Blad gemeenschappelijke regeling van Werkorganisatie Duivenvoorde
| Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
|---|---|---|---|
| Werkorganisatie Duivenvoorde | Blad gemeenschappelijke regeling 2018, 1057 | Verordeningen |
Authentieke versie (PDF)
Informatie
Gerelateerd
Printen
Delen
Regeling mobile device management en mobiel werken
De Baseline Informatiebeveiliging voor Gemeenten heeft maatregelen beschreven die te maken hebben met het gebruik van mobiele apparaten, o.a. hoofdstuk 7.1.3, 9.1.3, 10.4.1 van de BIG. Het dagelijks bestuur van de WODV heeft op 14-2-2017 het informatiebeveiligingsbeleid vastgesteld voor de WODV en de gemeenten Voorschoten en Wassenaar. Met het vaststellen van het beleid wordt de BIG als normenkader voor informatiebeveiliging gehanteerd.
De BIG schrijft over mobile device management het volgende:
Hoofdstuk 7.1.3 van de BIG gaat over: Aanvaardbaar gebruik van bedrijfsmiddelen.
"Er behoren regels te worden vastgesteld, gedocumenteerd en geïmplementeerd voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met ICT-voorzieningen.
- 1.
- 2.
- 3.
- 4.
Paragraaf 9.1.3 van de BIG beschrijft maatregelen bij gevoelige informatie op een apparaat:
"Papieren documenten en mobiele gegevensdragers die vertrouwelijke informatie bevatten worden beveiligd opgeslagen. Een telefoon, laptop of tablet is een mobiele gegevensdrager."
Paragraaf 10.4.1 van de BIG beschrijft maatregelen tegen virussen:
"Op mobile devices wordt antivirus software toegepast, waarbij bij BYOD de eindgebruiker verplicht is deze zelf toe te passen."
Paragraaf 11.7.1 van de BIG beschrijft maatregelen voor draagbare computers en communicatievoorzieningen:
"Er behoort formeel beleid te zijn vastgesteld en er behoren geschikte beveiligingsmaatregelen te zijn getroffen ter bescherming tegen risico's van het gebruik van draagbare computers en communicatiefaciliteiten.
- 1.
Het mobiele apparaat is waar mogelijk zo ingericht dat geen bedrijfsinformatie wordt opgeslagen (‘zero footprint’). Voor het geval dat zero footprint (nog) niet realiseerbaar is, of functioneel onwenselijk is, geldt:
een mobiel apparaat (zoals een handheld computer, tablet, smartphone, PDA) biedt de mogelijkheid om de toegang te beschermen d.m.v. een wachtwoord en versleuteling van die gegevens. Voor printen in onvertrouwde omgevingen vindt een risicoafweging plaats.
- 2.
- 3.
2. Wat is mobile device management?
Mobile Device Management (MDM) is het stelsel van maatregelen, procedures en ondersteunende producten die het mogelijk maken om mobiele gegevensdragers veilig te kunnen gebruiken en te kunnen beheersen. De controls staan beschreven in de BIG en het afgeleide beveiligingsbeleid.
MDM is van toepassing op de volgende mobiele gegevensdragers:
- •
- •.
- •
Er is binnen de WODV een toename van het gebruik van mobiele gegevensdragers zoals smartphones, tablets en laptops. Dit beleidsstuk is geschreven om vanuit verschillende gezichtspunten de risico’s en oplossingen weer te geven die betrekking hebben op de inzet van mobiele apparaten. In het kader van de doorontwikkeling van het telefonie- en werkplekconcept zal er medio 2018 gefaseerd een uitrol gaan plaatsvinden van (hybride) laptops. Dit versterkt de noodzaak om vooraf beleid vast te stellen.
De doelstelling is het veilig omgaan met mobiele apparaten en de gemeentelijke gegevens die erop kunnen staan, omdat:
- •
- •
- •
- •
- •
1. Malware besmetting op het mobiele apparaat
- •.
- •
- •
- •
- •
Installatie van kwaadaardige software die gegevens steelt, zichzelf toegang verschaft, maar ook zichzelf verspreidt over andere WODV systemen. Ook is installatie mogelijk van dialers die sms’jes zenden of bellen met dure nummers, met als gevolg hoge kosten.
- •
- •
- •
- •
2. Gegevensverlies, gegevens onbevoegd inzien
- •
- •
- •
- •
- •
- •
- •
Inzien gegevens door onbevoegden, kopiëren van gegevens, vernietigen van gegevens, veranderen van gegevens. Dergelijke gevolgen worden beschouwd als datalekken en moeten gemeld worden bij de Autoriteit persoonsgegevens (AP), waarna zij onderwerp van onderzoek door de AP kunnen worden. Boetes kunnen het gevolg zijn.
