Informatiebeveiligingsplan gebruik SUWINET

Informatiebeveiligingsplan gebruik Suwinet

Informatiebeveiligingsplan gebruik SUWINET De beveiliging van gegevens bij gebruik van Suwinet door medewerkers van de teams Werk en Inkomen van de eenheid StadThuis van de gemeente Deventer

Versie 1.0 Augustus 2009 Gemeente Deventer

1

Informatiebeveiligingsplan gebruik Suwinet

Inhoudsopgave 1  Inleiding ................................................................................................... 5  1.1 

Doel informatiebeveiliging ............................................................................................................... 5 

1.2 

Definitie informatiebeveiliging ....................................................................................................... 6 

1.3 

Leeswijzer ................................................................................................................................................. 6 

1.4 

Juridisch kader ....................................................................................................................................... 7 

  2  Reikwijdte ................................................................................................ 9  2.1 

Omgeving .................................................................................................................................................. 9 

2.2 

Uitgangspunten ..................................................................................................................................... 9 

  3  Beveiligingsbeleid ................................................................................... 10    4  Beveiligingsorganisatie ............................................................................ 10  4.1 

Organisatorische infrastructuur voor informatiebeveiliging .......................................... 10 

4.2 

Beveiliging van toegang door derden ........................................................................................ 11 

4.3 

Uitbesteding .......................................................................................................................................... 11 

  5  Classificatie en beheer van bedrijfsmiddelen ........................................... 11  5.1 

Verantwoording van bedrijfsmiddelen ...................................................................................... 11 

5.2 

Classificatie van informatie ............................................................................................................ 11 

  6  Beveiligingseisen ten aanzien van personeel ........................................... 12  6.1 

Beveiligingseisen bij aanname van personeel ........................................................................ 12 

6.2 

Training voor gebruikers ................................................................................................................. 13 

6.3 

Reageren op incidenten en storingen ......................................................................................... 13 

             6.3.1     Rapporteren van onvolkomendheden in de software.......................................... 13                   6.3.2     Lering trekken uit incidenten ........................................................................................ 13 

  7  Fysieke beveiliging en beveiliging van de omgeving ................................ 14  7.1 

Beveiligde ruimten ............................................................................................................................. 14 

7.2 

Fysieke beveiliging van de omgeving ......................................................................................... 14 

7.3 

Fysieke toegangsbeveiliging ........................................................................................................... 15 

7.4 

Beveiliging van apparatuur ........................................................................................................... 15 

             7.4.1     Het plaatsen en beveiligen van apparatuur ............................................................ 15 

2

Informatiebeveiligingsplan gebruik Suwinet

             7.4.2     Stroomvoorziening ............................................................................................................. 15               7.4.3     Beveiliging van kabels ...................................................................................................... 15               7.4.4     Onderhoud van apparatuur ........................................................................................... 15               7.4.5     Beveiliging van apparatuur buiten de locatie ........................................................ 15               7.4.6     Veilig afvoeren en hergebruiken van apparatuur ................................................ 15  7.5 

Algemene beveiligingsmaatregelen ............................................................................................ 16 

  8    Beheer van communicatie‐ en bedieningsprocessen… ............................. 16  8.1 

Bedieningsprocedures en verantwoordelijkheden ............................................................... 16 

8.2 

Systeemplanning en acceptatie .................................................................................................... 16 

8.3 

Bescherming tegen kwaadaardige software .......................................................................... 17 

8.4 

Huisregels ............................................................................................................................................... 17 

8.5 

Netwerkbeheer ..................................................................................................................................... 17 

8.6 

Behandeling en beveiliging van media ...................................................................................... 17 

8.7 

Uitwisseling van informatie en software .................................................................................. 17 

  9  Toegangsbeveiliging ................................................................................ 18  9.1 

Beleid ten aanzien van toegangsbeveiliging ........................................................................... 18 

9.2 

Management van toegangsrechten/autorisatiebeheer ..................................................... 18 

             9.2.1     Registratie van gebruikers .............................................................................................. 18               9.2.2     Speciale bevoegdheden ..................................................................................................... 18               9.2.3     Beheer gebruikerswachtwoorden ................................................................................ 18               9.2.4     Verificatie van de toegangsrechten ............................................................................. 19  9.3 

Verantwoordelijkheden van gebruikers .................................................................................... 19 

             9.3.1     Gebruik van wachtwoorden ........................................................................................... 19               9.3.2     Onbeheerde gebruikersapparatuur ............................................................................ 19  9.4 

Verantwoordelijkheden van netwerken .................................................................................... 19 

             9.4.1     Beleid ten aanzien van netwerkdiensten .................................................................. 19               9.4.2     Verplichte route ................................................................................................................... 19  9.5 

Toegangsbeveiliging voor besturingssystemen ..................................................................... 20 

             9.5.1     Netwerktoegang .................................................................................................................. 20               9.5.2     Systeemhulpmiddelen ....................................................................................................... 20               9.5.3     Stil Alarm ................................................................................................................................ 20               9.5.4     Gebruik van werkstations ................................................................................................ 20  9.6 

Toegangsbeveiliging voor toepassingen ................................................................................... 20  3

Informatiebeveiligingsplan gebruik Suwinet

9.7 

Monitoring van toegang tot en gebruik van systemen ....................................................... 20 

             9.7.1     Logging ................................................................................................................................. 20               9.7.2     Synchronisatie van systeemklokken ....................................................................... 21  9.8 

Mobiele computers en telewerken ............................................................................................... 21 

  10  Ontwikkeling en onderhoud van systemen ............................................. 21  10.1  Beveiligingseisen voor systemen .................................................................................................. 21  10.2  Beveiliging van toepassingssystemen ........................................................................................ 21  10.3  Beveiliging dataoverdracht ............................................................................................................ 22  10.4  Beveiliging van systeembestanden .............................................................................................. 22  10.5  Beveiliging bij ontwikkel­ en ondersteuningsprocessen .................................................... 22 

  11  Continuïteitsmanagement ....................................................................... 22  11.1  Aspecten van continuïteitsmanagement ................................................................................... 22 

  12  Naleving .................................................................................................. 22  12.1  Naleving van wettelijke voorschriften ....................................................................................... 22  12.2  Beoordeling van de naleving van het beveiligingsbeleid ................................................... 23  12.3  Overwegingen ten aanzien van systeemaudits ...................................................................... 23 

4

Informatiebeveiligingsplan gebruik Suwinet

1 1.1

Inleiding  Doel informatiebeveiliging 

De primaire en ondersteunende processen binnen de teams Werk en Inkomen (onderdeel cluster Werk, Inkomen, Zorg en Leefomgeving van de eenheid StadThuis) zijn in hoge mate afhankelijk van een adequate en betrouwbare informatievoorziening. Informatiebeveiliging is hierbij van essentieel belang en behoort onderdeel te zijn van de dagelijkse werkzaamheden van managers en medewerkers. In het kader van de uitwisseling van gegevens binnen Werk en Inkomen en met andere SUWI-organisaties wordt daaraan een aantal eisen gesteld. De daadwerkelijke beveiligingsmaatregelen rond de gegevensuitwisseling via Suwinet moeten bij alle organisaties van een gelijkwaardig niveau zijn en niet sterk van elkaar afwijken. Ook vanuit de wetgeving wordt aan de uitwisseling van gegevens een aantal eisen gesteld. Zo is op 1 september 2001 de nieuwe Wet Bescherming Persoonsgegevens (WBP) in werking getreden. Deze wet bevat een grote hoeveelheid regels voor het bewaren, inzien, raadplegen, verstrekken, koppelen, archiveren, kopiëren en vernietigen van gegevens. Al deze vormen van “verwerken” moeten in overeenstemming met de wet en behoorlijk en zorgvuldig plaatsvinden (artikel 7 WBP) en zijn slechts toegestaan op basis van één of meer in de WBP genoemde grondslagen (artikel 8 WBP). Op grond van de WBP kan een cliënt bij Werk & Inkomen inzage vragen in of correctie vragen van gegevens. Zulke verzoeken vereisen een zorgvuldige behandeling. Datzelfde geldt, in nog sterkere mate, bij de verstrekking van gegevens aan derden. Naast deze privacyaspecten van de gegevensuitwisseling dienen ook algemene beveiligingsaspecten in acht te worden genomen. In artikel 13 WBP is namelijk bepaald dat de verantwoordelijke medewerker passende technische en organisatorische maatregelen ten uitvoer moet leggen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich brengen. Deze maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. De vraag welke beveiligingsmaatregelen door gemeenten moeten worden genomen in het kader van de gegevensuitwisseling die plaatsvindt via het Suwinet dient te worden beantwoord aan de hand van de maatregelen omschreven in de zogenaamde risicoklassen. Het CBP gaat in haar rapport “Beveiliging van persoonsgegevens, achtergrondstudies en verkenningen ” uit van de navolgende vier risicoklassen: • • • •

Risicoklasse 0 publiek niveau; Risicoklasse I basis niveau; Risicoklasse II verhoogd risico; Risicoklasse III hoog risico.

