Informatiebeveiligingsbeleid CPZ
Informatiebeveiliging
Informatiebeveiliging is het vaststellen en onderhouden van een samenhangend pakket aan maatregelen om de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid (BIV)) van de informatievoorziening te garanderen. Het begrip “informatiebeveiliging” heeft betrekking op
- Beschikbaarheid (continuïteit):
het zorgdragen van het beschikbaar zijn van informatie en informatieverwerkende bedrijfsmiddelen op de juiste tijd en de juiste plaats voor haar gebruikers - Integriteit (betrouwbaarheid)
Het waarborgen van de correctheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking - Vertrouwelijkheid (exclusiviteit)
Het beschermen van informatie tegen kennisname door onbevoegden. Informatie is alleen toegankelijk voor degen die hiertoe geautoriseerd zijn.
Informatiebeveiliging gaat over alle vormen van informatie (analoog, digitaal, tekst, video, geluid geheugen, kennis), alle informatiedragers en alle informatieverwerkende systemen (programmatuur, systeemprogrammatuur, databases, hardware, bijbehorende bedrijfsmiddelen), maar vooral ook mensen en processen.
Informatieveiligheid | ||
Organisatie | Mens | Techniek |
Beleid, procedures, richtlijnen, handleidingen | Werken conform beleid en procedures. Bewustwording van gevaren/risico’s en waarde informatie | Werken conform beleid en procedures, inrichting ICT conform eisen |
Informatiebeveiligingsbeleid
Het informatiebeveiligingsbeleid is van toepassing op de gehele organisatie, inclusief alle processen, organisatieonderdelen, objecten, informatiesystemen en gegevens(verzamelingen) Het informatiebeveiligingsbeleid past binnen het algemene beleid van het CPZ en relevante wet- en regelgeving.
Het bestuur accordeert het informatiebeveiligingsbeleid en is eindverantwoordelijk. De directeur van de organisatie is verantwoordelijk voor het opstellen, uitvoeren en handhaven bewaken en uitdragen van het informatiebeveiligingsbeleid van het CPZ. De directeur maakt een inschatting van het belang en de risico’s van verschillende delen van de informatievoorziening voor de organisatie. De directeur bepaalt welke risico’s acceptabel en niet acceptabel zijn.
Uitgangspunten informatiebeveiliging
Informatie is een van de belangrijkste bedrijfsmiddelen van het CPZ. Het verlies van gegevens, uitval van ICT, of het door onbevoegden kennisnemen of manipuleren van bepaalde informatie kan ernstige gevolgen hebben voor de primaire taakuitvoering, de bedrijfsvoering en/of kan leiden tot reputatieschade. Ernstige incidenten kunnen negatieve gevolgen hebben voor burgers, bedrijven, partners, het bureau, aangesloten organisaties en bestuurders. Informatieveiligheid is daarom van groot belang. De komende jaren zet het CPZ in op het verhogen van de informatieveiligheid en verdere professionalisering van de informatiebeveiliging. Het CPZ neemt passende maatregelen om in control te komen en blijven op het terrein van informatieveiligheid in lijn met wet- en regelgeving.
Informatiebeveiliging gaat over beveiliging van alle vormen van informatie-uitwisseling in alle verschijningsvormen. Het gaat niet alleen over de bescherming van privacy, maar ook over de bescherming van taken van het CPZ die ondersteund worden met informatie. Ook gaat het niet alleen over ICT: verantwoord en bewust gedrag van medewerkers is essentieel voor informatieveiligheid.
Ons informatiebeveiligingsbeleid is het kader voor passende personele, organisatorische en technische maatregelen om informatie te beschermen en te waarborgen, zodat de organisatie voldoet aan relevante wet- en regelgeving. De aanpak van het CPZ is op risico gebaseerd. Beveiligingsmaatregelen worden getroffen op basis van een inventarisatie van de kwetsbaarheid en beschermingseisen van de informatie, de kwetsbaarheid van de werkprocessen.
Strategieën voor risicoreductie beveiligingsincidenten | ||
Belang bedrijfsactiviteit | Beveiligingsrisico | Strategie |
Laag | Laag | Prioriteren, staken |
Laag | Hoog | Vermijden, staken |
Hoog | Laag | Accepteren |
Hoog | Hoog | Uitbesteden of verzekeren |
Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening. In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening breed benaderd. Het plan wordt periodiek bijgesteld op basis van nieuwe ontwikkelingen, registraties in het incidentenregister en bestande risicoanalyses.
