Noorderpoort
Informatiebeveiligingsbeleid 2014-2016
Informatiebeveiligingsbeleid Noorderpoort 2014-2016
Colofon Datum 28-8-2014
Titel Informatiebeveiligingsbeleid Noorderpoort 2014-2016
Dienst / school / auteur Dhr. M.A. Broekhuizen, Dhr. G. Fokkema
Versie 1.0
Status Definitief
Informatiebeveiligingsbeleid Noorderpoort 2014-2016
1
Inleiding
5
2
Opbouw beveiligingsbeleid
6
3
Doelstelling
7
4
Uitgangspunten
8
5
Besturingsmodel
10
5.1 5.2 5.3 5.4 5.5
10 11 12 12 12 12 12 12 12 13 13 13 13 13
6
7
8
Beleid Implementatie beleid en operationele sturing informatiebeveiliging Incidenten Operationeel overleg informatiebeveiliging Overzicht taken, rollen, verantwoordelijkheden 5.5.1 College van Bestuur 5.5.2 Security Officer 5.5.3 ICT Governance 5.5.4 Informatiemanagement 5.5.5 Security Specialist 5.5.6 Verantwoordelijkheid leidinggevende school / dienst 5.5.7 Directeur Facilities 5.5.8 Persoonlijke verantwoordelijkheid alle medewerkers 5.5.9 Persoonlijke verantwoordelijkheid alle leerlingen / studenten
Richtlijnen medewerkers
14
6.1 6.2 6.3 6.4 6.5 6.6
14 14 15 15 15 16
ME.1 Internet- en e-mail ME.2 Verantwoordelijkheden van gebruikers ME.3 Beleid ten aanzien van toegangsbeveiliging ME.4 Mobiele computers en telewerken ME.5 Rapporteren van beveiliging gerelateerde gebeurtenissen en kwetsbaarheden ME.6 Naleving van wettelijke voorschriften
Richtlijnen management
17
7.1 7.2 7.3 7.4 7.5 7.6 7.7 7.8 7.9 7.10 7.11 7.12 7.13 7.14 7.15 7.16 7.17
17 18 19 19 20 20 22 23 23 24 24 25 25 26 26 27 28
MA.1 Risicoanalyse MA.2 Beveiligingsbeleid MA.3 Beveiligingsorganisatie MA.4 Externe partijen MA.5 Verantwoordelijkheid voor bedrijfsmiddelen MA.6 Classificatie van informatie MA.7 Beleid ten aanzien van toegangsbeveiliging MA.8 Management van toegangsrechten / autorisatiebeheer MA.9 Beveiligingseisen voor informatiesystemen MA.10 Juiste en volledige gegevensverwerking MA.11 Beveiliging van bestanden MA.12 Beveiliging van ontwikkel- en onderhoudprocessen MA.13 Rapporteren van beveiligingsgerelateerde gebeurtenissen en kwetsbaarheden MA.14 Management van beveiligingsincidenten en verbeteringen MA.15 Informatiebeveiligingsaspecten van business continuity planning MA.16 Naleving van wettelijke voorschriften MA.17 Beoordeling van de naleving van het beveiligingsbeleid en de technische vereisten
Richtlijnen specifieke afdelingen
29
8.1
29
Personeel en Organisatie, Personeelsbeheer
3
Informatiebeveiligingsbeleid Noorderpoort 2014-2016
8.2
8.3
8.4
8.1.1 PO.1 Richtlijnen voor indiensttreding 8.1.2 PO.2 Richtlijnen tijdens het dienstverband 8.1.3 PO.3 Beëindiging of wijziging van het dienstverband Dienst Facilities 8.2.1 FS.1 Beveiligde ruimten 8.2.2 FS.2 Beveiliging van apparatuur 8.2.3 FS.3 Externe partijen Informatie Voorziening 8.3.1 IV.1 Verantwoordelijkheid voor bedrijfsmiddelen 8.3.2 IV.2 Beveiligde ruimten 8.3.3 IV.3 Bedieningsprocedures en verantwoordelijkheden 8.3.4 IV.5 Systeem planning en acceptatie 8.3.5 IV.6 Bescherming tegen kwaadaardige software 8.3.6 IV.7.3 Uitwisseling van informatie 8.3.7 IV.8 Back-up 8.3.8 IV.9 Netwerkbeveiliging 8.3.9 IV.10 Behandeling van media 8.3.10 IV.11 Uitwisseling van informatie 8.3.11 IV.12 Monitoring 8.3.12 IV.13 Toegangsbeveiliging voor netwerken 8.3.13 IV.14 Toegangsbeveiliging voor besturingssystemen 8.3.14 IV.16 Beveiliging van ontwikkel- en onderhoudprocessen 8.3.15 IV.17 Beoordeling van de naleving van het beveiligingsbeleid en de technische vereisten 8.3.16 IV.19 Naleving van wettelijke voorschriften Security officer 8.4.1 ST.1 Naleving van wettelijke voorschriften
29 30 30 30 30 31 31 32 32 32 32 33 33 34 34 35 35 35 36 36 37 37 38 38 38 38
Informatiebeveiligingsbeleid Noorderpoort 2014-2016
1
Inleiding
Noorderpoort is een onderwijsinstelling voor voortgezet onderwijs, mbo, volwasseneneducatie en contractactiviteiten. Met 17 verschillende scholen verspreid in de regio, ruim 17.500 cursisten en 1.600 medewerkers is Noorderpoort het grootste ROC (regionaal opleidingscentrum) in Noord-Nederland. Het informatiebeveiligingsbeleid doet recht aan het open karakter van het Noorderpoort Het Noorderpoort staat midden in de samenleving. Dat betekent dat veranderingen in de samenleving vanzelfsprekend leiden tot veranderingen bij ons. Met de versnelde digitalisering van de samenleving maakt ook het Noorderpoort in toenemende mate gebruik van informatiesystemen ter ondersteuning van onderwijs- en bedrijfsvoeringsprocessen. Midden in de samenleving betekent ook dat veel van de activiteiten van het Noorderpoort worden uitgevoerd in gezamenlijkheid met andere organisaties en individuen. De veranderingen in de komende jaren vragen om een steeds flexibelere inrichting van onze organisatie en informatiesystemen. Het Noorderpoort en de informatievoorziening in het Noorderpoort is geen op zichzelf staande eenheid, maar maakt meer en meer deel uit van integrale ketens. Het Noorderpoort wil daarbij een knooppunt van leren zijn, als integraal onderdeel van de regio. Hierbij staat het succes van leerlingen en studenten voorop. Voor het informatiebeveiligingsbeleid betekent dit dat enerzijds het beleid de ruimte moet geven voor deze open structuur en diversiteit aan activiteiten, anderzijds zal het beleid erop gericht blijven om mogelijke risico‟s tot een minimum te blijven beperken. Proces van continue verbetering in een PDCA-cyclus gebaseerd op risico-analyse. Het informatiebeveiligingsbeleid stelt de doelstellingen van het Noorderpoort centraal. Vanuit de doelstellingen en de processen die het Noorderpoort heeft ingericht om de doelstellingen te realiseren dient als eerste in kaart gebracht te worden welke informatierisico‟s al dan niet acceptabel zijn. Op basis van deze risico‟s dienen vervolgens beveiligingsmaatregelen te worden geselecteerd, ontworpen, ontwikkeld, ingevoerd, bewaakt en continu verbeterd. Bij het selecteren, ontwerpen en ontwikkelen van maatregelen houdt het Noorderpoort vanzelfsprekend rekening met de organisatiecultuur en het beschikbare budget. Informatiebeveiliging zien wij nadrukkelijk als een proces en geen eenmalige activiteit. De Code voor Informatiebeveiliging is gebaseerd op de Deming cycle en ondersteunt deze zienswijze.
5
Informatiebeveiligingsbeleid Noorderpoort 2014-2016
2 Opbouw beveiligingsbeleid Noorderpoort geeft op drie niveaus invulling aan informatiebeveiliging. Het raamwerk voor informatiebeveiliging is als volgt opgebouwd:
Figuur 1: raamwerk beveiliging
Hoofdstuk 3, 4 en 5 bevatten de kaders voor beveiliging binnen het Noorderpoort. Hierin worden de doelstellingen, uitgangspunten, taken en verantwoordelijkheden evenals het procesmodel dat binnen het Noorderpoort voor informatiebeveiliging wordt gehanteerd beschreven. Hoofdstuk 6 t/m 8 bevatten de richtlijnen voor beveiliging. Deze richtlijnen vormen het basis beveiligingsniveau en zijn gericht op verschillende doelgroepen binnen het Noorderpoort: leerlingen / studenten, medewerkers, management en specifieke afdelingen. Bij het definiëren van de richtlijnen wordt uitgegaan van de kaders zoals deze in hoofdstuk 3,4 en 5 zijn gesteld. Per proces en per informatiesysteem worden maatregelen geïmplementeerd. Deze maatregelen zijn een directe doorvertaling van de richtlijnen die betrekking hebben op het proces danwel het informatiesysteem. De maatregelen staan beschreven in afzonderlijke documenten die betrekking hebben op proces / informatiesysteem. Denk hierbij aan AO-beleid, procedure-beschrijvingen, autorisatiematrices en beheerdocumenten. Op alle drie de niveaus wordt de PDCA-cyclus doorlopen op basis van de Deming cycle. Daarbij geldt: - De kaders (strategisch) worden in een 3-jaars cylus herijkt - De richtlijnen (tactisch) worden jaarlijks getoets en waar nodig aangepast - De maatregelen (operationeel) kunnen continue worden gewijzigd naar aanleiding van veranderde context, projecten of gebleken risico‟s. Het informatie beveiligingsbeleid heeft betrekking op de periode 2014-2016. Het beveiligingsbeleid is gebaseerd op 1 de Code voor Informatiebeveiliging (NEN ISO 27002 ), de ISO standaard voor informatiebeveiliging .
1
Uitgebreide informatie beschikbaar via http://nl.wikipedia.org/wiki/Code_voor_Informatiebeveiliging
Informatiebeveiligingsbeleid Noorderpoort 2014-2016
3
Doelstelling
Informatie komt in veel vormen voor (geschreven op papier, elektronisch opgeslagen, per post of via elektronische media verzonden of in gesproken vorm). Informatiebeveiliging richt zich in toenemende mate op de beveiliging van elektronische gegevens en informatiesystemen. Echter, informatie is een bedrijfsmiddel dat net als andere belangrijke bedrijfsmiddelen van waarde is voor het Noorderpoort en dat ongeacht de gegevensdrager, voortdurend op een passende manier beveiligd dient te zijn. Informatiebeveiliging is geen doel op zich maar dient een integraal onderdeel van de bedrijfsprocessen en de informatievoorziening van het Noorderpoort te zijn. Het doel van informatiebeveiliging is het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens en informatiesystemen door het creëren en implementeren van een stelsel van maatregelen. Informatiebeveiliging dient dus de volgende kwaliteitsaspecten van de informatievoorziening te garanderen:
Beschikbaarheid: het waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot informatie en aanverwante bedrijfsmiddelen; Integriteit: het waarborgen van de juistheid en de volledigheid van informatie en verwerking; Vertrouwelijkheid: Het waarborgen dat informatie alleen toegankelijk is voor degenen, die hiertoe geautoriseerd zijn.
7
Informatiebeveiligingsbeleid Noorderpoort 2014-2016
4 Uitgangspunten Het Noorderpoort hanteert de volgende beleidsuitgangspunten ten aanzien van informatiebeveiliging: 1. Informatiebeveiliging wordt beschouwd als een vanzelfsprekend en integraal onderdeel van de bedrijfsvoering van het Noorderpoort. 2. Het Noorderpoort hanteert de Code voor Informatiebeveiliging (NEN ISO 27002) als basis voor het inrichten en onderhouden van maatregelen voor het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van haar bedrijfsgegevens. De Code voor Informatiebeveiliging is een algemeen geaccepteerde basis voor informatiebeveiliging in Nederland. Het Noorderpoort heeft een keuze gemaakt welke maatregelen uit de Code voor Informatiebeveiliging voor de eigen situatie relevant zijn. 3. Het informatiebeveiligingsbeleid is bindend voor alle activiteiten ten behoeve van en / of onder verantwoordelijkheid van het Noorderpoort. Het betreft diensten, werknemers en organisaties die bij de activiteiten betrokken zijn. Het gewenste resultaat van het informatiebeveiligingsbeleid kan alleen worden bereikt, wanneer alle afdelingen, medewerkers en derde partijen die verbonden zijn aan de informatie, zich aan het beleid conformeren. 4. Relaties tussen een dienst en een andere instantie (zowel intern als extern), die betrekking hebben op de informatievoorziening van het Noorderpoort dan wel de informatievoorziening van deze instantie, gaan vergezeld van schriftelijke afspraken over het vereiste betrouwbaarheidsniveau en de wijze waarop zekerheid wordt verkregen over de realisatie daarvan. Indien voor het uitwisselen van informatie afhankelijkheden bestaan van derde partijen of diensten worden geleverd aan derde partijen, is het van belang dat schriftelijke afspraken worden gemaakt met deze derden ten aanzien van de omgang met informatie, afbakening van de verantwoordelijkheden, de te treffen maatregelen in het kader van de betrouwbaarheid en de controle op naleving hiervan. 5. Informatiebeveiliging is een integrale lijnverantwoordelijkheid en vormt een onderdeel van de kwaliteitszorg voor de reguliere bestuurs- en bedrijfsprocessen en ondersteunende informatiesystemen. Deze kaders bieden een leidraad voor het specifiek inrichten van het informatiebeveiligingsproces binnen de scholen en diensten van het Noorderpoort. Per school / dienst is de leidinggevende verantwoordelijk voor het inrichten en waarborgen van een adequate informatiebeveiliging. 6. Om invulling te geven aan het informatiebeveiligingskader worden per school / dienst concrete maatregelen ingericht. Deze maatregelen zijn een doorvertaling vanuit de kaders en de richtlijnen zoals die zijn beschreven in het informatiebeveiligingsbeleid. 7. Het informatiebeveiligingsbeleid sluit aan bij de wettelijke en in ons werkveld gestelde kaders. Hieronder vallen onder andere: - NEN ISO 27002 2 - BVE Governance code 3 - Wet bescherming persoonsgegevens 4 - Leerplichtwet (met name in kader van plicht tot informatie uitwisseling in relatie tot privacy) 5 - Hoofdstuk ‘beveiliging’ uit de Nederlandse Overheid Referentie Architectuur (NORA) 8. Het informatiebeveiligingsbeleid doet recht aan het open karakter van de onderwijsinstelling Noorderpoort.
