LW

Z-14-15192 / 01. Inkomend 25172 /

-W

-Y ;

1;

'

I

ts3* io.

r g

W

äer^«ß?tI~'ff~

r,

*

J

_;

A/

W

ïïw I

J

,__„„_„,_»,a.„›«1›,

ä

Â

1.1;

.W-:ef

„„„,„«

_, W

Bollenstreek

„„„››

^

'

-Mw

"

*”

'

"

lmergjerneentelijke Sociale Dienst ltillcgom lisse noord\v'ljk noord\\fijlcerlioul tcylingcn

f

_

__ `

rtzf

rss

ü

em

ëëïfar

maw

I

'

'”“

"

V

V

W

W

,

Aan het college van B&W van de gemeente Noordwijkerhout P0StbU5 13 2210 AA NOORDWIJKERHOUT

Uw brief/kenmerk Ons kenmerk Bijlagen Inlichtingen Onderwerp

/ß J/ q

“-

H°b¿h°Sff¿¿f92

Postbus 255 - 2160 AG Lisse

: : :1 : F.R. Seiffers : Beveiligingsbeleid

Telefoon algemeen

: (0800) 95 67 000 (0252) 345 07.,

Fax

I

Website

: www.isdbolIenstreek.nl

E-mail

: [email protected]

IBAN

: NL50BNGH0285099914

Lisse, 3 september 2014 Verzonden: 18 september 2014

Geacht college, U ontvangt hierbij het beveiligingsbeleid van de ISD Bollenstreek met het verzoek dit vast te stellen. Informatiebeveiliging en privacybescherming zijn de afgelopen tijd regelmatig in het nieuws geweest. Een Suwi-onderzoek in december 2013 gaf aan dat slechts een klein gedeelte van de gemeenten aan alle beveiligingseisen voldeed. De ISD Bollenstreek is recent tweemaal positief ge-audit door onze accountant en voor de aansluiting op het DigiD netwerk. Ook hebben we de Suwi-zelftest uitgevoerd, waaruit een aanbeveling is voortgekomen en deze is overgenomen. Deze aanbeveling betekent dat we niet één keer per twee jaar een evaluatie uitvoeren, maar ieder jaar.

Uit de Suwi-zelftest van de VNG blijkt dat dit beleid vastgesteld moet worden door het management en het College van B&W. Voor ISD-en geldt bovendien dat alle gemeenten in het samenwerkingsverband het beveiligingsbeleid apart dienen vast te stellen. Na vaststelling door uw College hebben we ook aan deze beveiligingseis voldaan. In onze jaarverslagen zullen we rapporteren over de stand van zaken inzake beveiliging en privacybescherming.

Het beveiligingsbeleid is gebaseerd op de het model beveiligingsbeleid van KING en houdt rekening met de Code voor Informatiebeveiliging (NEN/ISO 27002) en de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Wij hebben de tekst waar nodig aangepast aan de feitelijke situatie bij de ISD Bollenstreek.

Gezien de commotie in de media over dit onderwerp adviseer ik u dit beveiligingsbeleid ter kennisname naar uw raad te sturen.

Ik vertrouw erop u hiermee voldoende geïnformeerd te hebben. Voor vragen kunt u terecht bij de controller, de heer F.R. (Freek) Seiffers, bereikbaar op (0252) 345 096. Met vriendelijke groet, het da ijks bestuur van de ISD olle tre k, namensdeze,

J. (Rob irecteu

)'t Jong /

,0/LW „/'

,„.„/“”

Scan nummer 1 van 1 - Scanpagina 1 van 29

Z-14-15192 / 01. Inkomend 25172 /

Saciale Diensí Intergemeentelijke hillugom lísxc uoord\\-'ijk 1c~,=li'ngcn nn<^›rd\\›ijkcrI1mx\

i

1 1

É

1 z

ï

INFORMATEEBEVEILIGINGSBELEID ISD Bøllenstreek

'

1

Scan nummer 1 van 1 - Scanpagina 2 van 29

Z-14-15192 / 01. Inkomend 25172 /

Colofon Naam document

.

lnformatiebeveiligingsbeleid

lSD Bollenstreek

Versienummer 1.0

Versiedatum Augustus 2014

Versiebeheer Het beheer van dit document berust bij de lnformatiebeveiligingsdienst voor gemeenten (IBD).

Copyright © 2013 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties.

2

Scan nummer 1 van 1 - Scanpagina 3 van 29

Z-14-15192 / 01. Inkomend 25172 /

:mw

.l

sneed Uitgangspunten informatiebeveiliging ISD Bollenstreek Organisatie van de informatiebeveiliging

1 2

............................................... 4 6

....................................................

2.1 2.2 2.3

3.1 3.2

_.

.. ......................................................... .. ........................................................... ..............................................

Interne organisatie Taken en rollen Rapportage en escalatlelijn voor informatiebeveiliging

Beheer van bedrijfsmiddelen

3

_.

_.

6 7 8

.......................................................... ._

11

..................................................... .................................................... ..1 1

Verantwoordelijkheid voor bedrijfsmiddelen Classi¿catie van informatie

._

12

.. ............................................................ .. ................................................. 14 15

Beveiliging van personeel Fysieke beveiliging en beveiliging van de omgeving Beveiliging van apparatuur en infom1atie

4 5 6

.. ........................................................

6.1 6.2 6.3 6.4

16

............................................................. .. ............................................... .. ........................................................... .......................................................... .. ..........................................................

Beheersmaatregelen Beheer van de dienstverlening door een derde partij Behandeling van media Uitwisseling van informatie

16 19 19 ..20

._

21

Logische toegangsbeveiliging

7

7.1 7.2 7.3 7.4 7.5

..21 ...............................................................

Authenticatie en autorisatie Externe toegang Mobiel en thuiswerken Overige maatregelen Beveiliging van informatiesystemen (software)

.. ............................................................... ............................................................ .. ............................................................. .. ........................................................

Beveiligingsincidenten

8

8.1 8.2

21 ..22 22 22

..............................................................

Melding en registratie Alarmfasen

_.

.................................................................. ..24 ..25

.................................................................. ................................................................ .................................................................. ..26 ..27

9 Bedrijfscontinui'teit 10 Naleving Doelstelling 10.1 10.2

11 11.1 11.2

24

..27 ............................................................. ..27 ..................................................................

Organisatorische aspecten (Wettelijke) kaders

Bijlage: Relevante documenten en bronnen

..28 ..........................................................

..28 ...........................................................................

Intern Extern

.................................................................... ..28

l i

~ 3

Scan nummer 1 van 1 - Scanpagina 4 van 29

s@

m

ss

m

wat

šssšešswaatšsesse mz mam

åatsspëstttets

sm*

@z

Z-14-15192 / 01. Inkomend 25172 /

essstreašs

Het belang van informatie(veiIigheid) Informatie is één van de voornaamste bedrijfsmiddelen van Intergemeentelijke Sociale Dienst Bollenstreek (ISD). Het verlies van gegevens, uitval van ICT, of het door onbevoegden kennisnemen of manipuleren van bepaalde informatie kan ernstige gevolgen hebben voor de bedrijfsvoering. Het kan ook leiden tot imagoschade. Ernstige incidenten hebben mogelijk negatieve gevolgen voor burgers, bedrijven, partners en de eigen organisatie met waarschijnlijk ook politieke consequenties. lnformatieveiligheid is daarom van groot belang. Informatiebeveiliging is het proces dat dit belang dient.

Visie De ISD draagt zorg voor een betrouwbare, integere en veilige informatieomgeving. Een betrouwbare informatievoorziening is noodzakelijk voor het goed functioneren van ISD en de basis voor het beschermen van rechten van burgers en bedrijven.1 De focus ligt hierbij op elektronische, papieren en mondelinge informatie.

Doelstelling Dit informatiebeveiligingsbeleid (IB-beleid) is het kader voor passende technische en organisatorische maatregelen om gemeentelijke informatie te beschermen. Hierbij waarborgen we dat de ISD voldoet aan relevante wet en regelgeving. Een onderdeel van het beleid is een opsomming van maatregelen die al genomen zijn en een SMART planning van maatregelen die nog genomen moeten worden. Dit geheel is verankerd in een PDCAcyclus.

Uitgangspunten - Het IB-beleid van ISD is in lijn met het algemene beleid van de ISD en de relevante landelijke en Europese wet- en regelgeving.2 Het beleid is gebaseerd op de Code voor Informatiebeveiliging (NEN/ISO 27002) en de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Het IB-beleid wordt vastgesteld door Dagelijks Bestuur van de ISD. Het management herijkt periodiek het IB-beleid.

o

o

Risicobenadering De aanpak van informatiebeveiliging in ISD is gebaseerd op de risico analyse. We gebruiken hiervoor de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) van VNG/KING (GAPanalyse). We voeren een risicoanalyse uit. De Security Officer (SO) inventariseert de kwetsbaarheid van de werkprocessen en de dreigingen die kunnen leiden tot een beveiligingsincident. Zij houden hierbij rekening met de beschermingseisen van de informatie. Het risico is de kans op beveiligingsincidenten en de impact daarvan op het werkproces. De afdeling kwaliteit bepaalt dit risico = kans x impact.

o

1

Met betrouwbaarheid wordt bedoeld: beschikbaarheid (continuïteit van de bedrijfsvoering), integriteit (juistheid, volledigheid) en vertrouwelijkheid (geautoriseerd gebruik) van gegevens en informatie. 2 Daarbij geldt het 'comply or explain' principe (pas toe of leg uit)

4

Scan nummer 1 van 1 - Scanpagina 5 van 29

Z-14-15192 / 01. Inkomend 25172 /

Doelgroepen Het IB-beleid ISD is bedoeld voor alle in- en externe medewerkers van de ISD:

o

,

..„,„

`.

