| Organisatie | Velsen |
|---|---|
| Organisatietype | Gemeente |
| Officiële naam regeling | Informatiebeveiligingsbeleid Gemeente Velsen |
| Citeertitel | Informatiebeveiligingsbeleid Gemeente Velsen |
| Vastgesteld door | college van burgemeester en wethouders |
| Onderwerp | bestuur en recht |
| Eigen onderwerp | |
| Externe bijlagen | De informatiebeveiligingcyclus Informatiebeveiligingsniveau per organisatieonderdeel |
Geen
Wet Bescherming Persoonsgegevens, Auteurswet, Telecommunicatiewet, Wet Electronische Handtekening
Geen
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
|---|---|---|---|---|---|
| 08-11-2011 | nieuwe regeling | 08-11-2011 - | B11.0476 |
De gebruikers van de informatievoorziening van Velsen – medewerkers, management, bestuur, overige overheden, burgers en bedrijven - willen dat de informatie die ze nodig hebben voor het beantwoorden van vragen, of het uitvoeren van taken, betrouwbaar is. Een betrouwbare informatievoorziening vormt een kritische succesfactor voor de bedrijfsvoering en de dienstverlening van Velsen. Ook moet de informatievoorziening voldoen aan de eisen die volgen uit wet- en regelgeving. Het doel van informatiebeveiliging is het borgen van een betrouwbare informatie-voorziening.
NB. Een betrouwbare informatievoorziening houdt kort gezegd in dat de informatie beschikbaar, juist en alleen toegankelijk is voor daartoe geautoriseerde personen. Ten slotte moet de invulling van de betrouwbaarheid in de praktijk ook controleerbaar zijn.
Een 100% informatiebeveiliging bestaat niet en zou ook onbetaalbaar zijn. Als gevolg hiervan moet Velsen op basis van inzicht in de bedreigingen, binnen de eisen van wet- en regelgeving, een goede afweging maken tussen de risico’s, de kosten van de maatregelen en het informatiebeveiligingsniveau. Het resultaat van deze afweging levert op dat Velsen voor een aantal bedreigingen wel en voor een aantal geen maatregelen neemt. Daarmee neemt Velsen een bewust risico.
In plaats van ‘onbewust risico’s lopen’, gaat het bij informatiebeveiliging om ‘bewust risico’s nemen’.
Het ‘bewust nemen van risico’s’ is in het informatiebeveiligingsbeleid vertaald in minimumeisen. Deze eisen bepalen in samenhang het gewenste minimale informatie-beveiligingsniveau van Velsen en gelden voor alle medewerkers, alle organisatieonderdelen, alle werkprocessen en alle informatie-systemen. Op basis van wet- en regelgeving, overeenkomsten met andere overheden of derden en bij bijzonder kwetsbare en vitale componenten van de informatie-voorziening kan een hoger niveau van informatiebeveiliging nodig of verplicht zijn. In dat geval gaat het doorgaans om een specifiek informatiesysteem of werkproces. Dit geldt bijvoorbeeld voor het GBA, de Basisregistratie Personen, en Suwinet, de informatievoorziening binnen de keten Werk en Inkomen.
Informatiebeveiliging is noodzakelijk, maar dat wordt niet door iedereen als vanzelfsprekend ervaren. Vaak ontstaat het bewustzijn pas na een ernstig informatiebeveiligingsincident. De praktijk leert echter dat zelfs na een incident het bewustzijn weer snel inzakt. Een betrouwbare informatievoorziening, dat is toch logisch? Alles wat in de computer staat is toch juist? Waarom is informatiebeveiliging eigenlijk nodig? Lopen we dan wel zoveel risico’s? Er zijn toch geen incidenten in Velsen? Veelgehoorde opmerkingen en vragen, niet alleen binnen Velsen, maar ook bij andere organisaties. Informatiebeveiliging is moeilijk te begrijpen en is bovendien geen sexy onderwerp. Een belangrijke succesfactor voor de implementatie van informatiebeveiliging is het verhogen van het bewustzijn van alle medewerkers. Informatiebeveiliging is namelijk niet alleen een technische oplossing, maar vooral een organisatorisch vraagstuk.
De zwakste schakel in informatiebeveiliging is de mens!
Informatiebeveiliging raakt de hele organisatie en betreft alle componenten van de informatievoorziening. Het betreft niet alleen de digitale informatie, maar ook de analoge informatie (op papier). En omdat het geen zin heeft om de huiskamer goed te beveiligen als de voordeur open staat, maakt ook fysieke beveiliging onderdeel uit van informatiebeveiliging.
Omdat er steeds nieuwe bedreigingen en risico’s ontstaan en ook de eisen in wet- en regelgeving in de tijd veranderen, moet het informatiebeveiligingsbeleid en het daarop gebaseerde informatiebeveiligingsplan minimaal jaarlijks geactualiseerd worden.
Informatiebeveiliging is dus een cyclisch proces, dat in beweging gebracht en gehouden moet worden. Dat gaat niet vanzelf, maar moet georganiseerd worden. De informatiebeveiligingsorganisatie geeft hier invulling aan, door het uitvoeren van de informatiebeveiligingstaken, die als rol aan hiervoor geschikte medewerkers (in bestaande functies) zijn toegekend. Het informatiebeveiligingsproces start met het bepalen van de risico’s. Op basis van de in het informatiebeveiligingsbeleid vastgestelde minimumeisen worden vervolgens informatiebeveiligingsmaatregelen bepaald, gepland en uitgevoerd (informatiebeveiligingsplan). Door middel van rapportages wordt het management en het bestuur geïnformeerd over de voortgang, de opgetreden incidenten en de resultaten van de uitgevoerde (onafhankelijke) controles.
Het management en het bestuur zijn eindverantwoordelijk voor het resultaat van informatiebeveiliging. Genoemde rapportages kunnen aanleiding geven tot het doorvoeren van wijzigingen in het informatiebeveiligingsbeleid, of de implementatie ervan.
Het informatiebeveiligingsbeleid zal in ieder geval moeten voldoen aan de eisen die voortkomen uit wet- en regelgeving en de keuzes die Velsen in het kader van het ‘Informatiebeleid’ (Versie 4.1, 12 mei 2011) heeft vastgesteld, respectievelijk de in onderhavige nota opgenomen uitgangspunten voor de opzet en invulling van het informatiebeveiligingsbeleid.
Het informatiebeveiligingsbeleid bestaat uit een aanpak voor de implementatie van het informatiebeveiligingsbeleid en een set van minimumeisen, die het gewenste minimale informatiebeveiligingsniveau bepalen.
Het informatiebeveiligingsbeleid van Velsen is er op gericht om voor de hele organisatie een minimum informatiebeveiligingsniveau te kunnen borgen. Deze minimumeisen gelden voor alle medewerkers, organisatieonderdelen, werkprocessen en informatiesystemen. Het beleid legt niet alleen deze eisen vast, het geeft ook alle activiteiten op het gebied van informatiebeveiliging een formele basis. Ten slotte bepaalt het beleid de criteria voor een objectieve vaststelling van de betrouwbaarheid van de informatievoorziening van Velsen.
In Hoofdstuk 2 is de problematiek in relatie tot informatiebeveiliging op hoofdlijnen uiteen gezet.
Om duidelijk te maken wat informatiebeveiliging allemaal omvat zijn in Hoofdstuk 3 de meest bepalende begrippen gedefinieerd.
De doelstelling van informatiebeveiligingsbeleid en de scope van de informatie-voorziening zijn in Hoofdstuk 4 beschreven.
Hoofdstuk 5 definieert het beleidskader voor het informatiebeveiligingsbeleid. Het gaat om ‘Wet- en regelgeving’ en bepalende keuzes uit het ‘Informatiebeleid’ van Velsen.
De uitgangspunten voor de informatiebeveiliging zijn beschreven in Hoofdstuk 6.
In Hoofdstuk 7 is de aanpak van de informatiebeveiliging kort samengevat en zijn de minimumeisen met betrekking tot het door Velsen gewenste informatiebeveiligings-niveau gedefinieerd.
NB. In de nota ‘Informatiebeveiligingsaanpak gemeente Velsen’ (Versie 3.0, 10 juni 2011) zijn de organisatie en het proces in detail uitgewerkt.
De succesfactoren met betrekking tot de implementatie van het informatie-beveiligingsbeleid zijn beschreven in Hoofdstuk 8.
