsplan SDD is in de BC SDD van 5 oktober vastgesteld. Het vastgestelde plan bieden wij u nu aan ter vaststelling door uw college en doorgeleiding naar uw gemeenteraad. De door de gemeenteraad vastgestelde versie kan dan door uw college naar de inspectie Werk en Inkomen worden verstuurd (Postbus 11563, 2502 AN Den Haag). De inspectie accepteert namelijk in opdracht van het ministerie van SZW alleen door de gemeenteraad vastgestelde beveiligingspannen; de Drechtraad is een door hen niet erkend orgaan, dus vaststelling door de Drechtraad biedt geen soelaas. Deze noodzakelijke lange procedure betekent dat we de termijn van 4 maanden na de dagtekening van de brief van het ministerie van SZW niet gaan halen. Hiervan zijn het ministerie en de inspectie Werk en Inkomen door de SDD al op de hoogte gebracht. Wij gaan er vanuit u hiermede van dienst te zijn geweest. Voor vragen kunt u contact opnemen met de accountmanager P&C van uw gemeente bij de Stafafdeling Middelen van de SDD, mw. M.P.A. Verloop.

Pagina 1 van 1

Informatiebeveiligingsplan Sociale Dienst Drechtsteden

Vastgesteld door het MT SDD op 7 juli 2009 Vastgesteld door de BC SDD op 5 oktober 2009

INHOUDSOPGAVE 1

INLEIDING 1.1

3

WAAROM INFORMATIEBEVEILIGING?

3

1.2

DOELSTELLING, PLAATSBEPALING EN REIKWIJDTE

4

1.3

HET BELEIDSDOCUMENT INFORMATIEBEVEILIGING SOCIALE DIENST DRECHTSTEDEN ... 5

1.4

D E INFORMATIEBEVEILIGING

5

1.5

OPZET VAN DE INFORMATIEBEVEILIGING

5

2

DE AFHANKELIJKHEIDSANALYSE 2.1

7

DOEL EN INHOUD VAN DE AFHANKELIJKHEIDSANALYSE

7

2.2

BEDRIJFSPROCESSEN

2.3

AFHANKELIJKHEID

10

2.4

BETROUWBAARHEIDSEISEN

12

DE KWETSBAARHEIDANALYSE

14

3

8

3.1

DOEL EN INHOUD VAN DE KWETSBAARHEIDANALYSE

14

3.2

GEKOZEN AANPAK

14

3.3

INVENTARISATIE VAN MAATREGELEN

15

3.4

TOETSING MAATREGELEN AAN MOGELIJKJE BEDREIGINGEN

15

3.5

PERIODIEKE TOETSING VAN DE MAATREGELEN OP BESTAAN EN WERKING

16

4

IMPLEMENTATIEPLAN

.

17

4.1

INLEIDING

17

4.2

VEILIGHEIDSBELEID

17

4.3

STANDARD DVO

17

4.4

RICHTLIJNEN

18

4.5

WACHTWOORDENBEHEER

18

4.6

PERSONEELS- EN CLEANDESK BELEID

18

4.7

S D D INFORMATIESYSTEMEN

19

4.8

FORMALISERING

19

5

CALAMITEITEN EN EVALUATIE

20

5.1

CALAMITEITEN

20

5.2

PLAN VOOR EVALUATIE EN ONDERHOUD

20

Informatiebeveiligingsplan

pagina 2

1 1.1

Inleiding Waarom informatiebeveiliging?