;,_~w

ïf

/.„„„.,

%„„

~

.„„,„„›„

V.

W,

1

„,

,

2

„

„„„„§;„„„,;

.;„1:,:__;;;.

Integrale verantwoordelijkheid Kaderstelling en implementatie Sturing op informatieveiligheid en controle op naleving Gedrag en naleving Classificatie: bepalen van beschermingseisen van informatie Planvorming binnen Informatiebeveiligingskaders Dagelijkse coördinatie van informatiebeveiliging Arbeidsvoorvvaardelijke zaken Fysieke toegangsbeveiliging Technische beveiliging Toetsing Compliance

.>;b.1>„:','<'t>"¿f;;;;[Ij¿ffi-,;±,;'å›' <;;';.;«„j.;;~:„.;=,f.<-:\2i<.;.1;

Dagelijks Bestuur Managementteam Managementteam Allen Gegevenseigenaren

Beleidsmedewerkers Coördinatoren Stafafdeling P&O Bedrijfsondersteuning, UWV ICT ICT en applicatiebeheer Auditors IC Leveranciers en ketenpartners

I I

Scope De scope van dit beleid omvat alle processen binnen de ISD, onderliggende informatiesystemen, informatie en gegevens van de ISD en externe partijen, het gebruik daarvan door medewerkers en (keten)partners in de meest brede zin van het woord, ongeacht locatie, tijdstip en gebruikte apparatuur. Dit IB-beleid van de ISD is een algemene basis. Voor bepaalde kerntaken gelden op grond van wet- en regelgeving specifieke (aanvullende) bevei|igingseisen.3

o

o

Werking Dit IB-beleid treedt in werking na vaststelling door het Dagelijks Bestuur van de ISD en de colleges van de ISD-gemeenten.

o

I

I

3

Bijvoorbeeld SUWI (Structuur Uitvoeringsorganisatie

Werk en Inkomen) en gemeentelijke basisregistraties.

?

5

Scan nummer 1 van 1 - Scanpagina 6 van 29

'<

“ ._-.›f.;››:,

,„

„›.,-

-

„,_„_v„„.,›;.;-1,

~

ëï

esšäm

e

sešsšseåšestart dešašese

mz

Z-14-15192 / 01. Inkomend 25172 /

~;„-we <~'.

Risico's Het (structureel) uitvoeren en borgen van beheersmaatregelen loopt gevaar wanneer verantwoordelijkheden en bijbehorende taken, procedures en instrumenten niet expliciet zijn vastgelegd.

ø

Doelstelling Beheren van de informatiebeveiliging binnen de organisatie. Vaststellen van het beheerkader om de implementatie van informatiebeveiliging organisatie te initiëren en te beheersen.

in de

Goedkeuring door het management van het IB-beleid, de toewijzing van de rollen en de coördinatie en beoordeling van de implementatie van het beleid binnen de organisatie.

Verantwoordelijkheden Het Dagelijks Bestuur (beslissende rol) is verantwoordelijk voor de beveiliging van informatie binnen de werkprocessen ISD Het Dagelijks bestuur: stelt kaders voor informatiebeveiliging op basis van landelijke en Europese wet- en o regelgeving en landelijke normenkaders; Het MT (in sturende rol) is verantwoordelijk voor sturing, controle en uitvoering van het de informatiebeveiliging . Het MT5: o stuurt op risico's voor de lSD; controleert of de getroffen maatregelen overeenstemmen met de betrouwbaarheidseisen o en of deze voldoende bescherming bieden; 0 evalueert periodiek beleidskaders en stelt deze waar nodig bij. De ISD (in vragende rol) is verantwoordelijk voor de integrale beveiliging van haar

o

o

o

organisatieonderdelenô Het MT: stelt op basis van een expliciete risicoafweging betrouwbaarheidseisen voor de informatiesystemen vast (classificatie); is verantwoordelijk voor de keuze, de implementatie en het uitdragen van de maatregelen 0 die voortvloeien uit de betrouwbaarheidseisen; stuurt op beveiligingsbewustzijn, bedrijfscontinu'iteit en naleving van regels en richtlijnen o (gedrag en risicobewustzijn); o rapporteert over compliance aan wet- en regelgeving en algemeen beleid van de gemeente in de managementrapportages. De ISD organisatie (in uitvoerende rol) is verantwoordelijk voor uitvoering: De coördinatoren voor beveiliging van de informatievoorziening en implementatie van beveiligingsmaatregelen, die voortvloeien uit betrouwbaarheidseisen (c|assificaties); o

o

4

Zie ook: strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten Met betrekking tot de i-functie geeft de S0 op dagelijkse basis namens het MT invulling aan de sturende rol door besluitvorming in de directie voor te bereiden en toe te zien op de uitvoering ervan.

5

6

Zie ook: strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten

-

6

Scan nummer 1 van 1 - Scanpagina 7 van 29

Z-14-15192 / 01. Inkomend 25172 /

De applicatiebeheerder is verantwoordelijk I voor alle beheeraspecten van informatiebeveiliging, zoals ICT security management, incident en problem management en facilitaire zaken; I verzorgt logging, monitoring en rapportage; levert klanten (technisch) beveiligingsadvies. De medewerker P&O is verantwoordelijk voor de personele zaken.

ï.

V' zw

\I

« ›:

mm

I

Het Dagelijks Bestuur stelt het IB-beleid vast. Het MT adviseert het Dagelijks Bestuur over het vast te stellen beleid. Zowel het Dagelijks bestuur als het Algemeen Bestuur (controle functie) kan opdrachtgeven tot controle op uitvoering van het IB-beleid. De Security Officer geeft namens het MT op dagelijkse basis invulling aan de sturende rol . Hij doet dit door besluitvorming in het MT voor te bereiden en toe te zien op de uitvoering ervan. De coördinatoren , de medewerker P&O en de applicatiebeheerder voeren de informatiebeveiligingstaken uit. De security officer ziet erop toe dat zij de taken uitvoeren. De SO bevordert en adviseert gevraagd en ongevraagd over informatiebeveiliging en rapporteert eens per half jaar aan het MT over de stand van zaken. De coördinatie van informatiebeveiliging is belegd de security officer (SO). De coördinatoren, de medewerker P&O en de applicatiebeheerder voeren de uitvoerende taken uit. Zij rapporteren aan de SO. Het functioneren van informatiebeveiliging wordt jaarlijks gerapporteerd conform de P&O cyclus. Een van de applicatiebeheerders functioneert als securityfunctionaris voor het dagelijks beheer van technische informatiebeveiligingsaspecten. De securityfunctionaris rapporteert aan de Security officer (SO).

7

Scan nummer 1 van 1 - Scanpagina 8 van 29

Z-14-15192 / 01. Inkomend 25172 /

›„<«,»„«,^±:

›

§,«&1~>\\«4:훚š:§.\*>'<§ .-«,:›?«;z>=:›:„;m›>ß:?à= ='¿<e<«;;>š\\=«<«š;>J~*><›:=<<*§i<,\-we ,<›; ::,s.>,\;,=\,(~,>„,\:„;,›z;,-_,»,±; .>„».›_<~±~„:z›:;;;:\<=-_›=h.›.›.› g.~.>.=.~.=2k@,.›>íçø>;zz:;f<m¿nsïmwsz .f A ,1-›.s tw 2%;:„ßzz:*››:: ~ = =--1-ff›,«=-* ~°\>~^**š~*aí§ ›§:~?~ w-'~= sw :=.ë;f'z.ffw\».«x1.2z.:@.š§§@xeg«§&^«§§x›;w ze-~'a«› ~'@=N›§»<\>»›-›»:,¿ësf=:=\:2=ef~»* -ti \ '««~“~\*>f?»=š~`\` .rf-:=> , 3"/^ 22:44*›=„a,„.>,f.,.._ <›š›«„ , mx 3,\}\\§§«,›w, ff §%§i«P›.?šš~ï«>\®§ššï\\*`è<ššà '

.tv Max/:

fl

f«`?«}fí›,3~/tu"34/ø›§`1šï$›:`«*=»*š Éi,›3$»$E š>›f›í›1fëí<í›,<,>:*}«>§š§

,\›

,wi-,„<;„,;;,<*;,<;«;i§\›;<ms::>šmx:.t~1=1a

š~s

Sturen: MT dagelijkse uitvoering: S0

Ontwikkelen van kaders (beleid en architectuur); reglementen; meerjarenplanning

Vragen: Afdelingshoofden

Formuleren van beveiligingseisen (classi¿catie) en opstellen clusterbeleid en beveiligingsplannen

Uitvoeren: Coördinatoren, Applicatiebeheer en medewerker P&O (in uitvoerende rol)

sy

om wf. gem,:«f««,› Mi) W/ 4f'^;~»›'›››› i ty.,›„,>„„JW .,1 5 4 , ,«
VJ

W J:

;~\ݕ~,~

,@,

„

«,\='/›=

~._>~<:” rf

ff:

\›\=\ ,M

í

*'›„1f/

W

›

„N

x

,

5 .«1=„>>É5Ö§ ~;›« wy s .«. „~
<'›› ff-2, W

f

lnbedding landelijke en EU-richtlijnen, advisering, handreikingen, crisisbeheersing en incident respons. Stimuleren van Beveiligingsbewustzijn bij medewerkers, risico- en bedrijfscontinu'|'teitmanagement.