In bijlage XIV van de Regeling SUWI wordt bepaald dat de gegevensuitwisseling die plaatsvindt binnen Suwinet onder te brengen is in de risicoklasse II/III.

5

Informatiebeveiligingsplan gebruik Suwinet 1.2 Definitie informatiebeveiliging  Als algemene definitie van informatiebeveiliging wordt in het VIR (Voorschrift  Informatiebeveiliging Rijksdienst 1994, vernieuwd in het VIR 2007) het volgende  gehanteerd:    “Het treffen en onderhouden van een samenhangend pakket van maatregelen ter waarborging van de exclusiviteit, integriteit en beschikbaarheid van de informatievoorziening”. In de nota informatiebeveiliging van de gemeente Deventer, nr. 2007.10943 is informatiebeveiliging als volgt gedefinieerd: “Informatiebeveiliging is het treffen en onderhouden van een samenhangend pakket van maatregelen ter waarborging van de beschikbaarheid, integriteit en exclusiviteit van alle informatiesystemen en van de informatie daarin.” Resultaat moet zijn het waarborgen van de continuïteit van de bedrijfsvoering en het minimaliseren van de schade voor de gemeente door het trachten te voorkomen van beveiligingsincidenten en het minimaliseren van eventuele gevolgen. Het betreft hier zowel de technische, de organisatorische, de juridische als de menselijke aspecten. 1.3 Leeswijzer  Dit document is opgesteld volgens de indeling van de Code voor Informatiebeveiliging (2002). Met een helder beveiligingsbeleid geeft het management sturing en ondersteuning ten behoeve van informatiebeveiliging. Deze paragraaf geeft aan welke verschillende onderwerpen aan bod komen. •

Hoofdstuk 2 geeft de Reikwijdte aan van de informatiebeveiliging in het kader van Suwi. Met een helder beveiligingsbeleid geeft het management van het cluster sturing en ondersteuning ten behoeve van informatiebeveiliging. • Hoofdstuk 3 betreft het Beveiligingsbeleid; hierin wordt aangegeven hoe dit beleid te laten aansluiten aan het beleid van andere Suwi-organisaties. • Hoofdstuk 4 beschrijft de Beveiligingsorganisatie; te stellen eisen aan deze organisatie worden verder uitgewerkt en ook wordt beschreven hoe het ten uitvoer brengen van het beveiligingsbeleid op gang wordt gebracht en gehouden door middel van een ingesteld managementkader. • Hoofdstuk 5 beschrijft de Classificatie en beheer van bedrijfsmiddelen; hierin worden de eisen en maatregelen beschreven t.a.v. vastlegging, verwerking en inzage van persoonsgegevens. De wetgeving rond de uitwisseling van gegevens tussen Suwi-organisaties beoogt de vastlegging, verwerking en inzage van persoonsgegevens te beschermen. Door heldere eisen te stellen aan het in kaart brengen en houden van bedrijfsmiddelen en informatie kunnen deze met passende maatregelen worden beveiligd. De bescherming van de gegevens wordt beschreven in de hoofdstukken 6 t/m 12. •

•

•

Hoofdstuk 6, Beveiligingseisen ten aanzien van personeel; geeft de passende beveiligingseisen aan voor het personeel; hierdoor worden risico’s op fouten zoveel mogelijk voorkomen. Hoofdstuk 7, Fysieke beveiliging en beveiliging van de omgeving; geeft de beveiligingsmaatregelen aan om schade aan gebouwen, de omgeving en de informatie van de teams te voorkomen. Hoofdstuk 8, Beheer van communicatie en bedieningsprocessen; geeft de beveiligingsmaatregelen aan om schade en verstoring vanuit de beheer- en bedieningsprocessen te voorkomen. 6

Informatiebeveiligingsplan gebruik Suwinet •

•

•

•

Hoofdstuk 9, Toegangsbeveiliging; Ter voorkoming van ongeoorloofde toegang tot informatie worden logische toegangsbeveiligingmethoden ingezet. Hoofdstuk 10, Ontwikkeling en onderhoud van systemen; Ter bescherming van informatie worden al tijdens de ontwikkeling van het systeem en de processen waarborgen ingebouwd. Hoofdstuk 11, Continuïteitsmanagement; Met adequaat continuïteitsmanagement worden de bedrijfsactiviteiten of de kritieke bedrijfsprocessen beschermd tegen grootschalige storingen en calamiteiten. Hoofdstuk 12, Naleving; Door middel van controles wordt vastgesteld in welke mate het beleid en de wettelijke verplichting worden nagekomen zodat eventuele schade tot het minimum kan worden beperkt.

1.4 Juridisch kader  Het juridische kader schetst waar het cluster zich voor wat betreft informatiebeveiliging voor gegevensuitwisseling binnen de Wet SUWI aan dient te houden.    1.4.1 SUWI Wet- en regelgeving en de WWB Naast de Wet Bescherming Persoonsgegevens (WBP) die stelt dat persoonsgegevens alleen voor bepaalde uitdrukkelijk omschreven en gerechtvaardigde doeleinden mogen worden verkregen zijn ook in de wetgeving bepalingen opgenomen die tot doel hebben de persoonlijke levenssfeer van betrokkenen te beschermen. Het betreft onder andere de Wet Structuur uitvoering werk en inkomen (wet Suwi), het Besluit en de Regeling SUWI. Uit de SUWI regelgeving vloeien doel en taken van de teams en de overige SUWI partijen voort. De wetgeving regelt onder meer de informatievoorziening van de Suwi-organisaties onderling en aan derden. Daarbij is bepaald dat de gegevensstromen tussen de Suwi-organisaties via het “Suwinet” verlopen. Gegevensstromen waarin de SUWI-regelgeving niet voorziet zullen, zonder goedkeuring van de Minister, niet plaatsvinden. Voor zover in de wet SUWI niet van de WBP wordt afgeweken geldt de WBP. Naast het feit dat vanaf 2004 iedere gemeente overeenkomstig Artikel 6.4, regeling Suwi, in een beveiligingsplan moet aangeven op welke wijze zij invulling geeft aan de beveiliging van gegevensuitwisseling in het kader van SUWI is ook de Wet Werk en Bijstand (WWB) relevant. In de WWB is een aparte paragraaf opgenomen over de regels die van toepassing zijn bij de uitwisseling van persoonsgegevens. In hoofdlijnen komt dat neer op: - Informatieplicht van werkgevers om inlichtingen te verstrekken betreffende de aanvrager van een uitkering of een uitkeringsgerechtigde betreffende omstandigheden die noodzakelijk zijn voor de uitvoering van de WWB; - Informatieplicht van diverse instanties indien noodzakelijk voor de uitvoering van de WWB; - Geheimhoudingsplicht van medewerkers die met persoonsgegevens in aanraking komen, tenzij het voor de uitvoering van de WWB noodzakelijk is dat deze gegevens aan anderen worden verstrekt; - Een verplichting binnen gestelde regels aan de gemeente ten aanzien van diverse instellingen tot het verstrekken van inlichtingen. Via het verslag over de uitvoering van de WWB dient de gemeente zich ook te verantwoorden over de juiste naleving van de WWB-bepalingen die betrekking hebben op gegevensuitwisseling.

