Blad gemeenschappelijke regeling van Regio Rivierenland
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Regio Rivierenland | Blad gemeenschappelijke regeling 2018, 1252 | Beleidsregels |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Regio Rivierenland | Blad gemeenschappelijke regeling 2018, 1252 | Beleidsregels |
Besluit van het dagelijks bestuur van de gemeenschappelijke regeling Regio Rivierenland houdende regels omtrent de vaststelling van het beleid inzake informatiebeveiliging Informatiebeveiligingsbeleid Regio Rivierenland
Deel 1: Beleidskaders informatiebeveiliging
Als Regio Rivierenland kunnen we niet om informatiebeveiliging heen. Informatiesystemen vormen immers het zenuwstelsel van onze organisatie en van de (keten)partners waarmee we zaken doen. Deze systemen kunnen alleen goed functioneren wanneer we de beveiliging ervan op orde hebben, dat wil zeggen: wanneer wij ervoor zorgen dat de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie gewaarborgd is en blijft.
2. Definities en belang van informatiebeveiliging
De kwaliteit van de informatievoorziening wordt voornamelijk gedefinieerd in termen van beschikbaarheid, integriteit en vertrouwelijkheid. Om de gegevens en informatiesystemen waarover we beschikken, op deze gebieden te kunnen beschermen is het noodzakelijk informatiebeveiligingsbeleid te hebben.
We beschouwen informatiebeveiliging als het beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie binnen de organisatie.
Hierbij worden deze termen als volgt gedefinieerd:
Integriteit betekent het waarborgen van de correctheid en de volledigheid van de informatieverwerking. Voor een efficiënte en effectieve bedrijfsvoering is het voor Regio Rivierenland van belang dat de correcte informatie tijdig aanwezig is in de systemen. Maar ook dat zelfs na een bepaalde periode de correctheid en de volledigheid van informatie eenvoudig gecontroleerd kan worden (=controleerbaarheid).
Dit informatiebeveiligingsbeleid richt zich niet alleen op de geautomatiseerde gegevensverwerking door middel van ICT-voorzieningen, maar uitdrukkelijk ook op de bescherming van niet geautomatiseerde gegevens (zoals fysieke documenten) en bedrijfseigendommen.
3. Doelstelling van informatiebeveiliging
Dit document is de leidraad voor de aansturing en coördinatie van de verschillende beveiligingsprocessen binnen Regio Rivierenland. Het uiteindelijke doel is het inrichten van een set van beveiligingsmaatregelen, gericht op risicobeheersing. De risicobronnen waar de informatie en informatievoorziening van Regio Rivierenland aan zijn blootgesteld komen onder andere voort uit:
Het doel van informatiebeveiliging binnen Regio Rivierenland is om te allen tijde een adequate set van maatregelen te hebben getroffen om de risico’s die de hiervoor genoemde risicobronnen met zich meebrengen te beperken c.q. de gevolgschade te beperken. Niet alleen het treffen van fysieke, procedurele, organisatorische en technische maatregelen is van belang, ook de controle op naleving is essentieel. Hierbij wordt rekening gehouden met het volwassenheidsniveau van de organisatie en de beschikbare middelen.
Zonder goede informatie kunnen we niet werken, want de primaire en ondersteunende processen van Regio Rivierenland zijn in hoge mate afhankelijk van een adequate informatievoorziening en betrouwbare informatiesystemen. Zonder beveiligde informatie kan Regio Rivierenland bloot staan aan imagoschade. Met andere woorden informatie is voor ons een belangrijk bedrijfsmiddel dat op gepaste wijze beschermd moet worden.
Dit informatiebeveiligingsbeleid is er op gericht de beschikbaarheid, de integriteit en de vertrouwelijkheid van de (geautomatiseerde) gegevensverwerking binnen Regio Rivierenland en de (geautomatiseerde) uitwisseling van gegevens tussen Regio Rivierenland en derden te waarborgen. Om die beheersbare en betrouwbare informatievoorziening te realiseren is het van belang een aantal gemeenschappelijke uitgangspunten te hanteren en deze uit te dragen.
Het informatiebeveiligingsbeleid heeft als doel om de betrouwbare werking van de (geautomatiseerde) uitwisseling van informatie van Regio Rivierenland inzichtelijk te maken en daar waar nodig maatregelen aan te geven tegen een brede waaier van bedreigingen waaronder verstoringen en inbreuken en zo de continuïteit van Regio Rivierenland op dit gebied te verzekeren en maximaal bij te dragen tot goede resultaten.