- •
- •
- •
- •
- •
- •
3. Beleidsregels mobiele apparaten
De hierna beschreven beleidsregels mobiele apparaten zijn uitsluitend bedoeld ter bescherming van WODV c.q. gemeentelijke informatie en integriteit van het WODV netwerk. De beleidsregels volgen op de in hoofdstuk 2 beschreven risico’s en de mogelijk te nemen maatregelen.
De WODV is bevoegd om beveiligingsinstellingen af te dwingen op de mobiele apparaten. Dit betreft onder meer:
- •
- •
- •.
- •.
- •
- •
- •
- •
- •
- •
- •
- •
In geval van dringende redenen kunnen noodmaatregelen worden getroffen, zoals het traceren, blokkeren en/of wissen van apparatuur op afstand.
Er zijn (aangepaste) bruikleenovereenkomsten opgesteld (zie bijlagen 1 t/m 3). Hierin zijn aanvullende voorwaarden en gebruiksregels opgenomen die betrekking hebben op informatieveiligheid. Dit betreft onder meer:
- •
- •
- •
- •
- •
- •
- •
Mobiele apparaten (en alle overige ICT middelen) worden bijgehouden in de ICT-Configuratie Management Database. (CMDB)
Bring Your Own Device (BYOD) houdt in dat medewerkers eigen apparaten kunnen gebruiken om toegang te krijgen tot informatiesystemen van de WODV. Dit kan een laptop zijn waar het thuiswerk portaal op gestart wordt. Maar ook Smartphones die de mail en agenda synchroniseren. Vanaf medio 2018, na invoering van het nieuwe telefonie- en werkplekconcept, wordt het BYOD principe afgeschaft. Toegang tot informatiesystemen of synchronisatie van mail / agenda mag alleen vanaf de door de WODV beschikbaar gestelde hybride laptop of Smartphone. Dit geldt ook voor het thuiswerk portaal. Het is wel toegestaan om met eigen apparatuur binnen de gemeentelijke kantoren gebruik te maken van de beveiligde openbare (en apart gesegmenteerde) WiFi verbinding.
Berichten die via de smartphone of hybride laptop worden uitgewisseld, via mail of andere apps zoals WhatsApp, kunnen op grond van de Wet openbaarheid van bestuur opgevraagd worden.
Het gebruik van mobiele gegevensdragers is geregeld in het directiebesluit m.b.t. het nieuwe telefonie- en werkplekconcept (13-09-2017) en in het directiebesluit ICT faciliteiten OGB Buitendienst. (6-12-2017)
De WODV onderkent de volgende typen medewerkers die gebruik maken van mobiele gegevensdragers.
Standaard = toegang tot alle gemeentelijke informatiesystemen en diensten met uitzondering van de door de dataclassificatie beperkte specifieke informatiesystemen. (o.a. BRP)
Beperkt = toegang tot een beperkte set aan gemeentelijke informatiesystemen en diensten (o.a. Mail/Agenda/Vergader App)
Nee = in principe geen toegang. Alleen in uitzonderlijke gevallen kan de leidinggevende gemotiveerd een aanvraag indienen voor tijdelijke externe toegang. De externe toegang wordt alleen verleend voor de hybride laptop. Het team I&A beoordeelt de aanvraag. Een afwijzing wordt door het team gemotiveerd.
*= Externe toegang is toegang tot gemeentelijke informatiesystemen en diensten vanaf een locatie buiten de gemeentelijke kantoren. Dit kan de thuiswerkplek van een medewerker zijn, maar ook alle andere externe locaties vallen hieronder.
**= Medewerkers die geen Smartphone toegewezen krijgen, maar wel bereikbaar moeten zijn op een 088-nummer van de WODV kunnen op aanvraag een (tijdelijke) doorschakeling krijgen naar het eigen mobiele nummer of met een headset bellen vanaf de hybride laptop. De leidinggevende dient de aanvraag gemotiveerd in. Het team I&A beoordeelt de aanvraag. Een afwijzing wordt door het team gemotiveerd.
***= Buitendienst medewerkers ontvangen een sim kaart. Deze kaart kan gebruikt worden in een eigen smartphone waarbij gebruik gemaakt kan worden van de beveiligde openbare (en apart gesegmenteerde) WiFi verbinding (zie ook par. 3.5)
Permanente link
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/bgr-2018-1057.html