1.4.2 Overige wetgeving Naast de bovengenoemde wet- en regelgeving en de WBP geldt er diverse andere wet- en regelgeving, zoals de Wet voor Computercriminaliteit, de Auteurswet en de Archiefwet. Vanwege

7

Informatiebeveiligingsplan gebruik Suwinet het algemene karakter van dit voorliggende beleid wordt hier verder niet op ingegaan.

8

Informatiebeveiligingsplan gebruik Suwinet

2

Reikwijdte 

2.1 Omgeving  De omgeving waarbinnen de richtlijnen, die in dit document worden beschreven, geplaatst moeten worden, wordt gedefinieerd door de volgende functies: •

•

•

Suwinet-Inkijk direct en snel ophalen van gegevens op een gestandaardiseerde wijze, op basis van webtechnologie, via Suwinet. Meldingen afhandelen van gebeurtenissen in de Suwi-ketens. Meldingen vinden plaats via RINIS (gestructureerd en actief) of via Suwinet SMTP (ongestructureerd maar nog niet mogelijk). Meldingen vallen dan ook buiten de meting. Suwinet-Mail uitwisselen van ongestructureerde berichten (e-mail) via Suwinet.

Tenminste de volgende elementen vallen binnen de reikwijdte van dit normenkader(zie ook onderstaande figuur):

Gemeentelijk domein WIZL

CWI SUWI

SUWI

SUWI

SUWI

BKWI

UWV

Figuur 1: Reikwijdte informatiebeveiliging Gegevensuitwisseling SUWI

• • • • •

Pc’s en het netwerk via welke toegang wordt verkregen tot de applicatie Suwinet-Inkijk (denk ook aan wachtwoorden, autorisaties en netwerkcomponenten); Dossiers (denk ook aan afdrukken, kopiëren, e-mailen) Organisatie (denk ook aan arbeidscontracten, handboeken / handleidingen / werkinstructies) Omgeving (denk ook aan locaties / ruimten, collega's, klanten) Systemen welke andere ketenpartners inkijkmogelijkheden bieden bij Werk en Inkomen.

2.2 Uitgangspunten  Uitgegaan wordt van de volgende uitgangspunten en aannames: • •

De Regeling SUWI dient als basis voor het bepalen van het beveiligingsniveau voor de uitwisseling van gegevens binnen Suwi; Het beveiligingsniveau is bepaald op basis van de betrouwbaarheidseisen die staan beschreven in bijlage XIV van de Regeling SUWI;

9

Informatiebeveiligingsplan gebruik Suwinet •

•

•

3

Het Richtlijnenboek informatiebeveiliging Suwi gemeenten – GSD is een verbijzondering van bijlage XIV van de Regeling SUWI; bij aanpassingen van de laatste dient dit richtlijnenboek overeenkomstig te worden bijgewerkt; Het richtlijnenboek informatiebeveiliging SUWI gemeenten is er op gericht te zorgen dat de verwerking en uitwisseling van persoonsgegevens tussen de Suwi- organisaties voldoen aan de wettelijke eisen; Informatiebeveiliging is een lijnverantwoordelijkheid.

Beveiligingsbeleid   

Het informatiebeveiligingsbeleid t.a.v. het taakgebied Werk en Inkomen is gebaseerd op het normenkader informatiebeveiliging Suwi, bijlage XIV van de regeling Suwi. Ook heeft het management goedkeuring gegeven ten aanzien van het beleidsdocument en uitgedragen aan de medewerkers. Daarnaast moet rekening worden gehouden met het gemeentebreed vastgestelde beveiligingsbeleid via de nota “Informatiebeveiliging”, nr. 2007.10943 d.d. 2-7-2007 die in de organisatie wordt ingevoerd. Deze nota is als bijlage bijgevoegd. Daarnaast is binnen de gemeente Deventer het rapport “Baseline informatiebeveiliging ICT” opgesteld waarin de beleidsuitgangspunten t.a.v. beveiliging nader zijn uitgewerkt, een kader wordt geboden om gemeentebreed (minimum) beveiligingseisen en -maatregelen vast te stellen die voor alle processen en systemen gelden en verantwoordelijkheden binnen de organisatie helder vast te leggen. Het rapport is vastgesteld voor de periode 2009 – 2012 en wordt jaarlijks bijgesteld aan de hand van actuele ontwikkelingen en de operationele stand van zaken.  

4 4.1

Beveiligingsorganisatie  Organisatorische infrastructuur voor informatiebeveiliging 

Binnen het management van de eenheid StadThuis moet informatiebeveiliging in gang worden gezet en worden beheerst. In deze paragraaf is aangegeven op welke wijze dit kan worden uitgevoerd: -

-

-

Functioneel wordt een teammanager benoemd als informatiemanager van de eenheid. In deze hoedanigheid is hij verantwoordelijk voor informatiebeveiliging. De senior medewerker informatisering monitort de uitvoering van het opgestelde beleid en zorgt voor het opstellen en onderhouden van het beveiligingshandboek. Daarnaast is hij formeel aangewezen als securityofficer van de eenheid. Periodiek is er overleg waarbij alle informatiemanagers van de verschillende eenheden van de gemeente aanwezig zijn. In dit periodiek overleg wordt ook gesproken over informatiebeheer binnen de hele gemeente.

Indien noodzakelijk wordt specialistisch advies over informatiebeveiliging ingewonnen. Dit kan betekenen dat intern overlegd wordt met de eenheid Bedrijfsvoering of dat externe specialisten worden ingehuurd. De teammanagers zijn in het kader van integraal management ook medeverantwoordelijk voor uitvoering van het opgestelde beleid. Concreet betekent dit dat zij een rol hebben in 10

Informatiebeveiligingsplan gebruik Suwinet het vergroten van de bewustwording bij de medewerkers inzake het correct omgaan met informatie. 4.2

Beveiliging van toegang door derden 

Wanneer externen werkzaamheden moeten verrichten aan ICT- voorzieningen bij de gemeente worden deze ingehuurd via de eenheid Bedrijfsvoering. Deze eenheid is verantwoordelijk voor de benadering van de firma's en eventuele planning. Als extra beveiliging, worden de serverruimten bij onderhoudswerkzaamheden enkel betreden in aanwezigheid van een medewerker van de eenheid Bedrijfsvoering. Onderhoudsmonteurs werken niet zonder toezicht in deze ruimten. Daarnaast is toegang tot serverruimten slechts mogelijk met een apart pasje. Slechts een aantal medewerkers van de eenheid Bedrijfsvoering is in het bezit hiervan. Het risico dat derden inzage hebben in persoonsgegevens is bij de gemeente voldoende ondervangen. Voordat applicaties met persoonsgegevens geopend kunnen worden, moet de gebruiker verschillende inlogcodes invoeren. Zonder login kan zelfs geen gebruik gemaakt worden van het gemeentelijke netwerk.   4.3 Uitbesteding  De beveiliging van informatie is bij de gemeente Deventer niet uitbesteed, maar wordt door de eenheid Bedrijfsvoering verzorgd. Wel is binnen de gemeente Deventer een werkgroep gestart die op beleidsniveau de taken, verantwoordelijkheden en bevoegdheden rondom informatiebeveiliging uitwerkt. In uitbestedingscontracten en SLA’s met ICT-leveranciers zijn (controle op) beveiligingseisen vastgelegd.  