In de dagelijkse praktijk van ons werk spelen informatie en informatiesystemen een belangrijke rol. Vaak zelfs zonder dat we daarvan bewust zijn. Het laatste halfjaar worden regelmatig geconfronteerd met storingen in de ict-infrastructuur, hierdoor zijn we ons meer bewust hoe afhankelijk we zijn van onze geautomatiseerde informatiesystemen. Wanneer 1 of meerdere van onze informatiesystemen niet beschikbaar zijn dan kunnen we zelfs ons werk niet meer op een normale manier uitvoeren. Deze afhankelijkheid is een belangrijk argument voor de opstelling van dit informatiebeveiligingsplan. Informatiebeveiliging betreft zoals het woord al zegt de beveiliging van informatie. Het gaat daarbij in feite om 3 aspecten aangeduid met de letters BEI: Beschikbaarheid, Exclusiviteit en Integriteit. Of met andere woorden beveiliging van informatie tegen ongewenste verstoringen in de beschikbaarheid, tegen ongewenste bekendmaking en/of kennisneming, en tegen ongeautoriseerde mutaties. De afhankelijkheid wordt mede beïnvloed door de technologische ontwikkelingen op het gebied van de informatievoorziening. Brede verspreiding van apparatuur, software en gegevens leiden ertoe dat de verantwoordelijkheid voor de informatievoorziening niet altijd even duidelijk is. De gegevens komen steeds makkelijker beschikbaar maar de gegevensstromen worden tegelijkertijd steeds moeilijker beheersbaar. De begrippen informatiebeveiliging en informatiesysteem worden soms uitsluitend in verband gebracht met automatisering, maar dat is niet juist. Ze betreffen het geheel van gegevens, bestanden, richtlijnen en procedures en hulpmiddelen, ongeacht of deze al dan niet geautomatiseerd zijn. Hieruit volgt dat medewerkers deel uitmaken van het informatiesysteem en dat bijvoorbeeld ook het archief en de papieren dossiers onder de definitie vallen. Kortom: het gaat in dit plan om alle vormen van gegevensverzameling, bewerking, -bewaring en -verstrekking; en bovendien om alles en iedereen die daarbij betrokken zijn. In dit Informatiebeveiligingsplan wordt beschreven welke informatiesystemen in de bedrijfsprocessen een rol spelen en welke eisen vanuit de doelstelling van deze bedrijfsprocessen moeten worden gesteld aan de beveiliging daarvan. De verticale toepassingen, zoals GWS4ALL, welke in hoofdstuk 6 onder III limitatief zijn opgesomd, worden vanuit het perspectief van informatiebeveiliging geanalyseerd in afzonderlijke documenten, die met dit Informatiebeveiligingsplan samen een geheel zullen vormen.


pagina 3

1.2

Doelstelling, plaatsbepaling en reikwijdte

De doelstelling van de Informatiebeveiliging is het waarborgen van de beschikbaarheid, exclusiviteit én integriteit van informatie. Informatiebeveiliging staat niet op zichzelf maar heeft directe relaties met het: • personeels- en organisatiebeleid (functiescheiding, vertrouwelijkheid); • informatiebeleid (inrichting informatiearchitectuur); • automatiseringsbeleid (hard en software); • algemeen beveiligingsbeleid (gebouwen, kritische ruimten). Afstemming tussen deze beleidsgebieden en de informatiebeveiliging is noodzakelijk. Het in dit plan geformuleerde informatiebeveiligingsbeleid is van toepassing op de gemeenschappelijke bedrijfsprocessen en informatiesystemen binnen de Sociale Dienst Drechtsteden. Met gemeenschappelijk worden alle bedrijfsprocessen en informatiesystemen bedoeld, die door de Sociale Dienst Drechtsteden worden gebruikt. Binnen deze systemen onderscheidden we horizontale en verticale toepassingen. Horizontale toepassing wordt door de meerdere of alle onderdelen van de SDD gebruikt. Verticale toepassingen worden door een besperkte groep of specifiek onderdeel gebruikt. De Sociale Dienst Drechtsteden heeft specifieke verantwoordelijkheden waarvoor eigen specifieke procedures en systemen gebruikt worden. Dit worden ook wel de verticale toepassingen genoemd. Dit Informatiebeveiligingsplan betreft uitsluitend de gemeenschappelijke horizontale toepassingen. De veiligheidsaspecten van de SDD specifieke horizontale/verticale toepassingen, met name GWS4ALL, wordt in project Risisco berperkende maatregelen informatiesystemen en de daaronder vallende activiteiten verder uitgewerkt. Dit Informatiebeveiligingsplan is van toepassing op de Sociale Dienst Drechtsteden. Het betreft het gehele proces van informatievoorziening en de gehele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie. Informatiebeveiliging is een lijnverantwoordelijkheid en vormt een onderdeel van de kwaliteitszorg voor de bestuurs- en bedrijfsprocessen en de ondersteunende informatiesystemen. Informatieve relaties tussen de SDD en andere instanties gaan vergezeld van schriftelijke afspraken over het vereiste betrouwbaarheidsniveau en de wijze waarop zekerheid wordt verkregen over de realisatie daarvan. Dit Informatiebeveiligingsplan is geschreven naar de actuele situatie per 1 februari 2009.


