1.1 Algemeen

Informatiebeveiliging is de verzamelnaam voor de processen, die ingericht worden om de betrouwbaarheid van processen, de gebruikte informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijk onheil. Het begrip ‘informatiebeveiliging’ heeft betrekking op:

• 1.

  beschikbaarheid / continuïteit: het zorg dragen voor het beschikbaar zijn van informatie en informatie verwerkende bedrijfsmiddelen op de juiste tijd en plaats voor de gebruikers;

• 2.

  exclusiviteit / vertrouwelijkheid: het beschermen van informatie tegen kennisname en mutatie door onbevoegden. Informatie is alleen toegankelijk voor degenen die hiertoe geautoriseerd zijn;

• 3.

  integriteit / betrouwbaarheid: het waarborgen van de correctheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking.

1.2 Reikwijdte en afbakening informatiebeveiliging

Informatiebeveiliging is meer dan ICT, computers en automatisering. Het gaat om:

• alle uitingsvormen van informatie (bijvoorbeeld: analoog, digitaal, tekst, video, geluid, geheugen, kennis);

• alle mogelijke informatiedragers (bijvoorbeeld: papier, elektronisch, DVD, beeldscherm, usb-stick, laptop, telefoon, cloud);

• alle informatieverwerkende systemen (bijvoorbeeld: de programmatuur, systeemprogrammatuur, databases, hardware, bijbehorende bedrijfsmiddelen).

Dit Strategisch Informatiebeveiligingsbeleid geldt voor het gehele proces van informatievoorziening en de gehele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie.

Het bereik van dit Strategisch Informatiebeveiligingsbeleid omvat de bedrijfsvoeringsprocessen, onderliggende informatiesystemen en informatie van WerkSaam in de meest brede zin van het woord. Dit Strategisch Informatiebeveildigingsbeleid is van toepassing op alle ruimten van WerkSaam en aanverwante gebouwen. Alsmede op de apparatuur die door medewerkers van WerkSaam gebruikt worden bij de uitoefening van hun taak op diverse locaties. Dit Strategisch Informatiebeveiligingsbeleid heeft betrekking op de informatie die daarbinnen verwerkt wordt. Als informatiesystemen niet fysiek binnen WerkSaam draaien is dit Strategisch Informatiebeveiligingsbeleid ook van toepassing (denk uit uitbesteding van taken etc.).

Binnen de reikwijdte van dit Strategisch Beveiligingsbeleid vallen alle op dit moment geldende normen en regels op het gebied van informatiebeveiliging die door derden aan WerkSaam opgelegd zijn. Dit Strategisch Informatiebeveiligingsbeleid bevat minimaal al deze maatregelen en brengt ze met elkaar in verband.

Binnen de reikwijdte is ook rekening gehouden met de verregaande digitalisering van de overheid en met de in de toekomst nog volgende basisregistraties of aanvullingen op bestaande basisregistraties.

1.3 Opbouw informatiebeveiligingsbeleid

Het informatiebeveiligingsbeleid bestaat uit twee delen:

• Strategisch Informatiebeveiligingsbeleid: dit geeft een set van uitgangspunten en maatregelen weer die WerkSaam hanteert om een gewenst niveau van beveiliging te bewerkstelligen. Het is een ‘kapstok’ waaraan de elementen van informatiebeveiliging worden opgehangen. Het Strategisch Informatiebeveiligingsbeleid omvat onderhavig document.

• Tactisch Informatiebeveiligingsbeleid: dit beschrijft de normen en maatregelen ten behoeve van controle en risicomanagement; het beschrijft een totaalpakket aan informatiebeveiligingsmaatregelen.

Het Strategisch Informatiebeveiligingsbeleid is een afzonderlijk document.

Informatie is één van de voornaamste bedrijfsmiddelen van WerkSaam. Uitval van computers of telecommunicatiesystemen, het in ongerde raken van gegevensbestanden of het door onbevoegden kennisnemen dan wel manipuleren van bepaalde gegevens, kan ernstige gevolgen hebben voor de bedrijfsvoering, leiden tot imagoschade en hoge boetes, door bijvoorbeeld:

• uitval van ICT

• beveiligings-/datalekken zoals:

• -

  verlies van gegevens

• -

  het door onbevoegden kennisnemen of manipuleren van bepaalde informatie

Ernstige incidenten hebben mogelijk negatieve gevolgen voor burgers, bedrijven, partners en de eigen organisatie, met waarschijnlijk ook politieke consequenties. Informatieveiligheid is daarom van groot belang. Informatiebeveiliging is het proces dat dit belang dient.