5

Classificatie en beheer van bedrijfsmiddelen 

5.1 Verantwoording van bedrijfsmiddelen  Alle belangrijke informatiebedrijfsmiddelen binnen de gemeente Deventer worden / zijn beveiligd. Om een goed beeld te krijgen zullen de verschillende processen binnen Werk en Inkomen verder gedocumenteerd moeten worden, vooral op de volgende deelgebieden: • • • • •

Configuratiebeheer Incidentenbeheer Problemenbeheer Wijzigingenbeheer Versie/licentiebeheer

Hiervoor zullen te maken afspraken vastgelegd moeten worden. Binnen de gemeente Deventer is een CMDB (configuratiemanagement database) in gebruik waarin de relevante hardware configuration items staan vermeld. Daarmee is inzichtelijk welke ICT-bedrijfsmiddelen aanwezig zijn. Daarnaast worden door de verantwoordelijken voor modulebouw d.m.v. een spreadsheet de details over het maatwerk bijgehouden. 5.2 Classificatie van informatie  Binnen Werk en Inkomen wordt gewerkt met persoonsgegevens die aangemerkt kunnen worden als bijzondere persoonsgegevens zoals beschreven in artikel 16 Wet Bescherming Persoonsgegevens: “Paragraaf 2. De verwerking van bijzondere persoonsgegevens

11

Informatiebeveiligingsplan gebruik Suwinet Artikel 16 De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden behoudens het bepaalde in deze paragraaf. Hetzelfde geldt voor strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag”.

Omdat deze gegevens niet specifiek onderscheiden kunnen worden binnen de gegevensuitwisseling en gezien het grote aantal uitwisselingen, wordt de risicoklasse van de gegevens vastgesteld op een combinatie van II en III. Logbestanden en de gebruikersadministratie bevatten persoonsgegevens van medewerkers. De gegevens die worden vastgelegd in deze bestanden worden vastgelegd in risicoklasse I. Met de komst van Meridio en de ontwikkeling van het gebruik van digitale dossiers worden verschillende soorten post gecategoriseerd. Momenteel wordt onderzocht of via de weg van “backscannen” digitalisering van dossiers Werk en Inkomen kan en mag worden gerealiseerd. Om te voorkomen dat medewerkers van Werk en Inkomen bij een eventuele crash van het netwerk gegevens voor langere tijd kwijt zijn, worden dagelijks back-ups gedraaid van alle servers. Concreet betekent dit dat alle gegevens die zich op de servers bevinden (data, rapporten, beschikkingen etc.) elke avond worden opgeslagen. Het feitelijk uitvoeren van de back-ups wordt uitgevoerd door de eenheid Bedrijfsvoering, team ICT. Tussen dit team en de verschillende eenheden van de gemeente zijn afspraken hierover vastgelegd in een dienstverleningsovereenkomst. Binnen de eenheid StadThuis is afgesproken dat slechts medewerkers die werkzaam zijn in het primaire proces, de sociale rechercheurs en de applicatiebeheerders toegang hebben tot Suwinet en alleen voor hen wordt een gebruikersaccount en wachtwoord aangemaakt. Naast inloggen op het gemeentelijk netwerk is een aparte inlogactie noodzakelijk voor Suwinet  

6 6.1

Beveiligingseisen ten aanzien van personeel  Beveiligingseisen bij aanname van personeel 

Vast personeel Personeel dat in dienst is bij de gemeente valt direct onder het ambtenarenreglement. Dit betekent dat zij bij benoeming niet apart een verklaring dienen te ondertekenen dat zij op verantwoorde wijze omgaan met privacygevoelige informatie. In het ambtenarenreglement is dit al opgenomen. Wel krijgen medewerkers na hun benoeming een gemeentebrede introductie. Tijdens deze introductie ondertekenen zij een intentieverklaring. Als ambtenaar verplicht je je dan alle zaken waarvan je weet of vermoedt dat ze een vertrouwelijk karakter hebben, geheim te houden. Tijdelijk personeel en stagiaires Personeel dat werkzaamheden verricht bij Werk en Inkomen en niet in een ambtelijk dienstverband is benoemd, is gedetacheerd via een uitzendbureau. Deze tijdelijke medewerkers tekenen bij het uitzendbureau een verklaring, dat zij volgens de gestelde eisen omgaan met privacygevoelige informatie. Medewerkers tekenen geen aparte geheimhoudingsverklaring 12

Informatiebeveiligingsplan gebruik Suwinet 6.2

Training voor gebruikers 

De teams Werk en Inkomen instrueren de individuele gebruikers omtrent correcte omgang met ICT-voorzieningen. -

Er wordt met betrekking tot SUWInet een gebruikershandleiding uitgereikt aan alle nieuwe gebruikers.

-

Tijdens de algemene introductie van nieuwe medewerkers worden zij in kennis gesteld van het gebruik van privacygevoelige informatie.

-

Er zijn voor SUWInet handreikingen opgesteld in welke situatie al dan niet informatie aan klanten en/of derden verstrekt mag worden. Hiervoor kan worden teruggevallen op de SUWI handreiking “Privacy handleiding SUWI voor gebruikers”.

6.3

Reageren op incidenten en storingen 

Wanneer zich binnen Werk en Inkomen een storing op ICT niveau voordoet wordt dit gemeld bij de medewerkers informatievoorziening van de eenheid StadThuis en door hen eventueel doorgegeven aan team ICT (helpdesk). Iedere medewerker is in kennis gesteld dat storingen aan ICT- voorzieningen gemeld moeten worden. Na ontvangst van een foutmelding wordt door de helpdesk een callnummer gegenereerd. Na afhandeling van de storing krijgt degene die de storing heeft doorgegeven een melding dat de call is afgehandeld. Binnen de eenheid moet incidentenbeheer ook een belangrijke plek gaan innemen. Beveiligingsincidenten worden door de groep Informatievoorziening van de eenheid StadThuis gerapporteerd en gedocumenteerd. 6.3.1

Rapporteren van onvolkomenheden in de software

Bij de eenheid StadThuis is een medewerker verantwoordelijk gesteld voor SUWInet. Deze medewerker is ook degene die de autorisaties verstrekt aan individuele medewerkers. Bij eventuele problemen op softwaregebied is hij degene die als aanspreekpunt fungeert voor de medewerkers. Mochten de problemen niet gelijk op te lossen zijn, wordt het probleem doorgegeven aan het team IDM en / of leverancier van de software die dan verder actie onderneemt. Wanneer het onvolkomenheden betreft in de standaard software op een werkplek, is de helpdesk van het team IDM het eerste aanspreekpunt 6.3.2

Lering trekken uit incidenten

De gemeente Deventer maakt gebruik van een apart software pakket dat fungeert als een registratiesysteem voor servicecalls. Wanneer gebruikers problemen hebben met applicaties, wordt contact opgenomen met de groep informatievoorziening van de eenheid StadThuis en/of met het team ICT. Zij maakt vervolgens een call van de melding, waarna de oplossing wordt gezocht. Met behulp van het softwarepakket kunnen alle calls worden geregistreerd. Ook wordt vastgelegd op welk moment wijzigingen hebben plaatsgevonden. Een derde mogelijkheid die het systeem biedt is het vastleggen van oplossingen bij geplaatste calls. Op deze manier is het mogelijk om bij een vergelijkbare melding na te gaan of dit al eerder is voorgekomen en welke oplossing toen is aangeboden

13

Informatiebeveiligingsplan gebruik Suwinet

7 7.1

Fysieke beveiliging en beveiliging van de omgeving  Beveiligde ruimten 

De eenheid StadThuis is zeer afhankelijk van IT-voorzieningen voor het verrichten van de primaire processen. Uitval van deze voorzieningen heeft als risico dat bijstandsuitkeringen niet of niet tijdig uitbetaald worden. De servers zijn geplaatst in aparte ruimtes in het Stadskantoor en de toegang tot deze ruimtes is slechts toegestaan voor medewerkers van het team ICT. Door middel van het fysiek afsluiten van deze ruimten is ongeoorloofde toegang niet mogelijk. De Back-up gegevens, diverse generaties, worden in een andere ruimte bewaard dan de ruimte waarin de apparatuur is opgesteld terwijl het transport van de back-up tapes naar de externe bewaarlocatie is beveiligd door middel van het gebruik van een “datakoffer” tijdens het transport. Bij storingen aan de IT-voorzieningen worden monteurs ingeschakeld om de geconstateerde problemen op te lossen. Dit gebeurt na overleg met het team ICT. 7.2

