Informatiebeveiligingsbeleid gemeente Delft Presentatie: Hanneke Koenen Commissie R & A
Informatiebeveiligingsbeleid definitie Informatiebeveiliging is het samenhangend geheel van preventieve, repressieve en herstelmaatregelen alsmede procedures en processen welke de beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiesystemen blijvend garanderen met als doel de continuïteit van de bedrijfsvoering te waarborgen en eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald, niveau te beperken.
Informatiebeveiligingsbeleid kernbegrippen Beschikbaarheid: het waarborgen dat geautoriseerde gebruikers, entiteiten of processen toegang hebben tot informatie en de informatiesystemen op de gewenste momenten.Beschikbaarheid: het waarborgen dat geautoriseerde gebruikers, entiteiten of processen toegang hebben tot informatie en de informatiesystemen op de gewenste momenten. Integriteit; het waarborgen dat de informatie juist en volledig is en de informatiesystemen juiste en volledige informatie opslaan en verwerken.Integriteit; het waarborgen dat de informatie juist en volledig is en de informatiesystemen juiste en volledige informatie opslaan en verwerken. Vertrouwelijkheid: het waarborgen dat informatie alleen toegankelijk is voor personen, entiteiten of processen die hiertoe bevoegd / geautoriseerd zijn.Vertrouwelijkheid: het waarborgen dat informatie alleen toegankelijk is voor personen, entiteiten of processen die hiertoe bevoegd / geautoriseerd zijn.
Informatiebeveiligingsbeleid huidige status Nieuwe ontwikkelingen in informatietechnologie en marktaanbod (bijvoorbeeld cloud, SAAS)Nieuwe ontwikkelingen in informatietechnologie en marktaanbod (bijvoorbeeld cloud, SAAS) Nieuwe wetgeving, bijvoorbeeld in het Sociaal DomeinNieuwe wetgeving, bijvoorbeeld in het Sociaal Domein Toenemend belang van informatietechnologie voor werkprocessenToenemend belang van informatietechnologie voor werkprocessen Steeds meer verplichte audits op informatievoorziening, met zwaardere gevolgen bij niet voldoen (DiGiD, Suwinet)Steeds meer verplichte audits op informatievoorziening, met zwaardere gevolgen bij niet voldoen (DiGiD, Suwinet) Aansluiten bij standaard KING / IBDAansluiten bij standaard KING / IBD Herziening van het informatiebeveiligingsbeleid September 2014
Informatiebeveiligingsbeleid uitgangspunten Gebaseerd op de BIG (Baseline Informatiebeveiliging Gemeenten) van IBD / KING als gemeentelijke standaardGebaseerd op de BIG (Baseline Informatiebeveiliging Gemeenten) van IBD / KING als gemeentelijke standaard Bescherming van gegevens staat centraalBescherming van gegevens staat centraal Riskbased:Riskbased: jaarlijkse risico-analyse, gericht op lokale omstandigheden; alleen reële delftse risico’s aanpakken Proportioneel:Proportioneel: lasten (ook de niet financiële belasting) staan in goede verhouding tot de baten (de veiligheidsopbrengst); geen zwaardere maatregelen dan noodzakelijk
Informatiebeveiligingsbeleid governance: de spelers van het spel
Informatiebeveiligingsbeleid Governance: de regels van het spel Strategie Beleid plan Analyse risico’s Incidenten ontwikkelingen Nodige beheersmaatregelen GAP-analyse Wat heb je nu en wat heb je nodig Agenda om nodige maatregelen in te voeren en strategie, beleid en plan bij te stellen
Informatiebeveiligingsbeleid Instrumenten Goede administratieve organisatie:Goede administratieve organisatie: ordentelijk inrichten van processen en systemen, procedures, dataclassificatie, logging, en controles; contractuele borging bij uitbesteding Bevorderen van informatiebewustzijn:Bevorderen van informatiebewustzijn: brede campagne, gerichte workshops voor specifieke domeinen Technische beveiliging:Technische beveiliging: hardware en software up to date, ook bij uitbesteding, aansluiting bij landelijk meldsysteem cyberdreigingen Is het bestaande budget toereikend?