Informatiebeveiliging is een continu verbeterproces. Binnen het kader van het informatiebeveiligingsbeleid, op basis van het implementatie plan wordt middels “plan, do, check en act” de informatiebeveiliging steeds verbeterd. Het CPZ weet welke maatregelen zijn genomen en er is een planning van de maatregelen die nog niet genomen zijn. Dit geheel is verankerd in een PDCA-cyclus.
Regels en verantwoordelijkheden voor het beveiligingsbeleid zijn vastgelegd en vastgesteld
Alle medewerkers worden getraind in het (her)kennen van regels en verantwoordelijkheden, informatiebeveiligingsrisico’s en het gebruik van beveiligingsprocedures.
Alle medewerkers, zowel vast als tijdelijk, zowel intern als extern zijn verplicht waar nodig gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht en bij vermeende inbreuken hiervan melding te doen. Deze verplichting maakt onderdeel uit van de arbeidsovereenkomst
Doelgroepen
Het informatiebeveiligingsbeleid is bedoeld voor alle in- en externe medewerkers van de organisatie, inclusief bestuur.
Doelgroep | Relatie tot informatiebeveiligingsbeleid |
Bestuur | Integrale verantwoordelijkheid |
Directeur | Verantwoordelijk voor kaderstelling, opstellen informatiebeveiligingsbeleid en bewaking implementatie daarvan, functionele sturing op de kaderstelling. Sturing op de implementatie van de voor medewerkers relevante informatiebeveiligingsmaatregelen en controle op naleving. |
Directeur/Officemanager | Opstellen implementatieplan i.s.m. directeur, arbeidsvoorwaardelijke zaken/beveiligingseisen aan personeel, fysieke toegangsbeveiliging.Uitvoering implementatie. |
ICT | Technische ICT beveiliging |
Alle medewerkers | Verantwoordelijk gedrag en naleving van het informatiebeveiligingsbeleid en hieruit voortvloeiende maatregelen. |
Gegevenseigenaren | Aan de hand van de overeengekomen classificatie van hun gegevens: verantwoordelijk voor de daarbij passende beschermingseisen van hun informatie/gegevens. |
Leveranciers en ketenpartners | Voldoen aan de overeengekomen informatieveiligheidseisen middels (bewerkers) overeenkomsten (compliance) |
Scope
De scope van informatiebeveiligingsbeleid omvat alle processen, onderliggende informatiesystemen, informatie en gegeven waarvoor het CPZ wettelijke verantwoordelijkheid draagt, het gebruik daarvan door medewerkers, (keten) partners en afnemers in de meest brede zin van het woord, ongeacht locatie, tijdstip en gebruikte apparatuur.
Dit informatiebeleid stelt algemene beleidskaders. Voor (bepaalde) kerntaken kunnen op grond van wet- en regelgeving specifieke (aanvullende) beveiligingseisen gelden. Deze worden geïdentificeerd en geborgd tijdens het classificatieproces.
Incidenten
Incidenten worden rechtstreeks gemeld aan de directeur. Zo nodig wordt de Autoriteit Persoonsgegevens geïnformeerd. Er worden direct passende maatregelen genomen.
Externe partijen
Informatiebeveiligingsbeleid, landelijke normen en wet- en regelgeving gelden ook voor externe partijen (leveranciers, ketenpartners), waarmee de organisatie samenwerkt (of informatie mee uitwisselt). Ook voor externe partijen. Vereiste beveiligingsmaatregelen worden vastgelegd in contracten en /of verwerkersovereenkomsten. Daarin is onder meer geborgd dat beveiligingsincidenten onmiddellijk worden gerapporteerd en dat de organisatie recht heeft afspraken te laten controleren.
Voor de externe hosting van data en/of services gelden naar generiek informatiebeveiligingsbeleid de richtlijnen voor Cloud Computing. De organisatie is gehouden aan:
- Regels omtrent grensoverschrijdend dataverkeer;
- toezicht op naleving van regels door externe partij (en);
- hoogste beveiligingseisen voor (bijzondere) categorieën persoonsgegevens;
- melding bij de Autoriteit Persoonsgegevens bij doorgifte van persoonsgegevens naar derde landen (buiten de EU);
- meldplicht bij datalekken.
Beleidscyclus
Het informatiebeveiligingsbeleid is door het bestuur van het CPZ vastgesteld. Het bestuur wordt geïnformeerd over de voortgang van implementatie.
Planning en control cyclus
Het CPZ stelt elk jaar een begroting op, waarin de benodigde middelen voor informatiebeveiliging zijn opgenomen. Uitputting van het budget wordt gevolgd via de reguliere financiële rapportages.
Utrecht, 22 juni 2021