2
http://www.mboraad.nl/?dossier/3151/Goed+Bestuur+Governance+Code+BVE.aspx http://www.cbpweb.nl/Pages/home.aspx (College bescherming persoonsgegevens) en http://nl.wikipedia.org/wiki/Wet_bescherming_persoonsgegevens (Informatie over wet bescherming persoonsgegevens) 4 http://wetten.overheid.nl/BWBR0002628/geldigheidsdatum_14-03-2010#2a_Artikel4a 5 http://www.orangehill.nl/GetDocument.ashx?Source=documentoverview&DocumentID=9351 3
Informatiebeveiligingsbeleid Noorderpoort 2014-2016 Het Noorderpoort beoogt een sterke verbinding met de deelnemers, het werkveld en de omgeving. Hiervoor is een open en flexibele inrichting op diverse terreinen noodzakelijk en wordt van het informatiebeveiligingsbeleid ook gevraagd om hierbij aan te sluiten (voor zover mogelijk). 9. Afwijkingen van en wijzigingen op het beleid moeten worden beargumenteerd en gebeuren op basis van risicoanalyses. Dit sluit aan bij het uitgangspunt van de BVE Governance code: 'pas toe of leg uit'. 10. Voor beheer en ontwikkeling (projecten) gelden aparte kaders t.a.v. beveiligingsbeleid. Voor ontwikkeling kan hierbij het beveiligingsniveau lager zijn, afhankelijk van de omstandigheden en risico‟s. Bij het overgaan naar de staande organisatie van projectresultaten moeten processen en applicaties worden getoetst en voldoen aan de gestelde beveiligingskaders 11.
Iedere beveiligingsmaatregel moet controleerbaar zijn.
Maatregelen, waarvan de naleving niet goed is vast te stellen, kunnen aanleiding geven tot ontwijkend gedrag, wat impliceert dat maatregelen niet effectief zijn. Bij iedere maatregel wordt vooraf nagegaan op welke wijze de naleving en het functioneren van de maatregel kunnen worden gecontroleerd. Controle vindt enerzijds plaats binnen het proces en daarnaast aan de hand van verbijzonderde interne control. 12.
Toegang tot informatie systemen is op basis van “need to know”.
Toegang heeft nut en toegevoegde waarde. Toegang en gebruik is traceerbaar.
9
Informatiebeveiligingsbeleid Noorderpoort 2014-2016
5 Besturingsmodel Informatiebeveiliging is een verantwoordelijkheid van de lijn. In dit hoofdstuk worden taken, bevoegdheden en verantwoordelijkheden met betrekking tot het informatiebeveiligingsbeleid benoemd en wordt aangegeven bij welke functionarissen deze worden belegd. Door het expliciet beleggen van de verantwoordelijkheden wordt informatiebeveiliging verankerd in de staande organisatie van het Noorderpoort. Het besturingsmodel betreft alle drie de niveaus van informatiebeveiliging: de kaders, de richtlijnen en de
maatregelen. Op alle drie niveaus is sprake van een PDCA-cyclus. Bij het overzicht van rollen, taken en verantwoordelijkheden wordt expliciet gerefereerd aan de niveaus waarop deze betrekking hebben. Voor alle verantwoordelijkheden die in dit hoofdstuk worden benoemd, geldt dat taken die uit deze verantwoordelijkheden voortvloeien, kunnen worden gedelegeerd aan specifieke afdelingen of functies, die vervolgens een gedelegeerde verantwoordelijkheid dragen. Het besturingsmodel richt zich op drie soorten processen: - Beleid - Implementatie beleid en operationele sturing informatiebeveiliging - Incidenten
5.1 Beleid College van bestuur Het College van bestuur stelt het beleid vast. Security Officer De Security Officer is vanuit het CvB gedelegeerd verantwoordelijke t.a.v. het coördineren en communiceren van concern breed beleid op het gebied van informatiebeveiliging. In die hoedanigheid is de Security Officer verantwoordelijk voor het initiëren van initiatieven binnen de lijnorganisatie ten aanzien van de uitvoering en naleving van de genomen maatregelen alsmede het bewaken van de actualiteit van het informatiebeveiligingsbeleid en de beveiligingsmaatregelen. ICT Governance Informatiebeveiliging moet onderdeel zijn van de normale bedrijfsprocessen, geïntegreerd in de normale praktijk en de al bestaande structuren en verantwoordelijkheden. Vandaar dat informatiebeveiliging wordt besproken binnen de stuurgroep ICT Governance. Beleid wordt onder verantwoordelijkheid van de Security Officer ingebracht, besproken en van advies voorzien richting het CvB. De stuurgroep ICT Governance onderhoudt en legt voor aan het CvB. Informatiemanagement Informatiemanagement geeft invulling aan de beleidscyclus in opdracht van de Security Officer. Informatiemanagement heeft concreet als taak het vormgeven van het proces waarin het beleid actueel wordt gehouden binnen de kaders meegegeven door de stuurgroep ICT Governance en de Security Officer. Direct betrokkenen bij het aanpassen van het beleid zijn de informatiesysteem eigenaren (met name personeelsbeheer / P&O en facilities) en de beveiligingsspecialist vanuit de afdeling ICT. Input voor aanpassing komt vanuit de organisatie op basis van wijzigingen in processen, informatiesystemen, ricico-analyses of bijvoorbeeld incidenten. Onderdeel van de beleidscyclus is de check en act. Dit wordt vormgegeven door informatiemanagement. Middelen hiervoor zijn o.a.: o Periodieke compliance rapportages o Audits o IT audits (extern) Doel is tweeledig: input voor aanpassing van het belang en check / act op de operationele implementatie van beleid en daarbij risico-analyse. De verdeling van taken en verantwoordelijkheden m.b.t. beleid worden in onderstaande schema weergegeven.
Informatiebeveiligingsbeleid Noorderpoort 2014-2016
College van Bestuur
Vaststellen beleid
Advies beleid: kaders & richtlijnen Directeur bestuursdienst (Security Officer)
Directeuren scholen / diensten
ICT Governance Directeur Facilities
Beleidsvoorbereiding Informatiemanagement
Proces- en informatiesysteem eigenaren
Beveiligingsspecialist
Informatie systemen
(Extern) toezicht
Scholen
ICT Facilities
Personeels beheer / P&O
Figuur 2: Overzicht rollen, taken en verantwoordelijkheden Beleid
5.2 Implementatie beleid en operationele sturing informatiebeveiliging Security Officer De Security Officer is vanuit het CvB gedelegeerd verantwoordelijke t.a.v. het coördineren en communiceren van concern breed beleid op het gebied van informatiebeveiliging. In die hoedanigheid is de Security Officer verantwoordelijk voor het initiëren van initiatieven binnen de lijnorganisatie ten aanzien van de uitvoering en naleving van de genomen maatregelen alsmede het bewaken van de actualiteit van het informatiebeveiligingsbeleid en de beveiligingsmaatregelen. Directeur school / dienst Informatiebeveiliging is een verantwoordelijkheid van de lijn. Dit betekent dat de school- en dienstdirecteuren verantwoordelijk zijn voor de implementatie en operationele sturing met betrekking tot informatiebeveiliging aangaande hun afdelingen, medewerkers en processen. Hierbij zijn er een diensten waar expliciete taken t.a.v. informatiebeveiliging zijn belegd (zie ook hfst. 8 Richtlijnen specifieke afdelingen): o Facilities (onderdeel huisvesting / gebouwbeheer): taken met betrekking tot fysieke informatiebeveiliging o Facilities (afdeling ICT) en Informatiemanagement: taken met betrekking tot technische en logische informatiebeveiliging o Personeelsbeheer en P&O: taken met betrekking tot informatiebeveiliging bij medewerkers Eigenaren informatiesystemen Informatiesystemen ondersteunen processen die vaak afdeling overstijgend zijn. Vanuit de informatiearchitectuur is bepaald dat de eigenaar van het proces ook de eigenaar is van het ondersteunende informatiesysteem. Eigenaarschap betekent in dit geval ook verantwoordelijk voor de beveiliging van het informatiesysteem. 11
Informatiebeveiligingsbeleid Noorderpoort 2014-2016
5.3 Incidenten Er zijn drie soorten incidenten die kunnen optreden met betrekking tot informatiebeveiliging: Reguliere IT-beveiligingsincidenten De escalatielijn loopt bij deze incidenten via eventueel de leidinggevende naar de afdeling ICT van de dienst Facilities en indien nodig naar de Security Specialist. Afhandeling van het incident gebeurt door de afdeling ICT in samenwerking met de security specialist (indien nodig), de lijnmanager en de betrokkene zelf. Fysieke beveiligingsincidenten (worden gemeld bij de gebouwenbeheerder) Bij fysieke beveiligingsincidenten zoals bijvoorbeeld diefstal loopt de escalatielijn (eventueel weer via de leidinggevende) naar Facilities (concierge / hoofdconierge / gebouwenbeheerder). Afhandeling gebeurt door Facilities in samenwerking met de afdeling ICT (indien nodig), de lijnmanager en de betrokkene zelf Beveiligingsincidenten met een vertrouwelijk karakter Voor deze incidenten is er een aparte escalatielijn. Incidenten worden gemeld bij de Security Officer of Security Specialist. Afhandeling van het incident gebeurt door Security Officer en de Security Specialist, indien nodig wordt hierbij de leidinggevende geïnformeerd / betrokken. Belangrijk bij incidenten is naast de afhandeling ook de vertaalslag naar het verbeteren / leren van het incident. Vandaar dat alle incidenten worden geregistreerd en worden besproken in het kader van aanpassing beleid dan wel operationele sturing.
5.4 Operationeel overleg informatiebeveiliging Om te borgen dat samenhang bestaat tussen beleid, implementatie, uitvoering van beleid en de incidenten is er periodiek (4 keer per jaar) operationeel overleg waarin de actuele stand van zaken met betrekking tot informatiebeveiliging wordt besproken. Input wordt verzorgd vanuit Informatiemanagement (beleid / compliance) en de Security Specialist (incidenten, actuele stand van zaken technisch / procedureel). Bij het operationeel overleg zitten de grootste stakeholders met betrekking tot informatiebeveiliging: de Security Officer, de Directeur Facilities, de Security Specialist en de Informatiemanager.