Ten slotte is in Hoofdstuk 9 de verantwoording voor het opstellen van onderhavig document gegeven.
Is het bestuur en management zich wel bewust van de risico’s die met de betrouwbaarheid van de informatievoorziening gelopen worden? Een betrouwbare informatievoorziening, dat is toch logisch? Alles wat in de computer staat is toch juist? Waarom is informatiebeveiliging eigenlijk nodig? Er zijn toch geen incidenten in Velsen? Veelgehoorde opmerkingen en vragen, niet alleen binnen Velsen, maar ook bij andere organisaties. Informatiebeveiliging is moeilijk te begrijpen en geen sexy onderwerp. Maar het bestuur en het management moeten zich wel kunnen verantwoorden, als er werkelijk iets mis gaat.
Een betrouwbare informatievoorziening vormt een kritische succesfactor voor de bedrijfsvoering en de dienstverlening van Velsen. Ook moet minimaal worden voldaan aan de eisen die volgen uit wet- en regelgeving. Informatiebeveiliging is een belangrijke voorwaarde om de informatievoorziening betrouwbaar te maken en te houden. Dat begint bij het opstellen van beleid. Vervolgens zullen informatie-beveiligingsmaatregelen gepland en uitgevoerd moeten worden, om bedreigingen te voorkomen, of de effecten van optredende bedreigingen te reduceren. Dit alles is veelomvattend en kan alleen succesvol zijn als het bestuur zich hieraan committeert en hiervoor draagvlak bij het management aanwezig is.
Voor een succesvolle implementatie van informatiebeveiliging is commitment van het bestuur en draagvlak bij het management noodzakelijk.
Informatiebeveiliging raakt de hele organisatie en betreft alle componenten van de informatievoorziening. Het betreft niet alleen de digitale informatie (in bestanden), maar ook de analoge informatie (op papier). En omdat het geen zin heeft om de huiskamer goed te beveiligen als de voordeur open staat, maakt ook fysieke beveiliging (onder andere de toegang tot informatie) onderdeel uit van informatie-beveiliging.
Informatiebeveiliging moet dus door het treffen van adequate informatiebeveiligings-maatregelen zowel de digitale, analoge als fysieke bedreigingen van de informatie-voorziening opvangen.
Digitale informatie Analoge informatie Fysieke beveiliging
Natuurlijk moeten computers operationeel zijn en mogen gegevens en software geen fouten bevatten, maar de organisatorische aspecten van informatiebeveiliging zijn net zo belangrijk, zo niet de belangrijkste. De zwakste schakel in informatiebeveiliging is tenslotte de mens!
Informatiebeveiliging is zeker niet alleen een technische oplossing is. Het is een organisatorisch vraagstuk met technische consequenties.
Pas als een incident de krant haalt staat informatiebeveiliging hoog op de agenda van het management en het bestuur. Deze aandacht zakt meestal weer snel weg. Daar is Velsen zeker niet uniek in. Het is een bekend probleem om het bewustzijn met betrekking tot informatiebeveiliging in voldoende mate te ontwikkelen en vast te houden.
Het beleid van Velsen is er op gericht om een minimum niveau van de informatie-beveiliging te kunnen garanderen voor alle medewerkers, alle organisatieonderdelen, alle werkprocessen en alle informatiesystemen. De gestelde eisen gelden dus gemeentebreed. Het beleid legt niet alleen deze eisen vast, het geeft ook alle activiteiten op het gebied van informatiebeveiliging een formele basis. Ten slotte bepaalt het beleid ook de criteria voor een objectieve vaststelling van het betrouwbaarheidsniveau van de informatievoorziening.
Een betrouwbare informatievoorziening houdt kort gezegd in dat de informatie beschikbaar, juist en alleen toegankelijk is voor daartoe geautoriseerde personen. Ook moet de invulling van de betrouwbaarheid in de praktijk controleerbaar zijn. Een 100% informatie-beveiliging bestaat niet. Het leven is ook niet zonder risico’s en je verzekert privé ook niet alles wat fout kan gaan. Waar het om gaat is dat het management en het bestuur inzicht hebben in de potentiële risico’s en daardoor een afweging kunnen maken of het acceptabel is om bepaalde risico’s te accepteren. Het niet acceptabel achten van een risico heeft tot gevolg dat er adequate informatiebeveiligingsmaatregelen getroffen moeten worden om betreffende bedreiging te voorkomen, of de effecten ervan te beperken. Dit betekent dat de gemeente een afweging moet maken tussen de risico’s, de kosten en het gewenste informatiebeveiligingsniveau.
In plaats van ‘onbewust risico’s lopen’, gaat het bij informatiebeveiliging om ‘bewust risico’s nemen’.
Het ‘bewust risico nemen’ – het resultaat van bovengenoemde afweging - wordt in het informatiebeveiligingsbeleid vertaald in concrete eisen, die het gewenste minimale informatiebeveiligingsniveau van Velsen bepalen. Het vastgestelde beleid is daarmee ook een toetskader voor de wijze waarop Velsen in de praktijk invulling geeft aan de informatiebeveiliging.
Er zullen steeds nieuwe bedreigingen en risico’s ontstaan Ook zullen de eisen in wet- en regelgeving in de tijd veranderen. Daarom zal het informatiebeveiligingsbeleid minimaal jaarlijks geactualiseerd dienen te worden.
Informatiebeveiliging is een gemeentebreed en cyclisch proces, dat in beweging gebracht en gehouden moet worden. Dat gaat niet vanzelf, maar moet georganiseerd worden!
Een belangrijke succesfactor van de implementatie is het verhogen van het bewustzijn. Alle medewerkers moeten zich bewust zijn (worden) van hun eigen veilige of onveilige gedrag en handelwijze. Dit bewustzijn (of deze bewustwording) moet regelmatig geactiveerd worden. Dit kan door het volgen van een opleiding of training, maar ook door persoonlijke terugkoppeling van collega’s en leidinggevenden. Iedere medewerker draagt actief bij aan het succes of de mislukking van informatie-beveiliging. Deze eigen verantwoordelijkheid wordt onderstreept door de volgende voorbeelden:
Iedere medewerker is mede verantwoordelijkheid voor een succesvolle informatiebeveiliging!
Het doel van informatiebeveiliging is het behouden van de betrouwbaarheid van de informatievoorziening. Betrouwbaarheid omvat vier kernbegrippen, te weten: beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid. Hieronder worden deze begrippen gedefinieerd.
Informatievoorziening: Het geheel van mensen, middelen en activiteiten, gericht op het verschaffen van de informatie, die een organisatie voor de uitvoering van haar taken nodig heeft. Onder informatievoorziening wordt dus niet alleen de informatie zelf verstaan, ofwel de voortbrengende gegevens, maar ook de organisatie (structuur), bedrijfsprocessen, technische infrastructuur (ICT) én de medewerkers (kennis, ervaring, capaciteit).
Informatie: Set van gegevens die betekenis heeft voor de ontvanger. Opgemerkt wordt dat gegevens meestal ruwe feiten zijn, zonder betekenis voor de ontvanger. Met informatie wordt zowel de digitale als de analoge informatie bedoeld.
Betrouwbaarheid: De mate waarin de organisatie zich kan verlaten op de beschikbare informatievoorziening. Dit begrip omvat de begrippen beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid.
Beschikbaarheid: De mate waarin de informatievoorziening gebruiksgereed is op het moment dat de organisatie het nodig heeft. Het omvat onder andere bedrijfszekerheid, continuïteit en het tijdig binnen vastgestelde termijnen kunnen beschikken over informatie.
Integriteit: De mate waarin de informatievoorziening zonder fouten is. Dit omvat juistheid, volledigheid, actualiteit, authenticiteit (mate van betrouwbaarheid van de originaliteit en herkomst van een document, een bericht of een gegeven), controleerbaarheid en consistentie (samenhangend en niet tegenstrijdig).
Vertrouwelijkheid: De mate waarin de toegang tot de gegevens en de kennisname van de informatie daarin beperkt is tot een gedefinieerde groep van gerechtigden. Het omvat onder andere privacybescherming, exclusiviteit (geoorloofdheid en afschermbaarheid) en autorisatie. Het gaat hierbij om het waarborgen van de vertrouwelijkheid bij de omgang met de opgeslagen informatie en het waarborgen van de vertrouwelijkheid bij de interne en externe verstrekking van informatie aan derden.