Controle, audit, pentesten

Bijstu ren: opdrachtverstrekking voor verbeteracties. Rapportage aan MT/ DB

Interne controle (IC), sturen op naleving van regels door medewerkers (gedrag). compliancy.

Verbeteren bedrijfscontinui`teit Rapportage aan

Leveren van security management en services (ICT), incidentbeheer, logging, monitoring

Vulnerability scanning, evaluatie en rapportage

Uitvoeren verbeteracties Advies aan de SO over aanpassingen aan de informatievoorziening

~>› -„„^.›„ 3. šfä › 1. >'

_

.s f›/'›'›>\

i I

^

”

1% ,/23 åvê¿,

v sw

ff;«›*«/rv/M

„wa

2

_

;//ø«§«

M

~;

,›\›„›f W/›.\í~f

=;=vf„-.< ,M =\§..›,.a; å«w.~„~ =-o,-rf '-fi?

MT/DB

w›,~

wa

;,

4

De Security Officer, coördinatoren, applicatiebeheerder en medewerker P&O hebben halfjaarlijks een overleg. De rapportage over dit overleg gaat volgens onderstaand overzicht. Security verantwoordelijke

SO

MT7

Externe partijen IB-beleid, landelijke normen en wet en regelgeving gelden ook voor externe partijen (leveranciers, ketenpartners) waarmee de ISD samenwerkt (en informatie uitwisse|t).8 Ook voor externe partijen geldt hierbij het 'comply or explain' beginsel (pas toe of leg uit). Bij contractuele overeenkomsten gelden in beginsel altijd de Algemene Inkoop Voorwaarden (AIV), waarin onder meer geheimhouding en aansprakelijkheid is geregeld. Afwijkingen op de AIV toetst de ISD aan het IB-beleid. Vereiste beveiligingsmaatregelen legt de ISD aanvullend vast in contracten. Daarin borgt de ISD dat externe partijen beveiligingsincidenten onmiddellijk rapporteren en dat de ISD het recht heeft afspraken te (laten) contro|eren.9 Voor het tot stand brengen van datakoppelingen met externe partijen, geldt een procedure 'Aanvragen externe toegang Intranet'. Het doel van de procedure is risicobeheersing.

o

o

o

7 8

9

De SO is adviseur van het MT en rapporteert tegelijkertijd direct aan het DB Beleidsregels voor externe partijen zijn beschreven in de Baseline Informatiebeveiliging Nederlandse Gemeenten. Hiervoor kan gebruik worden gemaakt van een 'third party mededeling' (TPM) of een ISAE 3402-verklaring.

~ 8

Scan nummer 1 van 1 - Scanpagina 9 van 29

«

4

:./«t>:=.~«

en advies

uw

K

Beleidsvoorbereiding, technische onderzoeken (marktverkenningen)

:›\:›~~

Z-14-15192 / 01. Inkomend 25172 /

Voor externe hosting van data en/of services gelden naast generiek IB-beleid de richtlijnen voor De ISD is gehouden aan: cloud computing.1° o regels omtrent grensoverschrijdend dataverkeer; toezicht op naleving van regels door de externe partij(en); o hoogste beveiligingseisen voor bijzondere categorieën gegevens11; melding bij college bescherming persoonsgegevens (CBP) bij doorgifte van persoonsgegevens naar derde landen (buiten de EU). OO

o

ICT crisisbeheersing

en landelijke samenwerking

Voor interne crisisbeheersing dient een kernteam lnformatiebeveiliging geïnstalleerd te zijn. Deze bestaat uit de security officer, applicatiebeheerder en de communicatiemedewerker. De werkwijze dient te zijn vastgelegd. ISD participeert in relevante landelijke platforms en onderhoudt contacten met andere sectoraal georganiseerde informatiebeveiligingsplatforms.

ø

~

l

PDCA lnformatiebeveiliging is een continu verbeterproces. 'PIan, do, check en act' vormen samen het management systeem van Informatiebeveiliging. Dit is in figuur 2 weergegeven. Toelichting figuur 2: Big: De cyclus start met het maken van een informatiebeveiligingsplan. Deze baseren we op het IB-beleid. In het plan staan regels voor onder meer informatiegebruik, bedrijfscontinuïteit en naleving. Dit plan stellen we jaarlijks op. De planning op hoofdlijnen is onderdeel van het ICT

0

~ o

jaarplan. Q: Het beleidskader is basis voor risicomanagement, uitvoering van (technische) maatregelen en bevordering van beveiligingsbewustzijn. Uitvoering maakt integraal onderdeel uit van het dagelijkse werkproces. Check: Control is onderdeel van het werkproces met als doel: waarborgen van de kwaliteit van informatie en ICT, en compliance aan wet- en regelgeving. Externe controle: betreft controle buiten het primaire proces door een auditor".Jaarlijks vinden meerdere onderzoeken plaats. De Security Officer is opdrachtgever. De auditor rapporteert aan de Security Officer en het MT. Agt; De cyclus is rond met de uitvoering van verbeteracties op basis van check en externe controle. De cyclus is een continu proces; de bevindingen van controles zijn weer input voor de jaarplanning en het beveiligingsplan.

o

o 0

o

kennisdeling/whitepapers/whitepapercloudcomputing.htmI whttps://www.ncsc.nl/dienstverlening/expertise-advies/Zie 11

Ras of etnische afkomst, politieke opvattingen, religie of overtuiging, het lidmaatschap van een vakvereniging,

genetische gegevens of gegevens over gezondheid of seksueel gedrag of strafrechtelijke veroordelingen 12 Van onder meer de accountant, rijksoverheid (voor bijv. basisregistraties) en gemeentelijke auditors (intern). '

9

i

Scan nummer 1 van 1 - Scanpagina 10 van 29

I

Z-14-15192 / 01. Inkomend 25172 /

PLAN o o 0

o

directie

Wet en regelgeving Landelijke normen BIG Beleid en doelstellingen ISD

Audit werking informatie beveiliging

ACT

Beleidskader lnfomatiebeveiliging Organisatie en governance o

ø

o o o

lnformatiegebruik en personele aspecten Beheer Toegangsbeveiliging en autorisatie Business continuity management Naleving en controle

Evaluatie

„

Management rapportages en stuurinfonnatie

Ai ik

.r Evalueren en bijsturen

Verbetervoorstellen

156

Inrichting en uitvoering processen

Rapportage status en effectiviteit Security maatregelen

w

DO

CHECK

o o ø

ø

ø

0-meting Richtlijnen en maatregelen Beveiligingsarchitectuur Uitvoeringsregelingen en handreikingen Bewustvvordingsacties Sturen op naleving

ršggš

šß

maatregelen

Selfassessments TPM Interne controle Management rapportage

Op basis van risicomanagement stellen we vast wat restrisico's zijn

11%*

Audit beleid versus

De uitvoering vertaald beleidskaders in concrete maatregelen en acties o

aa :ml jzåšl

á.

Beleidskader is basis

Inzicht status en effectiviteit Security maatregelen

Kwetsbaarheid Pentesten Social engineering

Evaluatie en rapportage

“

10

Scan nummer 1 van 1 - Scanpagina 11 van 29

2

Audit werking algemene IT beheer maatregelen Systeem en proces audit

nw

åš

§

§%

'rašrgååtša

rem

åašitraartrars åtadr

zäš

Z-14-15192 / 01. Inkomend 25172 /

Risico's: Als de ISD niet voor alle(lCT~configuratie) items vastlegt wie de eigenaar/hoofdgebruiker is, loopt zij het risico op diefstal, beschadiging of onoordeelkundig gebruik van haar bedrijfsmiddelen en informatie. Wanneer onduidelijk is wie verantwoordelijk is voor gegevensbestanden, is niemand verantwoordelijk voor de beveiliging en kan niemand optreden bij incidenten.

ø

ø

Doelstellingen Bereiken en handhaven van een adequate bescherming van bedrijfsmiddelen van de organisatie. Voor alle bedrijfsmiddelen is de eigenaar vastgelegd alsook de verantwoordelijke voor het handhaven van de beheersmaatregelen.

Beheersmaatregelen De medewerker financiën en control identificeert alle bedrijfsmiddelen en houdt een inventarislíjst bij. De applicatiebeheerder wijst alle informatie en bedrijfsmiddelen, die verband houden met ICTvoorzieningen aan een 'eigenaar' (een deel van de organisatie) toe. Het MT stelt regels vast, voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met ICT-voorzieningen. Zij zorgt voor documentatie en implementatie hiervan. Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming vooraf van de eigenaar van de locatie worden meegenomen. De eigenaar mag de verantwoordelijkheid voor specifieke beheersmaatregelen delegeren. Hij/zij blijft verantwoordelijk voor een goede bescherming van de bedrijfsmiddelen. Medewerkers dienen zich bij het gebruik van ICT-middelen, social media en ISD informatie te houden aan de gedragscode email en internetgebruik. Zij betrachten de nodige zorgvuldigheid bij het gebruik hiervan en waarborgen de integriteit en goede naam van de ISD. Medewerkers gebruiken ISD informatie alleen voor het uitvoeren van de aan hen opgedragen taken en het doel waarvoor de informatie is verstrekt. Privégebruik van ISD informatie en bestanden is niet toegestaan. Voor het werken op afstand en het gebruik van privémiddelen worden nadere regels opgesteld. De medewerker is in ieder geval gehouden aan regels zoals: o Hij/zij mag geen illegale software gebruiken voor de uitvoering van het werk. o Hij/zij beveiligt de ISD informatie op eigen computer, ondanks dat er geen plicht bestaat de eigen computer te beveiligen. o Hij/ zij houdt zich bij gebruik via de eigen computer aan regels zoals gelden bij gebruik in de (fysieke) kantooromgeving. De medewerker neemt passende technische en organisatorische maatregelen om ISD informatie te beveiligen tegen verlies of tegen enige vorm van onrechtmatig gebruik. De medewerker houdt hierbij in ieder geval rekening met: de beveiligingsclassificatie van de informatie (zie hieronder); de door de ISD gestelde beveiligingsvoorschriften (o.a. dit IB-beleid); aan de werkplek verbonden risico's; het risico door het benaderen van ISD informatie met andere dan door de ISD verstrekte of goedgekeurde ICT-apparatuur.

