Reglement Security Information Community (Sicom)
INHOUDSOPGAVE REGLEMENT
2
ARTIKEL 1: BEGRIPPEN
2
ARTIKEL 2: DOELSTELLING
2
ARTIKEL 3: DOELGROEP
2
ARTIKEL 4: DIENSTEN BEHOREND BIJ HET DEELNEMERSCHAP
2
ARTIKEL 5: DIENSTEN BUITEN HET LIDMAATSCHAP
3
ARTIKEL 6: KOSTEN LIDMAATSCHAP
3
ARTIKEL 7: TOEGANG TOT DE BESLOTEN DIGITALE OMGEVING
3
ARTIKEL 8: RAAD VAN ADVIES
4
ARTIKEL 9: INTAKE EN JAARLIJKSE CONTACTEN MET DEELNEMERS
4
ARTIKEL 10: GEHEIMHOUDING
4
ARTIKEL 11: GEDRAGSREGELS VOOR DEELNEMERS EN ACCOUNTHOUDERS
4
ARTIKEL 12: GEDRAGSCODE VOOR (MEDEWERKERS) SICOM
4
ARTIKEL 13: INTELLECTUELE EIGENDOM
4
ARTIKEL 14: HANDELEN IN STRIJD MET DE GEHEIMHOUDINGSPLICHT EN/OF DE GEDRAGSCODE
4
ARTIKEL 15: KLACHTEN
5
ARTIKEL 16: OMGAAN MET PERSOONSGEGEVENS
5
ARTIKEL 17: AANSPRAKELIJKHEID SICOM
5
ARTIKEL 18: IN WERKING TREDING
5
BIJLAGE 1: DOELGROEP
5
BIJLAGE 2: GEDRAGSCODE MEDEWERKERS SICOM
5
Reglement Security Information Community (Sicom), Versie maart 2015
1
Reglement Artikel 1: Begrippen Deelnemer: onderneming of organisatie, lid van Sicom Account: toegang tot de website en de materialen op de website Accounthouder: individuele medewerker van deelnemer die op basis van deelname een persoonlijk, niet overdraagbaar account krijgt Partner: ondernemingen of organisaties waarmee Sicom een samenwerkingsovereenkomst heeft gesloten Expert: personen, ondernemingen of organisaties die op basis van hun expertise op een voor de deelnemers van Sicom relevant terrein, gevraagd of ongevraagd, adviseren of beschikbaar zijn om hun kennis en ervaring te delen met deelnemers van Sicom
Artikel 2: Doelstelling 1. Sicom biedt een platform voor uitwisseling van informatie en kennisdeling aan ondernemingen en organisaties op het gebied van critical infrastructure en annexen (zie bijlage 1), overheidsinstanties en ondernemingen en organisaties voor wie security een vitaal onderdeel vormt van de bedrijfsvoering. 2. Door het faciliteren van een gemeenschap en het aanbieden van informatie beoogt Sicom deelnemers actief te betrekken in het uitwisselen van kennis en ervaring en daarmee: a. Bij te dragen aan het beheersen van security risico’s door kwaliteit en volledigheid van kennis en ervaring te vergroten; b. Bij te dragen aan het waarborgen van de continuïteit, imago en integriteit van de onderneming; c. Weerbaarheid tegen fysieke en digitale (cyber) dreigingen te vergroten en daardoor maatschappelijke en economische schade te voorkomen; d. Security kosten te reduceren; e. Publiek Private Participatie (PPP) in Nederland en Europa te versterken.
Artikel 3: Doelgroep 1. Deelnemer mogen worden: Nederlandse en internationale ondernemingen en organisaties uit alle sectoren van het bedrijfsleven die vallen binnen de in bijlage 1 genoemde branches en overheden. 2. Deelnemende organisaties geven aan welke personen vanuit de organisatie accounthouder worden.