5.5 Overzicht taken, rollen, verantwoordelijkheden Bij bovenstaande drie processen spelen diverse functionarissen / afdelingen een rol. Hieronder kort samengevat per functionaris / afdeling wat specifiek de taken, verantwoordelijkheden en rollen zijn. 5.5.1 College van Bestuur Het College van Bestuur stelt de kaders informatiebeveiliging vast. Het College van Bestuur is verantwoordelijk voor de uitvoering. De eindverantwoordelijkheid voor informatiebeveiliging binnen het Noorderpoort ligt bij het College van Bestuur. 5.5.2 Security Officer De Security Officer is vanuit het CvB gedelegeerd verantwoordelijke t.a.v. het coördineren en communiceren van concernbreed beleid op het gebied van informatiebeveiliging. In die hoedanigheid is de Security Officer verantwoordelijk voor het initiëren van initiatieven binnen de lijnorganisatie ten aanzien van de uitvoering en naleving van de genomen maatregelen alsmede het bewaken van de actualiteit van het informatiebeveiligingsbeleid en de beveiligingsmaatregelen. Daarnaast kan de security officer het management gevraagd en ongevraagd adviseren over de stand en inrichting van de informatiebeveiliging. De Security Officer is ook verantwoordelijk voor control op de algehele en Noorderpoort brede naleving van het informatiebeveiligingsbeleid en de daarvan afgeleide instructies en rapporteert omtrent de bevindingen aan het College van Bestuur. Vanuit deze verantwoordelijkheid kan de Security Officer zelfstandig controles uitvoeren of deze initiëren om de naleving van de security. De Security Officer is lid van de stuurgroep ICT Governance. 5.5.3 ICT Governance Binnen de stuurgroep ICT Governance wordt beleid besproken en van advies voorzien richting het CvB. Beleid wordt geagendeerd door de Security Officer en besproken binnen de context van het gehele ICT beleid. 5.5.4 Informatiemanagement
Informatiebeveiligingsbeleid Noorderpoort 2014-2016 Informatiemanagement geeft invulling aan de taken van de Security Officer met betrekking tot de beleidscyclus (beleidsvoorbereiding, monitoring, aanpassing van beleid) en de implementatie van beleid en operationele sturing (monitoring en acties initiëren n.a.v. risico-analyses). 5.5.5
Security Specialist
De Security Specialist is betrokken bij de beleidscyclus (beleidsvoorbereiding, monitoring, aanpassing van beleid). Daarnaast is de Security Specialist betrokken bij het invulling geven aan de technische en organisatorische informatiebeveiliging vanuit de afdeling ICT van de dienst Facilities. Als laatste is de Security Specialist betrokken bij de escalaties m.b.t. diverse soorten incidenten. 5.5.6 Verantwoordelijkheid leidinggevende school / dienst Per school / dienst is de leidinggevende verantwoordelijk voor het inrichten van adequate informatiebeveiliging binnen zijn/haar verantwoordelijkheidsgebied conform de gestelde kaders en richtlijnen. Dit heeft zowel betrekking op de school / dienst als de informatiesystemen waar hij / zij eigenaar van is. De leidinggevende is verantwoordelijk voor:
- Het opstellen en vaststellen van een informatiebeveiligingsplan waarin de projecten, zoals vastgesteld in het centrale programmaplan, ten aanzien van informatiebeveiliging nader worden gespecificeerd. Dit informatiebeveiligingsplan beschrijft het plan van aanpak voor het implementeren van de kaders voor informatiebeveiliging binnen de specifieke dienst; - Het hanteren van de beleidsuitgangspunten uit deze kaders binnen de organisatorische eenheden en systemen waarvoor hij/zij verantwoording draagt; - Het waarborgen van de naleving van het informatiebeveiligingsbeleid en alle daarvan afgeleide beleidsnotities, procedures en richtlijnen (zowel voor wat betreft de eigen medewerkers als voor derden die onder zijn/haar verantwoordelijkheid werkzaam zijn); - Het accorderen van de uit het informatiebeveiligingsbeleid af te leiden procedures en werkinstructies; - Het inrichten van toezicht op de naleving van het informatiebeveiligingsbeleid: de kaders, de richtlijnen en maatregelen; - Het periodiek rapporteren aan de Security Officer over beveiligingsincidenten en het periodiek controleren en evalueren van correctieve maatregelen; - De wijze waarop het beveiligingsbewustzijn wordt bevorderd. Het is hierbij van belang dat de leidinggevende niet slechts incidenteel, maar structureel en planmatig aandacht besteedt aan informatiebeveiliging. 5.5.7 Directeur Facilities Afdeling ICT De afdeling ICT van de Dienst Facilities is verantwoordelijk voor het plannen, implementeren, evalueren, onderhouden en sturen van het ITIL-proces Security Management en tevens het coördineren van de daarmee samenhangende activiteiten. Security Management beschrijft de structurele inpassing van informatiebeveiliging in de centrale ICT organisatie van het Noorderpoort. Aan de hand van het proces Security Management draagt de Directeur Facilities er zorg voor dat bij de dienstverlening aan haar klanten de beschikbaarheid, integriteit en vertrouwelijkheid van informatie afdoende is gewaarborgd. Facilities (gebouwbeheer / fysieke beveiliging) De Dienst Facilities is verantwoordelijk voor de fysieke toegangsbeveiliging tot gebouwen en locaties van het Noorderpoort. Hiertoe implementeert Directeur Facilities adequate maatregelen, procedures en richtlijnen onder meer op basis van het informatiebeveiligingsbeleid. Tevens ziet deze functionaris toe op naleving van de maatregelen, procedures en de richtlijnen zoals opgesteld ten aanzien van de fysieke toegangsbeveiliging. 5.5.8 Persoonlijke verantwoordelijkheid alle medewerkers Alle medewerkers binnen het Noorderpoort hebben toegang tot informatie. De medewerker is verantwoordelijk voor het zorgvuldig omgaan met deze informatie en daarnaast voor alle aspecten van informatiebeveiliging binnen de eigen invloedssfeer, zoals het zich houden aan de opgestelde beveiligingsrichtlijnen. 5.5.9 Persoonlijke verantwoordelijkheid alle leerlingen / studenten Alle deelnemers binnen het Noorderpoort hebben toegang tot informatie. De deelnemer is verantwoordelijk voor het zorgvuldig omgaan met deze informatie en daarnaast voor alle aspecten van informatiebeveiliging binnen de eigen invloedssfeer, zoals het zich houden aan de opgestelde beveiligingsrichtlijnen.
13
Informatiebeveiligingsbeleid Noorderpoort 2014-2016
6 Richtlijnen medewerkers 6.1 ME.1
Internet- en e-mail
Doelstelling: Het waarborgen van de beveiliging van informatie en software als deze worden uitgewisseld binnen het Noorderpoort en met externe partijen. Richtlijnen ME.1.1 ME.1.2
Gebruikers dienen zich te houden aan het e-mail en internetprotocol. Gebruikers dienen zich te houden aan het beleid met betrekking tot gebruik van sociale media
6.2 ME.2
Verantwoordelijkheden van gebruikers
Doelstelling: Het voorkomen van ongeautoriseerde toegang tot, en het in gevaar brengen of stelen van informatie en informatievoorzieningen. Richtlijnen ME.2.1 Om ervoor te zorgen dat wachtwoorden niet eenvoudig te achterhalen zijn, dienen de wachtwoorden aan de volgende criteria te voldoen: het standaard of nieuw uitgegeven wachtwoord dient onmiddellijk te worden gewijzigd; het wachtwoord voor medewerkers dient minimaal eens per zes maanden te worden gewijzigd; het wachtwoord voor studenten dient minimaal eens per 12 maanden te worden gewijzigd; het wachtwoord dient te bestaan uit hoofdletters, kleine letters, cijfers en/of speciale symbolen; het wachtwoord dient minstens acht tekens lang te zijn. ME.2.2 Het gedrag van medewerkers ten aanzien van wachtwoorden dient te voldoen aan de volgende criteria: het wachtwoord mag niet letterlijk in onversleutelde vorm worden opgeschreven; bij het wijzigen van het wachtwoord, mag nooit meerdere malen achtereenvolgens hetzelfde wachtwoord worden gebruikt. Het wachtwoord wordt niet verstrekt aan anderen. Er wordt niet gevraagd om het wachtwoord van gebruikers, ook niet in het kader van beheer of bij incidenten. Me.2.3 Het gebruik van andermans gebruikersidentificatie (user-id) is verboden. Het beschikbaar stellen van gebruikersidentificatie en wachtwoord aan anderen is niet toegestaan. Indien anderen toegang moeten krijgen tot gegevens, bijvoorbeeld in geval van ziekte, dan moet dit worden geregeld via de systeemeigenaar. ME.2.4 Medewerkers dienen ervoor te zorgen dat onbeheerde apparatuur voldoende is beveiligd door: actieve sessies te beëindigen wanneer ze klaar zijn; zich af te melden het device, wanneer de sessie beëindigd is; laptops, tablets en andere mobiele apparatuur te beveiligen met behulp van een slot of vergelijkbare beveiliging (wachtwoord). Hierbij krijgen gebruikers van informatiesystemen het advies en gebruikers van informatiesystemen welke zijn 6 geclassificeerd als hoog de verplichting om actieve sessies wanneer ze klaar zijn te beëindigen of te vergrendelen beveiligd met wachtwoord. ME.2.5 Op de werkplek wordt geen vertrouwelijke informatie onbeschermd achtergelaten (clean desk policy). De afdeling is verantwoordelijk voor de naleving hiervan. Papieren en computermedia dienen te worden opgeborgen in kasten met een deugdelijk slot wanneer zij niet gebruikt worden, in het bijzonder buiten werktijd. 7 Voor informatiesystemen welke zijn geclassificeerd als hoog geldt: Bedrijfsinformatie dient achter slot en grendel bewaard te worden, vooral als het kantoor verlaten is. 6 7
Zie classificatie van informatie, hoofdstuk 7.6, richtlijn MA.6 Zie classificatie van informatie, hoofdstuk 7.6, richtlijn MA.6
Informatiebeveiligingsbeleid Noorderpoort 2014-2016 Devices (laptop, werkstation e.d.) dienen vergrendeld te worden bij het verlaten van het kantoor en uitgelogd te zijn buiten werktijd.
6.3 ME.3
Beleid ten aanzien van toegangsbeveiliging
Doelstelling: Het beheersen van de toegang tot informatie. Richtlijnen ME.3.1 De gebruikersidentificatie (user-id) is persoonlijk en dient uniek te zijn (voor zowel netwerk, besturingssysteem als applicaties). De gebruiker is te allen tijde verantwoordelijk voor de acties uitgevoerd onder zijn user-id. Het gebruik van groeps-id‟s is niet toegestaan. Onderstaande procedures gelden voor informatiesystemen met classificatie hoog: Iedere gebruiker heeft een unieke gebruikersidentificatie. De leidinggevende van de medewerker meldt deze bij het functioneel beheer van een informatiesysteem aan en geeft daarbij tevens aan tot welke gegevensverzamelingen deze gebruiker toegang heeft en welke handelingen hij daarop mag verrichten. De gebruiker wordt op de hoogte gesteld van de gebruikersidentificatie, wachtwoord en toegekende rechten. Het functioneel beheer van het informatiesysteem houdt een lijst bij van alle medewerkers die geregistreerd zijn voor het gebruik van het informatiesysteem. Indien een medewerker van functie veranderen of het Noorderpoort verlaat, geeft de leidinggevende dit als een wijziging door aan het functioneel beheer van de betrokken informatiesystemen. De systeemeigenaar controleert periodiek of er overtollige accounts toegang hebben tot het informatiesysteem. Indien overtollige accounts aanwezig zijn, worden deze verwijderd volgens de bij het voorgaande punt genoemde procedure. ME.3.2 De verzameling van user-id‟s dient door de gebruiker vertrouwelijk te zijn en beveiligd te worden en vertrouwelijk te worden behandeld.
6.4 ME.4
Mobiele computers en telewerken
Doelstelling: Het waarborgen van de beveiliging van informatie wanneer medewerkers van het Noorderpoort gebruik maken van mobiele devices of telewerkvoorzieningen. Richtlijnen ME.4.1 Medewerkers aan wie een mobiel device (tablet / laptop) ter beschikking wordt gesteld nemen de volgende regels in acht: Het device dient alleen gebruikt te worden voor doeleinden waarvoor de medewerker hem heeft gekregen; De medewerker dient het device zorgvuldig te behandelen, zoals een goed medewerker betaamt; Onbevoegden dienen geen inzage in de gegevens op het device te krijgen; Medewerkers houden hun wachtwoord voor zichzelf; Maak van belangrijke bestanden een tussentijdse kopie; De Security Specialist dient te worden gewaarschuwd bij beveiligingsproblemen; In het geval van een verstoring dient contact te worden opgenomen met de Servicedesk Noorderpoort. Gebruikers met een laptop die werken met informatie geclassificeerd als „hoog‟ moeten deze beveiligd hebben met encryptiesoftware.
6.5 ME.5 Rapporteren van beveiliging gerelateerde gebeurtenissen en kwetsbaarheden
15
Informatiebeveiligingsbeleid Noorderpoort 2014-2016 Doelstelling: het minimaliseren van de schade die wordt veroorzaakt door beveiligingsincidenten en storingen, het monitoren van dergelijke incidenten en er lering uit trekken. Richtlijnen ME.5.1 Informatiebeveiligingsincidenten dienen door medewerkers te worden gemeld. Binnen het Noorderpoort wordt onderscheid gemaakt tussen: Reguliere IT-beveiligingsincidenten (worden tijdens kantooruren gemeld bij de Servicedesk Noorderpoort, de Servicedesk Noorderpoort meldt het incident aan de Security Specialist); Fysieke beveiligingsincidenten (worden gemeld bij de gebouwenbeheerder); Beveiligingsincidenten met een vertrouwelijk karakter (worden gemeld bij de leidinggevende, de leidinggevende meldt het incident aan de Security Officer of Security Specialist. ME.5.2 Melding buiten kantooruren. Reguliere beveiligingsincidenten kunnen alleen tijdens kantooruren worden gemeld bij de Servicedesk Noorderpoort. Beveiligingsincidenten met een vertrouwelijk karakter kunnen 24/7, ook buiten kantooruren, worden gemeld bij de Security Officer of de Security Specialist. ME.5.3 De Security Officer en de Security Specialist houden een registratie bij van beveiligingsincidenten met een vertrouwelijk karakter De Security Specialist rapporteert periodiek t.a.v. de verschillende typen beveiligingsincidenten. Op basis van die rapportage kan het beleid en / of uitvoering aangepast kan worden. De rapportages zijn input voor het operationeel overleg en de jaarlijkse PDCA-cyclus. ME.5.4 Medewerkers dienen enige (mogelijke) inbreuken of zwakke plekken, in de geautomatiseerd systemen onmiddellijk te melden bij de Servicedesk Noorderpoort. ME.5.5 Beoordelen van incidenten (prioriteit). De prioriteit van het incident wordt bepaald door de Servicedesk en door de Security Specialist aan de hand van de ernst van het incident, alsmede door het feit of het incident met Justitie is gerelateerd. Incidenten worden ingedeeld in 3 categorieën. 1. Reguliere beveiligingsincidenten. Dit zijn incidenten die normaliter intern worden opgelost. Denk hierbij aan zaken als “Digitaal pesten” en virusuitbraken. Bij reguliere beveiligingsincidenten handelt de Security Specialist de zaak af. 2. Fysieke beveiligingsincidenten. Deze incidenten, zoals bijvoorbeeld diefstal of beschadiging van apparatuur, worden gemeld bij de gebouwenbeheerder. Deze neemt daar waar nodig contact op met de Servicedesk en / of de Security Officer. 3. Beveiligingsincidenten met een vertrouwelijk karakter. Dit zijn beveiligingsincidenten waarbij bijna altijd Justitie betrokken is. U kunt hierbij denken aan zaken als computerinbraak en kinderporno. Bij beveiligingsincidenten met een vertrouwelijk karakter meldt de Security Specialist het incident direct aan de Security Officer en handelt de Security Officer de zaak af.