ø

ø

0

ø

ø

ø

~ o ø

OOOO

o

*

11

Scan nummer 1 van 1 - Scanpagina 12 van 29

Z-14-15192 / 01. Inkomend 25172 /

De ISD gebruikt bevei|igingsclassificaties13 om te kunnen bepalen welke beveiligingsmaatregelen moeten worden getroffen t.a.v. processen en informatiesystemen. Classificatie maakt het vereiste beschermingsniveau zichtbaar en maakt direct duidelijk welke maatregelen nodig zijn. Classificatie vindt plaats op drie betrouwbaarheidsaspecten van informatie: Beschikbaarheid, Integriteit (juistheid, volledigheid) en Vertrouwelijkheid (BIV).

Er zijn vier beschermingsniveaus van geen naar hoog. De niveaus zijn in onderstaande tabel weergegeven. Tussen haakjes staan voorbeelden. Deze niveaus zijn bedacht om het proces van classificeren te vereenvoudigen.

Risico's: o

o

Geen inzicht in welke componenten, zowel hardware als software, het belangrijkst zijn voor de processen. primaire Onjuiste classificatie draagt bij aan het onjuist beschermen van informatie en bedrijfsmiddelen met als risico, dat deze verloren kunnen gaan of openbaar worden terwijl dat niet de bedoeling is.

Doelstellingen Adequate bescherming van informatie

Beheersmaatregelen: ø

o o

informatie classificeren met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie. Opstellen en uitdragen classificatiebeleid binnen de gemeente. Ontwikkelen, implementeren van geschikte samenhangende procedures voor de classificering en verwerking van informatie overeenkomstig het classificatiesysteem dat is vastgesteld

13Dit is in detail

beschreven in de component

architectuur lnformatiebeveiliging 2014, CIO, 2014.

_ 12

Scan nummer 1 van 1 - Scanpagina 13 van 29

Z-14-15192 / 01. Inkomend 25172 /

(gr

3

ft ;<':;; §f« ; igåzf _, As' „g«ëg±,s,;.;;„1\..,

=g.-is “..f\,.f.,.12..ï,„.t

V

,a

.,

/›.~š„3<;=-›„;„; 5 4151

\.:„=f„i„;.

'

_;4,„__

,

»;«„;,/I;

„__.,_\_,„„„

et.

g ››gf, t ;.~,;~(=;›1 =~,§ W

s,2 r :mi

\V

„

„ <„ . f

Openbaar informatie mag door iedereen worden ingezien (bv: algemene informatie op de externe website van de ISD) Bedrijfsvertrouwelijk informatie is toegankelijk voor alle medewerkers van de organisatie (bv: informatie op het intranet)

Niet zeker informatie mag worden veranderd (bv templates en sjablonen)

Niet nodig gegevens kunnen zonder gevolgen langere tijd niet beschikbaar zijn (bv: ondersteunende tools als routeplanner)

Beschermd het bedrijfsproces staat enkele (integriteits~)fouten toe (bv: rapportages)

Noodzakelijk informatie mag incidenteel niet beschikbaar zijn (bv: administratieve gegevens)

Midden

Vertrouwelijk informatie is alleen toegankelijk voor een beperkte groep gebruikers (bv: persoonsgegevens, ¿nanciële gegevens)

Hoog het bedrijfsproces staat zeer weinig fouten toe (bv: bedrijfsvoeringinformatie en primaire procesinformatie zoals vergunningen)

Belangrijk informatie moet vrijwel altijd beschikbaar zijn, continuïteit is belangrijk (bv:primaire proces informatie)

Hoog

Geheim informatie is alleen toegankelijk voor direct geadresseerde(n) (bv: zorggegevens en strafrechtelijke informatie)

Absoluut het bedrijfsproces staat geen fouten toe (bv: informatie op de website)

Essentieel informatie mag alleen in uitzonderlijke situaties uitvallen, bijvoorbeeld bij calamiteiten (bv: basisregistraties)

Geen

Laag

Uitgangspunten o

o

o

o

ø

o

ø

De classificatietabel heeft betrekking op alle in beheer zijnde gegevensverzamelingen, gegevensdragers, informatiesystemen, servers en netwerkcomponenten. Het object van classificatie is informatie. We classificeren op het niveau van informatiesystemen (of informatiesen/ices). Alle classificaties van alle bedrijf kritische systemen zijn centraal vastgelegd door de SO. De eigenaren controleren de classificaties jaarlijks. informatie kan meer of minder gevoelig of kritisch zijn. Voor bepaalde informatie kan een extra niveau van bescherming of een speciale verwerking nodig zijn. De eigenaar van de gegevens (veelal ook de proceseigenaar) bepaalt het vereiste beschermingsniveau (classificatie). Indien sprake is van wettelijke eisen, geeft de eigenaar dit expliciet aan. De eigenaar van de gegevens bepaalt tevens wie toegang krijgt tot welke gegevens. De ISD streeft naar een zo 'laag' mogelijk classificatieniveau; te hoge classificatie leidt tot onnodige kosten. Bovendien dient informatie in beginsel voor zoveel mogelijk mensen beschikbaar te zijn (transparante overheid). De lSD streeft naar een balans tussen het te lopen risico en de kosten van tegenmaatregelen én daarnaast verdient een technische oplossing altijd de voorkeur boven gedragsverandering.

_ 13

Scan nummer 1 van 1 - Scanpagina 14 van 29

ts sas Wsrssstss

mm

mms

mm

we

sas

Wm

Z-14-15192 / 01. Inkomend 25172 /

Risico's o

Het aannemen of inhuren van nieuw personeel en het laten verrichten van werkzaamheden door externe medewerkers verdient extra aandacht, omdat menselijk handelen negatieve invloed kan hebben op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie.

Doelstelling Werknemers, ingehuurd personeel en externe gebruikers begrijpen hun verantwoordelijkheden en zijn geschikt voor hun rol. Verminderen van het risico van diefstal, fraude of misbruik van faciliteiten.

Beheersmaatregelen o

o

o

o

o

ø

o

o

o

o

De medewerker P&O is verantwoordelijk voor het juist afhandelen van de beveiligingsaspecten van het aangaan, wijzigen en beëindigen van een dienstverband of een overeenkomst met externen. De medewerker P&O houdt toezicht op dit proces. De verantwoordelijkheden ten aanzien van beveiliging ligt vóór het dienstverband vast in passende functiebeschrijvingen en in de arbeidsvoorwaarden. De ISD screent alle kandidaten, ingehuurd personeel en externe gebruikers voor een aanstelling, in het bijzonder voor vertrouwensfuncties. Alle medewerkers van de lSD overleggen voor indiensttreding een Verklaring Omtrent het Gedrag (VOG). De VOG wordt indien nodig herhaald tijdens het dienstverband. Werknemers, ingehuurd personeel en externe gebruikers, die ICT-voorzieningen gebruiken tekenen een overeenkomst over hun beveiligingsrollen en-verantwoordelijkheden. De afdelingshoofden bepalen welke rol(len) de medewerker moet vervullen en welke autorisaties voor het raadplegen, opvoeren, muteren en afvoeren van gegevens hij/zij daarvoor nodig heeft. Alle medewerkers (en voor zover van toepassing externe gebruikers van onze systemen) dienen training te krijgen in procedures die gelden voor informatiebeveiliging. Deze training herhaalt de ISD regelmatig om het beveiligingsbewustzijn op peil te houden. Bij beëindiging van het dienstverband en inhuur worden alle bedrijfsmiddelen van de ISD geretourneerd. Autorisaties worden in opdracht van de coördinatoren of de afdelingshoofden geblokkeerd. Bij inbreuk op de beveiliging gelden voor medewerkers de gebruikelijke disciplinaire maatregelen, zoals onder meer genoemd in het Ambtenarenreglement en regelingen geldend voor de ISD. Regels die volgen uit dit beleid en andere gemeentelijke regelingen gelden ook voor externen, die in opdracht van de gemeente werkzaamheden uitvoeren.

Bewustwording o o

ø

Het MT bevordert algehele communicatie en bewustwording rondom informatieveiligheid. De afdelingshoofden bevorderen dat medewerkers (en externe gebruikers van onze systemen) zich houden aan beveiligingsrichtlijnen. Afspraken hierover worden vastgelegd in het managementcontract. ln werkoverleggen wordt periodiek aandacht geschonken aan informatieveiligheid.

_ 14

Scan nummer 1 van 1 - Scanpagina 15 van 29

waarrita arttišïgrêëtr

W? W

.rig

šš

_

ww

ma

w

Wa

ag aa tauge

åä ms

r

ïä

mm am mm

base. ítšššäfgisšeiëa

mz,

Z-14-15192 / 01. Inkomend 25172 /

Risico's Het ontbreken van beveiliging kan leiden tot onbevoegde toegang tot kritieke systemen of waardevolle informatie. Verlies, schade of diefstal van apparatuur. Schade door fysieke bedreigingen en gevaren van buitenaf.

