Strategisch Gemeentelijk Informatiebeveiligings- en privacy beleid gemeente Tholen 2024 tot 2027

De Baseline Informatiebeveiliging Overheid (BIO) is geheel gestructureerd volgens NEN-ISO/IEC 27001:2017, bijlage A en NEN-ISO/IEC 27002:2017. Het Forum Standaardisatie heeft deze normen opgenomen in de ‘pas toe-of-leg uit’- lijst met verplichte standaarden voor de publieke sector, volgens het comply or explain principe. Dit betekent dat de overheid deze normen toepast tenzij er expliciet geformuleerde redenen zijn om dat niet te doen.

De BIO beschrijft de invulling van de NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017 voor de overheid. Met klem vermeldt zij dat de BIO deze normen niet vervangt.

In de BIO hebben specifieke overheidsmaatregelen de tekstkleur groen. NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017 beschrijven details voor implementatie (implementatierichtlijnen) en eisen voor de procesinrichting (o.a. het ISMS uit NEN-ISO/IEC 27001:2017). Die documenten geven dus de details voor de toepassing, die niet in de BIO zijn beschreven en die nodig blijven voor een goede implementatie van de BIO.

Het gebruik van de NEN-ISO/IEC normen 27001 en 27002 in de BIO is auteursrechtelijk beschermd.

Het gebruik van teksten uit deze normen in de BIO geschiedt met toestemming van het Nederlands Normalisatie Instituut. Voor meer informatie over de NEN en het gebruik van hun producten zie: www.nen.nl

Versie

Datum

Opmerkingen

0.1

11-6-2017

Aanpassingen van BIR 2017 versie 0.6

0.2

11-7-2017

Omschrijven naar ISO 27001 aanpak (hoofdstuk 4), samenvoegen hoofdstuk 3 en 4, ISO 27001 aanpak in hoofdstuk 4, tekstuele aanpassing controls (must/should)

0.3

Verschillende opmerkingen verwerkt

0.4

10-10-2017

Diverse opmerkingen verwerkt van leden, splitsen baseline in 2 delen, analoog aan de BIR2017

0.5

20-10-2017

Hoofdstuk 4 toegevoegd in deel 2 om ISMS te borgen als control / maatregel

0.6

20-02-2018

Verder aanscherping als gevolg van review commentaar, maken apart addendum voor specifieke Rijks zaken

0.7

02-05-2018

Aanpassing als gevolg van commentaar BZK, 3 delen samengevoegd, alignment met de BIR2017 bewerkstelligd, totale herziening BIO, ISMS-deel als gevolg van commentaar laten vervallen

0.8

21-05-2018

Verdere aanpassingen als gevolg van commentaar en opmerkingen door gemeenten, waterschappen en provincies

0.9

25-05-2018

Verdere aanpassingen als gevolg van commentaar en verspreiding concept onder leden werkgroep Normatiek

1.0

01-06-2018

Laatste wijzigingen en commentaar NCSC en BZK verwerkt

1.01

11-10-2018

Wijzigingen uit de community, opmerkingen Forum Standaardisatie en kleine typo’s aangepast, copyright NEN toegevoegd

1.02

01-11-2018

Aanwijzing NEN, jaartal ISO veranderd van 2013 naar 2017, inhoudelijk geen wijzigingen, de 2017 versie is ontstaan als gevolg van een Europees besluit.

1.03

13-03-2019

Aangepaste passage over gebruik van de NEN-ISO/IEC 27001:2017 en NEN-ISO/IEC 27002:2017. Deze passage en de wijzigingshistorie verplaatst van pagina 4 naar pagina 2.

1.04

04-11-2019

Aanpassingen van BIO 1.03 naar 1.04 als gevolg van onderhoudsronde BIO 2019. Betreft correctie van feitelijke onjuistheden en splitsing / aanpassing / verplaatsing van bepaalde maatregelen.

1.04zv

17-06-2020

Verwijzingen naar handreikingen eruit verwijderd. Deze worden opgenomen in een apart document dat op de BIO-overheid-portaal wordt gepubliceerd en onderhouden

Secretaris/algemeen directeur

Als eindverantwoordelijke voor het beveiligingsbeleid in de organisatie is de secretaris/algemeen directeur verantwoordelijk voor de uitvoering van organisatiebrede vraagstukken ten aanzien van informatiebeveiliging33.

In de praktijk kan deze rol worden uitgevoerd door bijvoorbeeld de CIO of een directeur Inkoop34.

Proceseigenaar

Onder de proceseigenaar wordt de lijnmanager verstaan die verantwoordelijk is voor de beveiliging van het betreffende proces / informatiesysteem.

Dienstenleverancier

Bedoeld wordt de dienstenleverancier (bijvoorbeeld SSO) binnen de overheid of organisaties in de markt waaraan de secretaris/algemeen directeur of proceseigenaar (een deel van) de beveiligingstaak inbesteedt respectievelijk uitbesteedt.

Controlnummer overeenkomstig met ISO 27002

BBN (1, 2 of 3)

Controltekst (ISO 27002)

Verantwoordelijke(n)

Secretaris/algemeen directeur

Proceseigenaar

Dienstenleverancier

O-maatregelnummer

BBN

(1, 2 of 3)

O-maatregel

5.1.1

1

Beleidsregels voor informatiebeveiliging

Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.

Secretaris/algemeen directeur

5.1.1.1

1

Er is een informatiebeveiligingsbeleid opgesteld door de organisatie. Dit beleid is vastgesteld door de leiding van de organisatie en bevat ten minste de volgende punten:

• a)

  De strategische uitgangspunten en randvoorwaarden die de organisatie hanteert voor informatiebeveiliging en in het bijzonder de inbedding in en afstemming op het algemene beveiligingsbeleid en het informatievoorzieningsbeleid.

• b)

  De organisatie van de informatiebeveiligingsfunctie, waaronder verantwoordelijkheden, taken en bevoegdheden.

• c)

  De toewijzing van de verantwoordelijkheden voor ketens van informatiesystemen aan lijnmanagers.

• d)

  De gemeenschappelijke betrouwbaarheidseisen en normen die op de organisatie van toepassing zijn.

• e)

  De frequentie waarmee het informatiebeveiligingsbeleid wordt geëvalueerd.

• f)

  De bevordering van het beveiligingsbewustzijn.

5.1.2

1

Beoordeling van het informatiebeveiligingsbeleid

Het beleid voor informatiebeveiliging behoort met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is.

Secretaris/ algemeen directeur

5.1.2.1

1

Het informatiebeveiligingsbeleid wordt periodiek en in aansluiting bij de (bestaande) bestuurs- en P&C-cycli en externe ontwikkelingen beoordeeld en zo nodig bijgesteld.

6.1.1

1

Rollen en verantwoordelijkheden bij informatiebeveiliging

Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen.

Secretaris/algemeen directeur

6.1.1.1

1

De leiding van de organisatie heeft vastgelegd wat de verantwoordelijkheden en rollen zijn op het gebied van informatiebeveiliging binnen haar organisatie.

6.1.1.2

1

De verantwoordelijkheden en rollen ten aanzien van informatiebeveiliging zijn gebaseerd op relevante voorschriften en wetten.

6.1.1.3

1

De rol en verantwoordelijkheden van de Chief Information Security Officer (CISO) zijn in een CISO-functieprofiel vastgelegd.

6.1.1.4

1

Er is een CISO aangesteld conform een vastgesteld CISO-functieprofiel.

6.1.2

1

Scheiding van taken

Conflicterende taken en verantwoordelijkheden behoren te worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.

Proceseigenaar

Dienstenleverancier

6.1.2.1

1

Er zijn maatregelen getroffen die onbedoelde of ongeautoriseerde toegang tot bedrijfsmiddelen waarnemen of voorkomen.

6.1.3

2

Contact met overheidsinstanties

Er behoren passende contacten met relevante overheidsinstanties te worden onderhouden.

Secretaris/algemeen directeur

Proceseigenaar

Dienstenleverancier

6.1.3.1

2

Er is door de organisatie uitgewerkt wie met welke (overheids)instanties en toezichthouders contact heeft ten aanzien van informatiebeveiligingsaangelegenheden (vergunningen/incidenten/calamiteiten) en welke eisen voor deze aangelegenheden relevant zijn.

6.1.3.2

2

Het contactoverzicht wordt jaarlijks geactualiseerd.

6.1.4

-

Vervallen

-

6.1.5

2

Informatiebeveiliging in projectbeheer

Informatiebeveiliging behoort aan de orde te komen in projectbeheer, ongeacht het soort project.

Proceseigenaar

Dienstenleverancier

6.2.1

1

Beleid voor mobiele apparatuur

Beleid en ondersteunende beveiligingsmaatregelen behoren te worden vastgesteld om de risico’s die het gebruik van mobiele apparatuur met zich meebrengt te beheren.

Proceseigenaar

Dienstenleverancier

6.2.1.1

2

Mobiele apparatuur is zo ingericht dat bedrijfsinformatie niet onbewust wordt opgeslagen (‘zero footprint’). Als zero footprint (nog) niet realiseerbaar is, biedt een mobiel apparaat (zoals een laptop, tablet en smartphone) de mogelijkheid om de toegang te beschermen door middel van een toegangsbeveiligingsmechanisme en, indien vertrouwelijke gegevens worden opgeslagen, versleuteling van die gegevens. In het geval van opslag van vertrouwelijke informatie moet op deze mobiele apparatuur ‘wissen op afstand’ mogelijk zijn.

6.2.1.2

2

Bij de inzet van mobiele apparatuur zijn minimaal de volgende aspecten geïmplementeerd:

• a)

  In bewustwordingsprogramma’s komen gedragsaspecten van veilig mobiel werken aan de orde.

• b)

  Het device maakt deel uit van patchmanagement en hardening.

• c)

  Er wordt gebruik gemaakt van Mobile Device Management MDM of van Mobile Application Management (MAM)-oplossingen.

• d)

  Gebruikers tekenen een gebruikersovereenkomst voor mobiel werken, waarmee zij verklaren zich bewust te zijn van de gevaren van mobiel werken en verklaren dit veilig te zullen doen. Deze verklaring heeft betrekking op alle mobiele apparatuur die de medewerker zakelijk gebruikt.

• e)

  Periodiek wordt getoetst of de punten in lid a), b) en c) worden nageleefd.

6.2.2

2

Telewerken

Beleid en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van informatie die vanaf telewerklocaties wordt benaderd, verwerkt of opgeslagen.

Secretaris/algemeen directeur

Dienstenleverancier

7.1.1

1

Screening

Verificatie van de achtergrond van alle kandidaten voor een dienstverband behoort te worden uitgevoerd in overeenstemming met relevante wet- en regelgeving en ethische overwegingen en behoort in verhouding te staan tot de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico’s te zijn.

Secretaris/algemeen directeur

Proceseigenaar

7.1.1.1

1

Elke organisatie heeft een vastgesteld screeningsbeleid. Bij indiensttreding en bij functiewijziging kan een Verklaring Omtrent het Gedrag (VOG) gevraagd worden.

7.1.2

1

Arbeidsvoorwaarden

De contractuele overeenkomst met medewerkers en contractanten behoort hun verantwoordelijkheden voor informatiebeveiliging en die van de organisatie te vermelden.