6.6 ME.6
Naleving van wettelijke voorschriften
Doelstelling: het voorkomen van inbreuken op enigerlei wijze van wettelijke, statutaire, reglementaire of contractuele verplichtingen, en beveiligingseisen. Richtlijnen ME.6.1 Het is medewerkers van het Noorderpoort dan ook verboden om in strijd met deze voorwaarden computer software te kopiëren, te gebruiken of aan te houden.
Informatiebeveiligingsbeleid Noorderpoort 2014-2016 Software mag alleen gebruikt worden indien een geldige licentie aanwezig is. Iedere medewerker moet van deze regel op de hoogte worden gesteld. Het is de verantwoordelijkheid van de directeur dat dit beleid nageleefd wordt. Ten aanzien van niet webbased software (behelst installatie, distributie, updates e.d.): o Aanschaf van licenties gebeurt via de afdeling ICT. o De school inventariseert de behoefte aan applicaties voor het onderwijs en de afdeling ICT is verantwoordelijk voor aanschaf van een geldige licentie. o Het is een medewerker verboden om zelf software aan te schaffen of te installeren, zonder nadrukkelijke toestemming van de afdeling ICT. o Er mogen niet meer exemplaren dan licenties uitgegeven worden. o Indien software verwijderd wordt of wordt overgedragen aan een derde, dient dit te worden gemeld bij de verantwoordelijke voor de registratie van de bedrijfsmiddelen (afdeling ICT). Bovenstaande geldt ook voor software die via openbare netwerken (Internet) verkregen wordt.
ME.6.2 Overtreding van bovenstaande regel wordt beschouwd als een ernstige inbreuk op het door het Noorderpoort in de medewerker gestelde vertrouwen en zal leiden tot een passende sanctie, waarbij disciplinaire of arbeidsrechtelijke maatregelen niet zullen worden uitgesloten. De leidinggevende spreekt zijn medewerkers aan indien zij het beveiligingsbeleid of de beveiligingsprocedures van het Noorderpoort schenden. Indien na herhaaldelijke aanmaningen de betrokken medewerker het beleid of procedures blijft schenden wordt dit gemeld aan de Security Officer. Er worden dan maatregelen getroffen zoals deze vermeld staan in de CAO BVE onder “Schorsing als ordemaatregel” en “Disciplinaire maatregel”. Deze maatregelen worden geïnitieerd door de Security Officer. ME.6.4 Het gebruik van de bedrijfsmiddelen voor andere doeleinden (zonder toestemming) wordt beschouwd als onjuist gebruik van voorzieningen. Indien dergelijke activiteiten gesignaleerd worden, dan dient dit onder de aandacht van het verantwoordelijk management gebracht te worden. Disciplinaire maatregelen kunnen dan eventueel getroffen worden.
7
Richtlijnen management 7.1 MA.1
Risicoanalyse
Doelstelling:Het bepalen van de beveiligingsbehoefte aan de hand van een methodische benadering van beveiligingsrisico’s. Richtlijnen 8
MA.1.1 Eens per jaar of bij significante wijzigingen in de informatie voorziening voeren de diensten een risicoanalyse uit om te toetsen of de voor de dienst relevante richtlijnen van het basis beveiligingsniveau van het Noorderpoort voldoende zijn of dat aanpassing of uitbreiding van de richtlijnen nodig is. Op basis van deze risicoanalyse worden: De meest essentiële processen van het Noorderpoort benoemd; De belangrijkste bedreigingen en kwetsbaarheden binnen de meest essentiële processen in kaart gebracht; Zowel ten aanzien van het beleid rondom het proces, de procedures die gevolgd worden en de praktijk. Aanvullend beleid en / of aanvullende richtlijnen en maatregelen bepaald. De Security Officer toetst jaarlijks de toepasselijkheid van het basispakket beveiligingsmaatregelen aan de hand van de uitgevoerde risico analyses en de integrale registratie van beveiligingsincidenten (Reguliere ITbeveiligingsincidenten, fysieke beveiligingsincidenten en beveiligingsincidenten met een vertrouwelijk karakter). Op basis van de risicoanalyse wordt van alle informatiesystemen aangegeven in welke klasse ze thuishoren (zie 7.6 classificatie van informatiesystemen). Op basis van de klasse wordt dan wel het basispakket van beveiligingsmaatregelen getroffen of zijn aanvullende maatregelen van toepassing.
8
Bijvoorbeeld de selectie en implementatie van een informatiesysteem
17
Informatiebeveiligingsbeleid Noorderpoort 2014-2016
7.2 MA.2
Beveiligingsbeleid
Doelstelling: Het management richting en ondersteuning bieden voor informatiebeveiliging overeenkomstig de bedrijfsmatige eisen en relevante wetten en voorschriften. Richtlijnen MA.2.1 Er dient een beveiligingsbeleid te zijn vastgesteld door het College van Bestuur. Het beveiligingsbeleid bevat minimaal: Een definitie van de term informatiebeveiliging; De belangrijkste uitgangspunten van het Noorderpoort ten aanzien van informatiebeveiliging; Een toelichting op eisen, bepaalde beleidsmaatregelen, principes en normen ten aanzien van informatiebeveiliging (nakomen van wettelijke en contractuele verplichtingen, eisen met betrekking tot de beveiligingsopleidingen, beleid ten aanzien van virussen, beleid ten aanzien van de continuïteit van bedrijfsprocessen); Een omschrijving van de algemene verantwoordelijkheden en van specifieke verantwoordelijkheden voor alle aspecten van informatiebeveiliging. Doel van informatiebeveiliging binnen het Noorderpoort is er zorg voor dragen dat alle informatie van belang voor de continuïteit van de bedrijfsvoering beveiligd wordt, waarbij vertrouwelijkheid, betrouwbaarheid en beschikbaarheid tot op een aanvaardbaar risiconiveau gegarandeerd wordt. Informatiebeveiliging is de verantwoordelijkheid van iedere medewerker van het Noorderpoort en dientengevolge zal de medewerker zich in gedrag en houding hier naar richten. Door middel van opleiding, voorlichting, voorbeeldgedrag en correctie zal dit bewustwordingsproces opgestart, gestimuleerd en gecontinueerd worden. Naleving van het beveiligingsbeleid en maatregelen hoort bij het gedrag zoals een goede medewerker betaamt. Dientengevolge zal bij niet naleving de procedure gevolgd worden zoals deze omschreven staat in de CAO BVE. Bij alle beveiligingsmaatregelen zal primair rekening gehouden worden met wettelijke en contractuele verplichtingen. Binnen het Noorderpoort worden de normen ten aanzien van beveiligingsmaatregelen beschreven binnen de richtlijnen en maatregelen (hoofdstukken 6-8 Informatiebeveiligingsbeleid). Deze standaarden dienen op alle locaties nageleefd te worden. Uitzonderingen dienen beargumenteerd aangevraagd te worden bij de Security Officer. MA.2.2
Het beveiligingsbeleid is afgestemd op het beleid van het Noorderpoort.
MA 2.3 De stuurgroep ICT Governance bespreekt jaarlijks het informatiebeveiligingsbeleid en adviseert het CvB t.a.v wijzigingen in het beleid indien nodig. Input hiervoor wordt ingebracht door de Security Officer en Informatiemanagement. MA.2.4 De Security Officer is verantwoordelijk voor de jaarlijkse evaluatie van de naleving van het beveiligingsbeleid, namens het College van Bestuur. De evaluatie wordt uitgevoerd door de afdeling Informatiemanagement in opdracht van de Security Officer. MA.2.5 Jaarlijks stelt de afdeling Informatiemanagement, in opdracht van de Security Officer, een actieplan op waarin de Organisatiebreed op het terrein van beleid, procedures en praktijk (naleving, implementatie) acties worden opgenomen die ten doel hebben de risico‟s rondom informatiebeveiliging te minimaliseren en de kwaliteit te verhogen. MA.2.6 Als onderdeel van de controle op de naleving van het beveiligingsbeleid wordt regelmatig op onaangekondigde momenten de beveiliging van het netwerk en/of de gebouwen getest. Deze tests worden geïnitieerd door de afdeling Informatiemanagement in opdracht van de Security Officer en uitgevoerd door een objectieve en deskundige derde partij (externe auditor).
Informatiebeveiligingsbeleid Noorderpoort 2014-2016
7.3 MA.3
Beveiligingsorganisatie
Doelstelling: Het managen van informatiebeveiliging binnen het Noorderpoort. Richtlijnen MA.3.1 Het management dient interne en externe medewerkers te informeren over het beveiligingsbeleid en beveiligingsrichtlijnen die van toepassing zijn. Het College van Bestuur heeft ook voor informatiebeveiliging de formele bestuurlijke verantwoordelijkheid. Zij laat zich adviseren door de stuurgroep ICT Governance. De besluiten over informatiebeveiliging worden genomen conform de vigerende afspraken over besturing en sturing binnen het Noorderpoort. De stuurgroep ICT Governance adviseert en het CvB stelt vast. Het toezicht op het beleid is gepositioneerd bij de Security Officer. Taken en verantwoordelijkheden van het CvB in deze (geadviseerd door de stuurgroep ICT-Governance): Herzien van besluitvorming over het beveiligingsbeleid Toekennen van verantwoordelijkheden Signaleren van belangrijke wijzigingen in de voornaamste bedreigingen waaraan de bedrijfsinformatie is blootgesteld Bespreken van en toezicht houden op beveiligingsincidenten Goedkeuren van belangrijke initiatieven ter bevordering van de informatiebeveiliging Aanstellen van één manager die verantwoordelijk is voor alle activiteiten die gericht zijn op beveiliging (de Security Officer)
MA.3.2 De resultaten en opvolging van risicoanalyses en (de voortgang van) het beveiligingsplan worden vastgelegd en bewaakt en meegenomen in de planning- en controlecyclus van het Noorderpoort. De afdeling Informatiemanagement bewaakt de opvolging en voortgang en rapporteert deze aan de het operationeel overleg informatiebeveiliging, de stuurgroep ICT governance en de Security Officer. MA.3.3 Er vindt regelmatig overleg plaats waarbij de Security Officer, de Directeur Facilities, de Informatiemanager en de Beveiligingsspecialist van de afdeling ICT aanwezig zijn. Daarnaast kan de Beveiligingsspecialist en de Informatiemanager het management gevraagd en ongevraagd adviseren over de stand en inrichting van de informatiebeveiliging. MA.3.4 De taken, bevoegdheden en verantwoordelijkheden met betrekking tot informatiebeveiliging Noorderpoort breed zijn vastgesteld en formeel toegewezen. MA.3.5 Er dienen door de afdeling ICT formele procedures te zijn opgesteld voor de installatie van bedrijfsmiddelen. MA.3.6 Het management ziet er op toe dat de geheimhoudingsverklaring(en) met derden die het Noorderpoort hanteert voldoen aan het door het Noorderpoort gewenste beveiligingsniveau en wet- en regelgeving. MA.3.7 De Security Officer onderhoudt relevante en noodzakelijke contacten met autoriteiten, beroepsverenigingen en interprovinciale organisaties op het gebied van informatiebeveiliging.
7.4 MA.4
Externe partijen
Doelstelling: Het waarborgen van de beveiliging van de informatie en informatievoorzieningen van het Noorderpoort waartoe externe partijen toegang hebben of die door externe partijen wordt verwerkt, gecommuniceerd of gemanaged.
19
Informatiebeveiligingsbeleid Noorderpoort 2014-2016 Richtlijnen MA.4.1 Voor elk contract dat met een derde wordt overeengekomen geldt dat de externe partij zich conformeert aan het Noorderpoort beveiligingsbeleid inclusief de algemene maatregelen die gelden t.a.v. het betrokken informatiesysteem en de klasse (zie 7.6 classificatie informatiesystemen) waar het toe behoort. MA 4.2 Voor elk contract dat met een derde wordt overeengekomen dient door het verantwoordelijk management onderzocht te worden in hoeverre er aanvullende eisen ten aanzien van de beveiliging dienen te worden opgenomen. Relevante punten zijn bijvoorbeeld: Het beleid ten aanzien van logische- en fysieke toegangsbeveiliging; Overdracht van intellectuele eigendomsrechten en auteursrecht en bescherming van gezamenlijk werk; Escrow (Het deponeren van de broncode van software, inclusief technische documentatie, bij een onafhankelijke derde partij. Het doel van escrow is het waarborgen van de continuïteit van de bedrijfsactiviteiten van de gebruikers van software indien op enig moment om welke reden ook de leverancier van de software niet meer in staat is om bijvoorbeeld zijn onderhoudsverplichtingen na te komen.) Overeenstemming over toegangsbeveiliging; Het recht om toezicht te houden op de werkzaamheden die door derden worden uitgevoerd; Geheimhouding; Algemene inkoopvoorwaarden. Externe partijen dienen pas toegang tot informatie en informatiesystemen te verkrijgen, wanneer er passende maatregelen zijn geïmplementeerd waarin de voorwaarden voor de verbinding of toegang zijn vastgelegd. Er behoort te worden gewaarborgd dat de externe partij kennis draagt van zijn verplichtingen en de verantwoordelijkheden en aansprakelijkheid aanvaardt die gepaard gaan met de toegang tot informatie en ICTvoorzieningen van het Noorderpoort en het verwerken, communiceren of beheren ervan. Wat betreft: De logische- en fysieke toegangsbeveiliging Overdracht van intellectuele eigendomsrechten en auteursrecht Het recht om toezicht te houden op de werkzaamheden die door derden worden uitgevoerd Escrow Geheimhouding
7.5 MA.5 Verantwoordelijkheid voor bedrijfsmiddelen Doelstelling: Het handhaven van adequate bescherming van bedrijfsmiddelen en waarborgen dat bedrijfsmiddelen een passend niveau van beveiliging krijgen. Richtlijnen MA.5.1 De afdeling ICT draagt er zorg voor dat de individuele medewerker die bedrijfsmiddelen ter beschikking krijgt gesteld (zoals bijvoorbeeld een laptop, een portable printer, een mobiele telefoon of een tablet) voor ontvangst een verklaring tekent waarin de medewerker verklaart als een goed ambtenaar met de bedrijfsmiddelen om te gaan.