pagina 4

1.3

Het Beleidsdocument Informatiebeveiliging Sociale Dienst Drechtsteden

Op 13 januari 2009 heeft het MT ingestemd met de Inventarisatie beveiliging persoonsgegevens Sociale Dienst Drechtsteden, dit is de basis voor de informatiebeveiliging binnen de SDD. Het document dwingt de SDD tot opstelling van een Informatiebeveiligingsplan dat is gebaseerd op een analyse van de afhankelijkheid en kwetsbaarheid van de voor de bedrijfsprocessen gebruikte informatiesystemen. Het komt er samengevat op neer dat voor elk kritisch bedrijfsinformatiesysteem: • Een afhankelijkheidsanalyse wordt uitgevoerd waarin geïnventariseerd wordt welke bedrijfsprocessen er zijn, welke informatiesystemen daarvoor gebruikt worden en welke betrouwbaarheidseisen (beschikbaarheid, exclusiviteit en integriteit) aan deze informatiesystemen moeten worden gesteld. • Een kwetsbaarheidanalyse wordt uitgevoerd waarin de risico's en bedreigingen worden geïdentificeerd. • Een informatiebeveiligingsplan wordt geformuleerd waarin de getroffen beveiligingsmaatregelen zijn opgesomd en waarin een calamiteitenparagraaf is opgenomen waarvan de effectiviteit periodiek wordt getoetst. Dit plan is de uitwerking van die activiteiten. In de Inventarisatie beveiliging persoonsgegevens staan verder de strategische uitgangspunten en randvoorwaarden voor de informatiebeveiliging. Voorts zijn de verschillende verantwoordelijkheden benoemd, wordt de organisatie van de informatiebeveiligingsfunctie beschreven en wordt ingegaan op de gemeenschappelijke betrouwbaarheidseisen en maatregelen. 1.4

De Informatiebeveiliging

In de SUWI-wetgeving is opgenomen dat een minimum beveiligingsniveau zal worden vastgesteld dat van toepassing zal zijn op alle informatiesystemen van de SDD. Deze vaststelling is geschied in het document Inventarisatie beveiliging persoonsgegevens Sociale Dienst Drechtsteden, vastgesteld door het managementteam van de SDD. In de SUWI-wetgeving zijn de beveiligingseisen geformuleerd voor de aandachtsgebieden die voor de SUWI-keten gelden, zoals de fysieke beveiliging, gemeenschappelijke én lokale hard- en software, de^ietwerkinfrastructuur, gegevensverzamelingen etcetera. Het staat de SDD vrij, wanneer daar op grond van de aan het bedrijfsproces gerelateerde aspecten beschikbaarheid, exclusiviteit en/of integriteit aanleiding voor is, aanvullende eisen en maatregelen te formuleren. 1.5

Opzet van de Informatiebeveiliging

Overeenkomstig de Inventarisatie beveiliging persoonsgegevens heeft de aanpak van de Informatiebeveiliging bestaan, en bestaat voortdurend, uit een aantal elkaar in een


pagina 5

logische volgorde opvolgende fasen en stappen die leiden tot een goed beeld van de situatie en een weloverwogen keuze van de daarop toegesneden beveiligingsmaatregelen.

Hoofdlijn A&Kanalyse Inventarisatie en analyse . bedrijfsprocessen

,\

f Inventarisatie en analyse .informatiesystemen ,

T Relateren bedrijfsprocessen informatiesvst emen

(

1

Stellen van betrouwbaarheidseisen aan Jnformatiesystemen

J

X

"\/ ' J

afha„kelilkhe,dsanalyse

1

I

kwetsbaarheidsanalyse ir

maatregelen

if

vaststelling, uitvoering en evaluatie


pagma 6

j

/

f

k ^ \\ \ \|r -> ^

Inventarisatie en analyse incidenten

i 1

Inventarisatie bedreigingen en gevolgen

f Bepalen van maatregeldoelstellingen

/ .

>

\

>

2 2.1

De Afhankelijkheidsanalyse Doel en inhoud van de Afhankelijkheidsanalyse

De Afhankelijkheidsanalyse heeft als doel gehad het bepalen van de betrouwbaarheidseisen die vanuit bedrijfsprocessen gesteld worden aan informatiesystemen. Dit doel is bereikt in een aantal stappen: 1. Inventariseren en analyseren van de bedrijfsprocessen; 2. Inventariseren en analyseren van de informatiesystemen; 3. Relateren van informatiesystemen aan de bedrijfsprocessen; 4. Stellen van betrouwbaarheidseisen aan de informatiesystemen. Het vervolg van dit hoofdstuk beschrijft in hoofdlijnen de uitgevoerde Afhankelijkheidsanalyse en de uitkomsten daarvan.


pagina 7

2.2

Bedrijfsprocessen

De organisatie ontleent haar bestaansrecht aan de missie waarvoor zij staat. Op basis van de missie zijn doelstellingen geformuleerd. De bedrijfsprocessen dienen op een dusdanige wijze te zijn ingericht, dat de doelstellingen worden gerealiseerd en hiermee de missie van de organisatie wordt ondersteund. Missie van de Sociale Dienst Drechtsteden:

Uw partner naar zelfstandigheid. De SDD geeft deze missie handen en voeten in haar taakuitvoering op de terreinen reintegratie, inburgering, educatie, inkomensondersteuning, minimabeleid, WMO en schuldbemiddeling. Voor de uiteindelijke bepaling van betrouwbaarheidseisen is het van belang of een informatiesysteem een vitale rol speelt in de bedrijfsprocessen en hoe groot het belang van het proces is voor het realiseren van de geformuleerde doelstellingen. In het overleg ten behoeve van het opstellen van dit Informatiebeveiligingsplan is geopperd dat de afhankelijkheidsanalyse opgezet kan worden vanuit de bedrijfsprocessen, maar even goed vanuit de informatiesystemen. Uiteindelijk gaat het immers om de confrontatie van beiden. Redenerend vanuit de informatiesystemen luidt de conclusie dat vrijwel alle geïnventariseerde processen gebruik maken van dezelfde informatiesystemen. Dit leidde tot de conclusie dat de bestuursprocessen in het kader van deze afhankelijkheidsanalyse nog verder geclusterd kunnen worden tot slechts één primair bestuursproces. Daarnaast is sprake van financieel beheer als besturend proces en personeel en materieel beheer als secundaire (ondersteunende) processen. Volgende stap in de afhankelijkheidsanalyse was het waarderen van het belang van deze bedrijfsprocessen voor het realiseren van de missie van de Sociale Dienst Drechtsteden. Dit leidde tot de volgende verdeling en conclusie:


pagina 8

Geïnventariseerde bedrijfsprocessen: Primair proces: 1. Bestuursproces : kritisch 2. SDD prim, processen: kritisch Secundair proces 3. Financieel beheer 4. Personeelsbeheer 5. ICT beheer 6. Materieel beheer

: strategisch : bijdragend : bijdragend : ondersteunend

Kritisch = van levensbelang voor de organisatie

Strategisch = proces is op de (lange) termijn gericht

Bijdragend = Voeg iets toe tijdens het proces

Ondersteunend = procesgerichte ondersteuning

Informatiesystemen De tweede inventarisatie betreft die van de informatiesystemen. Een informatiesysteem is een geheel van personen, organisatie, gegevensverzamelingen, programmatuur, opslag-, verwerkings- en communicatie- apparatuur, omgeving en diensten van derden, en kan zowel geautomatiseerd als handmatig zijn. De volgende SDD informatiesystemen werden geïdentificeerd:


pagina 9

Geïdentificeerde horizontale informatiesystemen: A. Communicatiesystemen: A. 1 Groupwise A. 2 Explorer A. 3 Telefonie en netwerkinfrastructuur A. 4 Intranet A. 5 Internet

Horizontaal Horizontaal Horizontaal Horizontaal Horizontaal

B. Registratiesystemen B. 1 GWS4ALL B. 2 0DAS/ODIAS B. 4 ALLEGRO

Horizontaal Horizontaal Verticaal

C. Informatiesystemen C. 1 GWS4ALL C. 2 Allegro C. 3 DDS4all/Key2datadistributie C. 4 Intranet C. 5 Portal alg. website C. 6DKD/EKB C. 7. LRD/GBA-V online

Horizontaal Verticaal Horizontaal Horizontaal Horizontaal Horizontaal Horizontaal

D. Hard en software D. 1 Standaard PC configuraties D. 2 Laptops D. 3 (Kleuren)printers D. 4 Scanners (+ pc)

Horizontaal Horizontaal Horizontaal Horizontaal

Horizontaal = in gebruik bij vele onderdelen in de organisatie Verticaal = in gebruik bij een specifiek deel of kolom binnen onze organisatie

2.3

Afhankelijkheid

Nu de inventarisatie van de bedrijfsprocessen (2.2) en de informatiesystemen (2.3) heeft plaatsgevonden kan de afhankelijkheidsrelatie in beeld gebracht worden. De afhankelijkheid wordt hierbij gedefinieerd als de mate waarin de bedrijfs- en besturingsprocessen in een organisatie steunen op een (betrouwbaar werkend) informatiesysteem. Van ieder informatiesysteem is de mate van afhankelijkheid beoordeeld. Deze afhankelijkheid wordt uitgedrukt in een van de volgende typeringen:


pagina 1 o

Typering van het Waardering Informatiesysteem Het uitvoeren van de bedrijfsprocessen of het tot stand brengen van Vitaal producten/diensten is (nagenoeg) onmogelijk zonder de inzet van het informatiesysteem. Inzet van het Informatiesysteem is van levensbelang voor een goede uitvoering van het bedrijfsproces. Het informatiesysteem is wezenlijk voor het beheersen of besturen van de bedrijfsactiviteiten. Het informatiesysteem levert een belangrijke bijdrage aan de activiteiten Nuttig binnen het proces en/of de voortbrenging van producten/diensten. Bij het in het ongerede raken van het informatiesysteem, is slechts met grote, onevenredige inspanning voortzetting van het proces mogelijk. Inzet van het informatiesysteem heeft een positief effect op de doeltreffendheid en doelmatigheid van de organisatie. Het informatiesysteem geeft support bij de activiteiten binnen het Ondersteunend bedrijfsproces en is 'handig om te hebben'. Het informatiesysteem wordt niet gebruikt binnen het betreffende proces of de Geen relatie inzet is vruchteloos, onbruikbaar of zinloos.