Artikel 4: Diensten behorend bij het deelnemerschap 1. De deelnemer wijst binnen zijn onderneming of organisatie een persoon of meerdere personen aan die accounthouder zijn zoals bedoeld in artikel 1. Dit account is individueel en mag niet gedeeld worden met andere medewerkers van deelnemer. 2. Sicom treedt op als kennismakelaar: een accounthouder kan per telefoon, mail of via de digitale omgeving een vraag deponeren bij het bureau van Sicom. Een Sicom medewerker brengt deze accounthouder in contact met een accounthouder die over de relevante informatie, kennis of ervaring beschikt om de vraag te beantwoorden. Nadat vrager en aanbieder met elkaar in contact zijn gebracht wordt deze kennis, informatie en ervaring rechtstreeks tussen beide partijen uitgewisseld. Sicom staat buiten deze uitwisseling en is niet verantwoordelijk of aansprakelijk voor de juistheid van de inhoud daarvan. De informatie blijft berusten bij de betreffende deelnemer(s) en wordt niet verworven of beheerd door Sicom. 3. Accounthouders kunnen rechtstreeks met elkaar in contact treden via de website door gebruik te maken van de forums. 4. Een accounthouder krijgt toegang tot de digitale omgeving van Sicom en de daar aanwezige activiteiten en materialen zoals (instructie)video’s, webinars, rapportages of digitaal materiaal m.b.t. best practices, protocollen en andere relevante informatie op het gebied van security, in overeenstemming met de rol en positie van de accounthouder zoals neergelegd in artikel 7 van dit reglement. 5. Een accounthouder ontvangt de Sicom Nieuwsbrief en alerts en wordt uitgenodigd voor seminars, workshops en andere bijeenkomsten van Sicom.
Reglement Security Information Community (Sicom), Versie maart 2015
2
Artikel 5: Diensten buiten het lidmaatschap Als een deelnemer of accounthouder informatie zoekt die niet beschikbaar is binnen het netwerk (door gebruik te maken van de diensten van Sicom als kennismakelaar zoals bedoeld in artikel 4 van dit reglement) of door gebruik te maken van forums of de digitaal aangeboden materialen en bronnen, kan deze deelnemer een verzoek doen aan Sicom om een opdracht tot onderzoek of advies in behandeling te nemen. Deze opdrachten tot onderzoek of advies vallen niet binnen het lidmaatschap zoals bedoeld in artikel 6 van dit reglement en worden separaat in rekening gebracht bij de deelnemer. De inhoud en omvang van de opdracht en de daarmee gemoeide kosten worden door deelnemer en Sicom vooraf vastgelegd. De onderzoeken worden verricht door medewerkers van Sicom en/of partners en experts uit het netwerk van Sicom. Op deze opdrachten zijn de algemene voorwaarden van Sicom van toepassing.
Artikel 6: Kosten lidmaatschap 1. Basislidmaatschap: € 2.950,-* per jaar waarmee een deelnemende organisatie met 3 accounts toegang heeft tot alle online materialen en activiteiten. Tevens geeft het lidmaatschap recht op max. 20 verzoeken per jaar om diensten van het Sicom als kennismakelaar zoals bedoeld in artikel 4 lid 1. 2. Voor verzoeken om diensten van Sicom als kennismakelaar boven het in het lidmaatschap begrepen aantal van 20 verzoeken wordt € 150,-* per verzoek in rekening gebracht; 3. Voor accounts boven de 3 accounts die zijn inbegrepen in het basislidmaatschap wordt per account: € 150,-* per jaar in rekening gebracht. * alle bedragen zijn exclusief BTW