Het informatiebeveiligingsbeleid moet steunen op een lagenmodel (zie volgend hoofdstuk) waar verschillende maatregelen complementair aan elkaar zijn. De veiligheid die bereikt kan worden met technische middelen is slechts één van de lagen. Deze middelen moeten aangevuld worden met een doeltreffend managementsysteem en met de noodzakelijk processen. Cruciaal voor een goede informatiebeveiliging is de deelname van alle medewerkers binnen Regio Rivierenland.
Informatieveiligheid wordt bereikt door de implementatie van een reeks beleidsmaatregelen of controles (hardware en software functies, processen, procedures, organisatie structuren). Deze moeten uitgewerkt worden om de veiligheidsdoelstellingen van Regio Rivierenland in te vullen.
4. Organisatie van informatiebeveiliging
Ten aanzien van risico’s die voort komen uit de risicoanalyse heeft Regio Rivierenland per risico één van de volgende strategieën gekozen om deze te verkleinen:
Het informatiebeveiligingsbeleid is opgebouwd in drie niveaus.
Op het hoogste niveau wordt het informatiebeveiligingsbeleid gedefinieerd. De uitgangspunten in dit beleid worden beïnvloed door algemeen geldende standaarden en normen alsmede de wettelijke bepalingen waaraan Regio Rivierenland onderhevig is. Daarnaast wordt het beleid ingevuld op basis van randvoorwaarden zoals het algemene bedrijfsbeleid en mogelijke geldende externe normen. Het gaat hier om algemeen geldende richtlijnen, niet om op specifieke informatiesystemen gerichte maatregelen.
Op het tweede niveau worden de beveiligingsmaatregelen beschreven als uitwerking van de doelstellingen in het informatiebeveiligingsbeleid. Het gaat hierbij om zowel organisatorische als om technische beveiligingsmaatregelen. Deze kunnen gedefinieerd zijn voor de informatiebeveiliging in het algemeen of voor specifieke informatiesystemen.
Op het laagste niveau zijn de procedures en werkinstructies gedefinieerd die bestaan uit dagelijkse beheersactiviteiten met betrekking tot de informatiebeveiliging.
Het is van essentieel belang te realiseren dat het informatiebeveiligingsbeleid in algemene termen uitspraken doet over beveiligingsaspecten. Het geeft via richtlijnen dwingend richting aan de implementatie van een adequaat beveiligingsniveau voor alle (geautomatiseerde) informatie. Maatregelen op systeemniveau komen in het beleid niet aan de orde.
Subjecten van het informatiebeveiligingsbeleid
Alle personeelsleden in dienst van Regio Rivierenland en alle externe inhuurkrachten dienen overeenkomstig het beveiligingsbeleid te handelen en zijn dus verantwoordelijk voor het toepassen van het beveiligingsbeleid binnen hun verantwoordelijkheidsgebied.
Objecten van het informatiebeveiligingsbeleid
Het beveiligingsbeleid geldt voor alle informatie, hetzij mondeling, hetzij geschreven, geprint of elektronisch opgeslagen, die eigendom is van, in bewaring is bij of gebruikt wordt van Regio Rivierenland. Het beveiligingsbeleid geldt ook voor alle dragers gebruikt in het creëren, verwerken, versturen sorteren, gebruiken of controleren van gegevens en informatie.
5. Taken, bevoegdheden en verantwoordelijkheden
Binnen Regio Rivierenland worden de volgende functies ten aanzien van informatiebeveiliging onderscheiden:
Het Dagelijks Bestuur van Regio Rivierenland is eindverantwoordelijk voor alle informatiebeveiligingsaangelegenheden. Het Managementteam (MT) ondersteunt informatiebeveiliging door duidelijk richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor informatiebeveiliging toe te kennen en te erkennen.
De Chief Information Security Officer (CISO) gecoördineerd en beoordeeld namens het MT de implementatie van de beveiligingsmaatregelen binnen Regio Rivierenland.
De Coördinatoren van elk team van Regio Rivierenland zijn verantwoordelijk voor de beveiliging en voor de kwaliteit van de informatie en informatiesystemen voor eigen gebruik en de aan anderen (intern en extern) geleverde informatie en informatiediensten.