pagina 11

De beoordeelde afhankelijkheden laten zich als volgt samenvatten: Afhankelijkheid informatiesystemen: A. Communicatiesystemen: A. 1 Groupwise A. 2 Explorer A. 3 Telefonie en netwerkinfrastructuur A. 4 Intranet A. 5 Internet

Ondersteunend Ondersteunend Vitaal Ondersteunend Ondersteunend

B. Registratiesystemen B. 1GWS4ALL B. 2 0DAS/ODIAS B. 3ALLEGRO

Vitaal Vitaal Vitaal

C. Informatiesystemen C. 1 GWS4ALL C. 2 Allegro C. 3 DDS4all/Key2datadistributie C. 4 Intranet C. 5 Portal alg. website C. 6DKD/EKB C. 7. LRD/GBA-V online

Vitaal Vitaal Nuttig Ondersteunend Nuttig Vitaal Vitaal


Vitaal Vitaal Nuttig Vitaal

2.4

Betrouwbaarheidseisen

Als laatste stap in de afhankelijkheidsanalyse zijn per informatiesysteem betrouwbaarheidseisen geformuleerd. Betrouwbaarheid wordt hierbij gedefinieerd als de mate waarin de organisatie zich kan verlaten op een informatiesysteem voor zijn informatievoorziening. Betrouwbaarheid wordt hierbij gesplitst in 3 aspecten: Beschikbaarheid


De mate waarin een informatiesysteem in bedrijfis op het moment dat de organisatie het nodig heeft.

pagina 12

Exclusiviteit

: De mate waarin de toegang tot een informatiesysteem en de kennisname van de informatie daarin is beperkt tot een gedefinieerde groep van gerechtigden. Integriteit : De mate waarin een informatiesysteem actueel en zonder fouten is. Deze betrouwbaarheidseisen zijn per informatiesysteem geformuleerd voor elk van de 3 aspecten en pp basis hiervan zijn per informatiesysteem 4 beveiligingsniveaus onderkend: Essentieel Belangrijk Wenselijk Geen criterium

: Beveiliging is een primair criterium en verplicht voor de organisatie : Beveiliging is absoluut nodig gezien de belangen van de organisatie : Een zekere mate van beveiliging wordt op prijs gesteld : Beveiliging is geen criterium voor de organisatie

De met behulp van deze criteria uitgevoerde afhankelijkheidsanalyse heeft als uitkomst: Beveiliging: A. Communicatiesystemen: A. 1 Groupwise A. 2 Explorer A. 3 Telefonie en netwerkinfrastructuur A. 4 Intranet A. 5 Internet

Belangrijk Wenselijk Belangrijk Wenselijk Wenselijk

B. Registratiesystemen B. 1 GWS4ALL B. 2 0DAS/ODIAS B. 4 ALLEGRO

Essentieel Essentieel Essentieel

C. Informatiesystemen C. 1GWS4ALL C. 2 Allegro C. 3 DDS4all/Key2datadistributie C. 4 Intranet C. 5 Portal alg. website C. 6DKD/EKB C. 7. LRD/GBA-V online

Essentieel Essentieel Essentieel Wenselijk Belangrijk Essentieel Essentieel


Belangrijk Essentieel geen criterium Belangrijk


pagina 13

3 De Kwetsbaarheidanalyse 3.1

Doel en inhoud van de Kwetsbaarheidanalyse

In het kader van de Kwetsbaarheidanalyse worden bestaande maatregelen geëvalueerd en eventueel nieuwe maatregelen geïntroduceerd om aan de in de Afhankelijkheidsanalyse (zie hoofdstuk 2) geformuleerde betrouwbaarheidseisen te kunnen voldoen. De uitkomst van de Kwetsbaarheidanalyse is een overzicht van geïmplementeerde en nog te implementeren (aanvullende) maatregelen. 3.2