Artikel 7: Toegang tot de besloten digitale omgeving 1. Sicom gebruikt een besloten digitale omgeving waarin materialen en digitale activiteiten aan de deelnemers worden aangeboden. Toegang tot deze omgeving is voorbehouden aan de accounthouders. Binnen de omgeving zijn alle materialen en activiteiten geclassificeerd als: a. Algemeen toegankelijk: deze informatie en activiteiten zijn voor alle accounthouders van alle deelnemers toegankelijk; b. Strategische informatie: deze informatie en activiteiten zijn uitsluitend toegankelijk voor accounthouders die een positie bekleden als directeur, bestuurder, CEO, Chief Security Officer, Chief Information Security Officer. 2. De informatie en activiteiten binnen de digitale omgeving worden aangeboden per thema. De selectie van thema’s wordt gemaakt op basis van de behoeften van de deelnemers, zoals blijkt uit de intakegesprekken en de jaarlijkse contacten. Daarnaast heeft een deelnemer toegang tot een webpagina voor de branche waartoe de deelnemer behoort. Daarop worden materialen en activiteiten worden aangeboden die naar hun aard en inhoud: a. Uitsluitend relevant zijn voor de betreffende branche; b. Gezien hun specifieke en vertrouwelijke karakter niet kunnen of mogen worden gedeeld met deelnemers uit andere branches. 3. Binnen de digitale omgeving van Sicom heeft elke accounthouder een rol waaraan rechten zijn gekoppeld die toegang geven tot de bij de rol horende materialen en activiteiten: a. Accounthouder algemeen. Deze rol geeft toegang tot de webpagina van de eigen branche en alle thema’s. Deze accounthouder kan gebruik maken van alle diensten die behoren bij deelname zoals beschreven in deze bepaling onder artikel 4 van dit reglement. b. Strategisch accounthouder: deze rol is voorbehouden aan accounthouders die binnen hun bedrijf of organisatie een positie bekleden zoals beschreven in lid 1 sub b van dit artikel. Een strategisch accounthouder heeft toegang tot alle activiteiten en materialen zoals beschreven bij de accounthouder algemeen. Daarnaast wordt aan strategisch accounthouders toegang verschaft tot geselecteerde materialen en activiteiten die vanwege hun vertrouwelijke karakter slechts in beperkte kring gedeeld kunnen of mogen worden.
Reglement Security Information Community (Sicom), Versie maart 2015
3
Artikel 8: Raad van Advies Sicom kent een Raad van Advies met experts uit praktijk en wetenschap. De Raad adviseert Sicom gevraagd of ongevraagd over: a. belangrijke ontwikkelingen op het gebied van security; b. te ontwikkelen activiteiten en materialen; c. de kwaliteit van het aanbod van het Sicom. De Raad van Advies heeft minimaal 3 en maximaal 6 leden en komt minimaal 2 x per jaar bijeen. Leden van de Raad van Advies hebben 3 jaar zitting, met de mogelijkheid van eenmalige verlenging met 3 jaar. Er wordt een rooster van aftreden opgesteld. De leden ontvangen voor hun werkzaamheden een vergoeding.
Artikel 9: Intake en jaarlijkse contacten met deelnemers 1. Medewerkers van Sicom voeren intakegesprekken met nieuwe deelnemende bedrijven en organisaties met als doel: het geven van informatie over Sicom, het inventariseren van wensen en behoeften van de nieuwe deelnemer en het in kaart brengen van kennis en ervaring van de deelnemer ten behoeve van het invullen van de functie van kennismakelaar door Sicom(zie artikel 4 lid 1). 2. Na de aanvang van het lidmaatschap vindt jaarlijks contact plaats met deelnemers met als doel het up to date houden van de vastgelegde informatie en het peilen van wensen en behoeften van de deelnemer. Deze contacten kunnen plaatsvinden door het voeren van gesprekken of door uitwisseling in bijeenkomsten.
Artikel 10: Geheimhouding a. Alle informatie die een deelnemer of accounthouder krijgt via de website van Sicom of in contact met andere deelnemers of accounthouders is vertrouwelijk. b. Elke deelnemer of accounthouder is gehouden tot geheimhouding van alle vertrouwelijke informatie die tot hem/haar komt door bijeenkomsten of in de digitale omgeving van Sicom.