Secretaris/algemeen directeur

Proceseigenaar

7.1.2.1

1

Alle medewerkers (intern en extern) zijn bij hun aanstelling of functiewisseling gewezen op hun verantwoordelijkheden ten aanzien van informatiebeveiliging. De voor hen geldende regelingen en instructies ten aanzien van informatiebeveiliging zijn eenvoudig toegankelijk.

7.2.1

1

Directieverantwoordelijkheden

De directie behoort van alle medewerkers en contractanten te eisen dat ze informatiebeveiliging toepassen in overeenstemming met de vastgestelde beleidsregels en procedures van de organisatie.

Secretaris/algemeen directeur

7.2.1.1

1

Er is aansluiting bij een klokkenluidersregeling, zodat iedereen anoniem en veilig beveiligingsissues kan melden.

7.2.2

1

Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging

Alle medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.

Secretaris/algemeen directeur

Proceseigenaar

7.2.2.1

1

Alle medewerkers hebben de verantwoordelijkheid bedrijfsinformatie te beschermen. Iedereen kent de regels en verplichtingen met betrekking tot informatiebeveiliging en daar waar relevant de speciale eisen voor gerubriceerde omgevingen.

7.2.2.2

1

Alle medewerkers en contractanten die gebruikmaken van de informatiesystemen en -diensten hebben binnen drie maanden na indiensttreding een training I-bewustzijn succesvol gevolgd.

7.2.2.3

1

Het management benadrukt bij aanstelling en interne overplaatsing en bijvoorbeeld in werkoverleggen of in personeelsgesprekken bij zijn medewerkers en contractanten het belang van opleiding en training op het gebied van informatiebeveiliging en stimuleert hen actief deze periodiek te volgen.

7.2.3

1

Disciplinaire procedure

Er behoort een formele en gecommuniceerde disciplinaire procedure te zijn om actie te ondernemen tegen medewerkers die een inbreuk hebben gepleegd op de informatiebeveiliging.

Secretaris/algemeen directeur

7.3.1

1

Beëindiging of wijziging van verantwoordelijkheden van het dienstverband

Verantwoordelijkheden en taken met betrekking tot informatiebeveiliging die van kracht blijven na beëindiging of wijziging van het dienstverband behoren te worden gedefinieerd, gecommuniceerd aan de medewerker of contractant, en ten uitvoer gebracht.

Secretaris/algemeen directeur

Proceseigenaar

8.1.1

1

Inventariseren van bedrijfsmiddelen

Informatie, andere bedrijfsmiddelen die samenhangen met informatie en informatie verwerkende faciliteiten behoren te worden geïdentificeerd, en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.

Proceseigenaar

Dienstenleverancier

8.1.2

1

Eigendom van bedrijfsmiddelen

Bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden, behoren een eigenaar te hebben.

Proceseigenaar

Dienstenleverancier

8.1.3

1

Aanvaardbaar gebruik van bedrijfsmiddelen

Voor het aanvaardbaar gebruik van informatie en van bedrijfsmiddelen die samenhangen met informatie en informatie verwerkende faciliteiten behoren regels te worden geïdentificeerd, gedocumenteerd en geïmplementeerd.

Secretaris/algemeen directeur

Proceseigenaar

8.1.3.1

1

Alle medewerkers zijn aantoonbaar gewezen op de gedragsregels voor het gebruik van bedrijfsmiddelen.

8.1.3.2

1

De gedragsregels voor het gebruik van bedrijfsmiddelen zijn voor extern personeel in het contract vastgelegd overeenkomstig de huisregels of gedragsregels.

8.1.4

1

Teruggeven van bedrijfsmiddelen

Alle medewerkers en externe gebruikers moeten alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben bij beëindiging van hun dienstverband, contract of overeenkomst terug te geven.

Secretaris

8.2.1

1

Classificatie van informatie

Informatie behoort te worden geclassificeerd met betrekking tot wettelijke eisen, waarde, belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.

Proceseigenaar

8.2.1.1

1

De informatie in alle informatiesystemen is door middel van een expliciete risicoafweging geclassificeerd, zodat duidelijk is welke bescherming nodig is.

8.2.2

1

Informatie labelen

Om informatie te labelen behoort een passende reeks procedures te worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie.

Proceseigenaar

8.2.3

1

Behandelen van bedrijfsmiddelen

Procedures voor het behandelen van bedrijfsmiddelen behoren te worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie.

Proceseigenaar

Dienstenleverancier

8.3.1

1

Beheer van verwijderbare media

Voor het beheren van verwijderbare media behoren procedures te worden geïmplementeerd in overeenstemming met het classificatieschema dat door de organisatie is vastgesteld.

Proceseigenaar

Dienstenleverancier

8.3.1.1

1

Er is een verwijderinstructie waarin is opgenomen dat van verwijderbare media die herbruikbaar zijn en die de organisatie verlaten de onnodige inhoud onherstelbaar verwijderd is (ISO 27002 – implementatierichtlijn 8.3.1.a).

8.3.2

2

Verwijderen van media

Media behoren op een veilige en beveiligde manier te worden verwijderd als ze niet langer nodig zijn, overeenkomstig formele procedures.

Dienstenleverancier

8.3.2.1

2

Media die vertrouwelijke informatie bevatten, zijn opgeslagen op een plek die niet toegankelijk is voor onbevoegden.

8.3.2.2

2

Verwijdering vindt plaats op een veilige manier, bijvoorbeeld door verbranding of versnippering. Verwijdering van alleen gegevens is ook mogelijk door het wissen van de gegevens voordat de media worden gebruikt voor een andere toepassing in de organisatie (ISO 27002 – implementatierichtlijn 8.3.2.a).

8.3.2.3

2

Voor het wissen van alle data op het medium, wordt de data onherstelbaar verwijderd, bijvoorbeeld door minimaal twee keer te overschrijven met vaste data en één keer met random data. Er wordt gecontroleerd of alle data onherstelbaar verwijderd is.

8.3.3

2

Media fysiek overdragen

Media die informatie bevatten, behoren te worden beschermd tegen onbevoegde toegang, misbruik of corruptie tijdens transport.

Secretaris/algemeen directeur

8.3.3.1

2

Er is een vastgestelde procedure voor het fysiek transport van media.

8.3.3.2

2

Het gebruik van koeriers of transporteurs voor transport van op BBN2 of hoger geclassificeerde informatie voldoet aan vooraf opgestelde betrouwbaarheidseisen.

9.1.1

1

Beleid voor toegangsbeveiliging

Een beleid voor toegangsbeveiliging behoort te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfs- en informatiebeveiligingseisen.

Secretaris

9.1.2

1

Toegang tot netwerken en netwerkdiensten

Gebruikers behoren alleen toegang te krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn.

Dienstenleverancier

9.1.2.1

1

Alleen geauthenticeerde apparatuur kan toegang krijgen tot een vertrouwde zone.

9.1.2.2

1

Gebruikers met eigen of ongeauthenticeerde apparatuur (Bring Your Own Device) krijgen alleen toegang tot een onvertrouwde zone.

9.2.1

1

Registratie en afmelden van gebruikers

Een formele registratie- en afmeldingsprocedure behoort te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken.

Proceseigenaar

Dienstenleverancier

9.2.1.1

1

Er is een sluitende formele registratie- en afmeldprocedure voor het beheren van gebruikersidentificaties.

9.2.1.2

1

Het gebruiken van groepsaccounts is niet toegestaan, tenzij dit wordt gemotiveerd en vastgelegd door de proceseigenaar.

9.2.2

1

Gebruikers toegang verlenen

Een formele gebruikerstoegangsverleningsprocedure behoort te worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.

Proceseigenaar Dienstenleverancier

9.2.2.1

1

Er is uitsluitend toegang verleend tot informatiesystemen na autorisatie door een bevoegde functionaris.

9.2.2.2

1

Op basis van een risicoafweging is bepaald waar en op welke wijze functiescheiding wordt toegepast en welke toegangsrechten worden gegeven.

9.2.2.3

2

Er is een actueel mandaatregister of er zijn functieprofielen waaruit blijkt welke personen bevoegdheden hebben voor het verlenen van toegangsrechten.

9.2.3

1

Beheren van speciale toegangsrechten

Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerst.

Proceseigenaar Dienstenleverancier

9.2.3.1

2

De uitgegeven speciale bevoegdheden worden minimaal ieder kwartaal beoordeeld.

9.2.4

1

Beheer van geheime authenticatie-informatie van gebruikers

Het toewijzen van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces.

Dienstenleverancier

9.2.5

1

Beoordeling van toegangsrechten van gebruikers

Eigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen.

Proceseigenaar

Dienstenleverancier

9.2.5.1

1

Alle uitgegeven toegangsrechten worden minimaal eenmaal per jaar beoordeeld.

9.2.5.2

1

De opvolging van bevindingen is gedocumenteerd en wordt behandeld als beveiligingsincident.

9.2.5.3

2

Alle uitgegeven toegangsrechten worden minimaal eenmaal per halfjaar beoordeeld.

9.2.6

1

Toegangsrechten intrekken of aanpassen

De toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatie verwerkende faciliteiten behoren bij beëindiging van hun dienstverband, contract of overeenkomst te worden verwijderd, en bij wijzigingen behoren ze te worden aangepast.

Proceseigenaar

Dienstenleverancier

9.3.1

1

Geheime authenticatie-informatie gebruiken

Van gebruikers behoort te worden verlangd dat zij zich bij het gebruiken van geheime authenticatie-informatie houden aan de praktijk van de organisatie.

Secretaris/algemeen directeur

Dienstenleverancier

9.3.1.1

2

Medewerkers worden ondersteund in het beheren van hun wachtwoorden door het beschikbaar stellen van een wachtwoordenkluis.

9.4.1

1

Beperking toegang tot informatie

Toegang tot informatie en systeemfuncties van toepassingen behoort te worden beperkt in overeenstemming met het beleid voor toegangsbeveiliging.

Proceseigenaar

Dienstenleverancier

9.4.1.1

2

Er zijn maatregelen genomen die het fysiek en/of logisch isoleren van informatie met specifiek belang waarborgen.

9.4.1.2

2

Gebruikers kunnen alleen die informatie met specifiek belang inzien en verwerken die ze nodig hebben voor de uitoefening van hun taak.

9.4.2

1

Beveiligde inlogprocedures

Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure.

Proceseigenaar

Dienstenleverancier

9.4.2.1

1

Als vanuit een onvertrouwde zone toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal two-factor authenticatie.

9.4.2.2

2

Voor het verlenen van toegang tot het netwerk aan externe leveranciers wordt vooraf een risicoafweging gemaakt. De risicoafweging bepaalt onder welke voorwaarden de leveranciers toegang krijgen. Uit een registratie blijkt hoe de rechten zijn toegekend.

9.4.3

1

Systeem voor wachtwoordbeheer

Systemen voor wachtwoordbeheer behoren interactief te zijn en sterke wachtwoorden te waarborgen.