Daarnaast hebben (eigen en ingehuurde) medewerkers, oftewel gebruikers van informatie en informatiesystemen van Regio Rivierenland een eigen verantwoordelijkheid. Men is verplicht, zich te houden aan de verstrekte richtlijnen aangaande de omgang met informatie, informatieverwerking en desbetreffende bedrijfsmiddelen. Niet naleving kan (disciplinaire) consequenties hebben.
Informatiebeveiliging en daarmee ook dit informatiebeveiligingsbeleid geldt voor alle medewerkers en externe inhuur van Regio Rivierenland. Kortom allen die te maken hebben met het verwerken van informatie. Het informatiebeveiligingsbeleid heeft als functie richting te geven aan informatiebeveiliging. Daarom worden in dit beleid de grondhouding en de basisprincipes van Regio Rivierenland ten aanzien van informatiebeveiliging beschreven.
Dit document is tevens gericht op alle overige belanghebbenden van Regio Rivierenland, zoals burgers, bedrijven en leveranciers van goederen en diensten om op die manier duidelijk te maken wat de basisprincipes en eisen zijn ten aanzien van informatiebeveiliging.
Indien bij samenwerking met derden sprake is van uitwisseling van informatie, waarvan Regio Rivierenland eigenaar of beheerder is, dient informatiebeveiliging een onderdeel te zijn de samenwerkingsovereenkomst en mag deze niet strijdig zijn met het informatiebeveiligingsbeleid van Regio Rivierenland.
Het informatiebeveiligingsbeleid is locatie onafhankelijk. Indien een medewerker, zakelijke relatie of leverancier of derde zich op een locatie bevindt buiten de kantooromgeving van Regio Rivierenland, maar wel met informatie of informatievoorziening (denk aan onderhoud in het veld, thuiswerken en/of webmail) van Regio Rivierenland werkt, dient men zich ook aan dit beleid te houden.
7. Van toepassing zijnde wet-en regelgeving
Behalve de interne eisen die Regio Rivierenland aan informatiebeveiliging stelt, zijn er wettelijke eisen gesteld aan de beveiliging van gegevens en informatiesystemen. Voorbeelden hiervan zijn te vinden in:
De Wet Bescherming Persoonsgegevens (WBP) gaat in op de bescherming van persoonsgegevens in gestructureerde gegevensverwerkingen. Regio Rivierenland dient volgens deze wet ervoor zorg te dragen dat persoonsgegevens van burgers, bedrijven, medewerkers, leveranciers en overige belanghebbenden worden beschermd tegen onrechtmatige verwerking van of onbevoegde toegang tot deze gegevens. Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.
De Wet Computercriminaliteit II. Deze wet gaan in op computer gerelateerde strafbare handelingen. Regio Rivierenland dient door middel van adequate informatiebeveiligingsmaatregelen ervoor te zorgen dat deze wet door medewerkers van Regio Rivierenland of door derden waarvoor Regio Rivierenland verantwoordelijk is niet wordt overtreden.
8. Gebruikte normen en standaarden
Binnen Regio Rivierenland wordt de Code voor Informatiebeveiliging (NEN-CISO/IEC 27002:2013) als norm gehanteerd voor het implementeren van informatiebeveiliging.
9. Relaties met overige documentatie
Het informatiebeveiligingsbeleid wordt door middel van een informatiebeveiligingsplan geoperationaliseerd. Dit betekent dat de concrete uitvoering van dit beleid door middel van het implementeren van informatiebeveiligingsmaatregelen is beschreven in het informatiebeveiligingsplan. In het informatiebeveiligingsplan wordt beschreven welke maatregelen ingevoerd moeten worden, op welke manier, door wie en binnen welk tijdsbestek. Indien van toepassing worden activiteiten uit het informatiebeveiligingsplan verder uitgewerkt in afzonderlijke projectplannen.
Deel 2: doelstellingen en beleidsuitgangspunten voor informatiebeveiliging
In deel 2 wordt per beveiligingscategorie uit de Code voor Informatiebeveiliging uiteengezet wat voor Regio Rivierenland de doelstelling en de uitgangspunten zijn voor de te treffen maatregelen.
Het borgen van betrouwbare dienstverlening en een aantoonbaar niveau van informatiebeveiliging dat voldoet aan de wetgeving en er voor zorgt dat de kritische bedrijfsprocessen bij een calamiteit en incident voortgezet kunnen worden.