Artikel 11: Gedragsregels voor deelnemers en accounthouders Deelnemers en accounthouders: a. gedragen zich in alle contacten volgens de normen en waarden die in het Nederlandse maatschappelijk verkeer als betamelijk worden beschouwd. b. onthouden zich van elke vorm van discriminatie op welke grond dan ook, alsmede van dreigen met of gebruiken van intimidatie, agressie en geweld in verbale, fysieke of andere vorm. c. gebruiken de digitale omgeving van Sicom uitsluitend voor het doel waarvoor het Sicom de omgeving ter beschikking heeft gesteld aan haar deelnemers. d. Sicom behoudt zich het recht voor bijdragen van deelnemers/accounthouders binnen de digitale omgeving (bijvoorbeeld forums) te verwijderen als zij in strijd zijn met dit reglement. e. Het is niet toegestaan om binnen de digitale omgeving van Sicom promotie te maken voor eigen activiteiten, diensten of producten van deelnemers zonder uitdrukkelijke voorafgaande toestemming van Sicom.
Artikel 12: Gedragscode voor (medewerkers) Sicom Alle medewerkers van Sicom zijn gebonden aan gedragsregels. In het uittreksel van de gedragscode (bijlage 2) vindt u de belangrijkste gedragsregels waaraan de medewerkers van Sicom jegens u zijn gebonden.
Artikel 13: Intellectuele eigendom Voor zover Sicom materialen ter beschikking stelt waarop rechten van intellectuele eigendom van Sicom of derden rusten zullen deelnemers en accounthouders deze rechten respecteren.
Artikel 14: Handelen in strijd met de geheimhoudingsplicht en/of de gedragscode Deelnemers of accounthouders die in strijd handelen met de geheimhoudingsplicht of de gedragsregels kunnen door Sicom worden uitgesloten van verdere deelname. Schade die door het niet in acht nemen van de geheimhoudingsplicht is ontstaan kan op de deelnemer of accounthouder worden verhaald.
Reglement Security Information Community (Sicom), Versie maart 2015
4
Artikel 15: Klachten Deelnemers en accounthouders kunnen klachten over de inhoud van de digitale activiteiten en materialen of klachten over bejegening door medewerkers van Sicom of door andere deelnemers voorleggen aan de directie van Sicom.
Artikel 16: Omgaan met persoonsgegevens Sicom is een privaat initiatief en zal zich houden aan relevante wet- en regelgeving ten aanzien van het vergaren en verwerken van persoonsgegevens en vergaring, bewerking, opslag en verspreiding van informatie.
Artikel 17: Aansprakelijkheid Sicom 1. Sicom organiseert bijeenkomsten voor haar deelnemers en biedt online materiaal en activiteiten aan. Alle materialen en content van de website worden met de grootst mogelijke zorg samengesteld en ontwikkeld. Sicom aanvaard echter geen aansprakelijkheid ten aanzien van eventuele onjuistheden. 2. Sicom is niet verantwoordelijk voor de inhoud van de contacten tussen accounthouders via de digitale omgeving (forums) of andere contacten.
Artikel 18: In werking treding Dit reglement treedt in werking op 1 maart 2015.
Bijlage 1: Doelgroep 1. Alle vitale sectoren: a. Chemische en nucleaire industrie, b. Drinkwatersector (drinkwatervoorziening) c. Energiesector (elektriciteit, aardgas en olie), d. Financiële sector (betalingsdiensten, financiële overdracht overheid), e. Gezondheid (spoedeisende hulp, geneesmiddelen, vaccins, nucleaire geneeskunde), f. Waterbeheer (beheren waterkwaliteit, keren en beheren waterkwantiteit), g. Telecommunicatie (telefonie, radio, satelliet, omroep, internet, post), h. Transport (Hoofdwegen, vaarwegen, spoor, havens en luchthavens ), i. Voedsel(keten) (bio-technologische- en nano-technologische bedrijven), 2. De ondernemingen die hiermee annex zijn, 3. Overige ondernemingen voor wie security een vitaal onderdeel vormt voor de bedrijfsvoering. 4. Overheidsinstanties (nationaal en regionaal) en overlegorganen van de vitale sectoren. 5. Vakdepartementen; veiligheidsregio’s, etc.