Fysieke beveiliging van de omgeving 

Bij de gemeente Deventer zijn delen van de verschillende in gebruik zijnde gebouwen toegankelijk voor publiek. Dit betreffen wachtruimten, balies en spreekkamers die zonder beperkingen te betreden zijn voor bezoekers. De voor publiek vrij toegankelijke ruimten zijn in zoverre gedefinieerd dat de toegangsdeuren naar de niet voor publiek toegankelijk ruimten alleen geopend kunnen worden met een aparte sleutel (“druppel”), dan wel door de receptionist. Klanten kunnen niet zelfstandig de deuren openen. De gebouwen van de Gemeente Deventer zijn erg verschillend van indeling maar kunnen kort gezegd in vier zones ingedeeld worden. Zone 0: de omgeving en de gebouwen De gebouwen zijn voorzien van inbraakbeveiliging, waarvoor een contract is afgesloten met een externe partij. Ter afhandeling van een inbraakincident geldt een protocol. De contactpersonen die gewaarschuwd worden bij een beveiligingsincident staan genoemd in het protocol. De personeelsingang wordt beveiligd door middel van een elektronisch pasjessysteem. Zone 1:de wachtruimten en spreekkamers In de wachtruimten wordt door de beveiligingsbeambte en/of de receptionist opgetreden bij dreigende situaties. In de spreekkamers is stil alarm aanwezig binnen bereik van de medewerkers. Voor de afhandeling van dreigende situaties geldt het draaiboek 'Veiligheid' (vastgesteld op datum) Zone 2: de werkruimten Voor toegang tot zone 2 wordt een pasjessysteem gehanteerd. Vanuit zone 1 is toegang tot zone 2 geregeld door middel van een aparte toegangscode d.m.v. de zogenaamde “druppel”. Medewerkers van de gemeente zijn in het bezit van een dergelijke toegangscode. In het bezoekersregister, dat bij de receptie aanwezig is worden alle bezoekers geregistreerd (naam, naam organisatie, aankomst, vertrek). Bezoekers krijgen een bezoekerspas die zichtbaar gedragen dient te worden. Onderhoudsmedewerkers van leveranciers, installatiebedrijven etc. die geacht worden werkzaamheden te verrichten dienen zich te kunnen legitimeren als zijnde medewerker van het betreffende bedrijf.

14

Informatiebeveiligingsplan gebruik Suwinet Zone 3: ICT-ruimte Deze zone is gesitueerd op de bovenste verdiepingen van het Stadskantoor. Bezoekers (waaronder cliënten) zijn in zone 3 niet toegestaan. In deze ruimte staat de server van het tijdsregistratiesysteem. De toegang tot zone 3 is enkel mogelijk met een afzonderlijke sleutel.  7.3 Fysieke toegangsbeveiliging  Omdat het gebouw van het cluster WIZL op verschillende manieren betreden kan worden,  zijn ook afzonderlijke maartregelen genomen om dit te beveiligen. In deze paragraaf staat op  welke manier dit is gebeurd.  Personeelsingang Deze ingang is gelegen aan de Gibsonstraat en wordt beveiligd met behulp van een elektronisch toegangssysteem. Alle medewerkers van de teams zijn in bezit van een elektronische pas (druppel) om de toegangsdeur te openen. Indien bezoekers of derden zonder toegangspas zich melden bij de toegangsdeur kan via een intercomsysteem gecommuniceerd worden met het Officemanagement. Zij kan eventueel de toegangsdeur openen, zodat deze personen het gebouw kunnen betreden. Cliënteningang Deze ingang is gelegen aan de Smedenstraat via het “Werkplein” en is ook met videobewaking uitgerust. Toegang van de publiekstoegankelijke ruimten naar de werkruimten van medewerkers van de dienst is beveiligd door middel van deuren die enkel met een “druppel” geopend kunnen worden. Eventueel kunnen de deuren op verzoek van de medewerker door de receptionist geopend worden.  7.4

Beveiliging van apparatuur 

7.4.1 Het plaatsen en beveiligen van apparatuur De servers zijn in een aparte gesloten ruimte geplaatst waar geautoriseerde medewerkers (team IDM) kunnen binnengaan. Het is in deze speciale serverruimte niet toegestaan om andere apparaten te plaatsen die niet actief deelnemen aan het netwerk (koffieapparaat, printer, schoonmaakspullen etc.). 7.4.2 Stroomvoorziening De gemeente kan uitval van apparatuur in zekere mate voorkomen door een zogenaamde UPS, een noodstroomvoorziening en overspanningbeveiliging. 7.4.3 Beveiliging van kabels Alle bekabeling, van stroom- tot communicatiebekabeling, is afdoende beveiligd tegen interceptie of beschadiging. Hiervoor is een norm, de NEN 1010, in acht genomen. 7.4.4 Onderhoud van apparatuur Het onderhoud van apparatuur wordt verzorgd door de ICT- leverancier in overleg met het team ICT; door middel van periodieke audits wordt beoordeeld of de ICT- leverancier aan de in de Beveiliging Suwinet gestelde normen t.a.v. onderhoud van apparatuur voldoet. 7.4.5 Beveiliging van apparatuur buiten de locatie De uitwijklocatie is voorzien van fysieke beveiligingsmaatregelen, zoals sloten en camerabewaking. Voor de apparaten die bestemd zijn voor thuiswerkers zijn beveiligingsmaatregelen getroffen. 7.4.6 Veilig afvoeren en hergebruiken van apparatuur Bij uitfasering van apparatuur wordt door het team ICT in samenwerking met de leverancier gevoelige informatie verwijderd. 15

Informatiebeveiligingsplan gebruik Suwinet 7.5 Algemene beveiligingsmaatregelen  Ongeautoriseerde toegang wordt voorkomen door een standaard schermbeveiliging met wachtwoord die alle beeldschermen na een periode van inactiviteit blokkeert. Ook is het voor de medewerker mogelijk om zijn of haar werkstation te vergrendelen. Periodiek wordt gecontroleerd of gevoelige informatie op bureaus ligt. Tevens moet de medewerker periodiek een nieuw wachtwoord aanmaken wat aan een aantal voorschriften moet voldoen.  

8

Beheer van communicatie­ en bedieningsprocessen 

8.1 Bedieningsprocedures en verantwoordelijkheden  De medewerkers binnen Werk en Inkomen garanderen een correcte en veilige bediening van ITvoorzieningen. Alle werkprocessen die gebruikt worden in het primaire proces zijn gedocumenteerd met behulp van werkinstructies en werkbeschrijvingen. Wijzigingen in deze processen leiden veelal tot gewijzigde instructies. Op deze manier hebben de medewerkers van Werk en Inkomen altijd de beschikking over bijgewerkte instructies en beschrijvingen om de werkzaamheden uit te voeren. De implementatie van eventuele aanvullende softwarefunctionaliteiten wordt geregeld door de groep Informatievoorziening van het team Unitcontrol in overleg met het team ICT. In overleg met de betreffende teams wordt een datum geprikt om tot feitelijke installatie over te gaan. Wanneer op IT gebied veranderingen plaatsvinden worden de medewerkers van Werk en Inkomen daarover in kennis gesteld via de groep informatievoorziening. Indien noodzakelijk zal communicatie plaatsvinden via bedrijfsvoering, team ICT Alleen medewerkers van ICT zijn bevoegd in overleg met de groep informatievoorziening om wijzigingen in de ICT- infrastructuur aan te brengen. Op deze manier wordt voorkomen dat op verschillende plaatsen binnen de organisatie wijzigingen plaatsvinden en kunnen de zaken beheerst worden. De eenheid Bedrijfsvoering maakt bij calamiteiten op ICT-gebied gebruik van een vastgestelde methode. Deze methode geeft aan dat problemen door middel van een procedure worden afgehandeld. Verdere informatie is te vinden via de directeur Bedrijfsvoering. Iedere medewerker van de gemeente Deventer heeft toegang tot ICT- voorzieningen die noodzakelijk zijn voor de uitoefening van zijn/haar werkzaamheden. Er is duidelijk sprake van functiescheiding. Per functionaris verschillen, indien van toepassing, de autorisaties. Op deze manier wordt misbruik van voorzieningen tegengegaan. Achteraf vindt er controle plaats op het gebied van de rechtmatigheid van de primaire processen. Deze controle wordt uitgevoerd door medewerkers van het team Kwaliteitszorg en Ontwikkeling. Voor de uitvoerende werkzaamheden bij Werk en Inkomen wordt o.m. gebruik gemaakt van de automatiseringspakketten Civision Inkomen en Uitkeringen, IW3 en Allegro. Van deze pakketten is zowel een testomgeving als een productieomgeving voorhanden. Nieuwe software versies of reparaties (patches) worden eerst getest in de testomgeving alvorens ze geplaatst worden in de productieomgeving.