Dienstenleverancier

9.4.3.1

1

Als er geen gebruik wordt gemaakt van two-factor authenticatie, is de wachtwoordlengte minimaal 8 posities en complex van samenstelling. Vanaf een wachtwoordlengte van 20 posities vervalt de complexiteitseis. Het aantal foutieve inlogpogingen is maximaal 10. De tijdsduur dat een account wordt geblokkeerd na overschrijding van het aantal keer foutief inloggen, is vastgelegd.

9.4.3.2

2

In situaties waar geen two-factor authenticatie mogelijk is, wordt minimaal halfjaarlijks het wachtwoord vernieuwd (zie ook 9.4.2.1).

9.4.3.3

2

De eisen aan wachtwoorden moeten geautomatiseerd worden afgedwongen.

9.4.3.4

2

Initiële wachtwoorden en wachtwoorden die gereset zijn, hebben een maximale geldigheidsduur van een werkdag en moeten bij het eerste gebruik worden gewijzigd.

9.4.3.5

2

Wachtwoorden die voldoen aan het wachtwoordbeleid, hebben een maximale geldigheidsduur van een jaar. Daar waar het beleid niet toepasbaar is, geldt een maximale geldigheidsduur van zes maanden.

9.4.4

1

Speciale systeemhulpmiddelen gebruiken

Het gebruik van systeemhulpmiddelen die in staat zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen behoort te worden beperkt en nauwkeurig te worden gecontroleerd.

Dienstenleverancier

9.4.4.1

1

Alleen bevoegd personeel heeft toegang tot systeemhulpmiddelen.

9.4.4.2

2

Het gebruik van systeemhulpmiddelen wordt gelogd. De logging is een halfjaar beschikbaar voor onderzoek.

9.4.5

1

Toegangsbeveiliging op programmabroncode

Toegang tot de programmabroncode behoort te worden beperkt.

Proceseigenaar

Dienstenleverancier

10.1.1

2

Beleid inzake het gebruik van cryptografische beheersmaatregelen

Ter bescherming van informatie behoort een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.

Secretaris

10.1.1.1

2

In het cryptografiebeleid zijn minimaal de volgende onderwerpen uitgewerkt:

• (a)

  Wanneer cryptografie ingezet wordt.

• (b)

  Wie verantwoordelijk is voor de implementatie.

• (c)

  Wie verantwoordelijk is voor het sleutelbeheer.

• (d)

  Welke normen als basis dienen voor cryptografie en de wijze waarop de normen van het Forum worden toegepast.

• (e)

  De wijze waarop het beschermingsniveau vastgesteld wordt.

• (f)

  Bij communicatie tussen organisaties wordt het beleid onderling vastgesteld.

10.1.1.2

2

Cryptografische toepassingen voldoen aan passende standaarden.

10.1.2

1

Sleutelbeheer

Er dient beleid te worden ontwikkeld en geïmplementeerd met betrekking tot het gebruik, de bescherming en de levensduur van cryptografische sleutels welke de gehele levensduur van de cryptografische sleutels omvat.

Dienstenleverancier

10.1.2.1

2

Ingeval van PKIoverheid-certificaten: hanteer de PKIoverheid-eisen ten aanzien van het sleutelbeheer. In overige situaties: hanteer de standaard ISO 11770 voor het beheer van cryptografische sleutels.

10.1.2.2

2

Er zijn (contractuele) afspraken over reservecertificaten van een alternatieve leverancier als uit risicoafweging blijkt dat deze noodzakelijk zijn.

11.1.1

1

Fysieke beveiligingszone

Beveiligingszones behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten.

Secretaris/algemeen directeur

11.1.1.1

1

Er wordt voor het inrichten van beveiligde zones gebruik gemaakt van standaarden.

11.1.2

1

Fysieke toegangsbeveiliging

Beveiligde gebieden behoren te worden beschermd door passende toegangsbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt.

Secretaris/algemeen directeur

11.1.2.1

2

In geval van concrete beveiligingsrisico’s worden waarschuwingen, conform onderlinge afspraken, verzonden aan de relevante collega’s binnen het beveiligingsdomein van de overheid.

11.1.3

1

Kantoren, ruimten en faciliteiten beveiligen

Voor kantoren, ruimten en faciliteiten behoort fysieke beveiliging te worden ontworpen en toegepast.

Proceseigenaar

Dienstenleverancier

11.1.3.1

1

Sleutelbeheer is ingericht op basis van een sleutelplan.

11.1.4

1

Beschermen tegen bedreigingen van buitenaf

Tegen natuurrampen, kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast.

Proceseigenaar

Dienstenleverancier

11.1.4.1

1

De organisatie heeft geïnventariseerd welke papieren archieven en apparatuur bedrijfskritisch zijn. Tegen bedreigingen van buitenaf zijn beveiligingsmaatregelen genomen op basis van een expliciete risicoafweging.

11.1.4.2

1

Bij huisvesting van IT-apparatuur wordt rekening gehouden met de kans op gevolgen van rampen veroorzaakt door de natuur en menselijk handelen.

11.1.5

2

Werken in beveiligde gebieden

Voor het werken in beveiligde gebieden behoren procedures te worden ontwikkeld en toegepast.

Proceseigenaar

Dienstenleverancier

11.1.6

1

Laad- en loslocatie

Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden, behoren te worden beheerst, en zo mogelijk te worden afgeschermd van informatie verwerkende faciliteiten om onbevoegde toegang te vermijden.

Dienstenleverancier

11.2.1

1

Plaatsing en bescherming van apparatuur

Apparatuur behoort zo te worden geplaatst en beschermd dat risico’s van bedreigingen en gevaren van buitenaf, alsook de kans op onbevoegde toegang worden verkleind.

Dienstenleverancier

11.2.2

1

Nutsvoorzieningen

Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen.

Dienstenleverancier

11.2.3

1

Beveiliging van bekabeling

Voedings- en telecommunicatiekabels voor het versturen van gegevens of die informatiediensten ondersteunen, behoren te worden beschermd tegen interceptie, verstoring of schade.

Dienstenleverancier

11.2.4

1

Onderhoud van apparatuur

Apparatuur behoort correct te worden onderhouden om de continue beschikbaarheid en integriteit ervan te waarborgen.

Dienstenleverancier

11.2.5

1

Verwijdering van bedrijfsmiddelen

Apparatuur, informatie en software behoren niet van de locatie te worden meegenomen zonder voorafgaande goedkeuring.

Dienstenleverancier

11.2.6

1

Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein

Bedrijfsmiddelen die zich buiten het terrein bevinden, behoren te worden beveiligd, waarbij rekening behoort te worden gehouden met de verschillende risico’s van werken buiten het terrein van de organisatie.

Dienstenleverancier

11.2.7

1

Veilig verwijderen of hergebruiken van apparatuur

Alle onderdelen van de apparatuur die opslagmedia bevatten, behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.

Dienstenleverancier

Zie overheidsmaatregelen van 8.3.2.

11.2.8

1

Onbeheerde gebruikersapparatuur

Gebruikers moeten ervoor zorgen dat onbeheerde apparatuur voldoende beschermd is.

Proceseigenaar

Dienstenleverancier

11.2.9

1

‘Clear desk’- en ‘clear screen’-beleid

Er behoort een ‘clear desk’-beleid voor papieren documenten en verwijderbare opslagmedia en een ‘clear screen’-beleid voor informatie verwerkende faciliteiten te worden ingesteld.

Secretaris/algemeen directeur

Dienstenleverancier

11.2.9.1

2

Een onbemensde werkplek is altijd vergrendeld.

11.2.9.2

2

Informatie wordt automatisch ontoegankelijk gemaakt met bijvoorbeeld een screensaver na een inactiviteit van maximaal 15 minuten.

11.2.9.3

2

Sessies op remote desktops worden op het remote platform vergrendeld na een vastgestelde periode.

11.2.9.4

2

Het overnemen van sessies op remote werkplekken op een andere werkplek is alleen mogelijk via dezelfde beveiligde loginprocedure als waarmee de sessie is gecreëerd. Na een expliciete risicoafweging mag hiervan worden afgeweken.

11.2.9.5

2

Bij het gebruik van een chipcardtoken voor toegang tot systemen wordt bij het verwijderen van het token de toegangsbeveiligingslock automatisch geactiveerd.

12.1.1

1

Gedocumenteerde bedieningsprocedures

Bedieningsprocedures behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan alle gebruikers die ze nodig hebben.

Proceseigenaar

Dienstenleverancier

12.1.2

1

Wijzigingsbeheer

Veranderingen in de organisatie, bedrijfsprocessen, informatie verwerkende faciliteiten en systemen die van invloed zijn op de informatiebeveiliging behoren te worden beheerst.

Proceseigenaar

Dienstenleverancier 

12.1.2.1

1

In de procedure voor wijzigingenbeheer is minimaal aandacht besteed aan:

• (a)

  het administreren van wijzigingen;

• (b)

  risicoafweging van mogelijke gevolgen van de wijzigingen;

• (c)

  goedkeuringsprocedure voor wijzigingen.

12.1.3

1

Capaciteitsbeheer

Het gebruik van middelen behoort te worden gemonitord en afgestemd, en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen om de vereiste systeemprestaties te waarborgen.

Dienstenleverancier

12.1.4

1

Scheiding van ontwikkel-, test- en productieomgevingen

Ontwikkel-, test- en productieomgevingen behoren te worden gescheiden om het risico van onbevoegde toegang tot of veranderingen aan de productieomgeving te verlagen.

Proceseigenaar

Dienstenleverancier 

12.1.4.1

2

In de productieomgeving wordt niet getest. Alleen met voorafgaande goedkeuring door de proceseigenaar en schriftelijke vastlegging hiervan, kan hiervan worden afgeweken.

12.1.4.2

2

Wijzigingen in de productieomgeving worden altijd getest voordat zij in productie gebracht worden. Alleen met voorafgaande goedkeuring door de proceseigenaar en schriftelijke vastlegging hiervan, kan hiervan worden afgeweken.

12.2.1

1

Beheersmaatregelen tegen malware

Ter bescherming tegen malware behoren beheersmaatregelen voor detectie, preventie en herstel te worden geïmplementeerd, in combinatie met een passend bewustzijn van gebruikers.

Secretaris/algemeen directeur

Dienstenleverancier 

12.2.1.1

1

Het downloaden van bestanden is beheerst en beperkt op basis van risico en need-of-use.

12.2.1.2

1

Gebruikers zijn voorgelicht over de risico’s ten aanzien van surfgedrag en het klikken op onbekende links.

12.2.1.3

1

De gebruikte antimalwaresoftware en bijbehorende herstelsoftware is actueel en wordt ondersteund door periodieke updates.

12.2.1.4

1

Computers en media worden als voorzorgsmaatregel routinematig gescand. De uitgevoerde scan behoort te omvatten:

• (a)

  Alle bestanden die via netwerken of via elke vorm van opslagmedium zijn ontvangen, vóór gebruik op malware scannen.

• (b)

  Bijlagen en downloads vóór gebruik.

12.2.1.5

1

De malwarescan wordt op verschillende omgevingen uitgevoerd, bijvoorbeeld op mailservers, desktopcomputers en bij de toegang tot het netwerk van de organisatie.

12.3.1

1

Back-up van informatie

Regelmatig behoren back-upkopieën van informatie, software en systeemafbeeldingen te worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid.

