Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Management

Presentatie Informatiebeveiligingsbeleid

advertisement 
Informatiebeveiligingsbeleid
gemeente Delft
Presentatie:
Hanneke Koenen
Commissie R & A
25-11-2014
Informatiebeveiligingsbeleid
definitie
Informatiebeveiliging is het samenhangend geheel van
preventieve, repressieve en herstelmaatregelen alsmede
procedures en processen welke de beschikbaarheid, integriteit
en vertrouwelijkheid van informatie en informatiesystemen
blijvend garanderen met als doel de continuïteit van de
bedrijfsvoering te waarborgen en eventuele gevolgen van
beveiligingsincidenten tot een acceptabel, vooraf bepaald,
niveau te beperken.
Informatiebeveiligingsbeleid
kernbegrippen
• Beschikbaarheid: het waarborgen dat geautoriseerde gebruikers,
entiteiten of processen toegang hebben tot informatie en de
informatiesystemen op de gewenste momenten.
• Integriteit; het waarborgen dat de informatie juist en volledig is en de
informatiesystemen juiste en volledige informatie opslaan en
verwerken.
• Vertrouwelijkheid: het waarborgen dat informatie alleen toegankelijk
is voor personen, entiteiten of processen die hiertoe bevoegd /
geautoriseerd zijn.
Informatiebeveiligingsbeleid
huidige status
• Nieuwe ontwikkelingen in informatietechnologie en marktaanbod
(bijvoorbeeld cloud, SAAS)
• Nieuwe wetgeving, bijvoorbeeld in het Sociaal Domein
• Toenemend belang van informatietechnologie voor werkprocessen
• Steeds meer verplichte audits op informatievoorziening, met
zwaardere gevolgen bij niet voldoen (DiGiD, Suwinet)
• Aansluiten bij standaard KING / IBD
Herziening van het informatiebeveiligingsbeleid
September 2014
Informatiebeveiligingsbeleid
uitgangspunten
•
Gebaseerd op de BIG (Baseline Informatiebeveiliging Gemeenten) van
IBD / KING als gemeentelijke standaard
•
Bescherming van gegevens staat centraal
•
Riskbased:
jaarlijkse risico-analyse, gericht op lokale omstandigheden; alleen
reële delftse risico’s aanpakken
•
Proportioneel:
lasten (ook de niet financiële belasting) staan in goede
verhouding tot de baten (de veiligheidsopbrengst); geen
zwaardere maatregelen dan noodzakelijk
Informatiebeveiligingsbeleid
governance: de spelers van het spel
Raad
Informatiebeveiligingsbeleid
Governance: de regels van het spel
Strategie
Beleid
plan
Agenda om nodige
maatregelen in te
voeren en strategie,
beleid en plan bij te
stellen
GAP-analyse
Wat heb je nu en
wat heb je nodig
Analyse risico’s
Incidenten
ontwikkelingen
Nodige
beheersmaatregelen
Informatiebeveiligingsbeleid
Instrumenten
• Goede administratieve organisatie:
ordentelijk inrichten van processen en systemen,
procedures , dataclassificatie, logging, en controles;
contractuele borging bij uitbesteding
• Bevorderen van informatiebewustzijn:
brede campagne, gerichte workshops voor specifieke
domeinen
• Technische beveiliging:
hardware en software up to date, ook bij uitbesteding,
aansluiting bij landelijk meldsysteem cyberdreigingen
Is het bestaande budget toereikend?
Informatiebeveiligingsbeleid
governance: de toezichthouders
Security
officer
Informatie
manager
EDP
auditor
Informatiebeveiligingsbeleid
Audits
•
•
•
•
•
Interimcontrole accountant /EDP auditor (ML)
Suwinet inkijk
DiGiD assessment
BAG
GBA
Streven:
1 integrale audit op basis van de BIG
Stresstest: 1 x per jaar backup and restore
Informatiebeveiligingsbeleid
voorbeeld Suwinet inkijk zelftest
Vragen bijvoorbeeld:
1.3.
Het informatiebeveiligingsbeleid en beveiligingsplan zijn goedgekeurd door het
management en/of de directie en/of het college van B&W.
2.2.
Bij de functiescheiding is het belangrijk dat bij verschillende personen is
belegd:
Uitvoering van taken (het gebruik van suwinet);
• Het beheer van autorisaties (toegang verlenen tot suwinet)
• Kwaliteitszorg en borging van rechtmatig gebruik (controle op gebruik van suwinet);
• Management (beslissen over bevoegdheden van functiegroepen, en/of individuele
medewerkers, uitdragen belang goed gebruik, bijsturen na oneigenlijk gebruik,
optreden na misbruik suwinet).