  8.2 Systeemplanning en acceptatie Bij de eenheid Bedrijfsvoering, team ICT wordt periodiek bekeken of de capaciteit van de verschillende servers van de gemeente nog voldoende is. De medewerkers van de groep Informatievoorziening bij Stadthuis hebben in deze geen rol. Nieuwe releases en updates worden eerst in de testomgeving uitgeprobeerd, alvorens implementatie in de productieomgeving plaatsvindt. Op deze wijze wordt het risico van

16

Informatiebeveiligingsplan gebruik Suwinet foutmeldingen geminimaliseerd. Bij de feitelijke implementatie van wijzigingen wordt overleg gevoerd tussen de groep informatievoorziening en het team ICT. 8.3 Bescherming tegen kwaadaardige software  De gemeente Deventer gebruikt voor haar netwerk een firewall om kwaadaardige aanvallen van buitenaf te voorkomen. De verantwoordelijkheid van deze firewall ligt bij het team ICT en is ook als zodanig opgenomen in het rapport “Baseline Informatiebeveiliging ICT”. Naast het gebruik van een firewall, gebruikt de gemeente Deventer ook antivirus software. Deze antivirus software is zowel op de servers geplaatst als op alle werkplekken. Het team ICT garandeert dat gebruikt gemaakt wordt van de laatste geactualiseerde versie. Hierover zijn contracten afgesloten met leveranciers 8.4 Huisregels De gemeente Deventer maakt gebruikt van een specifieke back-upapplicatie die dagelijks een reservekopie aanmaakt en op een andere locatie plaatst. Naast het aanmaken van een reservekopie, slaat de applicatie werkzaamheden (van bijvoorbeeld systeembeheer) en/of storingen op in een logboek. Er zijn afspraken gemaakt voor periodieke controle van de logboeken. 8.5 Netwerkbeheer De gemeente Deventer maakt geen gebruik van draadloze datacommunicatie; het draadloos uitwisselen van persoonsgegevens is daarom niet mogelijk. Uitwisseling van persoonsgegevens vindt plaats op basis van versleuteling. Medewerkers worden actief benaderd om geen persoonsgegevens via e-mail te verzenden, daar het netwerk niet afdoende beveiligd is voor versleuteling van e-mails. Het team ICT voert hier periodiek controles op uit. 8.6 Behandeling en beveiliging van media De media met geclassificeerde gegevens wordt conform de eisen behandeld en op een veilige manier bewaard, afgevoerd of vernietigd. Een procedure is opgesteld hoe medewerkers om dienen te gaan met de beschikbare media (cd's, diskettes, usb-geheugen). Zaken die hierbij aan de orde komen zijn de wijze van bewaren (in een gesloten bureaulade), hergebruik en vernietiging (inleveren bij team ICT). Gebruik van persoonsgegevens vindt plaats op basis van functiescheiding. Slechts de medewerkers die bevoegd zijn tot het ontvangen, bewerken en beheren van persoonsgegevens zijn in staat bij deze gegevens te komen. Elektronische systeemdocumentatie is opgeslagen in een aparte map op het netwerk. Alleen bevoegde medewerkers kunnen hierbij. De schriftelijke systeemdocumentatie wordt in een afsluitbare kast bij het team ICT bewaard. De inzet van notebooks en MDA’s binnen Werk en Inkomen is beperkt. MDA’s kunnen in noodgevallen op afstand worden gedeactiveerd, bijvoorbeeld in geval van diefstal. Informatie op notebooks en MDA’s wordt niet versleuteld. 8.7 Uitwisseling van informatie en software Voor verstrekking van persoonsgegevens is een overzicht opgesteld van de partijen (bijvoorbeeld Ib-groep, zorgverzekeraars) waar persoonsgegevens aan verstrekt mogen worden, waarbij ook duidelijk is gemaakt op welke wijze dit gebeurt (welke persoonsgegevens, geheimhouding, leges). Met deze partijen worden contracten afgesloten. Transport van persoonsgegevens wordt alleen verzorgd door betrouwbare koeriersdiensten, waarbij de informatie op het medium voorzien is van een wachtwoord.

17

Informatiebeveiligingsplan gebruik Suwinet Eerder in deze rapportage werd al genoemd dat nog geen aanvullende maatregelen zijn getroffen voor het netwerk om e-mail afdoende te beveiligen. Verzending van persoonsgegevens via e-mail mag daarom niet plaatsvinden.  

9

Toegangsbeveiliging 

9.1 Beleid ten aanzien van toegangsbeveiliging Binnen Werk en Inkomen is vastgelegd dat slechts personen die binding hebben met de primaire processen toegang krijgen tot SUWInet. Ondersteunende afdelingen hebben in principe geen toegang tot SUWInet. In het kader van de informatievoorziening ontvangt iedere medewerker autorisaties voor de voor hem belangrijke applicaties. 9.2

Management van toegangsrechten/autorisatiebeheer 

9.2.1 Registratie van gebruikers  Alle medewerkers hebben de beschikking over één persoonsgebonden account. Op deze wijze zijn alle computeractiviteiten terug te voeren tot de individuele personen. Het aanloggen gebeurt op basis van identificatie (gebruikers-id) en authenticatie (password). Hierna worden de gebruikers via een verplichte route naar een menu geleid. De gebruikersprofielen zijn organisatie-element georiënteerd en de toegang tot domeinspecifieke applicaties valt onder beheer van de medewerkers informatievoorziening. Zij geven in eerste instantie door aan het team ICT welke bevoegdheden een betreffende medewerker heeft, waarna de noodzakelijke applicaties aan het gebruikersprofiel worden gekoppeld. Bij de groep informatisering is bekend welke medewerkers van de teams Werk en Inkomen een gebruikersprofiel hebben. Concreet betekent dit dat bekend is wie bevoegd is tot het inloggen op het netwerk van de gemeente. Er kan een overzicht samengesteld worden omtrent deze gegevens. 9.2.2 Speciale bevoegdheden  Er zijn bij de teams Werk en Inkomen geen medewerkers met speciale bevoegdheden aanwezig. Met speciale bevoegdheden wordt bedoeld dat het mogelijk is als gebruiker de normale beveiliging in systemen of toepassingen te omzeilen. Wel is het mogelijk dat er tijdelijke logins worden toegekend voor het uitvoeren van werkzaamheden in het primaire proces. In de praktijk betekent dit bijvoorbeeld dat een consulent tijdelijk ook een login ontvangt van een andere functie in het primaire proces. Wel kan het voorkomen dat één medewerker twee verschillende autorisaties bezit, wat oneigenlijk gebruik niet kan voorkomen. Om de uitgifte van deze extra logins te beheren, wordt bijgehouden welke medewerker deze tijdelijke (tweede) login heeft en voor welke termijn. Op die manier is herleidbaar wie binnen Werk en Inkomen twee verschillende logins op hetzelfde moment bezit. Het verzoek om toekenning van de verschillende logins aan een medewerker wordt schriftelijk gemotiveerd door de teammanager en ingediend bij informatievoorziening. 9.2.3 Beheer gebruikerswachtwoorden  In het rapport “Baseline Informatiebeveiliging ICT” is opgenomen op welke wijze een nieuwe gebruiker wordt aangemaakt bij het team ICT en de rol daarbij van de groep Informatievoorziening. Er is binnen Deventer sprake van een consequent, systeemtechnisch afgedwongen en vastgelegd wachtwoordbeleid voor alle systemen en eindgebruikers (1 maal per 3 maanden gedwongen wijzigen van wachtwoord), dit om te voorkomen dat medewerkers gedurende zeer lange tijd hetzelfde wachtwoord gebruiken en om misbruik van de wachtwoorden te voorkomen.