MA.5.2 Elk informatiesysteem en alle gegevens dienen een specifieke eigenaar te hebben die verantwoordelijk is voor: De juiste classificatie van zijn informatiesysteem; Het toewijzen van autorisaties voor toegang tot de geclassificeerde informatie; Periodieke evaluatie van de toegewezen autorisaties; Het toepassen van de juiste beveiligingsmaatregelen om risico‟s te minimaliseren. Eigenaar van het informatiesysteem is de verantwoordelijke van het proces waarvoor het informatiesysteem als ondersteunend middel wordt ingezet.
7.6 MA.6
Classificatie van informatie
Informatiebeveiligingsbeleid Noorderpoort 2014-2016
Doelstelling: De bedrijfsmiddelen en informatiesystemen worden voor elk van de beveiligingsuitgangspunten, te weten, vertrouwelijkheid, betrouwbaarheid en beschikbaarheid, beoordeeld naar de mate waarin deze uitgangspunten van toepassing zijn. Op grond hiervan wordt per beveiligingsuitgangspunt een classificatielabel toegekend. Classificatie heeft tot doel het bepalen van de risicogevoeligheid van een bedrijfsmiddel of informatiesysteem, ter bepaling van de te treffen beveiligingsmaatregelen. Richtlijnen MA.6.1 Een adequaat beveiligingsniveau kan per informatiesysteem of bedrijfsmiddel verschillen. Om het gewenste beveiligingsniveau te kunnen vaststellen elk informatiesysteem geclassificeerd te zijn. Primair verantwoordelijk hiervoor is de eigenaar van het informatiesysteem. De afdeling informatiemanagement heeft de taak om Noorderpoort breed classificatie te initiëren en te onderhouden. Informatiesystemen worden geclassificeerd op beschikbaarheid, integriteit en vertrouwelijkheid. Dit om een indicatie te geven voor de maatregelen die benodigd zijn voor het betreffende informatiesysteem. Heeft een informatiesysteem bijvoorbeeld een classificatie hoog op beschikbaarheid, dan betekent dit dat extra maatregelen nodig zijn om de beschikbaarheid te garanderen. Door het classificeren van informatiesystemen is in beeld welk risico gelopen worden; daarmee wordt de BIVclassificatie als risicoanalyse methodiek gehanteerd voor informatiebeveiliging. Maatregelen die nodig zijn naar aanleiding van de BIV-classificatie en de identificatie van risico‟s worden uitgevoerd door o.a. functioneel beheer, de afdeling ICT in opdracht van en in overleg met de eigenaar van het informatiesysteem.
MA.6.2 Voor classificatie van binnen de afdeling gebruikte dan wel aanwezige informatie dient een procedure te worden opgesteld waarbij minimaal de volgende indeling naar de mate van vertrouwelijkheid is gemaakt:
- Classificatie op basis van BIV: - Beschikbaarheid: het waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot informatie en aanverwante bedrijfsmiddelen - Integriteit: het waarborgen van de juistheid en de volledigheid van informatie en verwerking; - Vertrouwelijkheid: het waarborgen dat informatie alleen toegankelijk is voor degenen, die hiertoe geautoriseerd zijn. - Ten aanzien van de BIV drie niveaus: - Standaard. Hiervoor geldt dat de standaard maatregelen op Noorderpoort niveau t.a.v. informatiebeveiliging van toepassing zijn. - Middel. - Hoog. De eigenaar van de gegevens is verantwoordelijk voor de classificatie van de gegevensverwerkingen en het informatiesysteem. Ten aanzien van vertrouwelijkheid wordt de indeling van de Wet Bescherming Persoonsgegevens (WBP) gebruikt:
21
Informatiebeveiligingsbeleid Noorderpoort 2014-2016 • risicoklasse 0 publiek niveau
Het gaat hier om openbare persoonsgegevens. In deze klasse zijn persoonsgegevens opgenomen waarvan algemeen aanvaard is dat deze, bij het beoogde gebruik, geen risico opleveren voor de betrokkene.
Voorbeelden hiervan zijn telefoonboeken, brochures, publieke internet sites etc.
• risicoklasse I basis niveau
De risico‟s voor de betrokkene bij verlies of onbevoegd of onzorgvuldig gebruik van de persoonsgegevens zijn zodanig dat standaard (informatie)beveiligingsmaatregelen toereikend zijn. Bij verwerkingen van persoonsgegevens in deze klasse gaat het meestal om een beperkt aantal persoonsgegevens dat betrekking heeft op bijvoorbeeld lidmaatschappen, arbeidsrelaties, klantrelaties en overeenkomstige relaties tussen een betrokkene en een organisatie.
Voorbeelden van relaties waarover veelal persoonsgegevens worden verwerkt die vallen in deze klasse zijn: school - leerling, verhuurder - huurder, hotel gast, vereniging - lid, organisatie - deelnemer.
• risicoklasse II verhoogd risico
De uitkomst van de analyse toont aan dat er extra negatieve gevolgen bestaan voor de betrokkene bij verlies, onbehoorlijke of onzorgvuldige verwerking van de persoonsgegevens. De te nemen (informatie)beveiligingsmaatregelen moeten voldoen aan hogere normen dan die gelden voor het basis niveau.
In deze klasse passen bijvoorbeeld verwerkingen van persoonsgegevens die voldoen aan een van de hieronder gegeven beschrijvingen: 1. de verwerkingen van bijzondere persoonsgegevens zoals bedoeld in artikel 16 WBP; - rasgegevens - gezondheidsgegevens - foto 2. de verwerking in het bank- en verzekeringswezen van gegevens over de persoonlijke of economische situatie van een betrokkene (financieeleconomische gegevens) 3. de gegevens die bij handelsinformatiebureaus worden verwerkt ten behoeve van kredietinformatie of schuldsanering; 4. de gegevens die worden verwerkt hebben betrekking op de gehele of grote delen van de bevolking (de impact van op zich onschuldige gegevens over een groot aantal betrokkene); 5. alle verwerkingen van persoonsgegevens die met het bovenstaande vergelijkbaar zijn.
• risicoklasse III hoog risico
Bij verwerking van meerdere verzamelingen van bijzondere persoonsgegevens kan het resultaat van deze verwerking een dermate vergroot risico voor de betrokkene opleveren dat het gerechtvaardigd is deze verwerking van persoonsgegevens in risicoklasse III te plaatsen.
Onder andere: - de verwerkingen die betrekking hebben op opsporingsdiensten met bijzondere bevoegdheden of verwerkingen waarbij de belangen van de betrokkene ernstig kunnen worden geschaad indien dit onzorgvuldig of onbevoegd geschiedt. - DNA-databank, vallen in deze klasse - Persoonsgegevens waarop een bijzondere geheimhoudingsplicht van toepassing is
7.7 MA.7
Beleid ten aanzien van toegangsbeveiliging
Doelstelling: Het beheersen van de toegang tot informatie. Richtlijnen
Informatiebeveiligingsbeleid Noorderpoort 2014-2016 MA.7.1 De normen voor het verlenen van toegang tot de technische infrastructuur (afdeling ICT ) en informatiesystemen (informatiesysteem eigenaren) zijn vastgelegd in toegangsregels (autorisatieprofielen) waarbij: de processtappen en daarbinnen te onderkennen (proces)taken van medewerkers worden vastgesteld op basis van proces- en functiebeschrijvingen; een onderverdeling van informatiesystemen in systeemfuncties wordt gemaakt; de onderkende taken van medewerkers worden gekoppeld aan deze functies; de voor de taak benodigde toegangsrechten zijn bepaald op basis van het „need-to-know‟-principe. MA.7.2 User-id‟s van medewerkers die het Noorderpoort verlaten dienen door Personeelsbeheer dan wel de systeemeigenaar op non-actief te worden gezet. Hierbij geldt: Standaard wordt 1 maand na uit dienst treding wordt het User-id en de toegang tot Noorderpoort informatiesystemen afgesloten (status inactief). Eén jaar na afsluiting (status inactief) wordt het account definitief verwijderd (terminated) met de daarbij behorende gegevensset behalve datgene dat voor het Noorderpoort van belang is. Voorbeeld hierbij zijn gegevens die in het kader van de archiefwet bewaard moeten worden. Personeelsbeheer kan indien nodig de toegang van medewerkers per direct ontzeggen in geval van ontslag op staande voet. In dat geval wordt per direct het user-id op status inactief gezet. Hierbij neemt de manager van Personeelsbeheer het initiatief.
7.8 MA.8 Management van toegangsrechten / autorisatiebeheer Doelstelling: Het waarborgen van geautoriseerde toegang en het voorkomen van ongeautoriseerde toegang tot informatiesystemen. Richtlijnen MA.8.1 Er wordt twee soorten autorisatie onderkend: autorisatie ten behoeve van het gebruik van het systeem en autorisatie ten behoeve van beheer van het informatiesysteem. Voor alle twee de soorten is een autorisatiematrix beschikbaar waarin zicht wordt gegeven op de relatie tussen rollen, taken en toegang / gebruik van het systeem. MA.8.2 De beheer autorisatiematrix wordt opgesteld in samenwerking met de afdeling ICT en betrokkenen m.b.t. informatiebeveiliging. Hierbij wordt een invulling gemaakt met als doel het kunnen beheren van het systeem binnen de uitgangspunten t.a.v. informatiebeveiliging en Noorderpoort breed beheer. Voorbeelden van uitgangspunten zijn functiescheiding, scheiding van projecten en beheer en risico-minimalisatie. MA.8.3 Elke aanvraag voor autorisatie dient te worden beoordeeld door de systeemeigenaar. De eigenaar dient vast te stellen of de aangevraagde autorisatie nodig is en niet in strijd is met de uitgangspunten t.a.v. informatiebeveiliging. MA.8.4 Alleen autorisaties welke specifiek gelden voor de taken en verantwoordelijkheden van de gebruiker mogen door de systeemeigenaar worden toegewezen. MA.8.5 Het toekennen van autorisaties dient te gaan via een formele procedure welke is vastgelegd. MA.8.6 Systeemeigenaren dienen jaarlijks alle autorisaties en autorisatiematrices te beoordelen en eventueel te herzien. MA.8.7 In geval van verandering van taken en verantwoordelijkheden van een gebruiker dient dit door de afdeling gemeld te worden aan de systeemeigenaar. Eventuele aanpassingen aan de autorisaties van de gebruiker dienen via de formele procedure te worden gedaan.
7.9 MA.9 Beveiligingseisen voor informatiesystemen 23
Informatiebeveiligingsbeleid Noorderpoort 2014-2016 Doelstelling: Het waarborgen dat beveiliging een integraal onderdeel is van informatiesystemen. Richtlijnen MA.9.1
In de aanvangsfase dient een eigenaar van het systeem te worden bepaald.
De beveiliging van de applicatie met betrekking tot het aanpassen of ontwikkelen van functionaliteit (inrichting en implementatie). Eisen: wachtwoordprotectie op individueel niveau menukeuze gekoppeld aan wachtwoordprotectie (niet tonen van niet-toegankelijke opties aan de gebruiker) bevoegdheden moeten kunnen worden toegekend aan groepen gebruikers de tabel met daarin de autorisaties van alle gebruikers moet kunnen worden uitgedraaid het systeem moet zo kunnen worden ingesteld dat het automatisch uitlogt na verstrijken van een bepaalde tijd waarin de gebruiker niet heeft gewerkt. MA.9.2 Bij de aanschaf of ontwikkeling van nieuwe informatiesystemen dient door of namens de (toekomstig) eigenaar altijd een risicoanalyse te worden uitgevoerd. Uitgangspunt daarbij is de algemene beveiligingsniveaus en maatregelen die horen bij de klasse waarbinnen het informatiesysteem zich bevindt (zie 7.6 classificatie van informatiesystemen). MA.9.3 De eigenaar dient noodzakelijk geachte afwijkingen van de beveiligingsuitgangspunten of -beleidsregels nadrukkelijk te motiveren en te laten accorderen door de Security Officer. MA.9.4 De leverancier of ontwikkelaar dient ervoor zorg te dragen dat het systeem optimaal gebruik kan maken van de standaardmogelijkheden van de beveiligingsinfrastructuur. MA.9.5 Voor de aanschaf van software gelden dezelfde procedures voor de dienst als voor de aanschaf van andere bedrijfsmiddelen, met als extra aandachtspunten het contractbeheer en de licentieovereenkomsten.
7.10 MA.10 Juiste en volledige gegevensverwerking Doelstelling: Het voorkomen van fouten, verlies, ongeautoriseerde wijzigingen of misbruik van informatie in toepassingssystemen. Richtlijnen MA.10.1 De proceseigenaar dient door middel van functiescheiding binnen processen de risico‟s van menselijke fouten en eventueel opzettelijk misbruik van systemen zoveel mogelijk te verminderen. Doorvoering van volledige functiescheiding zal omwille van de werkbaarheid echter niet altijd wenselijk zijn. De door de proceseigenaar minimaal noodzakelijk geachte functiescheiding is vastgelegd in de beschrijving van de Administratieve Organisatie (AO). MA.10.2 In de selectie- dan wel ontwerpfase van nieuwe systemen of functionaliteit dient door de systeemeigenaar te worden bepaald van welke gegevens die worden ingevoerd of verwerkt door toepassingssystemen dienen te worden gevalideerd op juistheid en volledigheid. MA.10.3 In de selectie- dan wel ontwerpfase van nieuwe systemen of functionaliteit dient door de systeemeigenaar te worden bepaald welke controles er dienen te worden uitgevoerd op de uitvoergegevens om te controleren of de verwerking van de opgeslagen informatie juist is verlopen.