Proceseigenaar

Dienstenleverancier 

12.3.1.1

1

Er is een back-upbeleid waarin de eisen voor het bewaren en beschermen zijn gedefinieerd en vastgesteld

12.3.1.2

1

Op basis van een expliciete risicoafweging is bepaald wat het maximaal toegestane dataverlies is en wat de maximale hersteltijd is na een incident.

12.3.1.3

2

In het back-upbeleid staan minimaal de volgende eisen:

• (a)

  Dataverlies bedraagt maximaal 28 uur.

• (b)

  Hersteltijd in geval van incidenten is maximaal 16 werkuren (twee dagen van 8 uur) in 85% van de gevallen.

12.3.1.4

2

Het back-upproces voorziet in opslag van de back-up op een locatie, waarbij een incident op de ene locatie niet kan leiden tot schade op de andere.

12.3.1.5

2

De restore procedure wordt minimaal jaarlijks getest of na een grote wijziging om de goede werking te waarborgen als deze in noodgevallen uitgevoerd moet worden.

12.4.1

1

Gebeurtenissen registreren

Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en

informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.

Proceseigenaar

Dienstenleverancier 

12.4.1.1

1

Een logregel bevat minimaal:

• (a)

  de gebeurtenis;

• (b)

  de benodigde informatie die nodig is om het incident met hoge mate van zekerheid te herleiden tot een natuurlijk persoon;

• (c)

  het gebruikte apparaat;

• (d)

  het resultaat van de handeling;

• (e)

  een datum en tijdstip van de gebeurtenis.

12.4.1.2

1

Een logregel bevat in geen geval gegevens die tot het doorbreken van de beveiliging kunnen leiden.

12.4.1.3

2

De informatieverwerkende omgeving wordt gemonitord door een SIEM en/of SOC middels detectie-voorzieningen, zoals het Nationaal Detectie Netwerk (alleen voor rijksoverheidsorganisaties). Deze worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van de te beschermen gegevens en informatiesystemen, zodat aanvallen kunnen worden gedetecteerd.

12.4.1.4

2

Bij ontdekte nieuwe dreigingen (aanvallen) via 12.4.1.3 worden deze binnen geldende juridische kaders verplicht gedeeld binnen de overheid, waaronder met het NCSC (alleen voor rijksoverheidsorganisaties) of via de sectorale CERT (voor andere overheidsorganisaties), middels (bij voorkeur geautomatiseerde) threat intelligence sharing mechanismen.

12.4.1.5

2

De SIEM en/of SOC hebben heldere regels over wanneer een incident moet worden gerapporteerd aan het verantwoordelijk management.

12.4.2

1

Beschermen van informatie in logbestanden

Logfaciliteiten en informatie in logbestanden behoren te worden beschermd tegen vervalsing en onbevoegde toegang.

Dienstenleverancier 

12.4.2.1

1

Er is een overzicht van logbestanden die worden gegenereerd.

12.4.2.2

1

Ten behoeve van de loganalyse is op basis van een expliciete risicoafweging de bewaarperiode van de logging bepaald. Binnen deze periode is de beschikbaarheid van de loginformatie gewaarborgd.

12.4.2.3

2

Er is een (onafhankelijke) interne audit procedure die minimaal half jaarlijks toetst op het ongewijzigd bestaan van logbestanden.

12.4.2.4

2

Oneigenlijk wijzigen of verwijderen van loggegevens of pogingen daartoe worden zo snel mogelijk gemeld als beveiligingsincident via de procedure voor informatiebeveiligingsincidenten conform hoofdstuk 16.

12.4.3

1

Logbestanden van beheerders en operators

Activiteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld.

Dienstenleverancier 

12.4.4

1

Kloksynchronisatie

De klokken van alle relevante informatie verwerkende systemen binnen een organisatie of beveiligingsdomein behoren te worden gesynchroniseerd met één referentietijdbron.

Dienstenleverancier 

12.5.1

1

Software installeren op operationele systemen

Om het op operationele systemen installeren van software te beheersen behoren procedures te worden geïmplementeerd.

Dienstenleverancier 

12.6.1

1

Beheer van technische kwetsbaarheden

Informatie over technische kwetsbaarheden van informatiesystemen die worden gebruikt behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden te worden geëvalueerd en passende maatregelen te worden genomen om het risico dat ermee samenhangt aan te pakken.

Dienstenleverancier 

12.6.1.1

1

Als de kans op misbruik en de verwachte schade beide hoog zijn (NCSC-classificatie kwetsbaarheidswaarschuwingen), worden patches zo snel mogelijk, maar uiterlijk binnen een week geïnstalleerd. In de tussentijd worden op basis van een expliciete risicoafweging mitigerende maatregelen getroffen.

12.6.2

1

Beperkingen voor het installeren van software

Voor het door gebruikers installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd.

Dienstenleverancier 

12.6.2.1

2

Gebruikers kunnen op hun werkomgeving niets zelf installeren, anders dan wat via de ICT-leverancier wordt aangeboden of wordt toegestaan (whitelist).

12.7.1

1

Beheersmaatregelen betreffende audits van informatiesystemen

Auditeisen en -activiteiten die verificatie van uitvoeringssystemen met zich meebrengen, behoren zorgvuldig te worden gepland en afgestemd om bedrijfsprocessen zo min mogelijk te verstoren.

Proceseigenaar

Dienstenleverancier 

13.1.1

1

Beheersmaatregelen voor netwerken

Netwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen.

Dienstenleverancier 

13.1.2

1

Beveiliging van netwerkdiensten

Beveiligingsmechanismen, dienstverleningsniveaus en beheer eisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten.

Dienstenleverancier 

13.1.2.1

2

Het dataverkeer dat de organisatie binnenkomt of uitgaat wordt bewaakt / geanalyseerd op kwaadaardige elementen middels detectievoorzieningen (zoals beschreven in de richtlijn voor implementatie van detectieoplossingen), zoals het Nationaal Detectie Netwerk (alleen voor rijksoverheidsorganisaties) of GDI, die worden ingezet op basis van een risico-inschatting, mede aan de hand van de aard van de te beschermen gegevens en informatiesystemen.

13.1.2.2

2

Bij ontdekte nieuwe dreigingen vanuit 13.1.2.1 worden deze, rekening houdend met de geldende juridische kaders, verplicht gedeeld binnen de overheid, waaronder met het NCSC (alleen voor rijksoverheidsorganisaties) of de sectorale CERT, bij voorkeur door geautomatiseerde mechanismen (threat intelligence sharing).

13.1.2.3

2

Bij draadloze verbindingen zoals wifi en bij bedrade verbindingen buiten het gecontroleerd gebied wordt gebruik gemaakt van encryptiemiddelen waarvoor het NBV een positief inzetadvies heeft afgegeven.

13.1.2.4

1

In koppelpunten met externe of onvertrouwde zones zijn maatregelen getroffen om mogelijke aanvallen die de beschikbaarheid van de informatievoorziening negatief beïnvloeden (bijvoorbeeld DDoS-aanvallen, Distributed Denial of Service attacks) te signaleren en hierop te reageren.

13.1.3

1

Scheiding in netwerken

Groepen van informatiediensten, -gebruikers en -systemen behoren in netwerken te worden gescheiden.

Dienstenleverancier 

13.1.3.1

2

Alle gescheiden groepen hebben een gedefinieerd beveiligingsniveau.

13.2.1

1

Beleid en procedures voor informatietransport

Ter bescherming van het informatietransport, dat via alle soorten communicatiefaciliteiten verloopt, behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn.

Secretaris/algemeen directeur

13.2.2

1

Overeenkomsten over informatietransport

Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.

Proceseigenaar

Dienstenleverancier

13.2.3

1

Elektronische berichten

Informatie die is opgenomen in elektronische berichten behoord passend te zijn beschermd.

Dienstenleverancier 

13.2.3.1

1

Voor de beveiliging van elektronische (e-mail)berichten gelden de vastgestelde open standaarden tegen phishing en afluisteren op de ‘pas toe of leg uit’-lijst van het Forum. Voor beveiliging van websiteverkeer gelden de open standaarden tegen afluisteren op de ‘pas toe of leg uit’-lijst van het Forum.

13.2.3.2

2

Voor veilige berichtenuitwisseling met basisregistraties wordt, conform de ‘pas toe of leg uit’-lijst van het Forum, gebruik gemaakt van de actuele versie van Digikoppeling.

13.2.3.3

2

Maak gebruik van PKIoverheid-certificaten bij web- en mailverkeer van gevoelige gegevens. Gevoelige gegevens zijn onder andere digitale documenten binnen de overheid waar gebruikers rechten aan kunnen ontlenen.

13.2.3.4

2

Om zekerheid te bieden over de integriteit van het elektronische bericht, wordt voor elektronische handtekeningen gebruik gemaakt van de AdES Baseline Profile standaard.

13.2.4

1

Vertrouwelijkheids- of geheimhoudingsovereenkomst

Eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen, behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd.

Secretaris/algemeen directeur

Proceseigenaar

Dienstenleverancier

14.1.1

1

Analyse en specificatie van informatiebeveiligingseisen

De eisen die verband houden met informatiebeveiliging behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen of voor uitbreidingen van bestaande informatiesystemen.

Proceseigenaar 

14.1.1.1

1

Bij nieuwe informatiesystemen en bij wijzigingen op bestaande informatiesystemen moet een expliciete risicoafweging worden uitgevoerd ten behoeve van het vaststellen van de beveiligingseisen, uitgaande van de BIO.

14.1.2

1

Toepassingen op openbare netwerken beveiligen

Informatie die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging.

Dienstenleverancier 

Zie overheidsmaatregel 13.2.3.3.

14.1.3

1

Transacties van toepassingen beschermen

Informatie die deel uitmaakt van transacties van toepassingen behoort te worden beschermd ter voorkoming van onvolledige overdracht, foutieve routering, onbevoegd wijzigen van berichten, onbevoegd openbaar maken, onbevoegd vermenigvuldigen of afspelen.

Dienstenleverancier 

Zie overheidsmaatregel 13.2.3.3.

14.2.1

1

Beleid voor beveiligd ontwikkelen

Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.

Secretaris/algemeen directeur

Proceseigenaar 

14.2.1.1

1

De gangbare principes rondom ‘security by design’ zijn uitgangspunt voor de ontwikkeling van software en systemen.

14.2.2

1

Procedures voor wijzigingsbeheer met betrekking tot systemen

Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer.

Proceseigenaar

Dienstenleverancier

14.2.2.1

1

Wijzigingsbeheer vindt plaats op basis van een algemeen geaccepteerd beheerframework.

14.2.3

2

Technische beoordeling van toepassingen na wijzigingen besturingsplatform

Als besturingsplatforms zijn veranderd, behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact is op de activiteiten of de beveiliging van de organisatie.

Dienstenleverancier

14.2.4

-

Vervallen

-

14.2.5

1

Principes voor engineering van beveiligde systemen

Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.

Dienstenleverancier 

14.2.5.1

1

Zie overheidsmaatregel 14.2.1.1

14.2.6

1

Beveiligde ontwikkelomgeving

Organisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie, die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling.