18

Informatiebeveiligingsplan gebruik Suwinet

9.2.4 Verificatie van de toegangsrechten In genoemd rapport wordt ook aangegeven dat eens per twee maanden door het team ICT overzichten worden voorgelegd aan de verantwoordelijke managers ter extra controle van de toegang tot applicaties inzake autorisatie, toewijzing van wachtwoorden voor need to know benodigde systemen. 9.3 Verantwoordelijkheden van gebruikers  Effectieve beveiliging vereist de medewerking van de gebruikers. Zij dienen daarom te worden gewezen op hun verantwoordelijkheid voor het handhaven van effectieve toegangsbeveiliging, met name met betrekking tot het gebruik van wachtwoorden en de beveiliging van gebruikersapparatuur.   9.3.1 Gebruik van wachtwoorden  Medewerkers van Werk en Inkomen zijn zelf verantwoordelijk voor het voorkomen van ongeautoriseerde toegang. Dit betekent dat zij op een verantwoorde wijze om moeten gaan met wachtwoorden en registratie daarvan. Naar alle medewerkers is gecommuniceerd dat wachtwoorden strikt persoonlijk zijn en niet uitgewisseld mogen worden tussen collega’s (uitzonderlijke noodsituaties uitgesloten). Na eerste aanmelding dient de gebruiker het wachtwoord te wijzigen in een voor hem gemakkelijk te onthouden combinatie. Periodiek verschijnt de melding dat het netwerkwachtwoord verlopen is en een nieuw wachtwoord moet worden ingevoerd.    9.3.2 Onbeheerde gebruikersapparatuur  Voorkomen dient te worden dat tijdelijk onbeheerde gebruikersapparatuur ongeoorloofd gebruikt wordt om toegang te krijgen tot persoonsgegevens. Geen enkele computer is toegankelijk voor klanten of derden. Enkel de medewerkers van Werk en Inkomen zijn bevoegd tot gebruik hiervan. In de publiekstoegankelijke wachtruimte staan geen computers opgesteld voor klanten of derden. Bij de computers in de spreekkamers is wel enig risico aanwezig dat zij ongeoorloofd gebruikt worden, bijvoorbeeld bij afwezigheid van de medewerker. Het is mogelijk om per gebruiker voorkeursinstellingen toe te passen voor wat betreft schermbeveiliging. Dit betekent dat bij afwezigheid van de medewerker na een vastgestelde periode een schermwachtwoord ingevoerd moet worden om handelingen te kunnen verrichten. Er zijn hieromtrent concrete afspraken gemaakt. Bij het opstarten van elk werkstation is de gebruiker verplicht een gebruikers-id en wachtwoord in te geven alvorens van het gemeentelijke netwerk gebruik gemaakt kan worden. Om vervolgens de afzonderlijke applicaties te starten moet ook per applicatie een gebruikers-id en wachtwoord ingevoerd worden. 9.4 Toegangsbeveiliging van netwerken  Belangrijk om te noemen is dat medewerkers van Werk en Inkomen de toegang tot de interne en externe netwerkdiensten dienen te beheersen. Binnen de gemeente Deventer wordt gebruik gemaakt van een gemeentelijk netwerk dat onder verantwoordelijkheid valt van de eenheid Bedrijfsvoering. 9.4.1 Beleid ten aanzien van netwerkdiensten  Iedere medewerker van Werk en Inkomen ziet na het inloggen op het gemeentelijke netwerk slechts de applicaties waar hij voor geautoriseerd is. 9.4.2 Verplichte route  Alle datatransport vindt plaats door middel van vaste bekabeling die gecontroleerd is op betrouwbaarheid.

19

Informatiebeveiligingsplan gebruik Suwinet Binnen de gemeente Deventer wordt gebruik gemaakt van een eigen netwerk dat niet is aangesloten op een telefoonverbinding. Het datanetwerk is getoetst aan vastgestelde normen. 9.5 Toegangsbeveiliging voor besturingssystemen 9.5.1 Netwerktoegang Alle op het netwerk aangesloten werkstations worden bij aanmelding geïdentificeerd door de server. Na het invoeren van een persoonsgebonden gebruikersnaam en wachtwoord kan een medewerker gebruik maken van het werkstation. Bij drie foutieve aanmeldpogingen dient de medewerker zijn account te activeren bij de helpdesk van het team ICT. De kwaliteit van wachtwoorden wordt bewaakt door het standaard wachtwoordmanagementsysteem, waarbij wachtwoorden beperkt geldig zijn en lastiger te achterhalen zijn. 9.5.2 Systeemhulpmiddelen De systeemhulpmiddelen beschikken over een inlogprocedure, waarbij ook gekeken wordt naar autorisaties. 9.5.3 Stil Alarm Er zijn op verschillende plekken zogenaamde overvalalarmknoppen geplaatst. Dit is een stil alarm waarmee alarmcentrale X gealarmeerd wordt. Deze centrale zoekt contact met de gemeente en zo nodig met de politie. 9.5.4 Gebruik van werkstations Alle medewerkers kunnen standaard op werkdagen tussen 8:00 en 19:00 aanmelden op een werkstation. Tijdelijke medewerkers en parttime medewerkers krijgen toegang tot een werkstation binnen dezelfde gestelde tijden op de dagen dat ze daadwerkelijk aanwezig zijn. Wanneer situaties zich voordoen waarbij de medewerker op andere tijden dient aan te melden dient contact opgenomen te worden met de afdeling automatisering. 9.6 Toegangsbeveiliging voor toepassingen Voor het gebruik van applicaties waarbij gewerkt wordt met persoonsgegevens dient een medewerker een gebruikersnaam en wachtwoord in te voeren. De gebruikersnamen en wachtwoorden worden slechts uitgereikt aan geautoriseerde medewerkers. 9.7

Monitoren van toegang tot en gebruik van systemen     9.7.1 Logging Het Bureau Keteninformatisering Werk en Inkomen (BKWI) heeft rapportages ontwikkeld omtrent de logging van het gebruik van Suwinet-Inkijk. Het BKWI is verplicht om gegevens te loggen waarmee het gebruik van Suwinet-Inkijk per medewerker van o.a. de gemeentes kan worden nagegaan. De volgende gegevens worden gelogd: - het tijdstip van iedere login en log-out en andere actie; - de gebruikersnaam van degene die inlogt/uitlogt; - elk BS-nummer (of andere zoeksleutel) waarvan gegevens worden opgevraagd wordt als actie geregistreerd; - elke actie, zoals de bekeken kolom- of overzichtspagina´s;

Het doel van deze logging is tweeledig: tegengaan en controleren van onrechtmatige, onregelmatige of doeloverschrijdende verwerking: wetenschappelijke en/of statistische doeleinden. De gebruikers van Suwinet-Inkijk moeten weten dat over hen gegevens worden verzameld en vastgelegd. Dit is een belangrijk onderdeel van de privacybescherming ten opzichte van deze