Gekozen aanpak

Het VIAG handboek informatiebeveiliging beschrijft voor de Afhankelijkheids- en Kwetsbaarheidanalyse een methodiek die voor de SDD bruikbaar is gebleken. Daarbij wordt onderscheid gemaakt naar de volgende componenten, kortheidshalve naar de beginletters aangeduid met MAPGOOD: 1. Mens 2. Apparatuur 3. Programmatuur 4. Gegevensverzamelingen 5. Organisatie 6. Omgeving 7. Diensten Daarnaast wordt aangegeven niet te veel in detail te treden en de focus van een A&K analyse is in eerste instantie gericht op het totaalbeeld, organisatie breed. Voor de SDD is daarom gekeken naar de (verticale) toepassingen en de componenten Mens, Gegevensverzamelingen en Organisati, want deze behoren tot het verantwoordelijkheidsgebied van de directeur van SDD. De overige componenten behoren tot het verantwoordelijkheidsgebied van andere managers of directeuren binnen de GRD. Bovendien wordt een groot deel van de informatiebeveiligingsmaatregelen uitgevoerd door het SCD. Om deze redenen is gekozen voor een aanpak van de Kwetsbaarheidanalyse, gebaseerd op een inventarisatie van het genoemde maatregelen in het document "Inventarisatie beveiliging persoonsgegevens Sociale Dienst Drechtsteden". Daarbij is steeds aangegeven of deze al geïmplementeerd en werkzaam zijn, dan wel dat hier nog sprake zal moeten zijn van een implementatietraject van maatregelen.


pagina 14

3.3

Inventarisatie van maatregelen

In de SUWI-wetgeving is bepaald dat de uitvoerder van de Sociale zekerheidsregelingen en -wetgeving verantwoordelijk is voor de specifieke beveiliging van (verticale) toepassingen en de componenten Mens, Gegevensverzamelingen en Organisatie. De Kwetsbaarheidanalyse is gebaseerd geweest en gericht op de relevante maatregelen betreffende componenten Mens, Organisatie en Gegevensverzamelingen, waarvoor de directeur van de Sociale Dienst Drechtsteden verantwoordelijk is. Van deze maatregelen is nagegaan of deze binnen de SDD bekend zijn en al volledig geïmplementeerd zijn en zo ja waar de documentatie daarover te vinden is. De maatregelen welke nog niet bij de SDD zijn ingevoerd komen als actiepunt terug in hoofdstuk 4 Implementatie. Dit betreft met name een aantal maatregelen rondom invoering cleandesk beleid, SUWI-systemen, communicatie over het (informatie)beveiligingsbeleid en uitwisseling van gegevens met derden. De overige maatregelen worden geacht begrepen te zijn in de door SCD/A&T beheer aan de SDD te verlenen ICT dienstverlening. Over deze ICT dienstverlening wordt door onze directeur met de directeur van het SCD een Dienstverleningsovereenkomst (DVO) afgesloten. In feite is het DVO te beschouwen als dé maatregel waarmee de bij dit beveiligingsplan de SDD hun informatiebeveiliging voor wat betreft de componenten apparatuur, programmatuur, omgeving en diensten gedelegeerd hebben aan het SCD.

3.4

Toetsing maatregelen aan mogelijke bedreigingen

Tijdens deze stap van de Kwetsbaarheidsanalyse zijn de bedreigingen geïnventariseerd. Aan de hand van de geïnventariseerde maatregelen is beoordeeld of deze maatregelen toereikend zijn om deze bedreigingen het hoofd te bieden. Als dat niet het geval is zijn aanvullende maatregelen benoemd. De aanwezigheid van een bedreiging is te beschouwen als de argumentatie voor geïmplementeerde en nog te implementeren maatregelen. Voor de inventarisatie van mogelijke bedreigingen is gebruik gemaakt van de door A&T beheer ontwikkelde checklist bedreigingen. In het kader van dit Informatiebeveiligingsplan is gefocust op de MAPGOOD componenten, te weten: Personen, Organisatie en Gegevens. Per mogelijke bedreiging is beoordeeld of deze voor de SDD relevant is, welke maatregelen al zijn genomen en of aanvullende maatregelen gewenst zijn. De aanvullende maatregelen komen als actiepunt terug in hoofdstuk 4 Implementatie.


pagina 15

3.5

Periodieke toetsing van de maatregelen op bestaan en werking.

SCD/A&T beheer moet ook een Afhankelijkheids- en Kwetsbaarheidanalyses uitvoeren en een Informatiebeveiligingsplan opstellen, waarin haar back office maatregelen zijn beschreven. Aan A&T beheer is gevraagd om ieder kwartaal een incidenten rapportage te leveren die in het 2 wekelijks I&A overleg wordt besproken. Een en ander moet beschreven worden in de AO voor uitbestede automatiseringsactiviteiten (DVO) Hoofd staf middelen van de SDD beoordeelt al deze stukken en toetst jaarlijks de opzet en goede werking van de getroffen maatregelen. De uitkomsten hiervan worden middels het dienstrapport jaarlijks gemeentebreed gecommuniceerd en zijn daarmee ook voor de SDD beschikbaar. Ook de onvolkomenheden ten aanzien van de informatiebeveiliging van de SDD zullen hierin zichtbaar worden. De hierboven geschetste maatregelen geven de directeur SDD voldoende zekerheid over opzet en goede werking van de door Automatisering en binnen de SDD getroffen beveiligingsmaatregelen.