7.11 MA.11
Beveiliging van bestanden
Informatiebeveiligingsbeleid Noorderpoort 2014-2016 Doelstelling: Het waarborgen van de beveiliging van bestanden. Richtlijnen MA.11.1 De ingebruikname dient pas te geschieden nadat het systeem formeel door of namens de systeemeigenaar is geaccepteerd en formeel is overgedragen voor productie. MA.11.2 De functionaliteit van de beveiligingsmaatregelen van het te ontwikkelen systeem dient door de systeemeigenaar in de testfase meegenomen te worden. MA.11.3 Voor het testen van systemen moeten gegevens en een omgeving worden gebruikt die lijken op de gegevens waar het systeem uiteindelijk mee zal werken. MA.11.5
Elk testgegeven dient alleen ingezien te worden door bij de test betrokken personen.
MA.11.6 beheerd.
Elk testgegeven van de vertrouwelijkheid classificatie niveau hoog dient te worden beveiligd en
7.12 MA.12
Beveiliging van ontwikkel- en onderhoudprocessen
Doelstelling: Het waarborgen van de beveiliging van informatiesystemen en informatie. Richtlijnen MA.12.1 Alle wijzingen dienen door de systeemeigenaar getest te worden inclusief beveiligingstesten en de uitkomsten hiervan dienen te worden vastgelegd. MA.12.2 Voor de aanschaf van uitbestede softwareontwikkeling gelden dezelfde procedures als voor het in eigen beheer ontwikkelen van software, met als extra aandachtspunten het contractbeheer. informatiebeveiliging, eigenaarschap van informatie en de licentieovereenkomsten.
7.13 MA.13 Rapporteren van beveiligingsgerelateerde gebeurtenissen en kwetsbaarheden Doelstelling: het minimaliseren van de schade die wordt veroorzaakt door beveiligingsincidenten en storingen, het monitoren van dergelijke incidenten en er lering uit trekken. Richtlijnen MA.13.1 Aan de medewerkers dient door het management duidelijk gemaakt te worden wat verstaan wordt onder een beveiligingsincident, en waar beveiligingsincidenten dienen te worden gemeld. Binnen het Noorderpoort wordt onderscheid gemaakt tussen: IT-beveiligingsincidenten (worden gemeld bij de Servicedesk Noorderpoort); Fysieke beveiligingsincidenten (worden gemeld bij gebouwenbeheerder); Beveiligingsincidenten met een vertrouwelijk karakter (worden gemeld bij de leidinggevende, de leidinggevende meldt het incident aan Security Officer). MA.13.2
De Security Specialist rapporteert jaarlijks alle gemelde incidenten.
MA.13.3 Het verantwoordelijk management neemt in overleg met de Security Officer en de Security Specialist passende maatregelen om de schade van het incident en deze in de toekomst tot een minimum te beperken. 25
Informatiebeveiligingsbeleid Noorderpoort 2014-2016 MA.13.4 Vastgelegde informatie naar aanleiding van (beveiligings) incidenten, dient minstens drie jaar te worden bewaard. MA.13.5
Alle acties genomen naar aanleiding van een incident dienen te worden vastgelegd.
7.14 MA.14
Management van beveiligingsincidenten en verbeteringen
Doelstelling: het waarborgen van een consistente en effectieve benadering om beveiligingsincidenten te managen. Richtlijnen MA.14.1 De Security Specialist dient een procedure op te stellen voor het rapporteren van respectievelijk ITbeveiligingsincidenten, fysieke beveiligingsincidenten en beveiligingsincidenten met een vertrouwelijk karakter. MA.14.2 De Security Specialist is verantwoordelijk voor het verifiëren van de zwaarte van de incidenten en risico‟s en bewaakt dat de nodige (disciplinaire) acties worden ondernomen. MA16.3 De integrale registratie van beveiligingsincidenten moet minimaal inzicht geven in de aard en de impact van het incident. MA.14.4 De Security Specialist stelt vier keer per jaar ten behoeve het operationeel overleg een rapportage op waarin inzicht wordt gegeven in: de aard en de impact van de beveiligingsincidenten en gemelde risico‟s; welke extra maatregelen moeten worden genomen om terugkerende beveiligingsincidenten of beveiligingsincidenten met een grote impact te voorkomen; welke extra maatregelen moeten worden genomen om terugkerende beveiligingsrisico‟s of beveiligingsrisico‟s met een grote impact te verminderen. MA.14.5 Er dienen door de systeemeigenaar procedures te zijn opgesteld die betrekking hebben op het verzamelen van audit trails en soortgelijk bewijsmateriaal ten behoeve van de probleemanalyse of ten behoeve van eventuele gerechtelijke stappen.
7.15 MA.15
Informatiebeveiligingsaspecten van business continuity planning
Doelstelling: het reageren op verstoringen van bedrijfsactiviteiten en het beschermen van de kritieke bedrijfsprocessen tegen de effecten van grootschalige storingen of calamiteiten. Richtlijnen MA.15.1 De taken, bevoegdheden en verantwoordelijkheden met betrekking tot business continuity planning dienen door de leidinggevende te zijn vastgesteld en formeel toegewezen. MA.15.2 Er dient door het management een risicoanalyse te worden uitgevoerd om vast te stellen wat de gevolgen van onderbrekingen zouden kunnen zijn voor de bedrijfsprocessen (in termen van hoogte van de schade en hersteltijd). MA.15.3 Een calamiteitenplan dient minimaal te voldoen aan de interne vereisten en de geaccepteerde regelgeving van de toezichthoudende instanties. Uitgangspunt hierbij is de classificatie t.a.v. betrouwbaarheid. MA.15.4 Er dienen door de dienst procedures te worden opgesteld voor het ontwikkelen en handhaven van continuïteitsplannen voor het Noorderpoort. De volgende punten dienen te zijn opgenomen: Specificatie van kritieke bedrijfsprocessen en systemen en de toewijzing van prioriteiten (zie ook 7.6 classificatie van informatiesystemen). Het bepalen van eventuele gevolgen van verschillende calamiteiten op de bedrijfsactiviteiten (risicoanalyse).
Informatiebeveiligingsbeleid Noorderpoort 2014-2016
Specificatie en goedkeuring van alle verantwoordelijkheden en noodvoorzieningen. Documentatie van overeengekomen procedures en processen.
MA.15.5 De modelstructuur voor continuïteitsplanning bestaat uit vier onderdelen. Het is aan te bevelen deze structuur te volgen om uniformiteit in de opzet en uitvoer van deze plannen binnen de gehele organisatie van het Noorderpoort te verkrijgen: Procedures en noodsituaties. Hierin wordt beschreven welke acties dienen te worden ondernomen na een incident waarbij de bedrijfsvoering of mensenlevens in gevaar worden gebracht. Uitwijkprocedures. Hierin wordt beschreven welke acties er dienen te worden ondernomen om belangrijke bedrijfsactiviteiten of diensten te verplaatsen naar tijdelijke of alternatieve locaties, dan wel organisaties. Vervolgprocedures Hierin wordt beschreven welke acties dienen te worden ondernomen om de normale bedrijfsvoering te hervatten. Testschema Hierin wordt beschreven hoe en wanneer het plan wordt getest. Het testschema moet worden vastgesteld op basis van een eerder uitgevoerde risicoanalyse. MA.15.6
Het calamiteitenplan van het Noorderpoort wordt minstens één maal per jaar getest.
MA.14.7
Het calamiteitenplan van het Noorderpoort wordt één maal per jaar geëvalueerd.
MA.15.8 aangepast.
Bij veranderde omstandigheden wordt het calamiteitenplan door de verantwoordelijk manager
MA.15.9 Na afloop van een calamiteitenoefening worden door de dienst nieuwe ervaringen zo spoedig mogelijk in het calamiteitenplan doorgevoerd.
7.16 MA.16
Naleving van wettelijke voorschriften
Doelstelling: het voorkomen van inbreuken op enigerlei wijze van wettelijke, statutaire, reglementaire of contractuele verplichtingen, en beveiligingseisen. Richtlijnen M.18.1 Alle specifieke maatregelen en individuele verantwoordelijkheden om aan de wettelijke en contractuele eisen te voldoen dienen door de systeemeigenaar te zijn gedefinieerd en vastgelegd. MA.16.2 Bepaalde daartoe geclassificeerde informatie dient door het verantwoordelijk management te worden beveiligd om te voldoen aan de wettelijke vereisten en ter ondersteuning van belangrijke bedrijfsactiviteiten. Hiervoor dient het volgende te worden gedaan: Opstellen en distribueren van regels ten aanzien van het bewaren en opslaan, verwerken en vernietigen van bedrijfsdocumenten en gegevens. Bijhouden van bedrijfsdocumenten in een overzicht. Ontwerpen en implementeren van maatregelen om belangrijke documenten en informatie te beveiligen tegen verlies, vernietiging en vervalsing. MA.16.3 Het Noorderpoort heeft 2 privacyreglementen: Privacyreglement Studenten en Privacyreglement Personeel. In deze reglementen worden specifieke maatregelen en individuele verantwoordelijkheden beschreven om aan de WBP te voldoen.
27
Informatiebeveiligingsbeleid Noorderpoort 2014-2016
7.17 MA.17 vereisten
Beoordeling van de naleving van het beveiligingsbeleid en de technische
Doelstelling: waarborgen dat systemen voldoen aan het beveiligingsbeleid en standaarden. Richtlijnen MA.17.1 De systeemeigenaar is ervoor verantwoordelijk dat systemen worden gecontroleerd om ervoor te zorgen dat zij voldoen aan het informatiebeveiligingsbeleid en het geldende beveiligingsniveau. MA.17.2 De systeemeigenaar is ervoor verantwoordelijk dat maatregelen worden geïmplementeerd om geconstateerde tekortkomingen t.a.v. informatiebeveiliging (beleid, procedure of praktijk) worden opgepakt.
Informatiebeveiligingsbeleid Noorderpoort 2014-2016
8
Richtlijnen specifieke afdelingen
8.1
Personeel en Organisatie, Personeelsbeheer
8.1.1
PO.1
Richtlijnen voor indiensttreding 9
Doelstelling: Waarborgen dat interne en externe medewerkers van het Noorderpoort op de hoogte zijn van en geschikt zijn voor hun verantwoordelijkheden en het verminderen van de risico’s van menselijke fouten, diefstal, fraude of misbruik van bedrijfsmiddelen. Let op: onderscheid afdeling P&O en Personeelsbeheer Richtlijnen PO.1.1 De taken, bevoegdheden en verantwoordelijkheden met betrekking tot informatiebeveiliging van binnen het Noorderpoort aanwezige functies, die verantwoordelijkheid dragen voor informatiebeveiliging of die beroepshalve met informatiebeveiliging te maken hebben, dienen te zijn vastgelegd in actuele en formele functie- en taakbeschrijvingen. In alle functiebeschrijvingen, voor zover relevant, dient functiescheiding te zijn vastgelegd. PO.1.2 Voor de werving van eigen personeel geldt: Vaststelling van de identiteit aan de hand van een geldig identiteitsbewijs; Vaststelling van de echtheid van diploma‟s PO.1.3 Het aanstellen van een nieuwe medewerker zal niet eerder mogen plaatsvinden dan nadat: Een verklaring omtrent het gedrag is afgegeven; Bij in dienst treding wordt de medewerker op de hoogte gesteld van zijn / haar verplichtingen en taken rondom informatiebeveiliging. PO.1.5 Voor externe medewerkers geldt: Controle van de identiteit van de externe medewerker bij aankomst op de eerste dag en deze verifiëren met de gegevens bij de leverancier; De externe medewerker overlegt vóór aanvang van de werkzaamheden een verklaring omtrent gedrag indien nodig voor de functie / taak die hij / zij binnen het Noorderpoort gaat uitvoeren; Indien een externe medewerker gaat werken met gevoelige informatie tekent hij / zij een geheimhoudingsverklaring voordat met de werkzaamheden wordt begonnen; Instructies aan de externe medewerker geven voor wat betreft de toegang tot gebouwen of onderdelen daarvan; PO.1.6
Toegang tot informatiesystemen:
Nieuwe medewerkers en externe medewerkers kunnen al voor aanvang dienstverband / werkzaamheden toegang krijgen tot informatiesystemen. Zij moeten dan kennis nemen van de regels en richtlijnen op het gebied van informatiebeveiliging die binnen het Noorderpoort gelden en zich akkoord verklaren met de taken, rollen en verantwoordelijkheden die deze met zich meebrengen. 9
Onder externe medewerkers wordt verstaan medewerkers die niet middels een arbeidsovereenkomst aan het Noorderpoort verbonden zijn. De groep wordt onderverdeeld in stagiairs, -personeel dat in dienst is van een andere werkgever niet vallende onder een mantelcontract, dit zijn personen die worden ingehuurd van een onderneming waarmee het Noorderpoort geen mantelovereenkomst heeft afgesloten (bijvoorbeeld inhuur van specifieke expertise), personeel in dienst van een andere werkgever waarmee het Noorderpoort een mantelovereenkomst heeft (uitzendkrachten, onderhoudspersoneel, schoonmaakpersoneel, cateringpersoneel, medewerkers van leveranciers van andere goederen en diensten). Externe medewerkers verrichten taken / werkzaamheden binnen het Noorderpoort en / of onder verantwoordelijkheid van het Noorderpoort.