Onderhavig Strategisch Informatiebeveiligingsbeleid bevat een hiërarchie in de beschrijving van de informatiebeveiligingseisen. Binnen dit hoofdstuk zijn de beleidsuitgangspunten binnen WerkSaam weergegeven.

Dit Strategisch Informatiebeveiligingsbeleid sluit aan bij de organisatie van informatiebeveiliging binnen de Rijksdienst. De Baseline Informatiebeveiliging Rijksdienst (BIR) is overeenkomstig beschreven. Dit omdat processen en ondersteunende informatiesystemen overheidsbreed gebruikt worden en daarmee de verankering en verantwoording (SISA) ook op eenzelfde manier dient plaats te vinden.

2.2 Doelstelling

Dit informatiebeveiligingsbeleid is het kader voor passende technische en organisatorische maatregelen. Deze maatregelen beschermen de informatie en waarborgen dat WerkSaam voldoet/gaat voldoen aan relevante wet- en regelgeving. WerkSaam streeft er naar om ‘in control’ te zijn en daarover op professionele wijze verantwoording af te leggen. In control betekent in dit verband dat:

• WerkSaam weet welke maatregelen genomen zijn;

• alle gebruikers weten wat van ze verwacht wordt. Daarbij kennen zij de verantwoordelijkheden die horen bij het gebruik van gegevens en informatie van WerkSaam;

• er een planning is voor implementatie van de maatregelen die nog niet genomen zijn.

2.3 Uitgangspunten

Dit Strategisch Informatiebeveiligingsbeleid is in lijn met het Tactisch Informatiebeveiligingsbeleid en de relevante landelijke en Europese wet- en regelgeving.

De volgende uitgangspunten zijn ontleend aan de Code voor Informatiebeveiliging (NEN/ISO 27002:2007) en de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG):

• Binnen WerkSaam is het dagelijks bestuur integraal verantwoordelijk voor de beveiliging van informatie binnen de werkprocessen van WerkSaam. Informatiebeveiliging gaat niet over ICT alleen, het gaat over informatie in alle verschijningvormen binnen de organisatie.

• Er is gekozen voor een optimale aansluiting bij de wereld van geaccepteerde standaarden, ISO 27001:2005 en ISO 27002:2007 en de daarvan afgeleide overheidsstandaarden zoals de VIR/BIR. Indien een organisatieonderdeel of een toeleverancier haar zaken op orde heeft volgens ISO 27001:2005, rekening houdend met de implementatiemaatregelen uit ISO 27002:2007, dan hoeft WerkSaam slechts te controleren op de aanvullende bepalingen voor bijvoorbeeld aansluitvoorwaarden voor een specifiek register.

• Het basisvertrouwelijkheidniveau is vastgesteld als ‘Gemeentelijk Vertrouwelijk’, zoals gedefinieerd in het Besluit Voorschrift Informatiebeveiliging Rijksdienst-Bijzondere Informatie (VIRBI:2012). Voor wat betreft de bescherming van privacygevoelige informatie is uitgegaan van verwerking van persoonsgegevens zoals bedoeld in artikel 16 van de Wbp. De combinatie van beide niveaus komt veelvuldig voor bij de decentrale overheid. Voor WerkSaam praten we hier over ‘Vertrouwelijk’. Het gaat dan bijvoorbeeld om persoonsvertrouwelijke informatie, commercieel vertrouwelijke informatie of gevoelige informatie in het kader van beleidsvorming, zogenaamde beleidsintimiteit.

• Als overheden hun informatievoorziening en ICT inrichten volgens dit Strategisch Informatiebeveiligingsbeleid in opzet, bestaan en werking, dan is dat afdoende garantie dat WerkSaam haar eigen informatie en die van andere overheidsinstellingen zowel centraal als decentraal veilig behandelen. Onder veilig wordt verstaan: betrouwbaar, beschikbaar en correct. Overheden moeten elkaar hierop kunnen aanspreken. Bij de implementatie geldt voor de tactische normen en eisen een ‘comply or explain beleid’. Het toetsen vindt plaats aan de hand van de ‘in control’ verklaring.

• Dit Strategisch Informatiebeveiligingsbeleid is opgesteld op basis van de huidige situatie: gelaagde beveiliging is gebruikt.