Dienstenleverancier 

14.2.6.1

1

Systeemontwikkelomgevingen worden passend beveiligd op basis van een expliciete risicoafweging

14.2.7

1

Uitbestede softwareontwikkeling

Uitbestede systeemontwikkeling behoort onder supervisie te staan van en te worden gemonitord door de organisatie.

Proceseigenaar 

14.2.7.1

1

Een voorwaarde voor uitbestedingstrajecten is een expliciete risicoafweging. De noodzakelijke beveiligingsmaatregelen die daaruit volgen worden aan de leverancier opgelegd.

14.2.8

1

Testen van systeembeveiliging

Tijdens ontwikkelactiviteiten behoort de beveiligingsfunctionaliteit te worden getest.

Dienstenleverancier

14.2.9

1

Systeemacceptatietests

Voor nieuwe informatiesystemen, upgrades en nieuwe versies behoren programma’s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld.

Proceseigenaar

Dienstenleverancier

14.2.9.1

1

Voor acceptatietesten van systemen worden gestructureerde testmethodieken gebruikt. De testen worden bij voorkeur geautomatiseerd uitgevoerd.

14.2.9.2

1

Van de resultaten van de testen wordt verslag gemaakt.

14.3.1

2

Bescherming van testgegevens

Testgegevens behoren zorgvuldig te worden gekozen, beschermd en gecontroleerd.

Proceseigenaar

Dienstenleverancier

15.1.1

1

Informatiebeveiligingsbeleid voor leveranciersrelaties

Met de leverancier behoren de informatiebeveiligingseisen om risico’s te verlagen die verband houden met de toegang van de leverancier tot de bedrijfsmiddelen van de organisatie, te worden overeengekomen en gedocumenteerd.

Secretaris/algemeen directeur

Proceseigenaar

15.1.1.1

1

Bij offerteaanvragen waar informatie(voorziening) een rol speelt, worden eisen ten aanzien van informatiebeveiliging (beschikbaarheid, integriteit en vertrouwelijkheid) benoemd. Deze eisen zijn gebaseerd op een expliciete risicoafweging.

15.1.1.2

2

Op basis van een expliciete risicoafweging worden de beheersmaatregelen met betrekking tot leverancierstoegang tot bedrijfsinformatie vastgesteld.

15.1.1.3

2

Met alle leveranciers die als verwerker voor of namens de organisatie persoonsgegevens verwerken, worden verwerkersovereenkomsten gesloten waarin alle wettelijk vereiste afspraken zijn vastgesteld.

15.1.2

1

Opnemen van beveiligingsaspecten in leveranciersovereenkomsten

Alle relevante informatiebeveiligingseisen behoren te worden vastgesteld en overeengekomen met elke leverancier die toegang heeft tot IT-infrastructuurelementen ten behoeve van de informatie van de organisatie, of deze verwerkt, opslaat, communiceert of biedt.

Proceseigenaar

Dienstenleverancier

15.1.2.1

1

De beveiligingseisen uit de offerteaanvraag worden expliciet opgenomen in de (inkoop)contracten waar informatie een rol speelt.

15.1.2.2

1

In de inkoopcontracten worden expliciet prestatie-indicatoren en de bijbehorende verantwoordingsrapportages opgenomen.

15.1.2.3

1

In situaties waarin contractvoorwaarden worden opgelegd door leveranciers, is voorafgaand aan het tekenen van het contract met een risicoafweging helder gemaakt wat de consequenties hiervan zijn voor de organisatie. Expliciet is gemaakt welke consequenties geaccepteerd worden en welke gemitigeerd moeten zijn bij het aangaan van de overeenkomst.

15.1.2.4

1

Ter waarborging van vertrouwelijkheid of geheimhouding worden bij IT-inkopen standaardvoorwaarden voor inkoop gehanteerd.

15.1.2.5

2

Voordat een contract wordt afgesloten, wordt in een risicoafweging bepaald of de afhankelijkheid van een leverancier beheersbaar is. Een vast onderdeel van het contract is een expliciete uitwerking van de exit-strategie.

15.1.2.6

2

In inkoopcontracten wordt expliciet de mogelijkheid van een externe audit opgenomen waarmee de betrouwbaarheid van de geleverde dienst kan worden getoetst. Een audit is niet nodig als de contractant door middel van certificering aantoont dat de gewenste betrouwbaarheid van de dienst is geborgd.

15.1.3

1

Toeleveringsketen van informatie- en communicatietechnologie

Overeenkomsten met leveranciers behoren eisen te bevatten die betrekking hebben op de informatiebeveiligingsrisico’s in verband met de toeleveringsketen van de diensten en producten op het gebied van informatie- en communicatietechnologie.

Proceseigenaar

Dienstenleverancier

15.1.3.1

2

Leveranciers moeten hun keten van toeleveranciers bekendmaken en transparant zijn over de maatregelen die zij genomen hebben om de aan hen opgelegde eisen ook door te vertalen naar hun toeleveranciers.

15.2.1

1

Monitoring en beoordeling van dienstverlening van leveranciers

Organisaties behoren regelmatig de dienstverlening van leveranciers te monitoren, te beoordelen en te auditen.

Proceseigenaar

15.2.1.1

2

Jaarlijks wordt de prestatie van leveranciers op het gebied van informatiebeveiliging beoordeeld op vooraf vastgestelde prestatie-indicatoren, zoals in het contract opgenomen is.

15.2.2

2

Beheer van veranderingen in dienstverlening van leveranciers

Veranderingen in de dienstverlening van leveranciers, met inbegrip van handhaving en verbetering van bestaande beleidslijnen, procedures en beheersmaatregelen voor informatiebeveiliging, behoren te worden, beheerd, rekening houdend met de kritikaliteit van bedrijfsinformatie, betrokken systemen en processen en herbeoordeling van risico’s.

Proceseigenaar

16.1.1

1

Verantwoordelijkheden en procedures

Directieverantwoordelijkheden en -procedures behoren te worden vastgesteld om een snelle, doeltreffende en ordelijke respons op informatiebeveiligingsincidenten te bewerkstelligen.

Secretaris/algemeen directeur

Proceseigenaar

16.1.2

1

Rapportage van informatiebeveiligingsgebeurtenissen

Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd.

Secretaris/algemeen directeur

Proceseigenaar

Dienstenleverancier

16.1.2.1

1

Er is een meldloket waar beveiligingsincidenten kunnen worden gemeld.

16.1.2.2

1

Er is een meldprocedure waarin de taken en verantwoordelijkheden van het meldloket staan beschreven.

16.1.2.3

1

Alle medewerkers en contractanten hebben aantoonbaar kennisgenomen van de meldingsprocedure van incidenten.

16.1.2.4

1

Incidenten worden zo snel mogelijk, maar in ieder geval binnen 24 uur na bekendwording, intern gemeld.

16.1.2.5

1

De proceseigenaar is verantwoordelijk voor het oplossen van beveiligingsincidenten.

16.1.2.6

1

De opvolging van incidenten wordt maandelijks gerapporteerd aan de verantwoordelijke.

16.1.2.7

1

Informatie afkomstig uit de Coordinated Vulnerability Disclosure (CVD) procedure is onderdeel van de incidentrapportage48.

16.1.3

1

Rapportage van zwakke plekken in de informatiebeveiliging

Van medewerkers en contractanten die gebruikmaken van de informatiesystemen en -diensten van de organisatie behoort te worden geëist dat zij de in systemen of diensten waargenomen of vermeende zwakke plekken in de informatiebeveiliging registreren en rapporteren.

Proceseigenaar

Dienstenleverancier

Zie overheidsmaatregel 16.1.2.4

16.1.3.1

1

Een Coordinated Vulnerability Disclosure (CVD) procedure is gepubliceerd en ingericht49​.

16.1.4

1

Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen

Informatiebeveiligingsgebeurtenissen behoren te worden beoordeeld en er behoort te worden geoordeeld of zij moeten worden geclassificeerd als informatiebeveiligingsincidenten.

Proceseigenaar

Dienstenleverancier

16.1.4.1

2

Informatiebeveiligingsincidenten die hebben geleid tot een vermoedelijk of mogelijk opzettelijke inbreuk op de beschikbaarheid, vertrouwelijkheid of integriteit van informatieverwerkende systemen, behoren zo snel mogelijk (binnen 72 uur) al dan niet geautomatiseerd te worden gemeld aan het NCSC (alleen voor rijksoverheidsorganisaties) of de sectorale CERT.

16.1.5

1

Respons op informatiebeveiligingsincidenten

Op informatiebeveiligingsincidenten behoort te worden gereageerd in overeenstemming met de gedocumenteerde procedures.

Proceseigenaar

Dienstenleverancier

16.1.6

2

Lering uit informatiebeveiligingsincidenten

Kennis die is verkregen door informatiebeveiligingsincidenten te analyseren en op te lossen behoort te worden gebruikt om de waarschijnlijkheid of impact van toekomstige incidenten te verkleinen.

Secretaris/algemeen directeur

Proceseigenaar

Dienstenleverancier

16.1.6.1

2

Beveiligingsincidenten worden geanalyseerd met als doel te leren en toekomstige beveiligingsincidenten te voorkomen.

16.1.6.2

2

De analyses van de beveiligingsincidenten worden gedeeld met de relevante partners om herhaling en toekomstige incidenten te voorkomen.

16.1.7

2

Verzamelen van bewijsmateriaal

De organisatie behoort procedures te definiëren en toe te passen voor het identificeren, verzamelen, verkrijgen en bewaren van informatie die als bewijs kan dienen.

Secretaris/algemeen directeur

Proceseigenaar

Dienstenleverancier

16.1.7.1

2

In geval van een (vermoed) informatiebeveiligingsincident is de bewaartermijn van de gelogde incidentinformatie minimaal drie jaar.

17.1.1

1

Informatiebeveiligingscontinuïteit plannen

De organisatie behoort haar eisen voor informatiebeveiliging en voor de continuïteit van het informatiebeveiligingsbeheer in ongunstige situaties, bijv. een crisis of een ramp, vast te stellen.

Secretaris/algemeen directeur

Proceseigenaar

17.1.2

1

Informatiebeveiligingscontinuïteit implementeren

De organisatie behoort processen, procedures en beheersmaatregelen vast te stellen, te documenteren, te implementeren en te handhaven om het vereiste niveau van continuïteit voor informatiebeveiliging tijdens een ongunstige situatie te waarborgen.

Proceseigenaar

Dienstenleverancier

17.1.3

1

Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren

De organisatie behoort de ten behoeve van informatiebeveiligingscontinuïteit vastgestelde en geïmplementeerde beheersmaatregelen regelmatig te verifiëren om te waarborgen dat ze deugdelijk en doeltreffend zijn tijdens ongunstige situaties.

Proceseigenaar

Dienstenleverancier

17.1.3.1

2

Continuïteitsplannen worden jaarlijks getest op geldigheid en bruikbaarheid.

17.1.3.2

2

Door het uitvoeren van een expliciete risicoafweging worden de bedrijfskritische procesonderdelen met hun bijbehorende betrouwbaarheidseisen geïdentificeerd.

17.1.3.3

2

De dienstverlening van de bedrijfskritische onderdelen wordt bij calamiteiten uiterlijk binnen een week hersteld.

17.2.1

1

Beschikbaarheid van informatie verwerkende faciliteiten

Informatie verwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen.