29
Informatiebeveiligingsbeleid Noorderpoort 2014-2016
8.1.2
PO.2
Richtlijnen tijdens het dienstverband
Doelstelling: Waarborgen dat interne en externe medewerkers zich bewust zijn van het belang van en de bedreigingen op het gebied van informatiebeveiliging, hun verantwoordelijkheden en verplichtingen, in staat zijn om het beveiligingsbeleid van het Noorderpoort toe te passen bij het uitvoeren van hun werkzaamheden, en het verminderen van menselijke fouten. Richtlijnen PO.2.1 Personeelsbeheer is er voor verantwoordelijk dat nieuwe medewerkers bij indiensttreding kennis nemen van de regels en richtlijnen op het gebied van informatiebeveiliging die binnen het Noorderpoort gelden. PO.2.3 Personeelsbeheer is er voor verantwoordelijk dat medewerkers worden voorzien van alle relevante documentatie betreffende de beveiligingsmaatregelen en procedures, om hen zodoende in staat te stellen de informatie van het Noorderpoort te beschermen. PO.2.4 Bij het overtreden van het beveiligingsbeleid en/of de beveiligingsrichtlijnen van het Noorderpoort het Noorderpoort door interne en externe medewerkers dient Personeel en Organisatie er op toe te zien dat het management in overeenstemming met het ARG respectievelijk de overeenkomsten met derden disciplinaire maatregelen treft. 8.1.3
PO.3
Beëindiging of wijziging van het dienstverband
Doelstelling: Waarborgen dat interne en externe medewerkers bij beëindiging of wijziging van het dienstverband het Noorderpoort op een ordelijke manier verlaten. Richtlijnen PO.3.1 De leidinggevende van een medewerker is verantwoordelijk voor het tijdig en juist doorgeven van wijzigingen dan wel beëindiging van het dienstverband. PO.3.2 Personeelsbeheer is verantwoordelijk voor het bijhouden van wijziging dan wel beëindiging van het dienstverband en het hiervoor initiëren van de noodzakelijke activiteiten om de ter beschikking gestelde bedrijfsmiddelen in te nemen en het deregistreren van logische en fysieke toegangsrechten.
PO.3.3 Er dient door de Dienst Facilities een procedure te zijn opgesteld voor de inname van de aan de medewerker ter beschikking gestelde bedrijfsmiddelen bij wijziging dan wel beëindiging van het dienstverband. PO.3.4 Er dient door de systeemeigenaar een procedure te zijn opgesteld voor het de registreren van alle toegangsrechten (logisch en fysiek) van de medewerker bij wijziging dan wel beëindiging van het dienstverband. Hierbij geldt dat beëindiging van het dienstverband of wijziging t.a.v. wel / niet onderdeel van het management worden geregeld via de Active Directory (single sign on) waarbij het Personeelsregistratiesysteem leidend is voor vulling van de Active Directory.
8.2 Dienst Facilities 8.2.1
FS.1
Beveiligde ruimten
Doelstelling: Het voorkomen van ongeautoriseerde toegang tot, schade aan of verstoring van informatiesystemen en informatie.
Informatiebeveiligingsbeleid Noorderpoort 2014-2016 Richtlijnen FS.1.1 Alle extra beveiligde ruimten van gebouwen van het Noorderpoort dienen op basis van risicoafweging te zijn geïdentificeerd waarbij het bijbehorende beveiligingsniveau is vastgelegd. De extra beveiligde ruimten zijn als zodanig aangewezen vanwege: o De aard van werkzaamheden die daar plaatsvinden o Het type informatie dat daar wordt gebruikt of is opgeslagen o Het type apparatuur dat er staat FS.1.2 ICT-ruimten afgeschermd. Binnen een gebouw of locatie dienen de daarbinnen extra beveiligde ruimten (patchkasten, personeelsarchieven e.d.) duidelijk te worden aangegeven en gedefinieerd. Alleen geautoriseerde medewerkers hebben toegang. Per ruimte is een registratie van namen en rechten aanwezig. Niet geautoriseerd personeel en derden dienen altijd begeleid te worden of toestemming te hebben van een geautoriseerd personeelslid. Reden van bezoek moet omschreven staan en bekend zijn bij diegene die de persoon in kwestie toelaat. Dezelfde persoon medewerker is verantwoordelijk voor de vermelding in het logboek. Per ruimte wordt een logboek gebruikt waarin alle relevante gegevens worden geadministreerd. Per notitie: naam, datum, tijdstip aankomst en vertrek, reden van bezoek en handtekening. De autorisaties dienen regelmatig te worden geactualiseerd. Bij het gebruik van camera‟s voor toezicht, dient het wettelijke regime, gesteld door het CBP (College Bescherming Persoonsgegevens), in acht te worden genomen. FS.1.3 Beveiligde ruimten dienen beschermd te worden door adequate toegangscontrole. FS.1.4 Medewerkers (die hiervoor niet bevoegd zijn) mogen niet alleen of zonder toezicht in een beveiligde ruimte werken. 8.2.2 FS.2
Beveiliging van apparatuur
Doelstelling: Het voorkomen van verlies, schade, diefstal of het in gevaar brengen van bedrijfsmiddelen en onderbreking van de processen van het Noorderpoort. Richtlijnen FS.2.1 Apparatuur dient te worden gecontroleerd op de aanwezigheid van opgeslagen gegevens, voordat de apparatuur wordt afgevoerd. FS.2.2 Apparatuur dient zodanig te worden geplaatst en beveiligd dat de risico‟s van schade, storing en gebruik door ongeautoriseerde personen tot een minimum beperkt zijn. FS.2.3 Apparatuur dient te worden beveiligd tegen stroomstoringen en andere elektrische storingen. FS.2.4 De bekabeling voor dataverkeer en voor ondersteunende informatiediensten dient beschermd te worden tegen aftappen, verminking en beschadiging. FS.2.5 Apparatuur dient op de juiste wijze te worden onderhouden. FS.2.6 Apparatuur dient fysiek te worden beveiligd tegen gevaren van buitenaf. 8.2.3 FS.3 Externe partijen
31
Informatiebeveiligingsbeleid Noorderpoort 2014-2016 Doelstelling: Het waarborgen van de beveiliging van de informatie en informatievoorzieningen van het Noorderpoort waartoe externe partijen toegang hebben of die door externe partijen wordt verwerkt, gecommuniceerd of gemanaged. Richtlijnen FS.3.1 Op plaatsen waar toegang door derden noodzakelijk is, dient de dienst door middel van een risicoanalyse te worden bepaald welke gevolgen dit heeft voor de beveiliging en welke maatregelen dienen te worden getroffen. FS.3.2 Werkzaamheden uitgevoerd door derden mogen geen afbreuk doen aan het beveiligingsniveau van de organisatie. De verantwoordelijkheden van derden dienen door de dienst duidelijk te worden gedefinieerd en te worden vastgelegd in contracten. FS.3.3 Het is de verantwoordelijkheid van de dienst om zeker te stellen dat derden op de hoogte zijn van en zich houden aan de beveiligingsrichtlijnen van de organisatie. FS.3.4 Externen ondertekenen als zij werken met gevoelige informatie en / of systemen een verklaring waarin zij aangeven op de hoogte te zijn van de beveiligingsrichtlijnen van de organisatie. Dit kan ook contractueel worden vastgelegd.
8.3 Informatie Voorziening 8.3.1
IV.1
Verantwoordelijkheid voor bedrijfsmiddelen
Doelstelling: Het handhaven van adequate bescherming van bedrijfsmiddelen en waarborgen dat bedrijfsmiddelen een passend niveau van beveiliging krijgen. Richtlijnen IV.1.1 Er dient door de informatiemanagement samen met de afdeling ICT een overzicht gemaakt te worden van alle belangrijke informatie dan wel informatiesystemen. Vastgelegd dient te worden: De eigenaar van het systeem of van de data (informatiemanagement); De relatie met andere informatie en informatiesystemen (informatiemanagement); Status van het systeem (bijvoorbeeld in ontwikkeling, in bedrijf) (informatiemanagement); Dit wordt vastgelegd door architectuurmodellen: - Informatiedimensies - Applicatielandschap 8.3.2
IV.2
Beveiligde ruimten
Doelstelling: Het voorkomen van ongeautoriseerde toegang tot, schade aan of verstoring van informatiesystemen en informatie. Richtlijnen IV.2.1 Computerruimten en ruimten die kritieke bedrijfsprocessen ondersteunen dienen over goede fysieke beveiliging te beschikken. De afdeling ICT is verantwoordelijk voor en bepaalt in overleg met de Dienst Facilities de beveiligingsmaatregelen van de centrale ICT-ruimten. 8.3.3
IV.3 Bedieningsprocedures en verantwoordelijkheden
Doelstelling: Het garanderen van een correcte en veilige bediening van informatiesystemen.
Informatiebeveiligingsbeleid Noorderpoort 2014-2016
Richtlijnen IV.3.1 Wijzigingen in informatiesystemen en de IT-infrastructuur dienen te worden beheerst. De systeemeigenaar is verantwoordelijk voor alle wijzigingen aan de applicatie en de IT-infrastructuur en de onderhavige procedures. Bij het wijzigingsbeheer dient rekening te worden gehouden met de volgende punten: het identificeren en vastleggen van belangrijke wijzigingen; het bepalen van de mogelijke gevolgen van wijzigingen; een formele goedkeuringsprocedure voor voorgestelde wijzigingen; een mededeling met details over de wijzigingen aan alle betrokken personen; procedures waarin de verantwoordelijkheden zijn vastgelegd ten aanzien van het afbreken en herstellen van niet geslaagde wijzigingen. IV.3.2 Met betrekking tot de scheiding van functies dient onderscheid gemaakt worden tussen functies betreffende ontwikkeling, beheer en gebruik van informatiesystemen. De systeemeigenaar dient er voor te zorgen dat er functiescheiding is aangebracht tussen ontwikkelaars, beheerders en gebruikers. IV.3.3 De afdeling ICT draagt zorg voor een strikte (logische en indien nodig fysieke) scheiding tussen test/ontwikkelomgevingen en acceptatie/productieomgevingen.
8.3.4 IV.5
Systeem planning en acceptatie
Doelstelling: Het minimaliseren van het risico van systeemfouten. Richtlijnen IV.5.1 Er dient door de afdeling ICT een prognose te worden gemaakt van de toekomstige capaciteitseisen om het risico van overbelasting van het systeem te reduceren. IV.5.2 Alle door de afdeling ICT aangebrachte veranderingen in capaciteit dienen gebaseerd te zijn op daadwerkelijk geconstateerde tekortkomingen op het gebied van performance of gebruik. IV.5.3 De operationele eisen van nieuwe systemen dienen door de afdeling ICT in overleg met de dienst te worden vastgesteld, gedocumenteerd en getest voordat de systemen goedgekeurd en in gebruik genomen kunnen worden. 8.3.5 IV.6
Bescherming tegen kwaadaardige software
Doelstelling: Het waarborgen van de integriteit van software en informatie. Richtlijnen IV.6.1 Om de systemen te beschermen tegen virussen, wormen en andere kwaadaardige programma‟s en een snelle detectie hiervan mogelijk te maken, dient de afdeling ICT: Software te installeren waarvoor het gebruiksrecht verkregen is; Nieuwe software of aangepaste software alleen door geautoriseerde personen te laten installeren; Nieuwe datafiles of nieuwe software te scannen op virussen; Een virusscanner te laten installeren op elke afzonderlijke Server en Desktop; Ontdekte virussen of het vermoeden van het bestaan ervan te allen tijde te laten melden; Virusscannerprogrammatuur dient up-to-date te zijn en te worden gehouden.
33
Informatiebeveiligingsbeleid Noorderpoort 2014-2016 Daar waar gebruikers hun laptop / device mede kunnen beheren zijn zij verantwoordelijk voor het beheer van hun virusscanner en het scannen van data op virussen. De afdeling ICT ondersteunt de gebruiker van Noorderpoort laptops / devices door middel van o.a. het pushen van virusscanners en updates. IV.6.2 Er dienen door de afdeling ICT adequate technische en organisatorische maatregelen getroffen zijn om te voorkomen dat programma‟s en gegevens worden geïnfecteerd. IV.6.3 De minimaal noodzakelijke technische „best practice‟ beveiligingsmaatregelen worden door de afdeling ICT als onderdeel van de standaardconfiguratie van IT-bedrijfsmiddelen getroffen. IV.6.4 De organisatorische beveiligingsmaatregelen dienen door de afdeling ICT te worden vertaald naar richtlijnen en procedures die bindend zijn voor elke interne en externe medewerker. IV.6.5 De afdeling ICT is verantwoordelijk voor het opstellen van een procedure voor de afhandeling van virusincidenten. 8.3.6
IV.7.3 Uitwisseling van informatie
Doelstelling: Het waarborgen van de beveiliging van informatie en software als deze worden uitgewisseld binnen het Noorderpoort en met externe partijen. Richtlijnen IV7.3.1
Bij gebruik van externe netwerken dienen de voorwaarden contractueel te zijn vastgelegd.