Controleerbaarheid: De mate waarin door de mens kan worden vastgesteld dat de maatregelen, gericht op informatiebeveiliging, tot het beoogde resultaat hebben geleid. Het beoogde resultaat is gedefinieerd in het informatiebeveiligingsbeleid. De controleerbaarheid is onder meer vertaald in maatregelen in het informatiebeveiligingsplan.
In dit hoofdstuk worden achtereenvolgens de doelstelling van het informatie-beveiligingsbeleid en de scope van de informatiebeveiliging beschreven.
Gebruikers van de informatievoorziening van Velsen willen dat de informatie die ze nodig hebben voor het beantwoorden van vragen of het uitvoeren van taken betrouwbaar is. Dat wil zeggen: beschikbaar, integer, vertrouwelijk (indien van toepassing) en controleerbaar (zie voor een verklaring van deze begrippen hoofdstuk 3). Het doel van informatiebeveiliging is om de betrouwbaarheid van de informatievoorziening te borgen. Maar welk kader, respectievelijk welke uitgangspunten en randvoorwaarden definieert Velsen hiervoor?
NB. Onder de gebruikers van de informatievoorziening worden niet alleen de medewerkers van Velsen begrepen, maar ook het management en het bestuur, overige overheden, burgers en bedrijven.
Omdat het motto van informatiebeveiliging ‘bewust risico nemen’, in plaats van ‘onbewust risico lopen’ is, moet wel duidelijk zijn welke bedreigingen er zijn, respectievelijk welk informatiebeveiligingsniveau Velsen nodig acht. Met dat inzicht kunnen passende informatiebeveiligingsmaatregelen genomen worden, die betreffende bedreigingen voorkomen, of de effecten ervan reduceren.
Bovenstaande houdt in dat voor de betrouwbaarheid van de informatievoorziening een ondergrens gedefinieerd moet worden, bestaande uit een set van minimumeisen. Het voldoen aan deze eisen moet op onafhankelijke wijze gecontroleerd en aangetoond kunnen worden. De minimumeisen gelden voor alle medewerkers, alle onderdelen van de organisatie, alle werkprocessen en alle informatiesystemen.
Er blijven dus ‘restrisico’s’ over, die niet door informatiebeveiligings-maatregelen worden opgevangen.
De doelstelling van het opstellen van het informatiebeveiligingsbeleid is resumerend als volgt:
Informatiebeveiliging raakt de hele organisatie en betreft alle onderdelen van de informatievoorziening. Het betreft niet alleen de digitale informatie, maar ook de analoge informatie (op papier). En omdat het geen zin heeft om de huiskamer goed te beveiligen als de voordeur open staat, maakt ook de fysieke beveiliging onderdeel uit van het informatiebeveiligingsbeleid. Informatiebeveiliging betreft dus het adequaat beveiligen van de:
De informatievoorziening bestaat qua beveiligingsproblematiek uit zeer uiteenlopende componenten. Door middel van een risicoanalyse zal voor iedere component de specifieke bedreiging(en) geïdentificeerd en geanalyseerd moeten worden. Vervolgens zullen adequate informatiebeveiligingsmaatregelen gepland en uitgevoerd moeten worden. De maatregelen moeten invulling geven aan de in het informatie-beleid vastgelegde minimumeisen. De componenten van de informatievoorziening zijn onderverdeeld in de volgende categorieën:
• Organisatie; Het lijkt merkwaardig om dit als onderdeel van de informatievoorziening op te nemen, maar zoals als eerder opgemerkt is informatiebeveiliging zeker niet alleen een technische oplossing, maar een organisatorisch vraagstuk met technische consequenties. Denk hierbij aan onder meer besluitvorming, de informatiebeveiligingsorganisatie, communicatie, controle, kennis, gedrag en cultuur.
Het beleidskader voor het informatiebeveiligingsbeleid wordt bepaald door Wet- en regelgeving en het ‘Informatiebeleid 2012 gemeente Velsen’ (Versie 4.1, 12 mei 2011). In de volgende paragrafen wordt dit toegelicht.
Voor de informatiebeveiliging gelden een aantal verplichte eisen, die volgen uit wet- en regelgeving, zoals de Wet Bescherming Persoonsgegevens (WBP), de wet basisregistratie persoonsgegevens (GBA), de Archiefwet, de Wet Op Veiligheidsonderzoeken (WOV) en de Wet Openbaarheid Bestuur (WOB). Betreffende eisen kunnen aan verandering onderhevig zijn als gevolg van wetswijzigingen, nieuwe regelgeving vanuit Europa e.d.
Onderdeel van het takenpakket van informatiebeveiliging is het volgen van de ontwikkelingen in de wet- en regelgeving, respectievelijk het vertalen van de betreffende eisen naar een of meerdere informatiebeveiligingsmaatregelen.
In het ‘Informatiebeleid 2012 gemeente Velsen’ zijn de beleidskeuzes met betrekking tot alle aspecten van de informatievoorziening opgenomen. In relatie tot informatiebeveiliging zijn de volgende beleidskeuzes opgenomen:
In navolging van genoemde beleidskeuzes is onderhavig informatiebeveiligingsbeleid opgesteld.
In dit hoofdstuk worden de uitgangspunten voor de opzet en de invulling van het informatiebeveiligingsbeleid gedefinieerd en toegelicht.
Een betrouwbare informatievoorziening vormt een essentiële succesfactor voor een efficiënte en effectieve bedrijfsvoering.
Zonder een betrouwbare informatievoorziening is Velsen niet in staat om kwalitatief hoogwaardige diensten te leveren aan burgers en bedrijven. Omdat Velsen onderdeel uitmaakt van de totale federatieve overheid en ook verbonden is met andere keten-partijen, heeft een onveilige situatie bij Velsen direct gevolgen voor de veiligheid van andere overheden of partijen. De verbetering van de bedrijfsvoering is een van de accenten in het beleid van Velsen. Een betrouwbare informatievoorziening is daarvoor een van de succesfactoren omdat het bijdraagt aan een efficiënte en effectieve bedrijfsvoering.
Informatiebeveiliging is noodzakelijk om de betrouwbaarheid van de informatievoorziening te kunnen borgen.
De betrouwbaarheid van de informatievoorziening wordt continu bedreigd. Niet alleen van buiten, denk aan virussen, hackers en diefstal van computers, maar ook van binnenuit de organisatie, bijvoorbeeld door onjuist of onveilig handelen van medewerkers. Om de informatievoorziening betrouwbaar te maken en te houden is informatiebeveiliging noodzakelijk. De informatie-beveiligingstaken moeten als integraal onderdeel van de dagelijkse bedrijfsvoering in de organisatie belegd worden.
Informatiebeveiliging moet georganiseerd worden.
Informatiebeveiliging is niet vanzelfsprekend en moet georganiseerd worden. De aanpak van de informatiebeveiliging vormt dus een wezenlijk onderdeel van het informatiebeveiligingsbeleid. De informatiebeveiligingsorganisatie zorgt voor een centrale aansturing, het opstellen van het beleid, het uitvoeren van risicoanalyses en het opstellen van het beveiligingsplan. Ten slotte wordt er op toegezien dat de geplande beveiligingsmaatregelen uitgevoerd worden.
Informatiebeveiliging is een cyclisch proces.
Omdat er steeds nieuwe bedreigingen en risico’s ontstaan en de eisen vanuit wet- en regelgeving in de tijd kunnen veranderen, moet het informatie-beveiligingsbeleid jaarlijks geactualiseerd worden. Dit is ook een in het ‘Informatiebeleid’ vastgelegde keuze van Velsen. Het beleid wordt uitgewerkt in een minimaal jaarlijks te actualiseren gemeentebreed informatie-beveiligingsplan, zo nodig aangevuld met afdelingsspecifieke informatie-beveiligingsplannen. Om te kunnen bepalen wat de bedreigingen met betrekking tot de betrouwbaarheid van de informatievoorziening zijn, worden risicoanalyses uitgevoerd. En om de controle en de kwaliteit te kunnen waarborgen wordt informatiebeveiliging in de planning en control cyclus opgenomen. Een onafhankelijke controle is nodig om vast te stellen of de informatiebeveiliging voldoet aan het informatiebeveiligingsbeleid, respectievelijk of de uitgevoerde maatregelen voldoende zijn om het gewenste niveau van informatiebeveiliging te bewerkstelligen.