pagina 16

4 4.1

Implementatieplan Inleiding

Dit Informatiebeveiligingsplan is bedoeld om de afhankelijkheid van informatiesystemen in beeld te brengen en op basis van een inventarisatie van bestaande maatregelen in kaart te brengen wat additioneel nog geregeld moet worden. Dit hoofdstuk bevat wat additioneel nog geregeld moet worden en heeft daarmee de functie van implementatieplan. Voor alle hiernavolgende met een doorlopende nummering en een "*" voorziene actiepunten is een plan van aanpak zijn opgesteld. Daarin is per actiepunt een detailplanning opgenomen resulterend in implementatie uiterlijk 1 januari 2010. Van deze realisatiedata kan uitsluitend met beargumenteerde en expliciete instemming van de directeur van SDD worden afgeweken. 4.2

Veiligheidsbeleid

Iedere medewerker wordt op de hoogte gesteld van de voor hem of haar geldende beveiligingsvoorschriften en maatregelen. Dat is kort samengevat de inhoud van de in de Kwetsbaarheidsanalyse opgenomen maatregelen. Dit zal gebeuren door: 1* Een artikel op het Intranet over het Informatiebeveiligingsplan 2* De SDD zal op de eigen intranetsite een informatiebeveiligingspagina opnemen waarin de richtlijnen en naar andere beveiligingsaspecten en documenten wordt verwezen. Hierbij zal ook worden ingegaan op het omgaan met auteursrechtelijk beschermd materiaal. 3* Er zal een procedure door SDD/SM worden ontwikkeld voor melding van incidenten, zwakke plekken in de (informatie)beveiliging en bijzondere gebeurtenissen, inclusief de inrichting per dienstonderdeel van een door de informatiebeveiligingsfunctionaris te bemensen centraal meldpunt. 4* Er zal tussen de SDD en in afstemming met SCD/A&T beheernader overlegd worden over de inrichting van een vorm van toezicht op de naleving van vigerende privacywetgeving. 5* Met het SCD/ID zal een DVO moeten worden afgesloten voor de fysieke toegangsbeveiliging. 4.3

Standard DVO

Door de GRD is op 1 oktober 2008 de Producten en dienstcatalogus van het SCD ondertekend. Deze PDC bevat de afspraken over de door SCD aan de SDD te verlenen (ICT) dienstverlening:


pagina 17

6*

4.4

De SDD geeft aan aanvullende ICT-dienstverlening nodig te hebben. Het SCD/A&T beheer beaamt dit verzoek. Het is nu zaak zo spoedig mogelijk de procedures en afspraken binnen de DVO aan te passen door het MT van de SDD en de directie SCD om te komen tot een werkbare DVO. Richtlijnen

Binnen de GR Drechtsteden zijn 2 richtlijnen actief en door de NDD vastgesteld. Dit betreft de Richtlijn Telewerken en de Richtlijn e-mail en internetgebruik. Deze richtlijnen zullen naar de medewerkers moeten worden gecommuniceerd. Dat zal gebeuren door: 7* Het plaatsen van een artikel op het Intranet over de richtlijnen 8* Tevens zullen we bijeenkomsten gaan organiseren, waarbij medewerkers worden bijgepraat over de richtlijnen en wetgeving bij het gebruik van informatie(systemen). 4.5

Wachtwoordenbeheer

Er is in beginsel alleen sprake van persoonsgebonden user-id's (voor een persoon in een bepaalde functie) in casu toegangsrechten tot computers/netwerk/toepassingen. Dit is kort samengevat de inhoud van de in de Kwetsbaarheidsanalyse opgenomen maatregelen 4, 6 en 67 en leidt tot de volgende actiepunten: 9* Geïnventariseerd zal worden welke afwijkingen ten opzichte van deze regel bij de SDD bestaan en als die er zijn zullen deze adequaat beargumenteerd en bij de Informatiebeveiligingsfunctionaris gedocumenteerd worden. 10* Op het Intranet zal als onderdeel van de beveiligingsbeleidspagina de verantwoordelijkheid van de eigenaar voor het geheimhouden en het periodiek wijzigen van zijn password uiteengezet worden. 11 * Met SCD/A&T beheer moeten afspraken gemaakt worden over door het systeem af te dwingen periodieke vernieuwing van wachtwoorden. 4.6