ø

ø

o

Doelstelling Het voorkomen van onbevoegde fysieke toegang tot, schade aan of verstoring van het terrein en de informatie van de organisatie, bedrij'fsmiddelen en onderbreking van de bedrijfsactiviteiten. Het beschermen van lCT~voorzieningen, met kritieke of gevoelige bedrijfsactiviteiten, door onbevoegden, schade en storingen.

tegen toegang

»

Het voorkomen van verlies, schade of diefstal van apparatuur en bescherming tegen fysieke bedreigingen en gevaren van buitenaf.

Beheersmaatregelen Het hoofdgebouw van de ISD en de ruimten die de ISD elders gebruikt krijgen een risicoprofiel toegewezen. De schade door bedreigingen van buitenaf beperkt de ISD door passende preventieve maatregelen. Toegang tot niet-openbare gedeelten van gebouwen is alleen mogelijk na autorisatie daartoe. De managementassistente registreert uitgifte van toegangsmiddelen. In gebouwen met beveiligde zones houdt beveiligingspersoneel toezicht op de toegang. Hiervan wordt een registratie bijgehouden. De kwaliteit van toegangsmiddelen (deuren, sleutels, sloten, toegangspassen) is afgestemd op de zonering (en het risicoprofiel). De fysieke toegang tot ruimten waar zich informatie en ICT-voorzieningen bevinden is voorbehouden aan bevoegd personeel. Registratie van de verleende toegang ondersteunt de uitvoering van de toegangsregeling. Serverruimtes, datacenters en daaraan gekoppelde bekabelingsystemen zijn ingericht in lijn met geldende 'best practices'. De ISD beschermt (Data)verbindingen tegen interceptie of beschadiging. Reserve apparatuur en back-ups zijn gescheiden in twee locaties of datacenters, om de gevolgen van een calamiteit te minimaliseren. Voordat de ISD apparatuur afvoert zijn gegevens en programmatuur van de apparatuur venNijderd of veilig overschreven. De ISD bewaart en vernietigt conform de Archiefwet 1995 en de daaruit voortvloeiende archiefbesluiten. De ISD registreert toegang tot kritieke systemen en waardevolle informatie zodat incidenten herleidbaar zijn tot individuen. De ISD heeft een clean desk policy. De ISD heeft procedures voor het veilig venivijderen of hergebruiken van ICT-apparatuur.

ø

ø

ø

ø

o

0

~

o

ø

ø

ø

ø

o o

15

Scan nummer 1 van 1 - Scanpagina 16 van 29

ss sets ssmättäåï

ss šïsšss

we

wma

mwm

Wa

wss

mam

Z-14-15192 / 01. Inkomend 25172 /

Risico's Het ontbreken van documentatie kan leiden tot fouten, niet-uniforme wijze van gegevensinvoer, of in geval de beheerder/bediener uitvalt, tot problemen rondom de continuïteit. Onjuiste autorisaties kunnen leiden tot foutieve handelingen, fraude en verduistering. Het niet uitvoeren en vastleggen van technische en functionele applicatietesten en/of de resultaten hiervan, kan in bepaalde omstandigheden (tijdsdruk, vakantieperiodes, etc.) leiden tot een verhoogd risico van uitval of gegevens verlies. De |SD gaat steeds meer samenwerken (en informatie uitwisselen) in ketens. Bij beheer van systemen en gegevens door een derde partij, kan ook informatie van de ISD op straat komen te liggen. De ISD blijft verantwoordelijk voor de informatiebeveiliging van haar gegevens in dat deel van de keten, waarbij het beheer bij een andere partij ligt. Programmatuur en ICT-voorzieningen zijn kwetsbaar voor virussen. Het ontbreken van een regeling voor antivirus bescherming bij medewerkers thuis leidt tot hogere beveiligingsrisicds.

o

o o

ø

o ø

Doelstelling Waarborgen van een correcte en veilige bediening van ICT-voorzieningen. Vastgestelde verantwoordelijkheden en procedures voor beheer en bediening van alle ICT voorzieningen. Dit omvat tevens de ontwikkeling van geschikte bedieningsinstructies. Toepassing, waar nodig, van functiescheiding om het risico van nalatigheid of opzettelijk misbruik te verminderen. :is

V

„ /

Organisatorische

-4

2% W

ff

'

af f' fl?

f Y

aspecten

ln beginsel mag niemand autorisaties hebben om een gehele cyclus van handelingen in een informatiesysteem te beheersen, wanneer dit kan leiden tot schade in beschikbaarheid, integriteit of vertrouwelijkheid. Als dit toch noodzakelijk is, legt het systeem een audit trail vast van alle handelingen en tijdstippen in het proces. Zo kunnen we de transactie herleiden. De audit trail is niet toegankelijk voor degene wiens handelingen worden vastgelegd. Er is een scheiding tussen beheertaken en overige gebruikstaken. Alleen als een medewerker is ingelogd als beheerder kan hij/zij beheen/verkzaamheden uitvoeren. Voor normale gebruikstaken is hij/zij ingelogd als gebruiker. Bij externe hosting van data en/of services (uitbesteding, cloud computing) blijft de ISD eindverantwoordelijk voor de betrouwbaarheid van uitbestede diensten. Dit is gebonden aan regels en vereist goede (contractuele) afspraken en controle hierop. Externe hosting van data en/of services is: o goedgekeurd door verantwoordelijke afdelingshoofd; o in overeenstemming met IB-beleid; o vooraf gemeld bij ICT t.b.v. toetsing op beheeraspecten.

o

o

0

o

' V

16

Scan nummer 1 van 1 - Scanpagina 17 van 29

Z-14-15192 / 01. Inkomend 25172 /

Systeemplanning

en -acceptatie

lCT of applicatiebeheer testen nieuwe systemen, upgrades en nieuwe versies op impact en gevolgen. Nieuwe systemen implementeren zij pas na formele acceptatie en goedkeuring door het MT. Zij documenteren de test en de testresultaten. Systemen voor Ontwikkeling, Test en/of Acceptatie (OTA) zijn logisch gescheiden van Productie (P)Faciliteiten voor ontwikkeling, testen, acceptatie en productie (OTAP) zijn gescheiden om onbevoegde toegang tot of wijziging in het productiesysteem te voorkomen. De lSD zorgt voor een tijdige aanpassingen van de beschikbare capaciteit aan de vraag.

ø

ø

ø

ø

Technische

aspecten

ICT/applicatiebeheer versleutelt alle gegevens anders dan classificatie 'geen' conform beveiligingseisen in de informatiebeveiligingsarchitectuur Classificatieniveau '|aag': transportbeveiliging buiten het interne netwerk; o Classificatieniveau 'midden': transportbeveiliging; o Classificatieniveau 'hoog': transport en berichtbeveiliging. o Versleuteling vindt plaats conform 'best practices' (de stand der techniek), waarbij geldt dat de vereiste encryptie sterker is naarmate gegevens gevoeliger zijn. De lSD beschermt gegevens op papier door een deugdelijke opslag en regeling voor de toegang tot archiefruimten. De lSD zorgt voor geautomatiseerde controle op virussen, trojans en andere malware bij het openen of wegschrijven van bestanden en bij inkomende en uitgaande e~mails. De update voor de detectiedefinities vindt in beginsel dagelijks plaats. Op verschillende niveaus binnen de ICT-infrastructuur (netwerkcomponenten, servers, pc's) past de lSD antivirus software van verschillende leveranciers toe. Alle apparatuur die is verbonden met het netwerk van de gemeente moet kunnen worden geïdentificeerd. uit in een logisch geïsoleerde omgeving om de kans op aantasting De lSD voert 'Mobile code'1914 van de integriteit van het systeem te verkleinen. De “mobile code' voert zij uit met minimale rechten zodat het de integriteit van het host systeem niet aantast De lSD beschermt documenten, opslagmedia, in- en uitvoergegevens en systeemdocumentatie tegen onbevoegde openbaarmaking, wijziging, verwijdering en vernietiging. Het (ongecontroleerd) kopiëren van 'geheime' gegevens is niet toegestaan, behalve voor backup door bevoegd systeembeheer. Alle informatie, die de lSD plaatst op haar website, beschermt zij tegen onbevoegde wijziging. Op de algemeen toegankelijke website publiceert zij alleen openbare informatie. De lSD scheidt groepen informatiediensten, gebruikers en informatiesystemen op het netwerk zodat zij de kans op onbevoegde toegang tot gegevens verder verkleint. Afhankelijk van de risico's die verbonden zijn aan online transacties treft de ISD maatregelen om onvolledige overdracht, onjuiste routing, onbevoegde wijziging, openbaarmaking, duplicatie of weergave te voorkomen. lCT/applicatiebeheer monitort en beheert het netwerk zodat zij aanvallen, storingen of fouten ontdekt en herstelt. Hierdoor komt de betrouwbaarheid van het netwerk niet onder het afgesproken minimum niveau (service levels).