Informatiebeveiliging moet risico’s voorkomen of de effecten ervan beperken.
Informatiebeveiliging moet bij voorkeur informatiebeveiligingsincidenten voorkomen, respectievelijk de effecten van het optreden van incidenten beperken. Om dit te bewerkstelligen worden informatiebeveiligings-maatregelen gepland en uitgevoerd, conform een jaarlijks te actualiseren informatiebeveiligingsplan. De mate waarin een informatiebeveiligingsmaatregel kan worden gecombineerd met een natuurlijk investeringsmoment, is een belangrijk criterium bij het bepalen van het invoeringsmoment van die maatregel. Dit onder de voorwaarde dat daardoor geen onnodig grote risico’s worden gelopen. Indien het risico op een beveiligingsincident hoog is en de schade aanzienlijk kan zijn, dan zullen de maatregelen bij voorkeur afgedwongen moeten worden, zodat de naleving niet afhangt van medewerkers. Informatiebeveiligingsmaatregelen mogen niet ten koste gaan van de veiligheid van eigen personeel en dat van derden.
Het gewenste informatiebeveiligingsniveau dient te worden vastgelegd in de vorm van minimumeisen.
Naast dat een 100% informatiebeveiliging onmogelijk is, is het ook niet wenselijk in verband met de torenhoge kosten die dat met zich mee zou brengen. Ten aanzien van het niveau van informatiebeveiliging zal het bestuur en het management dus een afweging moeten maken tussen de risico’s, de werkbaarheid en de kosten. Deze keuzes worden vastgelegd in het Informatiebeveiligingsbeleid in de vorm van minimumeisen, die voor de hele organisatie gelden. Dit houdt in dat de gestelde eisen voor alle afdelingen, alle informatiesystemen, voorzieningen en alle medewerkers – dus ook voor het management en het bestuur - gelden. In het informatiebeveiligingsbeleid wordt het minimum informatie-beveiligingsniveau van Velsen vastgelegd. Op basis van wet- en regelgeving, overeenkomsten met andere overheden en derden, of bij bijzonder kwetsbare en vitale componenten van de informatievoorziening, kan een hoger niveau van informatiebeveiliging gelden. In genoemde overeenkomsten, bijvoorbeeld shared services, dient schriftelijk te worden vastgelegd aan welke eisen de samenwerking vanuit het oogpunt van informatiebeveiliging moet voldoen, respectievelijk wie waarvoor verantwoordelijk is. In afdelingsspecifieke informatiebeveiligingsplannen is (voor zover van toepassing) aangegeven welke minimumeisen er worden gesteld aan de afdelingsspecifieke informatievoorziening. Deze eisen mogen wel zwaarder, maar niet lichter zijn dan de gemeentebrede informatiebeveiligingseisen.
Bestuur en management zijn verantwoordelijk voor een succesvolle informatiebeveiliging.
Het Directieteam maakt een afweging tussen de risico´s, de werkbaarheid en de kosten van maatregelen op gemeentebreed niveau. Betreffend afdelingshoofd maakt deze afweging op afdelingsniveau, waarbij moet worden voldaan aan het gewenste minimale informatiebeveiligingsniveau. Het vergroten van het bewustzijn van medewerkers over informatiebeveiliging vraagt om continue aandacht van het management. Het zal opgebouwd en op niveau gehouden moeten worden. Dit begint met voorbeeldgedrag en aandacht van het management! Voor het informatiebeveiligingsbeleid en –plan moet draagvlak en commitment van het management en het bestuur aanwezig zijn.
Iedere medewerker is mede verantwoordelijk voor een succesvolle informatiebeveiliging.
De zwakste schakel binnen informatiebeveiliging is niet de techniek, maar de mens. Alle medewerkers moeten doordrongen zijn van het belang van een betrouwbare informatievoorziening, de eigen rol daarin en de eigen verantwoordelijkheid daarvoor. Medewerkers hebben een eigen verantwoordelijkheid voor hun gedrag binnen de gestelde normen en eisen en spreken elkaar aan op onveilig gedrag. Medewerkers respecteren de beveiligingsmaatregelen. Ook signaleren zij mogelijke hiaten en melden deze direct aan de leidinggevenden. Velsen heeft vertrouwen in haar medewerkers, mede gebaseerd op het aannamebeleid, de geldende procedures en de uit te voeren controles. Alle medewerkers hebben een eed/belofte afgelegd, of (zo nodig) een geheimhoudingsverklaring getekend. Medewerkers moeten bekwaam zijn in het uitvoeren van de functietaken en in dat kader de benodigde opleidingen gevolgd hebben. Er dient een cultuur van bewustzijn en constante alertheid te heersen met betrekking tot (on)veilig gedrag en nieuwe bedreigingen.
Voor de implementatie van het informatiebeveiligingsbeleid wordt een gefaseerde aanpak gevolgd.
Het organisatiebreed uitrollen van de informatiebeveiliging is niet in een keer mogelijk. Het vraagt om een gefaseerde aanpak, waarbij de belangrijkste of wettelijk verplichte onderdelen van de informatievoorziening het eerste worden aangepakt. Dit heeft ook als voordeel dat eerst kennis en ervaring kan worden opgebouwd door een selecte groep medewerkers, die in de vervolgfasen kan worden benut om de overige onderdelen van de organisatie, respectievelijk informatievoorziening te beveiligen. Informatiebeveiliging wordt prioritair geïmplementeerd bij de afdelingen Automatisering en Facilitaire Diensten, Burgerzaken, Sociale zaken, Belastingen en Invordering, Financiën en Informatiemanagement.
7 Informatiebeveiligingsbeleid
De kern van het informatiebeveiligingsbeleid bestaat uit een set minimumeisen, die het gewenste informatiebeveiligingsniveau van Velsen bepalen. Omdat informatie-beveiliging niet vanzelf gaat en bovendien een cyclisch proces is, vormt ook de aanpak een wezenlijk onderdeel van het informatiebeveiligingsbeleid.
In de volgende paragrafen zal achtereenvolgens de aanpak en de set van minimumeisen worden beschreven.
Het informatiebeveiligingsbeleid legt onder meer vast op welke wijze het informatie-beveiligingsproces wordt ingericht, respectievelijk op welke wijze de informatie-beveiligingstaken in de organisatie belegd worden. Daarnaast bepaald het informatiebeveiligingsbeleid de prioriteiten waarmee de informatiebeveiliging geïmplementeerd wordt. Dit wordt de aanpak van de informatiebeveiliging genoemd. In onderstaande paragrafen wordt hier op hoofdlijnen op ingegaan.
NB. In de nota ‘Informatiebeveiligingsaanpak gemeente Velsen’ (Versie 3.1, 10 juni 2011) is het proces en de organisatie in detail uitgewerkt.
7.1.1 Informatiebeveiligingsproces
Door ontwikkelingen binnen of buiten Velsen kunnen er nieuwe bedreigingen voor de continuïteit van de informatievoorziening ontstaan. Daarnaast kunnen wijzigingen in wet- en regelgeving aanleiding zijn om de eisen met betrekking tot het niveau van de betrouwbaarheid van de informatievoorziening verplicht te moeten aanpassen. Het informatiebeveiligingsproces moet daarom in een cyclus minimaal jaarlijks doorlopen worden. Het proces bestaat uit de volgende stappen:
Informatiebeveiliging is een cyclisch proces, dat in beweging gebracht en gehouden moet worden. Dat gaat niet vanzelf, maar moet georganiseerd worden!
De informatiebeveiligingcyclus kan op hoofdlijnen als volgt schematisch worden voorgesteld:
De informatiebeveiligingcyclus
Aan de hand van een actuele risicoanalyse wordt beoordeeld welke bedreigingen de betrouwbaarheid van de informatievoorziening kunnen verstoren. Afgewogen moet worden in hoeverre het noodzakelijk is om tegen deze bedreigingen maatregelen te treffen. Dit kan zowel invloed hebben op het informatiebeveiligingsbeleid, door onder meer het aanscherpen van de eisen, als op het informatiebeveiligingsplan, door het opnemen van extra maatregelen.
In het informatiebeveiligingsbeleid wordt het door Velsen gewenste minimale informatiebeveiligingsniveau vastgelegd in de vorm van minimumeisen. Deze eisen gelden voor elk organisatieonderdeel van Velsen.