20

Informatiebeveiligingsplan gebruik Suwinet medewerkers. Met het oog hierop moet de navolgende informatie worden verstrekt aan de medewerkers die (gaan) werken met Suwinet-Inkijk: - het bestaan van de logging-applicatie; - de (aard van de) gegevens die binnen deze applicatie worden gelogd; - doelen van de logging; - dat de gelogde gegevens niet voor andere doeleinden worden gebruikt dan waarvoor ze zijn vastgelegd; - de wijze en het moment waarop en door wie een onrechtmatig of doeloverschrijdend gebruik van het Suwinet-Inkijk wordt geconstateerd. - dat bij bovenstaande constatering dit door het afdelingshoofd Sociale Zaken wordt gecommuniceerd met de betreffende medewerker(s). In het kader van de beveiliging wordt voorgesteld om de gegevens over het gebruik van SuwinetInkijk 1x per 3 maanden te laten uitvragen. Het betreft dan de volgende gegevens: - inkijkacties; - opvragingen unieke BS-nummers; - geldige ten opzichte van ongeldige rollen; - Inlogpogingen; - Administrator accounts; - Accounts per status; - Opvragingen per pagina; - Geregistreerde ten opzichte van actieve accounts. De logginggegevens worden door de seniormedewerker informatievoorziening beoordeeld. Momenteel geeft de periodieke rapportage alleen maar een abstract inzicht over de opvragingen. Voor verdere analyse en beoordeling moeten ad-hoc rapportages worden opgevraagd; hiervoor zijn goede afspraken met het Inlichtingenbureau noodakelijk. 9.7.2 Synchronisatie van systeemklokken Handmatige aanpassing van systeemklokken van systemen wordt voorkomen door synchronisatie van systeemklokken op Suwinet. Tevens krijgt de medewerker geen toegang een systeemklok aan te passen. 9.8 Mobiele computers en telewerken  Alle laptops zijn voorzien van een gebruikersnaam en wachtwoord. Door het team ICT wordt er tevens op toegezien dat de laatste updates voor het besturingssysteem en virusscanner zijn geïnstalleerd.  

10

Ontwikkeling en onderhoud van systemen  

10.1 Beveiligingseisen voor systemen Bij de gemeente Deventer wordt gebruikt gemaakt van één groot netwerk, verdeeld over verschillende servers. Met behulp van het SWIM-concept (Standaard Werkplek Inrichting Gemeente) kan elke medewerker van de gemeente inloggen op iedere werkplek binnen de gemeente. Op elke werkplek is de inlogprocedure gelijk. Het beheer en onderhoud van het informatiseringsnetwerk is de verantwoordelijkheid van de eenheid Bedrijfsvoering 10.2 Beveiliging van toepassingssystemen  Bij de gemeente Deventer is het individuele werkstation van de medewerker beveiligd. Alle werkplekken binnen de gemeente Deventer zijn dusdanig beveiligd dat de harde schijf is afgeschermd om kwaadwillenden geen kans te geven software te installeren. Iedere medewerker moet zijn eigen toegekende inlognaam en wachtwoord intoetsen alvorens verbinding met het 21

Informatiebeveiligingsplan gebruik Suwinet gemeentelijke netwerk kan worden gemaakt. Er kunnen geen .exe bestanden door de gebruiker worden geïnstalleerd. Iedere medewerker die de mogelijkheid heeft om van de applicatie SUWI inkijk gebruik te maken heeft een aparte inlognaam ontvangen, voorzien van een wachtwoord. Velden met sleutelgegevens zijn afgeschermd om wijzigingen aan de instellingen te voorkomen.

10.3 Beveiliging dataoverdracht Het interne netwerk is beveiligd met een firewall en via de software. 10.4 Beveiliging van systeembestanden  De standaard werkplekinrichting bij de gemeente is zodanig dat de harde schijf van alle werkstations slechts beperkt toegankelijk is voor de individuele gebruiker. Servers van de gemeente zijn helemaal niet toegankelijk voor individuele gebruikers. Slechts medewerkers van het team ICT zijn bevoegd om systeembestanden te benaderen. 10.5 Beveiliging bij ontwikkel­ en ondersteuningsprocessen  Wijzigingen in applicaties worden automatisch gevolgd via een vastgestelde procedure.

11

Continuïteitsmanagement    Binnen het cluster WIZL is een proces gestart dat er op gericht is om calamiteiten en incidenten tot een aanvaardbaar niveau te beperken.   11.1 Aspecten van continuïteitsmanagement  Binnen Werk en Inkomen moet worden onderzocht hoe de primaire processen kunnen worden beveiligd tegen uitval van het ICT- systeem. Wanneer er verstoringen optreden voor het primaire proces zullen noodplannen in werking gezet moeten worden. Inzake calamiteiten zoals brand, bommeldingen etc. moet een calamiteitenplan van kracht zijn. Verder moet worden nagedacht over mogelijkheden van een uitwijkprocedure in het geval van bijvoorbeeld stroomstoringen.

12

Naleving 

12.1 Naleving van wettelijke voorschriften  De medewerkers van Werk en Inkomen hebben op verschillende onderdelen te maken met wetgeving waar zij aan moet voldoen. Zaken die te maken hebben met de Wet Bescherming Persoonsgegevens, Archiefwet en Wet SUWI zijn beschikbaar in het algemene archief van de gemeente Deventer dat is gevestigd in?????????. De medewerkers van Werk en Inkomen maken gebruik van verschillende applicaties. Er kan een onderscheid gemaakt worden tussen applicaties die enkel gebruikt worden door de teams en applicaties die gemeentebreed worden gebruikt. Voor de applicaties die enkel worden gebruikt bij Werk en Inkomen ligt de beheerstaak bij de groep informatievoorziening van het team UC binnen de eenheid StadThuis. Concreet zijn dit: • • • •

Civision Uitkeringen (inclusief alle koppelingen) Suwinet IW3 Allegro

22

Informatiebeveiligingsplan gebruik Suwinet De informatie inzake de overige applicaties wordt gedeeltelijk ook bij de groep informatievoorziening en ook centraal via het team ICT geregistreerd en gedocumenteerd. 12.2 Beoordeling van de naleving van het beveiligingsbeleid  Binnen de gemeente is een protocol van kracht waarin medewerkers op de hoogte gesteld worden van de richtlijnen hoe om te gaan met internetgebruik. Een voorbeeld hiervan is als bijlage bijgevoegd (zie handleiding). Dit protocol is voor iedere medewerker toegankelijk via het gemeentelijk intranet. 12.3 Overwegingen ten aanzien van systeemaudits  Het samenwerkingsverband Audit Aanpak van het College Bescherming Persoonsgegevens (CBP) en diverse instanties hebben auditproducten ontwikkeld waarmee vastgesteld kan worden hoe de teams binnen Werk en Inkomen persoonsgegevens verwerken. Deze producten zijn: •

•

•

De Quickscan: een beknopte vragenlijst waarmee functionarissen binnen een organisatie snel inzicht kunnen verkrijgen in de mate waarin men zich bewust is van de stand van zaken rond de bescherming persoonsgegevens; De WBP Zelfevaluatie: hiermee kan een organisatie zelfstandig en in betrekkelijk korte tijd de kwaliteit van maatregelen voor de bescherming en beveiliging van persoonsgegevens beoordelen. Door bij de uitvoering van de WBP Zelfevaluatie expliciet de sterke punten en verbeterpunten te identificeren, kan een goede basis worden gelegd voor vervolgactiviteiten; Het Raamwerk Privacy Audit: deze audit is bedoeld voor het opstellen van een werkplan voor het uitvoeren van een privacy audit door een (privacy)deskundige auditor. Een privacy audit geeft de leiding van een organisatie met een hoge mate van zekerheid een objectief oordeel over de naleving van de wettelijke bepalingen en daarmee ook inzicht in de sterke en zwakke punten rond de bescherming van persoonsgegevens.

Binnen de gemeente zal jaarlijks een interne meting plaatsvinden inzake de beveiliging van persoonsgegevens. Deze meting zal verricht worden door een medewerker van het team kwaliteitszorg en ontwikkeling in samenwerking met de security officer die voor Suwinet is benoemd.

23