Bijlage 2: Gedragscode medewerkers Sicom In deze bijlage vindt u de gedragsregels die gelden voor de medewerkers van Sicom in hun contacten met deelnemers en accounthouders. 1. Algemene uitgangspunten 1.1 De medewerkers behoren wettelijke voorschriften en algemeen aanvaarde gedragsregels, zoals deze gedragscode, na te leven. 1.2 De gedragscode bevat de belangrijkste aspecten van het integriteitbeleid van de organisatie. 2. Nevenwerkzaamheden 2.1 Indien een medewerker nevenwerkzaamheden wil gaan uitvoeren vraagt hij vooraf toestemming aan zijn leidinggevende. 2.2 Als het belang van de Sicom geraakt wordt, wordt onderzocht op welke wijze aan de bezwaren van de Sicom tegemoet gekomen kan worden en de medewerker toch de nevenfunctie kan vervullen. Is dit niet mogelijk, dan krijgt de medewerker geen toestemming voor het vervullen van de nevenfunctie.
Reglement Security Information Community (Sicom), Versie maart 2015
5
2.3
2.4
De medewerker die toestemming heeft gekregen voor het vervullen van een nevenfunctie meldt iedere wijziging van omstandigheden die van invloed kan zijn op de verleende toestemming aan zijn leidinggevende. De medewerker stelt zijn leidinggevende op de hoogte als hij werkend voor de organisatie geconfronteerd wordt met partijen die hij vanuit zijn nevenfunctie kent (belangenverstrengeling).
3. Financieel belang 3.1 De medewerker meldt financiële belangen in ondernemingen die deelnemer zijn van Sicom of met wie Sicom anderszins een zakelijke relatie heeft, aan zijn leidinggevende. 3.2 De medewerker die familie- of vriendschapsbetrekkingen of andere persoonlijke betrekkingen heeft met deelnemers van Sicom of met een aanbieder van diensten aan Sicom, onthoudt zich van deelname aan de besluitvorming over alles dat betrekking heeft op de betreffende betrekkingen. 4. Relatiegeschenken 4.1 Geschenken en giften die een medewerker uit hoofde van zijn functie ontvangt, worden gemeld en geregistreerd en zijn eigendom van de organisatie. 4.2 In afwijking van het vorige lid hoeven geschenken of giften die minder dan € 50,- waard zijn, niet gemeld te worden en mag de ontvanger deze houden. Hierbij geldt dat per onderneming maximaal eenmaal per jaar een geschenk mag worden verstrekt aan een medewerker. 4.3 Schenkingen boven € 50,- mogen alleen met toestemming van de leidinggevende worden geaccepteerd. 4.4 Indien een schenking niet wordt geaccepteerd wijst de medewerker de schenker op de gedragscode van de organisatie, waarin is opgenomen waarom de schenking niet mag worden geaccepteerd. 4.5 Geschenken en giften mogen niet op het huisadres van de medewerker worden ontvangen. 4.6 De medewerker neemt van een aanbieder van diensten of goederen geen faciliteiten of diensten aan die zijn onafhankelijke positie ten opzichte van de aanbieder kunnen beïnvloeden (omkoping). 4.7 De medewerker verstrekt geen geschenken of giften om zijn eigen positie of die van de organisatie (onrechtmatig) te bevoordelen (steekpenningen). 4.8 Geschenken worden niet aangenomen in ruil voor een tegenprestatie. 4.9 Aanbiedingen voor privé́ diensten of kortingen op privé́ goederen worden niet geaccepteerd. 5. Excursies, werkbezoeken, studiereizen, congressen, lunches, diners, recepties 5.1 Excursies, werkbezoeken, studiereizen, congressen, lunches, diners en/of recepties moeten functioneel zijn en in het belang van de organisatie. 5.2 Elke aanbieding moet gemeld worden aan de leidinggevende, ook al wordt deze niet geaccepteerd. 5.3 Voor het accepteren van een uitnodiging moet toestemming van een leidinggevende gevraagd worden. 5.4 De uitnodiging moet binnen de grenzen van de redelijkheid liggen. 6. (Vertrouwelijke) informatie Medewerkers van Sicom: a. hanteren de clean desk policy en bewaren gevoelige documenten achter slot en grendel. b. verstrekken geen vertrouwelijke informatie aan onbevoegde personen. c. wenden informatie die zij vanuit zijn taakuitoefening hebben verkregen niet ten eigen bate aan. d. zorgen voor transparante vastlegging van zijn handelingen en nemen de interne afspraken m.b.t. dossierprotocol in acht. e. spreken niet over vertrouwelijke zaken met de media . f. houden zich aan hetgeen is opgenomen in de geheimhoudingsclausule van de arbeidsovereenkomst. 7. Gedragsregels voor Sicom medewerkers Medewerkers van Sicom: a. gedragen zich in alle contacten volgens de normen en waarden die in het Nederlandse maatschappelijke verkeer als betamelijk worden beschouwd.