Dienstenleverancier

18.1.1

1

Vaststellen van toepasselijke wetgeving en contractuele eisen

Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de organisatie om aan deze eisen te voldoen behoren voor elk informatiesysteem en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.

Secretaris/algemeen directeur

Proceseigenaar

Dienstenleverancier

18.1.2

1

Intellectuele-eigendomsrechten

Om de naleving van wettelijke, regelgevende en contractuele eisen in verband met intellectuele eigendomsrechten en het gebruik van eigendomssoftwareproducten te waarborgen behoren passende procedures te worden geïmplementeerd.

Secretaris/algemeen directeur

Proceseigenaar

Dienstenleverancier

18.1.3

2

Beschermen van registraties

Registraties behoren in overeenstemming met wettelijke, regelgevende, contractuele en bedrijfseisen te worden beschermd tegen verlies, vernietiging, vervalsing, onbevoegde toegang en onbevoegde vrijgave.

Proceseigenaar

Dienstenleverancier

18.1.3.1

2

De proceseigenaar heeft per soort informatie inzichtelijk gemaakt wat de bewaartermijn is.

18.1.4

1

Privacy en bescherming van persoonsgegevens

Privacy en bescherming van persoonsgegevens behoren, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving.

Secretaris/algemeen directeur

Proceseigenaar

Dienstenleverancier

18.1.4.1

1

In overeenstemming met de AVG heeft iedere organisatie een Functionaris Gegevensbescherming (FG) met voldoende mandaat om zijn/haar functie uit te voeren.

18.1.4.2

2

Organisaties controleren regelmatig de naleving van de privacyregels en informatieverwerking en -procedures binnen hun verantwoordelijkheidsgebied aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging.

Zie overheidsmaatregel 14.2.6.1

18.1.5

1

Voorschriften voor het gebruik van cryptografische beheersmaatregelen

Cryptografische beheersmaatregelen behoren te worden toegepast in overeenstemming met alle relevante overeenkomsten, wet- en regelgeving.

Secretaris/algemeen directeur

18.1.5.1

1

Cryptografische beheersmaatregelen moeten expliciet aansluiten bij de standaarden op de ‘pas toe of leg uit’-lijst van het Forum.

Zie overheidsmaatregel 10.1.1.1

18.2.1

1

Onafhankelijke beoordeling van informatiebeveiliging

De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan (bijv. beheerdoelstellingen, beheersmaatregelen, beleidsregels, processen en procedures voor informatiebeveiliging), behoren onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen te worden beoordeeld.

Secretaris/algemeen directeur

Proceseigenaar

Dienstenleverancier

18.2.1.1

2

Er is een information security management system (ISMS) waarmee aantoonbaar de gehele Plan-Do-Check-Act cyclus op gestructureerde wijze wordt afgedekt.

18.2.1.2

2

Er is een vastgesteld auditplan waarin jaarlijks keuzes worden gemaakt voor welke systemen welk soort beveiligingsaudits worden uitgevoerd.

18.2.2

1

Naleving van beveiligingsbeleid en -normen

De directie behoort regelmatig de naleving van de informatieverwerking en - procedures binnen haar verantwoordelijkheidsgebied te beoordelen aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging.

Secretaris/algemeen directeur

Proceseigenaar

Dienstenleverancier

18.2.2.1

1

In de P&C-cyclus wordt gerapporteerd over informatiebeveiliging, resulterend in een jaarlijks af te geven In Control Verklaring (ICV) over de informatiebeveiliging. Indien voldoende herkenbaar kan de ICV voor informatiebeveiliging onderdeel zijn van de reguliere, generieke verantwoording.

18.2.3

1

Beoordeling van technische naleving

Informatiesystemen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor informatiebeveiliging.

Proceseigenaar

Dienstenleverancier

18.2.3.1

2

Informatiesystemen worden jaarlijks gecontroleerd op technische naleving van beveiligingsnormen en risico’s ten aanzien van de feitelijke veiligheid. Dit kan bijvoorbeeld door (geautomatiseerde) kwetsbaarheidsanalyses of penetratietesten.

BBN1:

beschikbaarheid

=

Laag

integriteit

=

Laag

vertrouwelijkheid

=

Laag

BBN2:

beschikbaarheid

=

Midden

integriteit

=

Midden

vertrouwelijkheid

=

Midden

BBN3:

beschikbaarheid

=

Midden

integriteit

=

Midden

vertrouwelijkheid

=

Hoog

BBN1

Beschikbaarheid = Laag

Het informatiesysteem mag incidenteel uitvallen voor maximaal twee weken (ook in piekperiodes) en dit heeft nauwelijks of geen gevolgen voor burgers/gebruikers. Uitval kan leiden tot beperkte schade, bijvoorbeeld:

• -

  financiële gevolgen; op te vangen binnen de vastgestelde ruimte binnen de begroting van de organisatie of uitvoeringsorganisatie; leidt nog niet tot het niet krijgen van een accountantsverklaring;

• -

  beperkt verlies van management control;

• -

  irritatie en ongemak bij burgers geventileerd in de media;

• -

  interne negatieve publiciteit (imagoschade).

Deze gevolgen worden als volgt gekwantificeerd:

• -

  Kantoorautomatisering en organisatiespecifieke systemen hebben tijdens openingstijden een beschikbaarheid van minimaal 98% op maandbasis ook in piekperiodes.

• -

  Maximaal dataverlies 28 uur.

• -

  Maximale hersteltijd in geval van incidenten is binnen 40 werkuren (vijf werkdagen van 8 uur) in 85% van de gevallen.

Integriteit = Laag

Er zijn geen bijzondere maatregelen noodzakelijk om de juistheid, tijdigheid en volledigheid van informatie te waarborgen50. Het verlies van integriteit kan leiden tot beperkte schade, bijvoorbeeld:

• -

  financiële gevolgen; op te vangen binnen de vastgestelde ruimte binnen de begroting van de organisatie of uitvoeringsorganisatie; leidt nog niet tot het niet krijgen van een accountantsverklaring;

• -

  beperkt verlies van management control;

• -

  irritatie en ongemak bij burgers geventileerd in de media;

• -

  interne negatieve publiciteit (imagoschade).

Vertrouwelijkheid = Laag

Kennisname van informatie door ongeautoriseerden (buitenstaanders) is niet gewenst, maar leidt niet tot schade van enige omvang. Het gaat hier om ongerubriceerde informatie. Het openbaar worden van deze informatie kan leiden tot:

• -

  financiële gevolgen: op te vangen binnen de begroting van de organisatie of uitvoeringsorganisatie;

• -

  irritatie en ongemak bij burgers geventileerd in de media;

• -

  interne negatieve publiciteit (imagoschade).

BBN2

Beschikbaarheid = Midden

Het informatiesysteem mag beperkt korte tijd uitvallen voor maximaal één week (ook in piekperiodes) en dit heeft voelbare gevolgen voor burgers/gebruikers. Uitval kan leiden tot beperkte schade, bijvoorbeeld:

• -

  politieke schade aan een bestuurder: bestuurder moet zich verantwoorden naar aanleiding van verantwoordingsvragen;

• -

  diplomatieke schade te herstellen door ambtelijke opschaling;

• -

  financiële gevolgen: niet meer op te vangen binnen de vastgestelde ruimte binnen de begroting van de (uitvoerings)organisatie; geen accountantsverklaring afgegeven;

• -

  belangrijk verlies van management control;

• -

  verlies van publiek respect; klachten van burgers;

• -

  organisatiebrede negatieve publiciteit (imagoschade) of significant verlies van motivatie van medewerkers.

De beschikbaarheid wordt als volgt gekwantificeerd:

• -

  Kantoorautomatisering en organisatiespecifieke systemen hebben tijdens openingstijden een beschikbaarheid van minimaal 98% op maandbasis ook in piekperiodes.

• -

  Maximaal dataverlies 24 uur.

• -

  Maximale hersteltijd in geval van incidenten is binnen 16 werkuren (twee dagen van 8 uur).

Integriteit = Midden

Er zijn passende maatregelen noodzakelijk om de juistheid, tijdigheid en volledigheid (VIR-definitie) te waarborgen. Het verlies van integriteit kan leiden tot forse schade, bijvoorbeeld:

• -

  politieke schade aan een bestuurder: bestuurder moet zich verantwoorden naar aanleiding van verantwoordingsvragen;

• -

  diplomatieke schade te herstellen door ambtelijke opschaling;

• -

  financiële gevolgen: niet meer op te vangen binnen de vastgestelde ruimte binnen de begroting van de (uitvoerings)organisatie; geen accountantsverklaring afgegeven;

• -

  belangrijk verlies van management control;

• -

  verlies van publiek respect; klachten van burgers;

• -

  organisatiebrede negatieve publiciteit (imagoschade) of significant verlies van motivatie van medewerkers.

Vertrouwelijkheid = Midden

Bescherming van gegevens en andere te beschermen belangen in de processen van de overheid, waar onder andere vertrouwelijkheid aan de orde is, omdat het om gevoelige informatie gaat.

Het openbaar worden van de gegevens kan leiden tot:

• -

  politieke schade aan een bestuurder: bestuurder moet zich verantwoorden naar aanleiding van verantwoordingsvragen;

• -

  diplomatieke schade te herstellen door ambtelijke opschaling;

• -

  financiële gevolgen: niet meer op te vangen binnen de begroting van de (uitvoerings)organisatie; geen accountantsverklaring afgegeven;

• -

  verlies van publiek respect; klachten van burgers of significant verlies van motivatie van medewerkers;

• -

  bindende aanwijzing van de AP in verband met schending van de privacy;

• -

  directe imagoschade, bijvoorbeeld door negatieve publiciteit.

BBN3

Beschikbaarheid = Midden

Het informatiesysteem mag beperkt korte tijd uitvallen voor maximaal één week (ook in piekperiodes) en dit heeft voelbare gevolgen voor burgers/gebruikers. Uitval kan leiden tot beperkte schade, bijvoorbeeld:

• -

  politieke schade aan een bestuurder: bestuurder moet zich verantwoorden naar aanleiding van verantwoordingsvragen;

• -

  diplomatieke schade te herstellen door ambtelijke opschaling;

• -

  financiële gevolgen: niet meer op te vangen binnen de vastgestelde ruimte binnen de begroting van de (uitvoerings)organisatie; geen accountantsverklaring afgegeven;

• -

  belangrijk verlies van management control;

• -

  verlies van publiek respect; klachten van burgers;

• -

  organisatiebrede negatieve publiciteit (imagoschade) of significant verlies van motivatie van medewerkers.

De beschikbaarheid wordt als volgt gekwantificeerd:

• -

  Kantoorautomatisering en organisatiespecifieke systemen hebben tijdens openingstijden een beschikbaarheid van minimaal 98% op maandbasis ook in piekperiodes.

• -

  Maximaal dataverlies 24 uur.

• -

  Maximale hersteltijd in geval van incidenten is binnen 16 werkuren (twee dagen van 8 uur).