• Voor dit Strategisch Informatiebeveiligingsbeleid wordt het ‘Schengen’-principe gehanteerd. Dit houdt in, dat organisatie-onderdelen van de overheid elkaar beschouwen als vertrouwd partner en niet als onvertrouwde buitenwereld. Het gevolg hiervan is dat iedere overheidsorganisatie afzonderlijk zijn omgeving beveiligt en ’schoon’ houdt en dat de andere omgevingen hierop kunnen vertrouwen. Hierbij moet controle de basis van het vertrouwen zijn (governance).

• Het beveiligingsniveau is in lagen uitbreidbaar. Bij de opbouw van dit Strategisch Informatiebeveiligingsbeleid wordt het principe van gelaagde opbouw gehanteerd. Er is een basisbeveiligingsniveau overeenkomend met Gemeente Vertrouwelijk. Daar waar bepaalde toepassingen, werkomgevingen of specifieke dreigingen een hogere beveiligingsgraad of specialistische maatregelen vereisen, kunnen extra maatregelen getroffen worden bovenop het basisbeveiligingsniveau. Dit Strategisch Informatie beveiligingsbeleid is zo opgebouwd dat er, zonder de voor het basisniveau getroffen maatregelen aan te tasten, een verdieping bovenop gebouwd kan worden om te voldoen aan hogere of specialistische eisen.

• Specialistische maatregelen voor afwijkende situaties of hogere beveiligingsniveaus dan het basisniveau, zijn niet in dit Strategisch Informatiebeveiligingsbeleid opgenomen. Voor dit soort bijzondere omstandigheden moet teruggegrepen worden naar een gerichte risicoafweging.

• Het gekozen Strategisch Informatiebeveiligingsbeleid niveau is zodanig, dat er in een overgrote meerderheid van de gevallen geen aanleiding bestaat om tot extra maatregelen over te gaan.

Dit Strategisch Informatiebeveiligingsbeleid gaat niet uit van één voorgeschreven methodiek, zoals een standaard risicoanalysemethode. De kern is niet zozeer het hanteren van een methodiek, maar het bewust komen tot betrouwbaarheidseisen en -maatregelen.

WerkSaam kan op deze wijze kiezen voor een methode of systematiek die past bij de interne risicoanalyse methodiek en daarmee dus aansluit op het risico-denken binnen WerkSaam. Daarmee is het element ‘comply or explain’ toegevoegd aan dit Strategisch Informatiebeveiligingsbeleid. In feite wordt hiermee aan het management een managementverantwoording wat betreft de informatiebeveiliging gevraagd.

Doordat dit Strategisch Informatiebeveiligingsbeleid integraal onderdeel is van de bedrijfsvoering sluit het aan bij de planning- en controlcyclus (P&C-cyclus).

2.4 Randvoorwaarden

In dit Strategisch Informatiebeveiligingsbeleid zijn, voor zover mogelijk gegeven de stand van de techniek, de volgende randvoorwaarden op de beveiliging van WerkSaam verwerkt:

• 1.

  Informatiebeveiliging is en blijft een verantwoordelijkheid van het management.

• 2.

  Het primaire uitgangspunt voor informatiebeveiliging is en blijft risicomanagement. Hiermee wordt niet bedoeld dat daarmee dit Strategisch Informatiebeveiligingsbeleid niet van toepassing is, maar dat dit Strategisch Informatiebeveiligingsbeleid de basis bevat en er dient voor informatiesystemen te worden vastgesteld of dit Strategisch Informatiebeveiligingsbeleid wel voldoende afdekt.

• 3.

  De klassieke informatiebeveiligingsaanpak waarbij inperking van mogelijkheden de boventoon voert maakt plaats voor veilig faciliteren.

• 4.

  Methoden voor rubricering en continue evaluatie hiervan zijn hanteerbaar om onderen overrubricering te voorkomen. Onderhavig Strategisch Informatiebeveiligingsbeleid geeft geen aanpak voor rubriceren van informatie.

• 5.

  De focus verschuift van netwerkbeveiliging naar gegevensbeveiliging.

• 6.

  Verantwoord en bewust gedrag van medewerkers is essentieel voor een goede informatiebeveiliging.

• 7.

  Dit Strategisch Informatiebeveiligingsbeleid wordt organisatiebreed afgesproken en overheidsbrede kaders en -maatregelen worden ook overheidsbreed afgesproken. Waarbij de overheidsbrede kaders en -maatregelen geënt worden op dit Strategisch Informatiebeveiligingsbeleid. In uitzonderingsgevallen wordt, in overleg, afgeweken.