De maatregelen die nodig zijn om het gewenste informatiebeveiligingsniveau te bewerkstelligen worden uitgewerkt in een minimaal jaarlijks te actualiseren gemeentebreed informatiebeveiligingsplan. Zo nodig kan dit plan aangevuld worden met afdelingsspecifieke informatiebeveiligingsplannen. Bijvoorbeeld omdat dit op basis van wet- en regelgeving verplicht is, of omdat Velsen voor specifieke processen of informatiesystemen een hoger informatiebeveiligingsniveau wenst te hanteren.
Met het uitvoeren van de informatiebeveiligingsmaatregelen wordt beoogd het gewenste informatiebeveiligingsniveau te behalen. Daarmee worden de bedreigingen voor de continuïteit van de informatievoorziening voorkomen, of worden de effecten van opgetreden bedreigingen geminimaliseerd.
Ook moet de informatiebeveiliging regelmatig en op onafhankelijke wijze worden gecontroleerd. Deze controle is nodig om vast te stellen of de informatiebeveiliging voldoet aan het informatiebeveiligingsbeleid, respectievelijk of de uitgevoerde maatregelen adequaat zijn om het gewenste niveau van informatiebeveiliging te bewerkstelligen. Daarnaast kan deze controle zinvolle adviezen opleveren om het informatiebeveiligingsbeleid, of de implementatie ervan te verbeteren.
Zonder het daadwerkelijk uitvoeren en controleren van informatie-beveiligingsmaatregelen is informatiebeveiligingsbeleid een lege huls!
Iedere maatregel is zo beperkt als er mee wordt omgegaan. Zo werkt een slot op de deur alleen als de medewerkers deze consequent op slot doen. Een wachtwoord voor een systeem werkt niet als beveiliging als medewerkers dit openlijk kenbaar maken, door bijvoorbeeld een Post-it briefje aan het beeldscherm te hangen. Iedere medewerker moet zich bewust zijn (worden) van zijn/haar eigen veilige of onveilige gedrag en handelwijze. Dit bewustzijn (of deze bewustwording) moet regelmatig geactiveerd worden. Dit kan onder meer door het volgen van een opleiding of training, of door een persoonlijke terugkoppeling van collega’s en leidinggevenden.
Een belangrijke succesfactor voor de implementatie van informatiebeveiliging is het verhogen van het bewustzijn van alle medewerkers.
Iedere medewerker is mede verantwoordelijkheid voor een succesvolle informatiebeveiliging.
Opgemerkt wordt dat informatiebeveiliging onderdeel uitmaakt van integraal management. Directeuren en afdelingshoofden zijn verantwoordelijk voor de informatiebeveiliging van betreffend taakveld. De informatiebeveiligingstaken kunnen gedelegeerd worden naar betreffende informatiebeveiligingscoördinatoren, de bijbehorende verantwoordelijkheid niet.
7.1.2 Informatiebeveiligingsorganisatie
Het beveiligen van informatie is niet alleen een kwestie van techniek. Het is ook en vooral een zaak van goed organiseren. Hierbij moet in voldoende mate functiescheiding worden toegepast, wat inhoudt dat medewerkers niet tegelijkertijd twee of meer functies kunnen bekleden met betrekking tot:
Het Directieteam heeft besloten om voor informatiebeveiliging geen nieuwe functies te creëren. De taken op het gebied van informatiebeveiliging worden als rol binnen de huidige functies toebedeeld aan hiervoor geschikte medewerkers.
De organisatie van de informatiebeveiliging in Velsen omvat de volgende rollen:
Velsen kiest ervoor om de implementatie van de informatiebeveiliging gefaseerd uit te voeren. Naast het opstellen van het informatiebeleid en het gemeentebrede informatiebeveiligingsplan wordt van een aantal afdelingen de situatie met voorrang in de gaten gehouden. Het betreffen de afdelingen die binnen de informatievoorziening van Velsen een vitale rol spelen, te weten:
Opgemerkt wordt dat de betrouwbaarheid van de informatievoorziening afhangt van de betrouwbaarheid van alle samenstellende componenten. Zoals bekend bepaalt de zwakste schakel in een ketting het uiteindelijke resultaat. Om van een succesvolle gemeentebrede informatiebeveiliging te kunnen spreken zullen dus alle organisatieonderdelen op orde moeten zijn. De gefaseerde aanpak die Velsen nastreeft is om praktische redenen te begrijpen, maar kan ook risico’s met zich meebrengen.
De informatiebeveiliging van een organisatie vraagt om een structurele en systematische aanpak. Dat begint bij het opstellen van een informatiebeveiligings-beleid.
Een vastgesteld en vooral ook uitgedragen informatiebeveiligingsbeleid vergroot de kans op intern draagvlak voor het uitvoeren van informatiebeveiligingsmaatregelen aanzienlijk.
De eerste stap is om te bepalen wat Velsen verstaat onder een betrouwbare informatievoorziening en welke minimale eisen daaraan gesteld worden. Dit houdt in dat Velsen keuzes moet maken, want een 100% beveiliging bestaat niet en is ook niet wenselijk vanwege de torenhoge kosten die dat met zich mee zou brengen. Je verzekert privé tenslotte ook niet alles wat fout kan gaan!
In het informatiebeveiligingsbeleid wordt het minimum informatiebeveiligingsniveau voor de hele organisatie vastgelegd. Dit niveau bepaalt in hoeverre Velsen bereid is om risico’s te nemen met potentiële verstoringen van de betrouwbaarheid van de informatievoorziening. Bepaalde risico’s zullen onacceptabel worden geacht, waardoor maatregelen genomen moeten worden om deze risico’s te voorkomen, of de effecten ervan te beperken. Het management zal continu moeten afwegen, of het acceptabel is om nieuwe risico’s te accepteren, of dat het noodzakelijk is om adequate maatregelen te treffen. Het gaat daarbij om het in balans brengen van de risico’s met de werkbaarheid en de kosten van de informatiebeveiligingsmaatregelen. Deze afweging kan alleen goed gemaakt worden als er inzicht bestaat in de consequenties van het optreden van een bedreiging en de middelen die nodig zijn om het risico af te wenden of te beperken.
Het gaat bij informatiebeveiliging om ‘bewust risico’s nemen’, in plaats van ‘onbewust risico’s lopen’.
Het minimum informatiebeveiligingsniveau geldt voor de hele organisatie. Voor een aantal specifieke onderdelen van de organisatie kan een hoger niveau van informatie-beveiliging nodig zijn. Bijvoorbeeld op basis van wet- en regelgeving, overeenkomsten met andere overheden of derden, of omdat bepaalde componenten van de informatie-voorziening een bijzonder kwetsbare en vitale rol spelen binnen de bedrijfsvoering. Om te voorkomen dat de hele organisatie de gevolgen van betreffende extra zware eisen moet dragen, gelden deze eisen alleen voor betreffende afdelingen of systemen en zolang als dit noodzakelijk is. Dit vindt zijn uitwerking in afdelingsspecifieke informatiebeveiligings-plannen, of een afdelingsspecifieke uitbreiding van het gemeentebrede informatiebeveiligingsplan.
NB. Als voorbeeld wordt het GBA (Basisregistratie Persoonsgegevens) en Suwinet (voorziening waarmee de organisaties in de keten werk en inkomen gegevens kunnen inzien en uitwisselen) genoemd, waarvan de gegevens in het kader van de WBP (Wet Bescherming Persoonsgegevens) extra beveiligd moeten worden. In die gevallen blijft het informatiebeveiligings-beleid het kader, maar kunnen voor deze afdelingsspecifieke situaties aanvullende informatiebeveiligingsmaatregelen worden bepaald.
In onderstaande figuur is het informatiebeveiligingsniveau voor de diverse organisatie-onderdelen schematisch weergegeven. De rode lijn representeert symbolisch het minimum informatiebeveiligingsniveau. Voor de afdelingen Burgerzaken en Sociale Zaken is, als voorbeeld, een hoger niveau aangegeven.