ø

ø

ø

o

o

ø

ø

o

ø

o

o

o

ø

Mobiele (privé-)apparatuur

en thuiswerkplek

Beveiligingsmaatregelen hebben betrekking op zowel door de ISD verstrekte middelen als privéapparatuur ('bring your own device' (BYOD)). Wanneer een medewerker verbinding maakt op het lSD netwerk met privé-apparatuur is de lSD bevoegd om beveiligingsinstellingen af te dwingen. Dit betreft onder meer: controle op wachtwoord, encryptie, aanwezigheid van malware, etc. Het

o

14

Software die wordt uitgevoerd zonder expliciete toestemming van de gebruiker, zoals scripts (Java), Java applets, ActiveX controls en Flash animaties. Dergelijke software wordt gebruikt voor functies binnen (web)app|icaties. i

17

Scan nummer 1 van 1 - Scanpagina 18 van 29

Z-14-15192 / 01. Inkomend 25172 /

gebruik van privé-apparatuur waarop beveiligingsinstellingen zijn verwijderd ('jai| break', 'rooted device') is niet toegestaan. Op verzoek van de ISD dienen medewerkers de installatie van software om bovenstaande beleidsregel te handhaven toe te staan (denk bijvoorbeeld aan “mobile device management software'). De beveiligingsinstellingen, zoals bedoeld in bovenstaande regel, zijn uitsluitend bedoeld ter bescherming van de informatie van de ISD en integriteit van het netwerk. In geval van dringende redenen kunnen noodmaatregelen worden getroffen, zoals wissen van apparatuur op afstand. Deze noodmaatregelen kunnen, voor zover dit noodzakelijk is, betrekking hebben op privémiddelen en privébestanden. Hiervoor ontwikkelt de ISD een regeling.

Back-up en recovery In opdracht van de ISD, maakt ICT reservekopieën van alle essentiële bedrijfsgegevens en programmatuur zodat de ISD de continuïteit van de gegevensvervverking kan garanderen. De omvang en frequentie van de back-ups is in overeenstemming met het belang van de data voor de continuïteit van de dienstverlening en de interne bedrijfsvoering. Bij ketensystemen dient het back-up mechanisme de data-integriteit van de informatieketen te waarborgen. De back-up en herstelprocedures worden regelmatig (tenminste 1 x perjaar) getest om de betrouwbaarheid ervan vast te stellen.

informatie-uitwisseling Voor het gebruik van ISD informatie gelden de rechten en plichten zoals vastgelegd in de diverse documenten, zoals het CAR-UWO, geheimhoudingsverklaring, huisregels. Digitale documenten van de ISD waar burgers en bedrijven rechten aan kunnen ontlenen, maken gebruik van PKI Overheid certificaten voor tekenen en/of encryptie. Hiervoor wordt een richtlijn PKI en certificaten opgesteld. Er is een (spam) filter geactiveerd voor inkomende e-mail berichten.

Controle

15

.

.

OO

Het gebruik van informatiesystemen, uitzonderingen en informatiebeveiligingsincidenten, legt de ISD vast in Iogbestanden. Deze zijnin overeenstemming met het risico, en zodanig dat ze voldoen aan alle relevante wettelijke eisen 6.Relevante zaken om te loggen zijn: o type gebeurtenis (zoals back-up/restore, reset wachtwoord, betreden ruimte); o handelingen met speciale bevoegdheden; o (poging tot) ongeautoriseerde toegang; o systeemwaarschuwingen; o (poging tot) wijziging van de beveiligingsinstellingen. Een Iogregel bevat minimaal: een tot een natuurlijk persoon herleidbare gebruikersnaam of ID; o de gebeurtenis; o waar mogelijk de identiteit van het werkstation of de locatie; het object waarop de handeling werd uitgevoerd; het resultaat van de handeling; o de datum en het tijdstip van de gebeurtenis. o In een Iogregel slaat de ISD alleen de voor de rapportage noodzakelijke gegevens op. De ISD treft maatregelen om te verzekeren dat gegevens over logging beschikbaar blijven en niet gewijzigd kunnen worden door een gebruiker of systeembeheerder. De bewaartermijnen zijn in overeenstemming met wettelijke eisen.

15Controle is nader toegelicht

in de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). In sommige processen is het wettelijk verplicht of zeer gewenst dat geautoriseerde toegang wordt vastgelegd, zodat achteraf steeds kan worden vastgesteld wie toegang tot de gegevens heeft gehad. 16

18

Scan nummer 1 van 1 - Scanpagina 19 van 29

Z-14-15192 / 01. Inkomend 25172 /

f

„>f„f.í

§š*f;,›'\w

%;2›"':f2r§

=»./M'='›'==:›/

`2.»;'<-:i<.lt:.t

ë

4152,? wv W-

:am

›

šf¿. f»':f››É=^f'2„/=-ft /=f.Yl§;›"*,/";›M"= › /cz,

2@%:::3;š

fm

f

it

'

:';<=:2'y<^=:f3

atll

Risico's De ISD gaat steeds meer samenwerken en informatie uitwisselen in ketens. Bij beheer van systemen en gegevens door een derde partij kan ook informatie van de ISD op straat komen te liggen. De ISD blijft verantwoordelijk voor de informatiebeveiliging van haar gegevens in dat deel van de keten, waarbij het beheer bij een andere partij ligt.

ø

Doelstelling Een passend niveau van informatiebeveiliging implementeren en bijhouden en dit vastleggen in een (bewerkers)overeenkomst, contracten en/of convenanten.

I

Beheersmaatregelen De ISD zorgt voor implementatie en uitvoering van de beveiligingsmaatregelen, definities van dienstverlening en niveaus van dienstverlening zoals vastgelegd in de overeenkomst voor dienstverlening door een derde partij. De ISD controleert en beoordeelt de diensten, rapporten en registraties, die door de derde partij levert en voert periodiek audits. De ISD beheert wijzigingen in de dienstverlening door derden, in bijvoorbeeld bestaande beleidslijnen, procedures en maatregelen voor informatiebeveiliging.

o

ø

ø

Uitgangspunten In de basis-SLA voor dienstverlening is aandacht besteed aan informatiebeveiliging. Er is een basiscontract voor de toegang tot de ICT-voorzieningen en/of de informatievoorziening (bestanden, gegevens) door derden waarin kaders staan voor de toegang tot ICT-voorzieningen door derden. In contractbeheer, applicatiebeheer en functioneel beheer is naleving van de gemaakte afspraken opgenomen. o Programmatuur en ICT-voorzieningen zijn kwetsbaar voor virussen. Het ontbreken van een regeling voor antivirus bescherming bij medewerkers thuis leidt tot o hogere beveiligingsrisicds.

ø

o

I

”

mm

-„:

„,

,I

Risico's Venivijderbare media kan informatie bevatten, die in onbevoegde handen kan vallen bij onjuist gebruik, verlies of diefstal.

o

Doelstelling Voorkomen van onbevoegde openbaarmaking, modi¿catie, verwijdering of vernietiging van informatie en bedrijfsmiddelen. Beheersing en fysieke bescherming van media.

Beheersmaatregelen De ISD stelt procedures vast voor het beheer van verwijderbare media. De ISD stelt procedures vast voor het op een veilige manier verwijderen van media als ze niet langer nodig zijn. De ISD beschermt systeemdocumentatie tegen onbevoegde toegang.

ø ø

o

I

2

'

19

Scan nummer 1 van 1 - Scanpagina 20 van 29

Z-14-15192 / 01. Inkomend 25172 /

Uitgangspunten

o 0

ø

ø

De ISD heeft procedures voor het beheer van verwijderbare media en voor het veilig verwijderen of hergebruiken van ICT-apparatuur. De ISD wist of vernietigt harde schijven en andere media adequaat bij afstoting of hergebruik. De ISD heeft richtlijnen voor het opbergen van papieren en computermedia. De ISD heeft een innamebeleid voor mobiele apparatuur , zoals laptops, pda's, iPads, voor wanneer deze niet meer worden gebruikt. Encryptie op informatie met het classificatielabel vertrouwelijk en zeer geheim. ”`Ö^""

.M

o

É

M;

2, „; mx:

f §* 2°

*Z

›`

ï

2:

Risico's o

Verlies of diefstal van laptops, USB-sticks, iPads e.d., waarbij bovendien informatie in verkeerde handen komt.

Beheersmaatregelen o

o

o

ø

Vaststellen formeel beleid, formele procedures en formele beheersmaatregelen om de uitwisseling van informatie via het gebruik van alle typen communicatiefaciliteiten te beschermen. Vaststellen overeenkomsten voor de uitwisseling van informatie en programmatuur tussen de organisatie en externe partijen. Beschermingsmaatregelen voor media die informatie bevatten tegen onbevoegde toegang, misbruik of het corrumperen tijdens transport buiten de fysieke begrenzing van de organisatie. Bescherming van informatie, die een rol speelt bij elektronische berichtuitwisseling.

Doelstelling Handhaven van beveiliging van informatie en programmatuur, organisatie en met enige externe entiteit.

die wordt uitgewisseld binnen een

Beheersmaatregelen ø

ø

Een formeel uitwisselingsbeleid voor de uitwisseling van informatie en programmatuur tussen organisaties, dat in lijn is met de uitwisselingsovereenkomsten en relevante wetgeving Vastgestelde procedures en normen ter bescherming van informatie en fysieke media, die informatie bevatten, die wordt getransporteerd.

Uitgangspunten o

o ø

o

Geformaliseerde situatie rondom het transport van de back-ups en de mogelijkheden van leveranciers om toegang tot het netwerk te verkrijgen. Een basisraamwerk met randvoon/vaarden voor gegevensuitwisseling met ketenpartners. Gevoelige informatie (classificatie vertrouwelijk en zeer geheim) wordt nooit bekend gemaakt via telefoon of fax, in verband met bijvoorbeeld a¿uisteren. Bewustzijn en sociale controle om het risico op het lekken van informatie via telefoon e.d. te laten afnemen.