IV7.3.2 In overeenkomsten met andere organisaties dienen door de dienst in overleg met de afdeling ICT beveiligingsmaatregelen met betrekking tot het uitwisselen van gegevens en programmatuur te worden opgenomen. IV7.3.3 Er dienen door de dienst in overleg met de afdeling ICT voorzieningen te zijn getroffen ter beveiliging van gevoelige informatie tijdens vervoer, zoals gebruik van goed afgesloten containers, persoonlijke overhandiging, verzegeling e.d. 8.3.7
IV.8
Back-up
Doelstelling: Het handhaven van de integriteit en beschikbaarheid van informatie en de informatievoorziening van het Noorderpoort. Richtlijnen IV.8.1 Back-ups dienen in overeenstemming met de classificatie van de informatie en systemen periodiek te worden gemaakt. De afdeling ICT stelt deze periodiciteit in overleg met de systeemeigenaren vast. IV.8.2 Back-up gegevens van de klasse „hoog‟ dienen minimaal in twee afzonderlijke gebouwen bewaard te worden buiten het gebouw waar het origineel aanwezig is. Back-up gegevens van de andere klassen (zie 7.6 classificatie van informatie) worden in overleg met de eigenaar bewaard op minimaal 1 locatie buiten het gebouw waar het origineel aanwezig is. IV.8.3 Er is een backup en restore procedure. Opstellen van deze procedure en het onderhouden / testen hiervan valt onder verantwoordelijkheid van de afdeling ICT. De backup en restore procedure wordt wordt minimaal 1 keer per jaar getest.
Informatiebeveiligingsbeleid Noorderpoort 2014-2016 IV.8.4 Apparatuur en programmatuur gebruikt voor het vervaardigen en eventueel opslaan van back-ups dienen door de afdeling ICT één keer per jaar getest te worden op hun correcte werking. IV.8.5 De afdeling ICT stelt in overleg met de systeemeigenaar vast hoelang back-ups dienen te worden bewaard. Hierbij dienen de wettelijke bewaartermijn in acht te worden genomen. IV.8.6 De afdeling ICT dient een procedure te hebben voor het transport van en naar de back-uplocaties. IV.8.7 Indien back-ups voor langere tijd (meerdere jaren) worden bewaard dan dient de afdeling ICT deze jaarlijks te controleren om zeker te zijn dat de informatie nog te herstellen dan wel te gebruiken is.
8.3.8 IV.9
Netwerkbeveiliging
Doelstelling: Het waarborgen van de beveiliging van netwerken en de ondersteunende infrastructuur. Richtlijnen IV.9.1 De afdeling ICT dient te allen tijde de integriteit en vertrouwelijkheid van het verkeer over het netwerk van het Noorderpoort te waarborgen. IV.9.2 De afdeling ICT dient maatregelen te treffen om het netwerk van het Noorderpoort af te schermen van andere netwerken (zoals internet). IV.9.4 De afdeling ICT logt beveiliging gerelateerde gebeurtenissen op het netwerk van het Noorderpoort. Hierbij worden de wettelijke bewaartermijn in acht genomen. 8.3.9 IV.10
Behandeling van media
Doelstelling: Het voorkomen van ongeautoriseerde openbaarmaking van informatie, wijziging, verwijdering of vernieling van bedrijfsmiddelen, en onderbreking van de processen van het Noorderpoort. Richtlijnen IV.10.1 Er dienen door de afdeling ICT procedures te zijn opgesteld voor het management van verwijderbare computermedia zoals banden, diskettes en schijven. IV.10.2 Er dienen door de afdeling ICT procedures te zijn opgesteld om media op een veilige manier af te voeren wanneer zij niet langer nodig zijn. IV.10.3 Er dienen door de afdeling ICT procedures te zijn opgesteld voor de behandeling van gevoelige informatie. IV.10.4 Systeemdocumentatie dient door de afdeling ICT te zijn beveiligd tegen ongeautoriseerde toegang. 8.3.10 IV.11
Uitwisseling van informatie
Doelstelling: Het waarborgen van de beveiliging van informatie en software als deze worden uitgewisseld binnen het Noorderpoort en met externe partijen. Richtlijnen
35
Informatiebeveiligingsbeleid Noorderpoort 2014-2016 IV.11.1 De afdeling ICT is er voor verantwoordelijk dat aan alle elektronische post (e-mail) verstuurd vanuit het Noorderpoort een disclaimer is toegevoegd. 8.3.11
IV.12
Monitoring
Doelstelling: Het ontdekken van ongeautoriseerde toegang tot de informatievoorziening. Richtlijnen IV.12.1 De volgende gebeurtenissen dienen door de afdeling ICT op het niveau van het (kantoor)netwerk gelogd te worden: Mislukte of ongeldige aanlogpogingen; Activiteiten of gebeurtenissen welke betrekking hebben op het gebruik van speciale autorisaties (bijvoorbeeld super-users); Toegang buiten normale (kantoor)uren; Veranderingen aan gebruikersidentificaties en autorisaties; Veranderingen aan beveiligingsinstellingen.
IV.12.2 In het geval van mislukte aanlogpogingen dient de Security Specialist na te gaan of deze pogingen door de gebruiker zijn gedaan; indien dit niet het geval is, moet er door de Security Specialist in overleg met de Security Officer een onderzoek worden ingesteld. IV.12.3 Er dient door de Security Specialist periodiek een rapportage te worden gemaakt van de logging van beveiligingsincidenten; dient deze te worden beoordeeld door de Security Officer.
IV.12.4 Er dienen door de afdeling ICT maatregelen genomen te zijn om de logging gegevens te beschermen tegen het ongeautoriseerd bekijken of veranderen. IV.12.5
De activiteiten van beheerders dienen door de afdeling ICT te worden gelogd.
IV.12.6 Storingen in computer- en communicatiesystemen en systeemfouten dienen door de afdeling ICT te worden gelogd. 8.3.12
IV.13
Toegangsbeveiliging voor netwerken
Doelstelling: Het voorkomen van ongeautoriseerde toegang tot netwerken en netwerkdiensten. Richtlijnen IV.13.1 Voor de netwerkdiensten die het Noorderpoort wil aanbieden op externe netwerken zoals internet wordt door de afdeling ICT een aparte (DMZ) omgeving ingericht. IV13.2 Interne gebruikers moeten door de afdeling ICT expliciet op individuele basis of in groepen na autorisatie toegang kunnen worden verleend tot externe netwerken en tot specifieke services en gebruikersgroepen daarbinnen. IV.13.3 De afdeling ICT draagt er zorg voor dat verbindingen die door netwerkcomponenten op afstand tot stand worden gebracht worden geïdentificeerd en geverifieerd. IV.13.4 Netwerkconnecties dienen te worden uitgevoerd met toegangsbeveiliging om ongeautoriseerde toegang te voorkomen.
Informatiebeveiligingsbeleid Noorderpoort 2014-2016 IV.13.5 Toegang tot externe netwerken zoals het internet dient door de afdeling ICT te worden beveiligd. IV.13.6 De afdeling ICT draagt er zorg voor dat domeinen worden beschermd door een gedefinieerde beveiligingsomgeving en netwerktoegang. IV.13.7 De toegang tussen de domeinen wordt door de afdeling ICT beheerd door middel van beveiligde toegangspoorten. IV.13.8 De afdeling ICT draagt er zorg voor dat de interne netwerken en productiesystemen van het Noorderpoort niet direct bereikbaar zijn vanuit externe netwerken.
IV.13.9 VPN toegang wordt door de afdeling ICT verleend op een „must have‟ basis waarbij de leidinggevende akkoord gaat met de aanvraag voor de medewerker. VPN-toegang wordt gelogd. 8.3.13 IV.14
Toegangsbeveiliging voor besturingssystemen
Doelstelling: Het voorkomen van ongeautoriseerde toegang tot besturingssystemen. Richtlijnen IV.14.1 De afdeling ICT draagt er zorg voor dat de toegang tot het netwerk en Noorderpoort apparatuur (o.a. laptops / computers) via een veilige aanlog procedure verloopt. IV.14.2 Wanneer gebruikers zich aanmelden op het netwerk van het Noorderpoort zorgt de afdeling ICT ervoor dat zij worden gewezen op de algemene voorwaarden die horen bij het gebruik van dit netwerk / deze dienst. IV.14.3 De afdeling ICT draagt er zorg voor dat alle computeractiviteiten terug te voeren zijn tot individuele gebruikers. Uitzondering hierbij is: Toegang tot examenlokalen ten behoeve van examens. Hiervoor is een procedure beschreven waarbij toegang per computer wordt geregeld (dus anoniem wel terug te leiden tot computer). Toegang via schoolaccount. Hierbij krijgt school 1 account onder verantwoordelijkheid van schooldirecteur met een basisset aan software voor gebruik voor bijvoorbeeld promotiedoeleinden. Gastennetwerk. Op het gastennetwerk kunnen gebruikers anoniem gebruik maken van internet. Voorwaarden die horen bij deze toegang zijn beschreven. IV.14.4 De afdeling ICT draagt er zorg voor dat het wachtwoordbeleid van het Noorderpoort wordt ondersteund door een effectief wachtwoordmanagementsysteem. IV.14.5 De afdeling ICT draagt er zorg voor dat de toegang tot en het gebruik van systeemhulpmiddelen met authenticatieprocedures is beveiligd. IV.14.6 De afdeling ICT draagt er zorg voor dat op werkstations na tien minuten inactiviteit automatisch een met een wachtwoord beveiligde screensaver geactiveerd wordt. IV.14.7 De afdeling ICT draagt er zorg voor dat er procedures aanwezig zijn voor de omgang met Trojaanse paarden, andere schadelijke software en geheime communicatiekanalen.
8.3.14 IV.16
Beveiliging van ontwikkel- en onderhoudprocessen
37
Informatiebeveiligingsbeleid Noorderpoort 2014-2016 Doelstelling: Het waarborgen van de beveiliging van toepassingsystemen en informatie. Richtlijnen IV.16.1 De systeemeigenaar ziet er op toe dat wijzigingen alleen in een productieomgeving worden geïmplementeerd volgens een vastgelegde formele procedure. Deze change managementprocedure dient altijd gevolgd te worden bij belangrijke wijzigingen aan software, hardware, communicatiemiddelen en procedures. IV.16.2 Alle wijzigingen dienen door systeemeigenaar in overleg met functioneel beheer en de afdeling ICT te worden onderzocht op eventuele consequenties voor de beveiliging. IV.16.4 De afdeling ICT draagt er zorg voor dat eindgebruikers geen toegang hebben tot ontwikkel- en testomgevingen. Indien een eindgebruiker onderdeel is van een test dan dient deze een tijdelijke toegang gegeven te worden voor de duur van de testfase. IV.16.5 Alle belangrijke wijzigingen dienen te worden gedocumenteerd en systeemdocumentatie dient te worden bijgewerkt.
8.3.15
IV.17
Beoordeling van de naleving van het beveiligingsbeleid en de technische vereisten
Doelstelling: waarborgen dat systemen voldoen aan het beveiligingsbeleid en standaarden. Richtlijnen IV.17.1 De afdeling ICT is ervoor verantwoordelijk dat (delen van de) de gemeenschappelijk IT-infrastructuur voldoen aan de technische beveiligingsvereisten en dat wordt gecontroleerd of de beveiligingsmaatregelen voor apparatuur en programmatuur op de juiste wijze zijn geïmplementeerd. IV.17.2 De afdeling ICT is ervoor verantwoordelijk dat de technische beveiliging van de IT-infrastructuur periodiek wordt getest en dat opvolging plaatsvindt t.a.v. de geconstateerde issues. 8.3.16
IV.19
Naleving van wettelijke voorschriften
Doelstelling: het voorkomen van inbreuken op enigerlei wijze van wettelijke, statutaire, reglementaire of contractuele verplichtingen, en beveiligingseisen. Richtlijnen IV.19.1 De afdeling ICT draagt er zorg voor dat het kopiëren, gebruiken of aanhouden van computer software binnen het Noorderpoort in overeenstemming is met de in de software licentie vastgelegde voorwaarden.
8.4 Security officer 8.4.1
ST.1
Naleving van wettelijke voorschriften
Doelstelling: het voorkomen van inbreuken op enigerlei wijze van wettelijke, statutaire, reglementaire of contractuele verplichtingen, en beveiligingseisen. Richtlijnen ST.1.1 De Security Officer ziet er op toe dat de diensten individuen voorafgaande aan de verkrijging op de hoogte te stellen van het feit dat het Noorderpoort zijn of haar gegevens vastlegt en met welk doel (transparantie).
Informatiebeveiligingsbeleid Noorderpoort 2014-2016
ST.1.2 De Security Officer ziet er op toe dat persoonsgegevens alleen worden verwerkt wanneer dit verenigbaar is met het doel waarvoor ze zijn verkregen (doelbinding). ST.1.3 De Security Officer ziet er op toe dat het Noorderpoort alleen persoonsgegevens verwerkt die volgens de WBP verwerkt mogen worden (rechtmatige grondslag). ST.1.4 De Security Officer ziet er op toe dat het Noorderpoort niet meer persoonsgegevens verwerkt dan strikt noodzakelijk (in het licht van het doel waarvoor de gegevens worden verzameld) en dient maatregelen te treffen om de juistheid van de gegevens te waarborgen. ST.1.5 De Security Officer ziet er op toe dat het Noorderpoort een procedure opstelt voor het recht op inzage, verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens. ST.1.6 De Security Officer ziet er op toe dat het Noorderpoort passende technische en organisatorische maatregelen treft tegen verlies of enige vorm van onrechtmatige verwerking van persoonsgegevens. ST.1.7 De Security Officer dient er op toe te zien dat procedures zijn opgesteld om ervan verzekerd te zijn dat afspraken, wettelijke en contractuele vereisten met betrekking tot het gebruik van cryptografische middelen worden nagekomen. Toelichting De wettelijke basis voor informatiebeveiliging valt af te leiden uit Europese Richtlijnen met betrekking tot privacy en op afstand gesloten overeenkomsten zoals: de Wet computercriminaliteit, de Wet bescherming persoonsgegevens (WBP), de Archiefwet, de Databankenwet en bij gemeenten de Wet GBA (Gemeentelijke Basis Administratie). De regelingen bevatten in het algemeen een resultaatsverplichting tot een passend niveau van informatiebeveiliging.
39