Reglement Security Information Community (Sicom), Versie maart 2015
6
b. onthouden zich van elke vorm van discriminatie op welke grond dan ook, alsmede van dreigen met of gebruiken van intimidatie, agressie en geweld in verbale, fysieke of andere vorm.
8. Reizen 8.1 Uitnodigingen voor reizen, werkbezoeken en dergelijke, op kosten van derden worden altijd voorgelegd aan de leidinggevende van Sicom. 8.2 Voor het meereizen van de partner, kinderen of anderen die niet werken voor de organisatie, al dan niet op kosten van de uitnodigende organisatie, moet de medewerker toestemming vragen aan zijn leidinggevende. 8.3 De medewerker mag de gemaakte onkosten conform het declaratiebeleid van Sicom declareren. 9. Gebruik van e-mail en internet 9.1 De controle op persoonsgegevens over e-mail en internetgebruik vindt plaats met als doel: a. Dat in een integere organisatie management en medewerkers zorgvuldig met de bedrijfsmiddelen, met elkaar en met de belangen van externen omgaan; b. De continuïteit van de technische infrastructuur is gewaarborgd; c. Verstoring van bedrijfsprocessen en andere (financiële) schade wordt voorkomen; d. Om toezicht te houden op de naleving van de gedrags- en gebruiksregels door de gebruiker. 9.2 De controle op e-mail en internetgebruik zal overeenkomstig deze doelstellingen uitgevoerd worden. Indien er zich situaties voordoen waarin deze regeling niet voorziet, zal conform het arbeidsrechtelijk kader en de Wet bescherming persoonsgegevens (WBP) gehandeld worden. 9.3 Gestreefd wordt naar een goede balans tussen controle op verantwoord e-mail en internetgebruik en bescherming van de privacy van werknemers op de werkplek. 9.4 Persoonsgegevens over e-mail en internetgebruik worden niet langer bewaard dan noodzakelijk, met een maximum bewaartermijn van 6 maanden. 9.5 De werkgever treft voorzieningen over de positie en integriteit van de systeembeheerder en de controle daarop. 10. Beperkingen aan gebruik van e-mail en internet 10.1 Het is niet toegestaan om: a. Berichten anoniem of onder een fictieve naam te versturen; b. Berichten of bestanden met bijlage(n) met dreigende, beledigende, seksueel getinte, racistische dan wel discriminerende en ketting mail te verzenden, op te slaan of door te sturen; c. Iemand via digitale en/of elektronische weg lastig te vallen; d. Niet zakelijke bijlagen te versturen> 1024Kb; e. E-mail te gebruiken voor persoonlijke advertenties. 11 Sancties 11.1 Het schenden van de gedragscode zal leiden tot het treffen van disciplinaire maatregelen. 12 Slotbepaling 12.1 Deze regeling treedt in werking op 1 maart 2015.
Reglement Security Information Community (Sicom), Versie maart 2015
7