Beleidsdocumenten voor informatiebeveiliging:
Het MT van Regio Rivierenland geeft richting aan en biedt ondersteuning voor informatiebeveiliging in overeenstemming met de bedrijfsmatige eisen en relevante wetten en voorschriften.
Het informatiebeveiligingsbeleid is door het hoogste management goedgekeurd, gepubliceerd en beoordeeld op basis van inzicht in risico’s, kritische bedrijfsprocessen en toewijzing van verantwoordelijkheden en prioriteiten.Het informatieveiligheidsbeleid is bekend bij alle medewerkers en relevante externe partijen.
Beoordeling van het informatiebeveiligingsbeleid:
2. Organisatie van informatiebeveiliging
De continuïteit van informatiebeveiliging in Regio Rivierenland is geborgd in de organisatie en in de processen.
De conformiteit van het regionaal informatiebeveiligingsbeleid met externe partijen is geborgd middels leveranciersmanagement en de daarbij behorende contracten, SLA’s en eventuele verwerkersovereenkomsten.
Voorafgaand aan het afsluiten van een contract voor uitbesteding of externe inhuur is bepaald welke toegang (fysiek, netwerk of tot gegevens) de externe partij moet hebben om de in het contract overeen te komen opdracht uit te voeren en welke noodzakelijke beveiligingsmaatregelen hiervoor nodig zijn.
3. Beheer van bedrijfsmiddelen
Verantwoordelijkheid voor bedrijfsmiddelen
De bedrijfsmiddelen van Regio Rivierenland zijn adequaat beschermd.
Alle bedrijfsmiddelen1 zijn verantwoord en aan een ‘eigenaar’ toegewezen.
Voorafgaand aan het dienstverband
Werknemers, in te huren personeel en gebruikers van externe partijen kennen en begrijpen hun verantwoordelijkheden waardoor het risico op diefstal, fraude of misbruik van faciliteiten vermindert.
Alle werknemers, in te huren personeel en gebruikers van externe partijen zijn zich bewust van bedreigingen en gevaren voor informatiebeveiliging, van hun verantwoordelijkheden en zijn toegerust om het beveiligingsbeleid van Regio Rivierenland in hun dagelijkse werkzaamheden uit te voeren en het risico van een menselijke fout te verminderen.
Beëindiging of wijziging van dienstverband
Zorgen dat werknemers, in te huren personeel en gebruikers van externe partijen Regio Rivierenland volgens de richtlijnen verlaten of hun dienstverband wijzigen.
6 Fysieke beveiliging en beveiliging van de omgeving
Het voorkomen van onbevoegde fysieke toegang tot, schade aan of verstoring van het terrein en de informatie van de organisatie.
Fysieke beveiliging van het gebouw
Er zijn toegangsbeveiligingen aangebracht om ruimten te beschermen waar zich informatie en ICT-voorzieningen bevinden.
Beveiligde zones behoren te worden beschermd door geschikte toegangsbeveiliging, om te bewerkstelligen dat alleen bevoegd personeel wordt toegelaten.
Beveiliging van kantoren, ruimten en faciliteiten
Bescherming tegen bedreigingen van buitenaf
Er behoren een fysieke bescherming en richtlijnen voor werken in beveiligde ruimten te worden ontworpen en toegepast.
Het voorkomen van onderbrekingen van de bedrijfsactiviteiten en het voorkomen van schade aan, of verlies of diefstal van apparatuur.
7. Beheer van communicatie-en bedieningsprocessen
Bedieningsprocedures en verantwoordelijkheden
Het waarborgen van een correcte en veilige bediening van IT-voorzieningen.
Beheer van de dienstverlening door een derde partij
Het implementeren en bijhouden van een passend niveau van informatiebeveiliging bij dienstverlening door een derde partij.
Het risico van systeem verstoringen tot een minimum beperken.
Bescherming tegen virussen en kwaadaardige programmatuur
Beschermen van de integriteit van programmatuur en informatie.
Handhaven van de integriteit en beschikbaarheid van informatie en IT-voorzieningen.
Zorg dragen voor de bescherming van informatie in netwerken en bescherming van de ondersteunende infrastructuur.
Voorkomen van onbevoegde openbaarmaking, wijziging, verwijdering of vernietiging van bedrijfsmiddelen en onderbreking van bedrijfsactiviteiten.