_ 20

Scan nummer 1 van 1 - Scanpagina 21 van 29

M wg

åíš sw 3 šü

ï? ltsegšsetrietasegartgsäetre

mt

Z-14-15192 / 01. Inkomend 25172 /

De identiteit van een gebruiker die toegang krijgt tot gemeentelijke informatie dient te worden toegang is gebaseerd op de classificatie van de informatie.

vastgesteld".Logische Risico's:

Wanneer toegangsbeheersing niet expliciet gebaseerd is op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en/of een aanvullende risicoanalyse, is niet duidelijk of het juiste niveau van beveiliging wordt gehanteerd. Verstoringen door onjuist gebruik van ICT-ruimtes of lCT~componenten (m.n. waar ook niet ICT~ teams toegang hebben). Toegang door ongeautoriseerde personen tot de door de ISD gebruikte (werk-)ruimten.

o

ø

0

Doelstelling Beheersen van de toegang tot informatie, ICT-voorzieningen en bedrijfsprocessen op grond van bedrijfsbehoeften en beveiligingseisen.

Beheersmaatregelen Beleid ten aanzien van informatieverspreiding

ø

en autorisatie.

Uitgangspunten De eigenaar van de data is bevoegd toegang te verlenen. De ISD gebruikt in de regel geen 'algemene' identiteiten. Voor herleidbaarheid en transparantie is het namelijk nodig om te weten wie een bepaalde actie heeft uitgevoerd. Indien dit geen (wettelijke) eis is kan worden gewerkt met functionele accounts. De ISD maakt ,waar mogelijk, gebruik van bestaande (landelijke) voorzieningen voor authenticatie, autorisatie en informatiebeveiliging (zoals: DigiD en eHerkenning).

ø

o

o

>„^š*š\^

o

De toekenning van wachtwoorden is voor een beperkte periode. Wachtvvoorden dienen aan eisen te voldoen, het systeem dwingt dit af. Voor medewerkers met speciale bevoegdheden (systeem en functioneel beheerders) gelden strengere eisen18. De gebruiker is verantwoordelijk voor het geheim blijven van zijn wachtwoord. Authenticatiemiddelen zoals wachtwoorden worden beschermd tegen inzage en wijziging door onbevoegden tijdens transport en opslag (door middel van encryptie). Autorisatie is rol gebaseerd. Autorisaties worden toegekend via functie(s) en organisatie onderdelen. Toegang tot informatie met classificaties “midden” of 'hoog' vereist 'multi-factor' authenticatie (bijv. naam/wachtwoord + token).

ø

o

ø

o

ø

ø

äf

›.i<:.:±›

.<;„;.f

De ISD kan een externe partij toegang verlenen tot het ISD netwerk. Hiervoor dient een procedure gemaakt en gevolgd te worden. Externe partijen kunnen niet op eigen initiatief verbinding maken met het besloten netwerk van de ISD, tenzij uitdrukkelijk overeengekomen.

o

17 Een gebruiker kan een medewerker, leverancier, burger, bedrijf, samenwerkingspartner

18 Het wachtvvoordbeleid is uitgewerkt in het informatiebeveiligingsplan 1

21

Scan nummer 1 van 1 - Scanpagina 22 van 29

of applicatie zijn.

Z-14-15192 / 01. Inkomend 25172 /

<›\

`_

mm

tm,

›» „,< x

De externe partij is verantwoordelijk voor authenticatie en autorisatie van haar eigen medewerkers. De ISD heeft het recht hierop te controleren en doet dat aan de hand van de audit trail en interne logging.

o

Voor werken op afstand is een thuiswerkomgeving beschikbaar, waarbij toegang tot vertrouwelijke informatie wordt verleend op basis van multifactor authenticatie. Onbeheerde apparatuur (privé-apparaten of de 'open Iaptop') kan gebruik maken van draadloze toegangspunten (WiFi). Deze zijn logisch gescheiden van het bedrijfsnetvverk. Mobiele bedrijfsapplicaties worden bij voorkeur zo aangeboden dat er geen ISD informatie wordt opgeslagen op het mobiele apparaat ('zero foot1print'). informatie dient te worden versleuteld bij 9 transport en opslag conform classificatie eisen. Voorzieningen als webmail, als ook sociale netwerk en clouddiensten (Dropbox, Gmail, etc.) zijn door het lage beschermingsniveau (veelal alleen naam en wachtwoord, het ontbreken van versleuteling) niet geschikt voor het delen van vertrouwelijke en geheime informatie.

o

ø

o

ø

gíçhâä-:~ „~=,\ W

(zw: ~>'=f„

§.<<«;@~«/fr /wa

-rg.

W. 9>›,= ››.>ë

zw.

Het fysieke (bekabelde) netwerk is niet toegankelijk voor onbeheerde apparatuur. Het netwerk van de ISD is waar mogelijk gesegmenteerd ( afdelingen, gebruikers en systemen zijn logisch gescheiden). Tussen segmenten met verschillende beschermingsniveaus worden access control lists (ACL's) geïmplementeerd.

o o

7-575? 5/3

§5<“ï*.

U

,

"i

"I

fi

.

.

_

..

,

7*

<

=
É

X;

f=

.

„

J

Doelstelling Bewerkstelligen dat beveiliging integraal deel uitmaakt van informatiesystemen.

Organisatorische

aspecten

Projecten met een hoog risicoprofiel vallen onder toezicht van ICT. Toetsing op architectuur en informatiebeveiliging is hier onderdeel van. Projectmandaten worden ten behoeve van behandeling in overleg binnen de ISD (onder meer) voorzien van een advies op informatiebeveiliging. In het programma van eisen voor nieuwe informatiesystemen of uitbreidingen van bestaande informatiesystemen worden ook relevante beveiligingseisen opgenomen.

o

o

0

Softwareontwikkeling

19 Separaat 2°

en onderhoud

Applicaties worden ontwikkeld en getest o.b.v. landelijke richtlijnen voor beveiliging, zoals richtlijnen voor beveiliging van webapp|icaties2°. Er wordt tenminste getest op bekende kwetsbaarheden zoals vastgelegd in de OWASP top 1021.

~

document

Nationaal Cyber Security Centrum, NCSC -i

22

Scan nummer 1 van 1 - Scanpagina 23 van 29

Z-14-15192 / 01. Inkomend 25172 /

Web applicaties worden voor de in productie name onder meer getest op invoer van gegevens (grenswaarden, format, inconsistentie, SQL injectie, cross site scripting, etc.). De uitvoerfuncties van programma's maken het mogelijk om de volledigheid en juistheid van de gegevens te kunnen vaststellen (bijv. door checksums). Alleen gegevens die noodzakelijk zijn voor de gebruiker worden uitgevoerd (doelbinding), rekening houdend met beveiligingseisen (classificatie). Toegang tot de broncode is beperkt tot de medewerkers, die deze code onderhouden of installeren. Technische kwetsbaarheden worden regulier met een minimum van 4 keer per jaar gerepareerd door 'patchen' van software, of 'ad hoc' bij acute dreiging. Welke software wordt geüpdatet wordt mede bepaald door de risico's.

o

ø

o

o

ø

Encryptie (versleuteling) De ISD gebruikt encryptie conform PKl-overheid standaardzz. Intern dataverkeer ('machine to machine') wordt conform classificatie beveiligd met certificaten. Beveiligingscertificaten worden centraal beheerd binnen de lSD.

~ ~ o

21

https://www.owasp.org/index.php/Main_Page

Public Key infrastructure voor de overheid waarborgt op basis van Nederlandse wetgeving de betrouwbaarheid van informatie-uitwisseling via e-mail, websites of andere gegevensuitwisseling.

22

i

23

Scan nummer 1 van 1 - Scanpagina 24 van 29

i

es

Q.

e

ä.

ä

ä É.

Z-14-15192 / 01. Inkomend 25172 /

ešëåssë

Risico's Als incidenten niet geregistreerd worden, is niet duidelijk waar en wanneer er zich incidenten voor doen of voor hebben gedaan. Op deze wijze kan er geen lering worden getrokken uit deze incidenten om deze in de toekomst te voorkomen of om preventief betere maatregelen te implementeren.

o

Doelstelling Bewerkstelligen dat informatiebeveiligingsgebeurtenissen en zwakheden, die verband houden met informatiesystemen zodanig kenbaar worden gemaakt dat tijdig corrigerende maatregelen kunnen worden genomen.

Beheersmaatregelen Formele procedures voor rapportage van gebeurtenissen en escalatie. Alle werknemers, ingehuurd personeel en externe gebruikers zijn op de hoogte van deze procedures voor het rapporteren van de verschillende soorten gebeurtenissen en zwakke plekken die invloed kunnen hebben op de beveiliging van de bedrijfsmiddelen. Er is een verplichte meldingssystematiek in werking om, alle informatiebeveiligingsgebeurtenissen en zwakke plekke zo snel mogelijk te rapporteren aan de aangewezen contactpersoon.

o

o

„, „ az*É „ „„ zi š~^ JM

uw

1*?êâíz

„.

,.,

Wifi

5 øa..

.M ,~. .§ 5: _: '<.› rê '-ëw sš <è››z>.

_.

M...

,g

,

z: :Z

„

,t

'41

f,

,

„ af

„

›-' <..„.

\<45

Z

L UM.. 51\«;<

De medewerker dient geconstateerde of vermoede beveiligingslekken en beveiligingsincidenten direct te melden bij de functionaris informatiebeveiliging van de ISD. Beveiligingsincidenten die worden gemeld bij de service desk, worden als zodanig geregistreerd en voorgelegd aan de security functionaris binnen ICT. Voor afhandeling geldt de reguliere rapportage en escalatielijn. Afhankelijk van de ernst van een incident is er een meldplicht bij het College Bescherming

o

o

o

Persoonsgegevensza.