• 8.

  Kennis en expertise zijn essentieel voor een toekomstvaste informatiebeveiliging en moeten gewaarborgd worden.

• 9.

  Informatiebeveiliging vereist een integrale aanpak, zowel binnen de organisatie als voor overheidsbrede gemeenschappelijke voorzieningen.

2.5 Risicobenadering

De aanpak van informatiebeveiliging bij WerkSaam is op basis van risicomanagement. Daartoe inventariseert de proceseigenaar de kwetsbaarheid van zijn werkproces en de dreigingen die kunnen leiden tot een beveiligingsincident. Hierbij wordt rekening gehouden met de beschermingseisen van de informatie.

Om te beoordelen of er voldoende maatregelen zijn getroffen voor een gedegen informatieveiligheid, wordt periodiek een toets gedaan. Voor deze toets wordt de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) van VNG/KING (GAP-analyse) gebruikt.

2.6 Verantwoordelijkheden

Het management is verantwoordelijk voor de kwaliteit van de bedrijfsvoering. Die verantwoordelijkheid wordt verticaal in de lijn verdeeld, van organisatietop tot teamleider. Informatiebeveiliging geldt als een integraal onderdeel van de bedrijfsvoering. Zo is het management ook verantwoordelijk voor informatiebeveiliging.

Het management:

• 1.

  stelt op basis van een expliciete risicoafweging de betrouwbaarheidseisen voor zijn informatiesystemen vast.

• 2.

  is verantwoordelijk voor de keuze, de implementatie en het uitdragen van de maatregelen die voortvloeien uit de betrouwbaarheidseisen.

• 3.

  controleert of de getroffen maatregelen overeenstemmen met de betrouwbaarheidseisen en of deze maatregelen worden nageleefd.

• 4.

  evalueert periodiek de betrouwbaarheidseisen en stelt deze waar nodig bij.

• 5.

  rapporteert over de implementatie van de maatregelen in de managementrapportages.

Het management kan besluiten om (delen van) de ontwikkeling, exploitatie of het onderhoud van systemen uit te besteden. Ook in deze gevallen blijft het management verantwoordelijk voor de beveiliging van het individuele systeem. Het management communiceert de betrouwbaarheidseisen van het systeem aan de derde partij. Via een schriftelijke overeenkomst, bijvoorbeeld een bewerkersovereenkomst of een Service Level Agreement wordt vastgelegd hoe de derde partij aan deze eisen gaat voldoen en tevens worden er consequenties verbonden aan het niet naleven van deze afspraken. Vanuit zijn hoedanigheid als verantwoordelijke partij, controleert het management of de werkzaamheden van de derde partij het vereiste betrouwbaarheidsniveau realiseren.

Door het beveiligingsbeleid op te nemen in de P&C-cyclus van WerkSaam en hierover door de organisatieonderdelen verantwoording af te laten leggen door reguliere voortgangsrapportages, heeft beveiliging een duidelijke rol in de verticale sturingskolom van WerkSaam. Een dergelijke cyclus is veelal vastgelegd in de begrotingssystematiek. Aansluiting hierbij voorkomt dat informatiebeveiliging als een eigenstandig onderwerp wordt behandeld en daardoor laag geprioriteerd wordt. Over het functioneren van de informatiebeveiliging, de kwaliteitscirkel, wordt conform de P&C-cyclus binnen WerkSaam en richting het dagelijks bestuur verantwoording afgelegd door het management.

Voor het effectueren van informatiebeveiliging wordt gewerkt via de Plan Do Check Act cyclus (PDCA-cyclus). Na het vaststellen wat nodig is, worden maatregelen getroffen en gecontroleerd of die maatregelen het gewenste effect sorteren (controle). Deze controle kan direct aanleiding geven tot bijsturing in de maatregelen.

Ook kan het totaal van eisen, maatregelen en controle aan revisie toe zijn (evaluatie). Het goed doorlopen van deze kwaliteitscirkel zorgt op elk moment voor het adequate beveiligingsniveau.

2.6 Inwerkingtreding

Dit Strategisch Informatiebeveiligingsbeleid treedt in werking op de dag na die van bekendmaking.

2.7 Citeertitel

Dit beleid wordt aangehaald als: Strategisch Informatiebeveiligingsbeleid WerkSaam.

 

Aldus vastgesteld in de vergadering van het dagelijks bestuur van 3 november 2016.

 

 

De voorzitter, A.J. de Jong

 

De directeur, M.J. Dölle