Informatiebeveiligingsniveau per organisatieonderdeel
In dit hoofdstuk zijn de minimumeisen gedefinieerd, die in onderlinge samenhang het door Velsen gewenste gemeentebrede betrouwbaarheidniveau van de informatie-voorziening bepalen. De eisen zijn gerangschikt naar de begrippen die de betrouwbaarheid van de informatievoorziening bepalen, te weten:
Informatiebeveiliging moet bijdragen aan het beschikbaar zijn van de informatie-voorziening op het moment dat de organisatie het nodig heeft. Gebruikers vinden het vanzelfsprekend dat de computers opstarten met een druk op de knop en dat vervolgens de benodigde informatie geselecteerd en op het scherm getoond kan worden. Er zijn echter diverse risico’s, die de beschikbaarheid van de informatievoorziening bedreigen. Denk hierbij aan stroomstoringen, brand of andere calamiteiten, diefstal, schijven die crashen, ordners die ontvreemd of niet teruggezet worden e.d. Het gaat bij informatiebeveiliging onder meer om het borgen van de continuïteit van de informatievoorziening. Een 100% beschikbaarheid is onmogelijk, bijvoorbeeld omdat er tijd nodig is voor onderhoud, of om updates van software te installeren en als gevolg van optredende bedreigingen. In het informatiebeveiligingsbeleid wordt vastgelegd wat een voor Velsen acceptabele minimale beschikbaarheid is, gedefinieerd als concrete set van eisen. Betreffende eisen zijn in deze paragraaf gedefinieerd.
NB. De minimumeisen die aan de beschikbaarheid van de informatievoorziening gesteld worden, moeten worden geïnterpreteerd vanuit het oogpunt van de gebruiker. Als de totale informatievoorziening uitvalt door een stroomstoring is het duidelijk dat iedere gebruiker hier last van heeft. In de situatie dat een specifiek informatiesysteem uitvalt zal een beperkte groep gebruikers hierdoor in de taakuitvoering belemmerd worden. Maar ook dan is het begrip ‘beschikbaarheid’ aan de orde. De minimumeisen die aan de beschikbaarheid gesteld worden gelden dus voor beide situaties. Het gaat om de beschikbaarheideisen vanuit het oogpunt van gebruikers, zowel gemeentebreed als in individuele situaties.
7.2.1.1 Beschikbaarheidpercentages
7.2.1.2.1 Per incident is de maximale ‘downtime’, de tijd waarin de totale informatie-voorziening of een gedeelte hiervan niet beschikbaar is, maximaal 48 aaneengesloten uren.
7.2.1.3 Maximum aantal langdurige beschikbaarheidincidenten
Op jaarbasis is er tijdens werkdagen maximaal 1 incident waarbij de totale informatievoorziening, of een gedeelte hiervan, 24 tot maximaal 48 aaneengesloten uren uitvalt, respectievelijk zijn er maximaal 2 incidenten waarbij de totale informatievoorziening, of een gedeelte hiervan, 12 tot maximaal 24 aaneengesloten uren uitvalt.
Op jaarbasis zijn er in het weekend en tijdens feestdagen maximaal 2 incidenten waarbij de totale informatievoorziening, of een gedeelte hiervan, 24 tot maximaal 48 aaneengesloten uren uitvalt, respectievelijk zijn er maximaal 4 incidenten waarbij de totale informatievoorziening, of een gedeelte hiervan, 12 tot maximaal 24 aaneengesloten uren uitvalt.
7.2.1.4 Beschikbaarheid van gegevens
Originele documenten, dossiers en tekeningen mogen het gemeentehuis alleen verlaten voor de duur van het voor het uitvoeren van gemeentelijke taken benodigde gebruik en voor zover een kopie niet volstaat. Een uitzondering geldt voor vertrouwelijke documenten, die het gemeenthuis onder geen enkele voorwaarde mogen verlaten, ook niet als kopie.
7.2.1.5 Beschikbaarheid van ICT kennis en capaciteit
De ICT kennis met betrekking tot het beheren van de voor de bedrijfsvoering vitale ICT componenten (hardware, besturingssystemen, netwerken en applicaties) moet per component beschikbaar zijn bij minimaal 2 medewerkers van Velsen. Het betreffen met name systeembeheerders en applicatiebeheerders, waarvoor een vervanger beschikbaar is.
Tijdens het weekend en feestdagen moet voor iedere vitale ICT component 1 deskundige medewerker, of zijn vervanger, oproepbaar zijn, om de nodige maatregelen te kunnen nemen bij het optreden van calamiteiten. Hiervoor is het nodig dat de status van de vitale ICT componenten ook tijdens het weekend en feestdagen bekend is, waardoor tijdig kan worden ingegrepen.
Informatiebeveiliging moet bijdragen aan de integriteit van de informatievoorziening. Gebruikers vinden het vanzelfsprekend dat informatie, opgeslagen in bestanden, tekeningen of dossiers, integer is. Hiermee wordt bedoeld dat de informatie actueel, volledig, authentiek en juist is. Er zijn echter diverse risico’s, die de integriteit van de informatievoorziening bedreigen. Denk hierbij aan fouten in software, onjuist gebruik van software, foute invoer of mutaties van gegevens e.d. Bij informatiebeveiliging gaat het onder meer om het borgen van de integriteit van de informatievoorziening. Een 100% integriteit is onmogelijk omdat er altijd menselijke fouten kunnen optreden, bijvoorbeeld bij het ontwikkelen van software, of bij het verwerken van gegevens. In het informatiebeveiligingsbeleid wordt vastgelegd wat een voor Velsen acceptabele minimaal integriteitniveau is, gedefinieerd als concrete set van eisen. Betreffende eisen zijn in deze paragraaf gedefinieerd.
7.2.2.1 Integriteit van gegevens in het algemeen
7.2.2.1.1 Alvorens e-mails, bijlagen daarvan of digitale bestanden via het netwerk van Velsen geïnstalleerd, geopend en/of uitgewisseld mogen worden, dient automatisch te worden vastgesteld of er geen sprake is van spam, spyware, virussen e.d.
7.2.2.2 Integriteit van gegevens uit basisregistraties
7.2.2.3 Integriteit van gemeentelijke basisgegevens
7.2.2.4 Integriteit van overige gegevens
De gewenste verwerkingstermijn van nieuwe, of mutaties van bestaande ‘overige’ gegevens is taakspecifiek en hangt af van wettelijke eisen en/of van de gewenste procesgang binnen Velsen. Voor ‘overige’ gegevens kan daarom geen uniforme eis voor de verwerkingstermijn bepaald worden. Betreffende eisen worden bepaald door de in betreffende taakvelden geldende wettelijke eisen, voor Velsen geldende normen, of door gemaakte afspraken met andere overheden, ketenpartners of derden. Het bepalen en bewaken van de juiste verwerkingstermijnen is de verantwoordelijkheid van betreffend afdelingshoofd.
7.2.2.5 Integriteit van software
7.2.2.6 Integriteit van hardware
Informatiebeveiliging moet bijdragen aan de vertrouwelijkheid van de informatievoorziening. Gebruikers vinden het vanzelfsprekend dat de toegang tot vertrouwelijke gegevens, informatie en dossiers ook op vertrouwelijke wijze plaats vindt. Hiermee wordt bedoeld dat alleen daartoe geautoriseerde personen toegang kunnen krijgen. Er zijn echter diverse risico’s, die de vertrouwelijkheid van de informatievoorziening bedreigen. Denk hierbij aan het bewust of onbewust laten uitlekken van vertrouwelijke informatie, het onzorgvuldig omgaan met wachtwoorden, inbraak of verlies van draagbare opslagmedia. Informatiebeveiliging gaat onder meer om het borgen van de vertrouwelijkheid van de informatievoorziening. Een 100% vertrouwelijkheid is onmogelijk, met name door onveilig gedrag of handelen van medewerkers, of inbreuk hierop door derden. In het informatiebeveiligingsbeleid wordt vastgelegd wat een voor Velsen acceptabel minimaal vertrouwelijkheidniveau is, gedefinieerd als concrete set van eisen. Betreffende eisen zijn in deze paragraaf gedefinieerd.
NB. Onder vertrouwelijke informatie worden gegevens of documenten verstaan die vanwege geldende wetgeving niet openbaar gemaakt mogen worden, waarvoor geheimhouding is opgelegd, alleen toegankelijk zijn voor daarvoor geautoriseerde medewerkers en door hen alleen voor de uitvoering van hun publiekrechtelijke taak gebruikt mogen worden, of onder een embargo vallen dat door de eigenaar van de gegevens is opgelegd.