Ernstige incidenten, waarbij een alarmfase (zie onder) in werking treedt, worden opgenomen in de rapportage van de SO.

o

23

De WBP wordt hierop aangepast, er is tevens een EU verordening op handen (2014 en verder)

m 24

Scan nummer 1 van 1 - Scanpagina 25 van 29

Z-14-15192 / 01. Inkomend 25172 /

Bij grote incidenten wordt gehandeld en opgeschaald conform de draaiboeken lCT crisisbeheersing. _

šïëvïfï ~\,~

\ft

,:„

f~~*= ~

1

/

«„.

W/

,\

'~>x<<

,

„«

a' „W

> ›'

M

_,f„

,„;«„

,4

:,«.;/.«„_ 3, fig ›«.\»~:” t 2 .›. 3-4 i ›

wi '„<:<;:-Sš

§-f

,:iï„=f,==- f=^>*„

1;

,dy

.,3

x

t.-„„„

i"i s~„;;›; „g;.›.

Lokaal ICT incident bij één

M

„,

.;„,

.

.:\=<.“*“

`

sfzff

J

1

`

„

,

tt??9,:

.

'

.

.W f4::;,'/2/.<ïtf›-~~.š~

<

t

ï Ff.<í'f

.V

›

\ ~f

§_L§§`.3f1i;f1í„

fi

šsl*

,

Q,

;

V

„,.

/

Oplosbaar probleem: bronbestrijding.

ln beginsel niet. Probleem wordt opgelost door ICT.

Melding aan SF en SO

Nog steeds een geïsoleerd probleem: bron effectbestrijding.

ln beginsel niet. Probleem wordt opgelost door ICT.

Melding aan SO Melding bij lBD indien nodig.

afdeling.

lCT-Incident bij meerdere afdelingen.

-

+

communicatie adviseur is optioneel.

ISD breed ICT-incident (en mogelijk andere gemeenten)

ICT-incident is ISD overstijgend (landelijk)

Impact op de dienstverlening wordt echt ervaren.

Kernteam komt bij elkaar. Afhankelijk van het incident (impact) treedt de GRIP structuur in werking. Bestuur, MT worden geïnformeerd.

Mogelijk treedt de GRIP structuur in werking. Het kernteam is dan in beginsel adviserend en voert desgewenst coördinatie (binnen het ICT domein).

impact op de dienstverlening is manifest.

25

Scan nummer 1 van 1 - Scanpagina 26 van 29

Melding aan SO Melding bij lBD (indien nodig).

Communicatie adviseur is vereist. Er is sprake van

landemke opschaling via de technische lijn (lBD NCSC) of via de maatschappelijke lijn (Ncc).

ë¿âe

WZ

ü ma

seeïtåššft

Wëh

W

“

W

e

em

ä

WM

Z-14-15192 / 01. Inkomend 25172 /

Risico's Wanneer er niet of nauwelijks invulling gegeven wordt aan de continuïteitsplanning is er naast een vals gevoel van veiligheid, ook grote kans op ad hoc maatregelen als een calamiteit zich voordoet. Het uitvallen van medewerkers (ziekte, sterven, ontslag) kan een reële bedreiging zijn.

o

ø

Doelstelling Onderbreken van bedrijfsactiviteiten tegengaan kritische bedrijfsprocessen beschermen tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen tijdig herstel bewerkstelligen. De ISD heeft een eigen plan voor Business Continuity Management (BCM) (bedrijfscontinuïteitsbeheer). ln de continuïteitsplannen besteedt zij aandacht aan: o Risico's; o Identificatie van essentiële procedures voor bedrijfscontinu`|`teit; o Wie het plan mag activeren en wanneer, maar ook wanneer er weer gecontroleerd wordt teruggegaan; Veilig te stellen informatie (aanvaardbaarheid van verlies van informatie); Prioriteiten en volgorde van herstel en reconstructie; Documentatie van systemen en processen; o Kennis en kundigheid van personeel om de processen weer op te starten. Er worden minimaal jaarlijks oefeningen of testen gehouden om de BCM plannen te toetsen (opzet, bestaan en werking). Aan de hand van de resultaten worden de plannen bijgesteld en wordt de organisatie bijgeschoold. OOO

o

ø

t,

~››:t:›.E;~ šwzxtfm í

Beleidsuitgangspunt

wføäeawtx ef: wm%m±=i'x›§iw»

Er zijn voor de belangrijkste processen en systemen continuïteits-/uitwijkplannen welke door middel van een beheerst proces tot stand komen. Continuïteitsplannen moeten regelmatig worden getest en actueel worden gehouden.

wv-r›f~§

st, tš¿ffíamšt

. _

_

3 åšgsttesšløn as:rw

›,

mexánwteiw

mt eisen

u<:›f«:tšr›<:1!f<*>åt=f~z~

gzitääfrz Km „ ~«;«mf›!;::@T›@;ttf@'a°t§;:;ft«t:t

ni-fm

je

j

\

/

,z

, i

f 'É

i¿šššzšzw¿åm/_É~ ..=.s,I§-2:* _

f:=:fr=.t%na§tzv~it›:<~

sl a«øm«.@r?
i

26

Scan nummer 1 van 1 - Scanpagina 27 van 29

Z-14-15192 / 01. Inkomend 25172 / l

l

X ÉÃ.

ä

@

J

-

.awärtšg

Doelstelling

.m

:iv

is

we sm

„

~.\

Het verbeteren van de kwaliteit van informatieveillgheid is een continu proces en onderdeel van alle processen waarin de lSD werkt met gevoelige informatie. lnformatieveiligheid is een kwaliteitskenmerk van het primaire proces, waarop het management van elke afdeling stuurt. De kwaliteit wordt gemeten aan: de mate waarin een volledige set aan maatregelen is geïmplementeerd, gebaseerd op o vastgesteld beleid; o efficiency en effectiviteit van de geïmplementeerde maatregelen; de mate waarin de informatiebeveiliging het bereiken van de strategische doelstellingen o ondersteunt. De SO zorgt namens het MT voor het toezicht op de uitvoering van het IB-beleid. lCT en externe hosting providers leggen verantwoording af aan de lSD over de naleving van het IB-beleid. Bij uitbestede (beheer)processen kan een verklaring bij leveranciers worden opgevraagd (TPM of |SAE3402-verklaring). Naleving van regels vergt in toenemende mate ook externe verantwoording, zoals voor het gebruik van DigiD, SUWI en GBA. Aanvullend op dit IB-beleid kunnen daarom specifieke normen gelden voor clusters24. De SO laat periodiek de kwaliteit van informatieveiligheid onderzoeken door gemeentelijke auditors en door onafhankelijke externen. ln de P&C cyclus rapporteert de lSD over informatieveiligheid aan de hand van het 'in control' statement. De lSD legt een beveiligingsdocumentatiedossier aan en onderhoudt dit. Dit dossier bevat alle relevante verplichte en niet verplichte documenten waaruit blijkt of kan worden aangetoond dat aan de specifieke beveiligingseisen is voldaan.

o

o

o

ø

o

ø

ø

,-5 /R1 f

(Tc: „

1"

Ei* .›, §„„~;t

f

.«.

é,

-

ff

5Ef*ïf5§.„ › wtf:

`>

55

sn:

,.

.

,av

„„_

= aa;

Zo is het gebruik van Een overzicht van relevante wet en regelgeving is te vinden bij KINGZ5. persoonsgegevens geregeld in de Wet Bescherming Persoonsgegevenszö. De ISD bepaalt voor elk type registratie de bewaartermijn, het opslagmedium en eventuele vernietiging in overeenstemming met wet, regelgeving, contractuele verplichtingen en bedrijfsmatige eisen. De ISD houdt bij de keuze van het opslagmedium rekening met de bewaartermijn, de achteruitgang van de kwaliteit van het medium in de loop van de tijd en de voortdurende beschikbaarheid van hulpmiddelen (zoals hard- en software) om de gegevens te raadplegen en te bewerken. Bij het (laten) vervaardigen en installeren van programmatuur, zorgt de ISD dat de intellectuele eigendomsrechten die daar op rusten niet worden geschonden.

o

ø

ø

ø

24

J

\se

/2

mat..

Voorkomen van schending van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen, en van beveiligingseisen.

Binnen de sector gemeenten wordt gestreefd naar een uniform audit-kader om de verantwoordingslast zo veel mogelijk

te beperken. 25

Een concept overzicht van wetten, regelingen en andere kaders is beschikbaarop de website van KING.

26

Zie ook: CBP richtsnoeren

-

27

Scan nummer 1 van 1 - Scanpagina 28 van 29

l

4

ats:

e

›,«,/?É= W,

äååä

e ecašësiemm ers bšfsšssteës

W?

G

&

met

mm

:R

als

mwâq

Z-14-15192 / 01. Inkomend 25172 /

›~ --W

.<< 1:

„=»

-'ššt

mzš'

K :; .,2«<«=

fšzs

E4

t

›

.Lši

,ä

we ~,?

\." \swf

De ISD heeft de relevante procedures en documenten toegevoegd aan het Informatiebeveiligingsplan.

NEN/ISO 27001 (2005) en 27002 (Code voor Informatiebeveiliging) (2007) Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), KING, 2013 Strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) CBP richtsnoeren “beveiliging van persoonsgegevens', 2013: http://wvvvv.cbpweb.nl/Pages/pb 20130219 richtsnoeren-beveiliginçtpersoonsgegevens.aspx GEMMA: http://vvvwv.kinqgemeenten.nl/king-kwaliteitsinstituut-nederlandsegemeenten/edienstverlening-verbeteren/gemma

-

28

Scan nummer 1 van 1 - Scanpagina 29 van 29