Personeels- en Cleandesk beleid

In het personeelsbeleid is bepaald dat binnen de GRD sprake is van een Clean Desk Policy. Bij^le SDD is het nog wel noodzakelijk om hierop te blijven sturen. De daartoe benodigde acties zijn: 12* Met de Afdelings- en bureauhoofden zal handhaving van privacywetgeving en het cleandesk beleid worden besproken. 13* De binnen een dienstonderdeel aanwezige informatie zal in beeld worden gebracht aan de hand van classificatiecategorieën. De onder classificatie hoog risico vallende informatie zal daarbij expliciet zichtbaar worden gemaakt en zonodig van additionele maatregelen worden voorzien. 14* Er zullen voldoende papierversnipperaars of (extra) "blauwe" papierbakken beschikbaar moeten zijn om niet digitale informatiedragers gepast te kunnen vernietigen.


pagina 18

15*

4.7

Er zal een instructie dossierbeheer worden opgesteld met als belangrijkste inhoud dat in digitaal persoonlijke dossiers geen stukken zitten die ook niet in het fysiek archief en/of beleidsdossiers zouden zijn opgenomen. SDD informatiesystemen

In het kader van dit Informatiebeveiligingsplan worden alle bedrijfsprocessen en informatiesystemen geïnventariseerd. Dit plan bevat uitsluitend de uitwerking van de SDD toepassingen en organisatieonderdelen. 16* De Afhankelijkheidsanalyse en Kwetsbaarheidsanalyse voor de in hoofdstuk 2 opgesomde systemen zullen qua aanpak en termijnen op identieke wijze worden geïmplementeerd als de andere actiepunten zoals beschreven in paragraaf 4.1. 17* Speciale aandacht bij bovengenoemde inventarisatie zal de uitwisseling van gegevens met derden(re-integratiebedrijven, woningbouwcorporaties) krijgen zo ook onze verantwoordelijkheid tov beveiliging in de suwiketen/suwinet. 18* De autorisatie van medewerkers en functies binnen onze applicaties wordt ook een prominent onderdeel van bovengenoemde inventarisatie. 4.8

Formalisering

Dit Informatiebeveiligingsplan en de hierin opgenomen actiepunten vanuit de Afhankelijkheidsanalyse en Kwetsbaarheidanalyse die in dit document zijn opgenomen moeten nog definitief worden goedgekeurd in het MT van de Sociale Dienst Drechtsteden. Informatiebeveiliging is een lijnverantwoordelijkheid en daarom moet dit Informatiebeveiligingsplan door goedkeuring van de Directeur SDD geformaliseerd worden. 19* Formalisering van dit Informatiebeveiligingsplan bij de SDD geschiedt middels vaststelling door het MT SDD. 20* Tegelijk met de formalisering van dit plan dient ook de functie van Informatiebeveiligingsfunctionaris/Security Officer geformaliseerd te worden.


pagina 19

5 5.1

Calamiteiten en evaluatie Calamiteiten

Met de in hoofdstuk 3 en 4 beschreven maatregelen wordt beoogd bescherming te bieden tegen schade als gevolg van incidenten die voortvloeien uit de in de Kwetsbaarheidanalyse opgesomde bedreigingen. Het is echter niet uit te sluiten dat ondanks de getroffen maatregelen zich een incident voordoet waarbij inbreuk wordt gepleegd op de beschikbaarheid, exclusiviteit en/of integriteit van informatie. Als in een dergelijk geval daadwerkelijk schade ontstaat, spreken we van een calamiteit. Alle informatiebeveiligingsincidenten en calamiteiten worden gemeld bij de Informatiebeveiligingsfunctionaris die deze inclusief de afloop registreert ten behoeve van de periodieke evaluaties van dit Informatiebeveiligingsplan. Op het moment dat zich een informatiebeveiligingsincident en/of daaruit voortvloeiende calamiteit voordoet is de lijnmanager verantwoordelijk voor de melding hiervan bij de Informatiebeveiligingsfunctionaris en voor het treffen van adequate maatregelen die erin voorzien dat het bedrijfsproces wordt gecontinueerd en dat de schade wordt hersteld. Het is ondoenlijk voor iedere mogelijk optredende bedreiging vooraf adequate maatregelen te benoemen. Daarom zullen deze maatregelen in geval van een incident en/of calamiteit door de betreffende lijnmanager in afstemming met de Informatiebeveiligingsfunctionaris en eventueel de centrale helpdesk, situationeel worden bepaald.

5.2

Plan voor evaluatie en onderhoud

Niets is voor de eeuwigheid en dit Informatiebeveiligingsplan zeker ook niet. Dit maakt het noodzakelijk dat dit plan jaarlijks wordt geëvalueerd en zo nodig ook aangepast wordt. Op dit moment is een werkgroep protocol uitval systemen bezig om bij ICTverstoringen een noodplan achter de hand te hebben ook dit zullen we meenemen bij de implementatie in 2009 van het informatiebeveiligingsplan.


pagina 20

MPGPD GPD

Recommend Documents