Handhaven van beveiliging van informatie en programmatuur die wordt uitgewisseld met derden.
Diensten voor online transacties
Zorgen voor de beveiliging van diensten voor online transacties en veilig gebruik ervan.
Ontdekken van onbevoegde informatieverwerkingsactiviteiten.
Beheer van toegangsrechten van gebruikers
Toegang voor bevoegde gebruikers beheersen en onbevoegde toegang tot informatiesystemen voorkomen.
Verantwoordelijkheden van gebruikers
Voorkomen van onbevoegde toegang door gebruikers en beschadiging of diefstal van informatie en IT-voorzieningen.
Mobiele apparaten en telewerken
Het zorgen voor een passende mate van informatiebeveiliging bij het gebruik van mobiele apparaten en faciliteiten voor telewerken.
9. Inkoop, onderhoud en ontwikkeling van informatiesystemen
Beveiligingseisen aan informatiesystemen
Zorgen dat informatiebeveiliging integraal deel uitmaakt van nieuw te ontwikkelen informatiesystemen.
Correcte verwerking in programmatuur
Voorkomen van fouten, verlies, onbevoegde wijziging of misbruik van informatie in programmatuur.
Cryptografische beheersmaatregelen
Beschermen van de vertrouwelijkheid, authenticiteit en integriteit van informatie met behulp van cryptografische middelen.
Beveiliging van systeembestanden
Zorgen voor de beveiliging van systeembestanden.
Beheer van technische kwetsbaarheden
Risico’s verminderen als gevolg van benutting van gepubliceerde technische kwetsbaarheden.
Voorkomen dat zich gelegenheden voordoen om informatie te laten uitlekken.
10. Beheersen van informatiebeveiligingsincidenten
Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken
Zorgen dat informatiebeveiligingsgebeurtenissen en zwakheden geregistreerd worden en dat tijdig corrigerende maatregelen worden getroffen.
Beheer van informatiebeveiligingsincidenten en -verbeteringen
Zorgen dat een consistente en doeltreffende benadering wordt toegepast voor het beheer van informatiebeveiligingsincidenten.
Informatiebeveiligingsaspecten van continuïteitsbeheer
Onderbrekingen van bedrijfsactiviteiten tegengaan en kritische bedrijfsprocessen beschermen tegen de gevolgen van calamiteiten2 en om voor tijdig herstel te zorgen.
Naleving van beveiligingsbeleid en –normen en technische naleving
Zorgen dat systemen voldoen aan het beveiligingsbeleid en de beveiligingsnormen van de organisatie.
Zorgvuldigheid bij audits van informatiesystemen
Zorgvuldigheid bewaken bij audits van informatiesystemen en minimaliseren van eventuele verstoringen als gevolg van audits.
Regio Rivierenland heeft beheersmaatregelen getroffen om productiesystemen te beveiligen tijdens de uitvoering van audits.
Bescherming van (vertrouwelijke) bedrijfsinformatie en bedrijfsdocumenten
Belangrijke informatie en/of registraties behoren te worden beschermd tegen verlies, vernietiging, ontvreemding en vervalsing, overeenkomstig wettelijke en regelgevende eisen, contractuele verplichtingen, projectmatige en bedrijfsmatige eisen (lees: auditability).
Regio Rivierenland heeft een (privacy) beleid voor bescherming van vertrouwelijke gegevens ontwikkeld en ingevoerd. Dit beleid is gecommuniceerd naar alle personen die betrokken zijn bij het werken met vertrouwelijke gegevens. Naleving van dit beleid en alle relevante wetgeving voor gegevensbescherming en regelgeving vereist een passende structuur voor beheer en beveiliging. Er is een functionaris aangewezen die belast is met de bescherming van gegevens. Deze functionaris biedt ondersteuning aan managers, gebruikers en dienstverlenende bedrijven met betrekking tot hun individuele verantwoordelijkheden en de specifieke procedures die behoren te worden gevolgd. Het toewijzen van verantwoordelijkheid voor het verwerken van vertrouwelijke informatie en het waarborgen dat medewerkers zich bewust zijn van de uitgangpunten van bescherming van gegevens is uitgevoerd in overeenstemming met de relevante wet-en regelgeving. Er zijn passende technische en organisatorische maatregelen geïmplementeerd om dergelijke vertrouwelijke gegevens te beschermen (lees: bescherming van forensisch bewijs).
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/bgr-2018-1252.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.