13.1.
Autorisatieprocedure: elke gebruiker van Suwinet moet geautoriseerd worden
13.5.
Controle op toegang en gebruik
Informatiebeveiligingsbeleid
Gemeenschappelijke regelingen, leveranciers en
andere samenwerkingspartners
Andere organisaties zijn in principe zelf verantwoordelijk voor hun
eigen informatiebeveiligingsbeleid
• Gemeenschappelijke regelingen dienen zelf zorg te dragen voor
informatiebeveiliging. De vertegenwoordiger van Delft in het bestuur
kan hierop toezien
• Aan leveranciers wordt via de inkoopvoorwaarden gevraagd om aan
te tonen dat ze voldoen aan informatiebeveiligingseisen (TPM e.d.)
• Met andere samenwerkingspartners worden convenanten
afgesloten met betrekking tot informatiebeveiliging en privacy
Informatiebeveiligingsbeleid
Informatiebeveiliging en privacy
Streven naar integratie
informatiebeveiliging
privacy
Privacy beleid nu uitvoering WBP, straks Europese verordening
Informatiebeveiligingsbeleid
privacy
Nieuwe europese verordening (concept):
•
•
•
•
•
Privacy functionaris
Procedure Data lekken
Toegang tot eigen persoonsgegevens
Correctie op eigen persoonsgegevens
Privacy Impact Assessment (PIA)
Er komt een apart stuk over de implementatie Europese verordening
Governance lijkt erg op die van Informatiebeveiliging, daarom
onderzoek naar mogelijke combinatie
Informatiebeveiligingsbeleid
privacy sociaal domein
1. Er zijn en komen geen aparte privacyregels voor het sociaal
domein, anders dan al geregeld in WBP (straks europese
verordening) en specifieke wetgeving.
2. Privacy is niet puur juridisch maar betreft beleid, governance,
werkprocessen, training en communicatie. Net zoals
informatiebeveiligingsbeleid.
3. Integraal werken binnen het privacykader moet nog verder
ontwikkeld worden. Voorlopig wordt vanuit de verschillende
bestaande kolommen gewerkt, met de bijbehorende autorisaties.
Dat beperkt het risico.
4. Medische en justitiele gegevens blijven binnen hun eigen kolom en
zijn niet toegankelijk voor anderen
5. Borging door inrichting werkprocessen en systemen, bevorderen
privacybewustzijn en zo nodig regelgeving.
Informatiebeveiligingsbeleid
PIA: voorbeeld uit sociaal domein
Type vragen:
1. Governance √
2. Beleid √
3. Werkprocessen en triage
4. Opslag en beheer van gegevens
5. Bewustwording en communicatie
samenwerkingsovereenkomst met partners, met privacyprotocol
Related documents
Briefing awareness programma “Borging veilige
Briefing awareness programma “Borging veilige
Brief
Brief
Probleem: Iedere partner heeft eigen privacy
Probleem: Iedere partner heeft eigen privacy
Informatiebeveiliging
Informatiebeveiliging
Onderzoek gebruik Suwinet antwoorden feb16
Onderzoek gebruik Suwinet antwoorden feb16
B en W nummer 11 - Gemeente Leiden
B en W nummer 11 - Gemeente Leiden
Toolbox informatiebeveiliging en privacy
Toolbox informatiebeveiliging en privacy
Disclaimer - Sapa Pana Travel
Disclaimer - Sapa Pana Travel
Gij zult openbaren: privacy en de open overheid
Gij zult openbaren: privacy en de open overheid
Privacy beleid - De beste Fleurop bloemist
Privacy beleid - De beste Fleurop bloemist
Wat is er veranderd ten opzichte van de vorige code?
Wat is er veranderd ten opzichte van de vorige code?
Grip op privacy 2017 0117 NORA
Grip op privacy 2017 0117 NORA
De aankondigingen van regering-Michel op het vlak van
De aankondigingen van regering-Michel op het vlak van
Reacties op presentatie Programma van Eisen
Reacties op presentatie Programma van Eisen
TichelaarADadvies Privacy reglement TichelaarADadvies heeft een
TichelaarADadvies Privacy reglement TichelaarADadvies heeft een
Privacy, een conceptuele articulatie
Privacy, een conceptuele articulatie
Privacy: Compliance en Governance
Privacy: Compliance en Governance
Water governance - Water Internationaal
Water governance - Water Internationaal
Download
advertisement