Informatiebeveiligingsbeleid governance: de toezichthouders Informatie manager Security officer EDP auditor
Informatiebeveiligingsbeleid Audits Interimcontrole accountant /EDP auditor (ML)Interimcontrole accountant /EDP auditor (ML) Suwinet inkijkSuwinet inkijk DiGiD assessmentDiGiD assessment BAGBAG GBAGBAStreven: 1 integrale audit op basis van de BIG Stresstest: 1 x per jaar backup and restore
Vragen bijvoorbeeld: 1.3. Het informatiebeveiligingsbeleid en beveiligingsplan zijn goedgekeurd door het management en/of de directie en/of het college van B&W Bij de functiescheiding is het belangrijk dat bij verschillende personen is belegd: Uitvoering van taken (het gebruik van suwinet); Het beheer van autorisaties (toegang verlenen tot suwinet)Het beheer van autorisaties (toegang verlenen tot suwinet) Kwaliteitszorg en borging van rechtmatig gebruik (controle op gebruik van suwinet);Kwaliteitszorg en borging van rechtmatig gebruik (controle op gebruik van suwinet); Management (beslissen over bevoegdheden van functiegroepen, en/of individuele medewerkers, uitdragen belang goed gebruik, bijsturen na oneigenlijk gebruik, optreden na misbruik suwinet).Management (beslissen over bevoegdheden van functiegroepen, en/of individuele medewerkers, uitdragen belang goed gebruik, bijsturen na oneigenlijk gebruik, optreden na misbruik suwinet) Autorisatieprocedure: elke gebruiker van Suwinet moet geautoriseerd worden Controle op toegang en gebruik Informatiebeveiligingsbeleid voorbeeld Suwinet inkijk zelftest
Informatiebeveiligingsbeleid Gemeenschappelijke regelingen, leveranciers en andere samenwerkingspartners Andere organisaties zijn in principe zelf verantwoordelijk voor hun eigen informatiebeveiligingsbeleid Gemeenschappelijke regelingen dienen zelf zorg te dragen voor informatiebeveiliging. De vertegenwoordiger van Delft in het bestuur kan hierop toezienGemeenschappelijke regelingen dienen zelf zorg te dragen voor informatiebeveiliging. De vertegenwoordiger van Delft in het bestuur kan hierop toezien Aan leveranciers wordt via de inkoopvoorwaarden gevraagd om aan te tonen dat ze voldoen aan informatiebeveiligingseisen (TPM e.d.)Aan leveranciers wordt via de inkoopvoorwaarden gevraagd om aan te tonen dat ze voldoen aan informatiebeveiligingseisen (TPM e.d.) Met andere samenwerkingspartners worden convenanten afgesloten met betrekking tot informatiebeveiliging en privacyMet andere samenwerkingspartners worden convenanten afgesloten met betrekking tot informatiebeveiliging en privacy
Informatiebeveiligingsbeleid Informatiebeveiliging en privacy informatiebeveiliging privacy Streven naar integratie Privacy beleid nu uitvoering WBP, straks Europese verordening
Informatiebeveiligingsbeleid privacy Nieuwe europese verordening (concept): Privacy functionarisPrivacy functionaris Procedure Data lekkenProcedure Data lekken Toegang tot eigen persoonsgegevensToegang tot eigen persoonsgegevens Correctie op eigen persoonsgegevensCorrectie op eigen persoonsgegevens Privacy Impact Assessment (PIA)Privacy Impact Assessment (PIA) Er komt een apart stuk over de implementatie Europese verordening Governance lijkt erg op die van Informatiebeveiliging, daarom onderzoek naar mogelijke combinatie
Informatiebeveiligingsbeleid privacy sociaal domein 1.Er zijn en komen geen aparte privacyregels voor het sociaal domein, anders dan al geregeld in WBP (straks europese verordening) en specifieke wetgeving. 2.Privacy is niet puur juridisch maar betreft beleid, governance, werkprocessen, training en communicatie. Net zoals informatiebeveiligingsbeleid. 3.Integraal werken binnen het privacykader moet nog verder ontwikkeld worden. Voorlopig wordt vanuit de verschillende bestaande kolommen gewerkt, met de bijbehorende autorisaties. Dat beperkt het risico. 4.Medische en justitiele gegevens blijven binnen hun eigen kolom en zijn niet toegankelijk voor anderen 5.Borging door inrichting werkprocessen en systemen, bevorderen privacybewustzijn en zo nodig regelgeving.
Informatiebeveiligingsbeleid PIA: voorbeeld uit sociaal domein Type vragen: 1.Governance √ 2.Beleid √ 3.Werkprocessen en triage 4.Opslag en beheer van gegevens 5.Bewustwording en communicatie samenwerkingsovereenkomst met partners, met privacyprotocol