Integriteit = Midden

Er zijn passende maatregelen noodzakelijk om de juistheid, tijdigheid en volledigheid (VIR-definitie) te waarborgen. Het verlies van integriteit kan leiden tot forse schade, bijvoorbeeld:

• -

  politieke schade aan een bestuurder: bestuurder moet zich verantwoorden naar aanleiding van verantwoordingsvragen;

• -

  diplomatieke schade te herstellen door ambtelijke opschaling;

• -

  financiële gevolgen: niet meer op te vangen binnen de vastgestelde ruimte binnen de begroting van de (uitvoerings)organisatie; geen accountantsverklaring afgegeven;

• -

  belangrijk verlies van management control;

• -

  verlies van publiek respect; klachten van burgers;

• -

  organisatiebrede negatieve publiciteit (imagoschade) of significant verlies van motivatie van medewerkers.

Vertrouwelijkheid = Hoog

Verlies van informatie heeft een grote impact, waarvan niet uit te leggen is als deze niet gerubriceerd is en beschermd wordt op het niveau van BBN3:

• -

  informatie wordt door derden geleverd met een rubricering (niet zijnde BBN2);

• -

  aansluiting op een infrastructuur vereist BBN3 (bijvoorbeeld om al op de infrastructuur aanwezige gerubriceerde informatie niet in gevaar te brengen) om informatie te kunnen verwerken op deze infrastructuur;

• -

  weerstand tegen statelijke actoren is noodzakelijk.

Maatregel

Organisatie

BBN

Richtlijn

Verantwoordelijke(n)

5.1.1.1

Rijk

1

Richtlijn: VIR, artikel 3

Secretaris/algemeen directeur

5.1.2.1

Rijk

1

Richtlijn: VIR, artikel 3, lid e

Secretaris/algemeen directeur

5.1.2.1

Rijk

1

Het informatiebeveiligingsbeleid wordt minimaal één keer per drie jaar, of bij belangrijke wijzigingen als gevolg van reorganisatie of verandering in de verantwoordelijkheidsverdeling, beoordeeld en zo nodig bijgesteld.

Secretaris/algemeen directeur

Maatregel

Organisatie

BBN

Richtlijn

Verantwoordelijke(n)

6.1.1.2

Rijk

1

Richtlijn: VIR, VIR-BI, BVR

Secretaris/algemeen directeur

6.1.3.3

Rijk

1

De organisatie verstrekt contactgegevens aan het NCSC ten behoeve van de opvolging van incidenten, kwetsbaarheden en dreigingen.

Secretaris/algemeen directeur/ Dienstenleverancier

6.1.3.3

Gemeente

Waterschap

1

De organisatie verstrekt contactgegevens aan de sectorale CERT ten behoeve van de opvolging van incidenten, kwetsbaarheden en dreigingen.

Secretaris/algemeen directeur/ Dienstenleverancier

Maatregel

Organisatie

BBN

Richtlijn

Verantwoordelijke(n)

7.1.1

Rijk

1

Richtlijn: VIR-BI

Secretaris/algemeen directeur

Proceseigenaar

7.1.1.1

Rijk

1

Bij indiensttreding overleggen alle medewerkers (intern en extern) een specifiek voor de functie verstrekte Verklaring Omtrent het Gedrag (VOG).

Maatregel

Organisatie

BBN

Richtlijn

Verantwoordelijke(n)

7.2.1

Rijk

1

Richtlijn: interne klokkenluidersregeling

Secretaris/algemeen directeur

Maatregel

Organisatie

BBN

Richtlijn

Verantwoordelijke(n)

8.1

Rijk

1

Richtlijn: Gedragsregeling voor de digitale werkomgeving

Secretaris/algemeen directeur

Proceseigenaar

8.3.1

Rijk

2

VIR-BI: goedgekeurde producten NBV

Proceseigenaar

Dienstenleverancier

8.3.1.2

Rijk

2

De wijze waarop vertrouwelijk of hoger gerubriceerde informatie is opgeslagen, voldoet aan de eisen van het NBV.

Proceseigenaar

Dienstenleverancier

Maatregel

Organisatie

BBN

Richtlijn

Verantwoordelijke(n)

11.1.1.1

Rijk

1

Er wordt voor het inrichten van beveiligde zones gebruik gemaakt van:

• a:

  het Kader Rijkstoegangsbeleid (2010);

• b:

  het Normenkader Beveiliging Rijkskantoren (NkBR 2015);

• c:

  het Beveiligingsvoorschrift Rijk (BVR 2013).

Secretaris/algemeen directeur

11.1.3.1

Rijk

1

Aanwijzing: NkBR 5.4

Proceseigenaar

Dienstenleverancier

Maatregel

Organisatie

BBN

Richtlijn

Verantwoordelijke(n)

15.1.2

Rijk

1

VIR-BI

Proceseigenaar

Dienstenleverancier

15.1.2

Rijk

1

ARBIT

Proceseigenaar

Dienstenleverancier

15.1.2

Gemeente

1

GIBIT

Proceseigenaar

Dienstenleverancier

Maatregel

Organisatie

BBN

Richtlijn

Verantwoordelijke(n)

16.1.4.1

Rijk

2

Informatiebeveiligingsincidenten die hebben geleid tot een vermoedelijk of mogelijk opzettelijke inbreuk op de beschikbaarheid, vertrouwelijkheid of integriteit van informatieverwerkende systemen, behoren zo snel mogelijk (binnen 72 uur) al dan niet geautomatiseerd te worden gemeld aan het NCSC door of namens het department security contact (DSC, operationele contactpersoon voor het NCSC) of de Chief Information Security Officer (CISO).

Secretaris/algemeen directeur

Versie

Datum

Door

Wijzigingen

1.0

01-11-2017

CISO

Eerste versie

1.1

03-10-2019

CISO

Tekstuele aanpassingen, verantwoordelijkheden afdeling overstijgende (informatie)systemen, BRO beheerder toegevoegd, term ‘verantwoordelijken’ omgezet in ‘eigenaar’, verantwoordelijkheden en taken op afdelingsniveau en teamniveau omschrijving dubbelrollen toegevoegd, organigram en piramide geactualiseerd, bij de FG meldingen AP toegevoegd, toevoeging Collegeverklaring DigiD en SUWI-officer.

1.2

25-11-2020

CISO

Rol FG aangepast

1.3

12-12-2023

CISO

Document geactualiseerd conform huidige situatie.

2.1 College Burgemeester & Wethouders

Het College van B&W van de gemeente Tholen draagt als eigenaar van gemeentelijke informatieprocessen en (informatie)systemen de politieke verantwoordelijkheid voor een passend niveau van informatiebeveiliging. Het college stelt de kaders ten aanzien van informatiebeveiliging op basis van landelijke en Europese wet- en regelgeving en landelijke normenkaders. Het college is verantwoordelijk voor een duidelijk te volgen informatieveiligheidsbeleid en stimuleert het management van de organisatieonderdelen om beveiligingsmaatregelen te nemen. Als eigenaar van informatie en (informatie)systemen heeft het college zijn verantwoordelijkheden (macht tot handelen) op het gebied van beveiliging gemandateerd aan de gemeentesecretaris.

2.2 Gemeentesecretaris

De gemandateerde verantwoordelijkheid voor informatiebeveiliging ligt bij de gemeentesecretaris. Deze stelt met het managementteam het gewenste niveau van informatiebeveiliging vast voor de gemeente. De beveiligingseisen worden per bedrijfsproces vastgesteld. De gemeentesecretaris is verantwoordelijk voor de juiste implementatie van de beveiliging in de bedrijfsprocessen en in de in- en externe (informatie)systemen en wijst voor ieder (informatie)systeem een procesverantwoordelijke of systeemeigenaar aan. De operationele verantwoordelijkheid voor deze systemen en informatieprocessen is belegd bij leidinggevenden op organisatieniveau. Degemeentesecretaris en het MT hebben in ieder geval de volgende verantwoordelijkheden:

• •

  Het stellen van kaders en het geven van sturing ten aanzien van de veiligheid van informatie;

• •

  Het sturen op concern risico’s;

• •

  Periodiek evalueren van beleidskaders en deze bijstellen waar nodig;

• •

  Het (laten) controleren of de getroffen veiligheidsmaatregelen overeenstemmen met de betrouwbaarheidseisen en of deze veiligheidsmaatregelen voldoende bescherming bieden;

• •

  Het beleggen van de verantwoordelijkheid voor informatiebeveiligingscomponenten en systemen;

• •

  Het inrichten van functiescheiding tussen uitvoerende, controlerende en beleidsbepalende taken met betrekking tot informatiebeveiliging;

• •

  Het aanwijzen van een coördinator informatiebeveiliging en een controller informatiebeveiliging.

2.3 Functionaris Gegevensbescherming

De Functionaris gegevensbescherming (FG) is intern toezichthouder op de verwerking van persoonsgegevens. De FG houdt binnen de organisatie toezicht op de toepassing en naleving van de AVG. De FG adviseert bij de implementatie van essentiële elementen van de AVG, zoals de beginselen van gegevensverwerking, de rechten van de betrokkenen, “privacy by design en privacy by default”, de administratie van gegevensverwerkingen, beveiliging van het verwerkingsproces, en melding van en communicatie over datalekken. Voor de invulling van taken, verantwoordelijkheden en positionering van de FG worden de “richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO) gevolgd van de Groep Gegevensbescherming Artikel 29, welke door de Autoriteit Persoonsgegevens (AP) is gepubliceerd waaronder:

• •

  Controle op- en advies over naleving van de algemene verordening gegevensbescherming

• •

  Samenwerken met de toezichthoudende autoriteit en handelen als contactpunt

2.4 Coördinator Informatieveiligheid (CISO)

Deze rol is op organisatieniveau verantwoordelijk voor het actueel houden van het beleid, het adviseren bij projecten en het managen van risico’s evenals het opstellen van rapportages. De CISO ziet organisatiebreed toe op de naleving van het informatieveiligheidsbeleid en daaruit voortvloeiende maatregelen, zorgt voor onderzoek en adviseert in complexe beveiligingsvraagstukken, initieert organisatiebrede security awareness programma’s en opleidingen en vervult een adviserende rol naar managementteam en gemeentebestuur. Tevens zorgt de coördinator informatiebeveiliging voor heldere communicatie bij incidenten op het vlak van informatiebeveiliging. De rol van CISO heeft een strategisch karakter. De CISO:

• •

  Coördineert het formuleren van informatieveiligheidsbeleid en houdt dit actueel;

• •

  Stelt het informatieveiligheidsplan op en zorgt voor de actualisatie van dat plan;

• •

  Coördineert de uitvoering van informatieveiligheidsmaatregelen uit het informatieveiligheidsplan;

• •

  Stelt een afstemmingsmechanisme op voor overleg en rapportage met betrekking tot informatieveiligheid;

• •

  Ondersteunt de directie en de leidinggevenden met kennis over informatieveiligheid, zodat zij hun verantwoordelijkheid voor de betrouwbaarheid van de informatievoorziening juist kunnen invullen en initieert organisatiebrede security awareness programma’s;

• •

  Is aanspreekpunt voor medewerkers van de gemeente over het onderwerp informatieveiligheid;

• •

  Volgt de externe invloeden die van invloed zijn op het informatieveiligheidsbeleid en het informatieveiligheidsplan;

• •

  Zorgt voor registratie van informatieveiligheidsincidenten en is verantwoordelijk voor de juiste afhandeling en evaluatie van incidenten;

• •

  Initieert security audits (indien van toepassing ook risico analyses);

• •

  Rapporteert over de informatieveiligheid van de gemeente in de P&C managementrapportages;

• •

  Ziet toe op naleving van het informatieveiligheidsbeleid en daaruit vloeiende maatregelen.