7.2.3.1 Toegang tot vertrouwelijke gegevens
Met betrekking tot het verstrekken van sleutels, elektronische toegangspasjes en tokens gelden door het Directieteam vastgestelde doelen en gebruiksvoorwaarden. Onder meer geldt dat deze middelen strikt persoonlijk zijn en niet aan collega’s of derden doorgegeven mogen worden. De uitgifte, het beheer en de inname vindt centraal plaats door de afdeling Automatisering en Facilitaire Diensten. De specifieke invulling van deze eis moet door de afdeling Automatisering en Facilitaire Diensten in een procedure worden uitgewerkt, beheerd en bewaakt.
De toegang tot de gebruikersomgeving op het netwerk van Velsen geschiedt uitsluitend via zowel een gebruikersnaam (login), als een wachtwoord. Daarmee verkrijgt de gebruiker toegang tot generieke applicaties, zoals MS-Word, respectievelijk de specifieke applicaties waarvoor betreffende gebruiker geautoriseerd is. Voor zover voorgeschreven of noodzakelijk, geschiedt de toegang tot deze specifieke applicaties aanvullend ook uitsluitend via zowel een gebruikersnaam (login), als een wachtwoord.
Voor zover dit voor de taakuitvoering van Velsen noodzakelijk is mag, met toestemming van betreffende afdelingshoofd en na raadpleging van de (gemeentebrede) informatiebeveiligingscoördinator, aan uitzendkrachten, stagiaires of derden tijdelijk toegang worden verstrekt tot een specifiek informatiesysteem. Dit betreft een strikt persoonlijke toegang. Het is verplicht om voor deze unieke toegang een speciaal daarvoor bestemd ‘externe gebruikersnaam en password’ te gebruiken, welke verstrekt worden door de afdeling Automatisering en Facilitaire Diensten. Na afloop van de afgesproken periode verloopt de geldigheid van zowel de gebruikersnaam als het wachtwoord automatisch.
De toegang tot applicaties en gegevens en de rechten die daar aan gekoppeld zijn, worden vastgelegd in een autorisatietabel. Deze tabel wordt vastgesteld door betreffend afdelingshoofd na raadpleging van de (gemeentebrede) informatiebeveiligingscoördinator. In deze tabel is per geautoriseerd persoon aangegeven welke applicaties gebruikt en welke gegevens ingezien en/of gewijzigd mogen worden.
Al het netwerkverkeer van het eigen netwerk met andere netwerken, waaronder internet, dient te verlopen via één logische netwerkingang (de filterende netwerkkoppeling). Een adequate firewall moet het aftappen van informatiesystemen (‘hacking’) voorkomen. De specifieke invulling van deze eis moet door de afdeling Automatisering en Facilitaire Diensten in een procedure worden uitgewerkt, beheerd en bewaakt. Als uitgangspunt geldt dat alles wat niet expliciet is toegestaan, verboden is.
7.2.3.2 Mobiliteit van vertrouwelijke gegevens
Vertrouwelijke gegevens, opgeslagen in bestanden, dossiers of tekeningen, respectievelijk gevoelige en/of niet-openbare documenten mogen het gemeenthuis niet verlaten. Omdat door middel van telewerken de mogelijkheid wordt geboden om ook buiten het gemeentehuis vertrouwelijke gegevens in te zien, gelden hiervoor door het Directieteam vastgestelde doelen en gebruiksvoorwaarden. Deze zijn uitgewerkt in de zogenaamde ‘Telewerkregeling’.
Met betrekking tot het verstrekken van draagbare digitale media - waaronder laptops, externe harddisks, memory sticks, smart phone’s, Dvd’s en Cd-rom’s - aan medewerkers of derden gelden door het Directieteam vastgestelde doelen en gebruiksvoorwaarden. De reden is dat met behulp van deze media vrij eenvoudig vertrouwelijke informatie buiten het gemeentehuis kan belanden en door daartoe ongeautoriseerde personen kan worden ingezien. Onder meer geldt dat deze middelen strikt persoonlijk zijn, door de gebruiker zorgvuldig gebruikt moeten worden en niet aan collega’s of derden mogen worden doorgegeven. De uitgifte, het beheer en de inname van deze media valt onder de verantwoordelijkheid van de afdeling Automatisering en Facilitaire Diensten. De specifieke invulling van deze eis moet door de afdeling Automatisering en Facilitaire Diensten in een procedure worden uitgewerkt, beheerd en bewaakt.
Voor zover aan de orde mogen vertrouwelijke analoge of digitale gegevens, bijvoorbeeld dossiers, back-up tapes of opslagmedia in te verwijderen computers, alleen vernietigd worden door daartoe geautoriseerde medewerkers, of door een erkend professioneel bedrijf. Hierbij moet voldaan worden aan de eisen op basis van wet- en regelgeving, of geldende normen.
7.2.3.3 Personele aspecten van vertrouwelijkheid
Nieuwe en tijdelijke medewerkers worden op de eerste werkdag geïnformeerd over de eisen met betrekking tot de informatiebeveiliging van betreffende afdeling door de afdelingsgerichte informatiebeveiligings-coördinator of, indien deze niet is aangesteld, door de gemeentebrede informatiebeveiligingscoördinator.
Bij vertrekkende medewerkers worden op de laatste werkdag dossiers, vertrouwelijke documenten en bestanden overgedragen. Ook worden de aan een medewerker in bruikleen verstrekte draagbare computers en andere digitale media, telefoons, sleutels, toegangspasjes en tokens ingenomen. Om 17.00 uur op de laatste werkdag verloopt de geldigheid van het e-mailaccount, respectievelijk de gebruikersnaam en het wachtwoord(en), waardoor de toegang tot de gebruiksomgeving op het netwerk van Velsen automatisch geblokkeerd wordt. Genoemde acties worden uitgevoerd onder de verantwoordelijkheid van de afdeling Human Resources. De specifieke invulling van deze eis moet door de afdeling Human Resources in een procedure worden uitgewerkt, beheerd en bewaakt.
Informatiebeveiliging speelt een belangrijke rol om de informatievoorziening betrouwbaar te maken en te houden. Dat gaat niet vanzelf maar moet georganiseerd, gepland, uitgevoerd en bewaakt worden. Het controleren of het resultaat van de informatiebeveiligingsmaatregelen voldoet aan de gestelde minimumeisen is een belangrijk aspect van informatiebeveiliging. Dit dient steeds op onafhankelijke wijze te gebeuren. Daarmee wordt de controleerbaarheid van de informatiebeveiliging concreet vormgegeven.
In deze paragraaf zijn de eisen voor de controleerbaarheid van de gemeentebrede informatievoorziening gedefinieerd.
7.2.4.1 Beleid als basis voor controleerbaarheid
7.2.4.2 Controleerbaarheid organiseren
NB. Door de onafhankelijke positie van Concerncontrol is de gewenste functiescheiding in dezen per definitie gewaarborgd.
NB. Voor de informatiebeveiligingstaken, die samenhangen met bovengenoemde rollen, wordt verwezen naar de nota ‘Informatiebeveiligingsaanpak gemeente Velsen’ (Versie 3.1, 10 juni 2011).
7.2.4.3 Controleerbaarheid op basis van managementrapportages
De informatiebeveiligingscoördinatoren rapporteren conform de bestuursrapportagecyclus aan het afdelingshoofd de resultaten van de uitgevoerde controles, respectievelijk de stand van zaken met betrekking tot de geplande informatiebeveiligingsmaatregelen. Een kopie wordt toegezonden aan de gemeentebrede informatiebeveiligingscoördinator en de informatiebeveiligingsbeheerder (Concerncontrol).
7.2.4.4 De controleerbaarheid van de toegang tot ruimtes
De toegang tot het gebouw, respectievelijk de werk-, opslag- en computerruimtes is zowel fysiek, als via procedures beveiligd. Ruimtes met vertrouwelijke informatie of vitale apparatuur zijn beveiligd met een persoonlijke elektronische pas. De toegang tot deze ruimtes kan onder door het Directieteam vastgestelde voorwaarden door middel van ‘logging’ gecontroleerd worden.
Bezoekers moeten vooraf zijn aangemeld door, of namens de ontvangende medewerker. Bezoekers zijn verplicht zich bij de ontvangstbalie te melden en in te laten schrijven, waarna ze een individueel geregistreerde bezoekerspas ontvangen, die zichtbaar gedragen moet worden. Het is in het kader van de controleerbaarheid belangrijk dat bezoekers worden opgehaald en weer terug worden begeleid naar de openbare ruimte van het gemeentehuis. Daar dienen de bezoekers weer te worden uitgeschreven, na het afgeven van de bezoekerspas.
Met betrekking tot overige bezoekers bij onder meer raadsvergaderingen, activiteiten van de personeelsvereniging en overige openbare activiteiten geldt een aparte procedure die door de afdeling Human Resources wordt uitgewerkt, beheerd en bewaakt.
7.2.4.5 De controleerbaarheid van de integriteit van gegevens
Binnen ieder gegevensverwerkend proces moeten gegevenscontroles worden uitgevoerd, conform de eisen die volgen uit wet- en regelgeving, of de interne procedures van betreffende afdeling. Bij basisregistraties vindt de verificatie plaats aan de hand van de brondocumenten. Bij gemeentelijke basisgegevens gebeurt dit aan de hand van een analoog of digitaal vastgelegde bron
7.2.4.6 De controleerbaarheid van de toegang tot (vertrouwelijke) gegevens en documenten
Archiefruimten waarin statische en semistatische archieven met vertrouwelijke gegevens en documenten zijn opgeslagen dienen altijd afgesloten te zijn. De archiefruimten mogen alleen door geautoriseerde medewerkers worden betreden via een beheerde of persoonlijke sleutel, of via een elektronisch cijferslot. Als alternatief mag een archiefruimte met vertrouwelijke gegevens en documenten tijdens werktijd ook open blijven voor bevoegd personeel, onder de voorwaarde dat betreffende archiefruimte zich in een afgesloten werkruimte en onder toezicht bevindt, waar onbevoegden niet zonder begeleiding van geautoriseerd personeel toegang tot kunnen krijgen.
Archiefkasten met vertrouwelijke gegevens en documenten dienen altijd afgesloten te zijn. Deze kasten mogen alleen door geautoriseerde medewerkers worden geopend via een beheerde of persoonlijke sleutel. Als alternatief mag een archiefkast met vertrouwelijke gegevens en documenten tijdens werktijd ook open blijven voor bevoegd personeel, onder de voorwaarde dat betreffende kast zich in een afgesloten werkruimte en onder toezicht bevindt, waar onbevoegden niet zonder begeleiding van geautoriseerd personeel toegang tot kunnen krijgen.
Indien vertrouwelijke of waardevolle documenten of dossiers voor het uitvoeren van werkzaamheden langer dan 1 dag op de werkplek benodigd zijn, moeten deze na werktijd in een afgesloten kast worden opgeborgen. In dat geval moet in de organisatie bekend zijn op welke werkplek deze documenten of dossiers zich tijdelijk bevinden.
Inzage van algemene gegevens en documenten door derden is alleen toegestaan als dit nodig is voor het uitvoeren van gemeentelijke taken en onder de voorwaarde dat betreffend afdelingshoofd hiervoor toestemming heeft gegeven. De inzage moet onder begeleiding van een medewerker plaatsvinden. Vertrouwelijke gegevens mogen niet door derden worden ingezien, tenzij dit door wet- en regelgeving is bepaald, of het Directieteam hiervoor expliciet toestemming heeft gegeven.
7.2.4.7 De controleerbaarheid van het juiste gebruik van draagbare digitale media
Het is een illusie om te denken dat de implementatie van het informatie-beveiligingsbeleid kan plaatsvinden door het simpel doorvoeren van een aantal technische informatiebeveiligingsmaatregelen. Een succesvolle implementatie hangt van meer factoren af. Deze worden hieronder toegelicht.
Onderstaande kritische succesfactoren liggen ten grondslag aan het welslagen van de implementatie van het informatiebeveiligingsbeleid.
belangrijkste succesfactor voor de implementatie van het informatie-beveiligingsbeleid is het verhogen van het bewustzijn. Alle medewerkers moeten zich bewust zijn (worden) van hun eigen veilige of onveilige gedrag en handelwijze. Dit bewustzijn (of deze bewustwording) moet regelmatig geactiveerd worden. Dit kan door het volgen van een opleiding of training, maar ook door persoonlijke terugkoppeling van collega’s en leidinggevenden. Iedere medewerker, respectievelijk iedere manager of bestuurder, draagt actief bij aan het succes, of mislukking van informatiebeveiliging.
is een gemeentebreed en cyclisch proces, dat in beweging gebracht en gehouden moet worden. Dat gaat niet vanzelf, maar moet georganiseerd worden. De aangewezen medewerkers dienen hiervoor voldoende tijd (prioriteit) beschikbaar te krijgen en voldoende kennis te hebben. Specifiek voor informatiebeveiliging geldt dat rekening gehouden moet worden met een voldoende mate van functiescheiding. Het bestuur en het management zijn eindverantwoordelijkheid voor het resultaat van de informatiebeveiliging.
motto bij informatiebeveiliging is: ‘Bewust risico’s nemen, in plaats van onbewust risico’s lopen’. Niet voor alle risico’s kunnen maatregelen genomen worden omdat dit veel te kostbaar zou zijn, of omdat dit tot onwerkbare situaties zou leiden, of simpelweg technisch onmogelijk is. De voor Velsen toe te passen informatiebeveiligingsmaatregelen worden vastgelegd in het informatiebeveiligingsplan, dat minimaal jaarlijks geactualiseerd moet worden. Zonder het daadwerkelijk uitvoeren van informatiebeveiligingsmaatregelen is het informatiebeveiligingsbeleid een lege huls!
onderdelen van de organisatie worden actief betrokken bij het opstellen en actualiseren van het informatiebeveiligingsbeleid en –plan en committeren zich aan het resultaat. Het informatiebeveiligingsbeleid wordt jaarlijks goedgekeurd door het Directieteam en vastgesteld door het college van Burgemeester en Wethouders. Het informatiebeveiligingsplan wordt vastgesteld door het Directieteam.
informatievoorziening is niet alleen digitaal, maar omvat nog steeds een belangrijk analoog deel (originele brieven, dossiers, historische archieven e.d.). En omdat het geen zin heeft om ‘de huiskamer goed te beveiligen als de voordeur open staat’, is ook de fysieke beveiliging een belangrijke succesfactor.
betrouwbaarheid van de informatievoorziening hangt af van de betrouwbaarheid van alle samenstellende componenten. In de ketting bepaalt de zwakste schakel het uiteindelijke resultaat. Alle organisatie-onderdelen zullen dus op orde moeten zijn, om van een succesvolle gemeentebrede informatiebeveiliging te kunnen spreken. De gefaseerde aanpak die Velsen nastreeft is om praktische redenen te begrijpen, maar kan ook risico’s met zich meebrengen.
jaarlijks moet de informatiebeveiliging op onafhankelijke wijze worden gecontroleerd. Hierdoor kan worden vastgesteld of het bereikte informatiebeveiligingsniveau voldoet aan de minimumeisen uit het informatiebeveiligingsbeleid. De gemaakte afspraken en eisen moeten strikt worden gehandhaafd. De zwakste schakel binnen de informatiebeveiliging is tenslotte de mens!
Bij het opstellen van het informatiebeleid zijn de informatiebeveiligingscoördinatoren van de als prioritair bestempelde afdelingen actief betrokken geweest. Dit is gedaan om voldoende draagvlak te creëren en om tijdens het proces direct kennis over te dragen. Het gaat om de volgende medewerkers:
Tijdens de ontwikkeling van het beleid is regelmatig afgestemd met Hans Blom, hoofd van de afdeling Informatiemanagement, in de rol van interne opdrachtnemer van informatiebeveiliging binnen Velsen.
Ten behoeve van het Directieteam zijn een aantal presentaties verzorgd, om duidelijk te maken waarom informatiebeveiliging nodig is en wat de consequenties van de implementatie voor de organisatie zijn.
Het belang van informatiebeveiliging is ook in individuele gesprekken besproken met:
Vanaf januari 2011 is Eric van Leuven nauw betrokken geweest, in zijn rol als gemeentebrede informatiebeveiligingscoördinator.
Bij de ontwikkeling van het informatiebeleid is onder meer gebruik gemaakt van het Document ‘Informatiebeveiligingsbeleid gemeente Velsen’ (versie 1.3; 17 januari 2007, Gerrit Out).