2.5 Verantwoordelijkheden en taken op teamniveau

De leidinggevenden (teamleiders) zijn verantwoordelijk voor de (informatie) veiligheid en de betrouwbaarheid van de informatieprocessen en systemen binnen hun afdeling c.q. team. De leidinggevenden hebben in ieder geval de volgende verantwoordelijkheden:

• •

  Het uit (laten) voeren van maatregelen uit het informatieveiligheidsplan die op de afdeling van toepassing zijn;

• •

  Op basis van een expliciete risicoafweging opstellen van betrouwbaarheidseisen voor de afdelingsinformatiesystemen;

• •

  De keuze, de implementatie en het uitdragen van de maatregelen die voortvloeien uit de betrouwbaarheidseisen;

• •

  Het sturen op resultaatsafspraken, beveiligingsbewustzijn, op bedrijfscontinuïteit en op naleving van regels en richtlijnen (gedrag en risicobewustzijn);

• •

  Het rapporteren, via de CISO, over compliance aan wet- en regelgeving en algemeen beleid van de gemeente in de P&C managementrapportages;

• •

  Classificeren van informatie (uitgangspunt GEMMA/GIBIT);

• •

  Verstrekken, intrekken van en controleren op autorisaties;

• •

  Incidenteel melden van datalekken aan betrokkenen

Een persoon vervult bij voorkeur slechts één van onderstaande functies. Het is echter mogelijk om door capaciteitsgebrek als afdeling of team te beslissen om een persoon meerdere rollen te geven. Het is echter niet wenselijk om een toezichthoudende rol te combineren met een verantwoordelijke of uitvoerende rol. Dit omdat de rol van toezichthouder in dat geval moeilijk zuiver uit te voeren valt. De slager keurt dan namelijk zijn eigen vlees.

2.6 Controller Informatieveiligheid

Deze rol is op organisatieniveau verantwoordelijk voor de verbijzonderde interne controle op de naleving van het informatieveiligheidsbeleid, de realisatie van voorgenomen veiligheidsmaatregelen en de escalatie van beveiligingsincidenten. De Controller informatiebeveiliging:

• •

  Toetst periodieke op de juiste naleving, de werking, de effectiviteit en de kwaliteit van de maatregelen ten aanzien van informatieveiligheid;

• •

  Controleert de voortgang van het uitvoeren van de maatregelen uit het informatieveiligheidsplan;

• •

  Houdt toezicht op de periodieke actualisatie van informatieveiligheidsbeleid en het Informatiebeveiligingsplan;

• •

  Toets en bewaakt het niveau van informatieveiligheid;

• •

  Toetst het evaluatieproces van beveiligingsincidenten.

2.7 Regiefunctionaris ICT

De Regiefunctionaris ICT is in de organisatie direct aanspreekpunt voor het ICT samenwerkingsverband ICTWBW. ICTWBW beheert de werkplekken, serverplatformen, lokale netwerken en de toegang tot straalverbindingen, externe netwerkverbindingen (zoals Gemnet en SUWInet) en verzorgt het technische (wijzigings)beheer van databases, bedrijfsapplicaties en kantoorautomatiseringshulpmiddelen. Verder zijn zij verantwoordelijk voor het (laten) realiseren van alle technische aansluitingen op andere ketenpartners en landelijke voorzieningen. Daarnaast zijn zij verantwoordelijk voor de implementatie van ICT-technische beveiligings­maatregelen. Verantwoording over het gevoerde beheer van de getroffen beveiligings­maatregelen wordt aan de proceseigenaren voor (informatie)systemen afgelegd.

2.8 Privacy beheerder

Deze rol is gericht op de uitvoering en de naleving van de Algemene Verordening Gegevensbescherming (AVG). De privacy beheerder is aanspreekpunt op het vlak van bescherming van persoonsgegevens en privacy binnen de organisatie en informeert en adviseert het management, bestuur en de collega’s van de organisatie over de wijze waarop optimaal gebruik van informatie kan worden gemaakt. De Privacy beheerder draagt tevens bij aan de bewustwording en doorontwikkeling van Informatiebeveiliging en Privacy in de organisatie. De Privacy beheerder:

• •

  Houdt toezicht op de naleving van specifieke regelgeving, waaronder de AVG en de Wet Basisregistratie Personen (BRP);

• •

  Adviseert organisatiebreed over privacybescherming en over activiteiten ter bescherming van persoonsgegevens;

• •

  Organiseert activiteiten ter voorkoming van beveiligingsincidenten;

• •

  Zorgt voor registratie van incidenten en is verantwoordelijk voor de juiste afhandeling en evaluatie van incidenten;

• •

  Geeft aanwijzingen aan gebruikers van systemen met betrekking tot persoonsregistraties;

• •

  Geeft (ongevraagd) advies over alle procedures en producten die betrekking hebben op de registratie van personen;

• •

  Is contactpersoon van de gemeente voor de Autoriteit Persoonsgegevens (AP);

• •

  Beheert het register met daarin alle persoonsregistraties die onder verantwoordelijkheid van de organisatie vallen.

• •

  Levert een bijdrage aan de ontwikkeling van beleid, protocollen, normen, regelingen en gedragscodes.

2.9 ENSIA Coördinator

De gemeente verantwoordt zich over informatiebeveiliging middels de ENSIA-systematiek. Dit betekent dat er een ENSIA-coördinator is aangewezen. Deze zorgt ervoor dat de informatie die nodig is voor het beantwoorden van vragen binnen ENSIA wordt opgehaald bij de verantwoordelijke teamleiders. De teamleiders leveren alle informatie die nodig is voor het invullen van de jaarlijkse ENSIA-vragenlijsten. Via ENSIA verantwoordt de gemeente zich aan de toezichthouders van de stelsels waaronder DIGID/BAG/SUWI. De ENSIA- Coördinator heeft een toezichthoudende en controlerende taak op ‘compliance’, d.w.z. overeenstemming van de beveiligingsorganisatie met een voorgeschreven norm (ENSIA). De ENSIA Coördinator werkt aan het begeleiden, bewaken en bijsturen van het ENSIA- verantwoordingsproces, het creëren van bewustzijn over informatieveiligheid voor de hele gemeente en het organiseren van samenwerking.

2.9.1 Beveiligingsbeheerder

Deze rol is uitvoerend verantwoordelijk voor het beheer, de coördinatie en advies ten aanzien van de informatieveiligheid van specifieke gegevensverzamelingen. In wetgeving worden verschillende benamingen aan rollen gegeven voor veelal dezelfde taken en verantwoordelijkheden ten aanzien van specifieke gegevensverzamelingen. Om eenduidigheid in naamgeving te verkrijgen wordt in dit beleidsdocument de veiligheidsverantwoordelijkheid ten aanzien van een specifieke gegevensverzameling toegewezen aan, en gedefinieerd als Beveiligingsbeheerder. Hierna volgen de deelgebieden waarbij een beveiligingsbeheerder is aangewezen met vermelding van eventuele officiële rolbenaming: BRP, Reisdocumenten (officieel autorisatiebevoegde Reisdocumenten/Aanvraagstations), Rijbewijzen (Autorisatiebevoegde Rijbewijzen), BAG, SUWI (officieel Security Officer SUWI volgens het BKWI) en DigiD. Daarnaast worden er beveiligingsbeheerders aangewezen op verschillende aspecten van de gemeentelijke bedrijfsvoering: Facilitaire Zaken (gebouwenbeheer), ICT, DIV, P&O, WSJG, BRO en BGT/GEO. De beveiligingsbeheerder is -voor het toegewezen deelgebied- verantwoordelijk voor:

• •

  Het geheel van activiteiten gericht op de naleving en verbetering van de maatregelen en procedures die voortkomen uit het informatieveiligheidsbeleid en de onderliggende informatieveiligheidsplannen. Hieronder vallen de preventie van beveiligingsincidenten, de detectie van dergelijke incidenten en het geven van een adequate respons;

• •

  De medewerker voert interne controles uit en let op de naleving van specifieke wet- en regelgeving. De beveiligingsbeheerder rapporteert aan het college van B&W, de CISO en de Controller informatiebeveiliging.

2.9.2 Beveiligingsbeheerder BRP

De Beveiligingsbeheerder BRP is verantwoordelijk voor het toezicht op het beheer en de ontwikkeling van beveiligingsprocessen Basisregistratie Personen, het toetsen op de uitvoering van regelgeving en procedures ten aanzien van de Basisregistratie Personen, de evaluatie van de beveiligingsprocessen en het verzorgen van een managementrapportage aan de opdrachtgever Basisregistratie Personen (College B&W).

De Beveiligingsbeheerder BRP:

• •

  Organiseert activiteiten ter voorkoming van beveiligingsincidenten;

• •

  Zorgt voor registratie van incidenten en is verantwoordelijk voor de juiste afhandeling en evaluatie van incidenten;

• •

  Coördineert de toepassing van specifieke wet- en regelgeving;

• •

  Rapporteert aan het college van B&W, de CISO en de Controller informatiebeveiliging.

2.9.3 Beveiligingsbeheerder waardedocumenten (PNIK)

De Beveiligingsbeheerder waardedocumenten is verantwoordelijk voor het toezicht op het beheer en de ontwikkeling van beveiligingsprocessen Waardedocumenten (PNIK), het toetsen op de uitvoering van regelgeving en procedures ten aanzien van het waardedocumentenproces, de evaluatie van de beveiligingsprocessen en het verzorgen van een managementrapportage aan de opdrachtgever Waardedocumenten (College B&W). De Beveiligingsbeheerder waardedocumenten (PNIK):

• •

  Organiseert activiteiten ter voorkoming van beveiligingsincidenten;

• •

  Zorgt voor registratie van incidenten en is verantwoordelijk voor de juiste afhandeling en evaluatie van incidenten;

• •

  Coördineert de toepassing van specifieke wet- en regelgeving;

• •

  Rapporteert aan het college van B&W, de CISO en de Controller informatiebeveiliging.

2.9.4 Beveiligingsbeheerder BAG

De Beveiligingsbeheerder BAG is verantwoordelijk voor het geheel van activiteiten gericht op de naleving van de maatregelen en procedures die voortkomen uit het informatieveiligheidsbeleid, inclusief de normenkaders voor audit en (zelf)evaluatie en het informatieveiligheidsplan. Hieronder vallen de preventie van beveiligingsincidenten, de detectie van dergelijke incidenten en het geven van een adequate respons. De medewerker coördineert de toepassing van specifieke wet- en regelgeving. De beveiligingsbeheerder rapporteert aan het college van B&W, de CISO en de Controller informatiebeveiliging.

• •

  Draagt zorg voor de BAG-gerelateerde maatregelen uit de BIO in ENSIA;

• •

  Rapporteert de uitkomsten van de zelfevaluatie van de BAG in ENSIA aan het college van B&W, de CISO en de Controller informatiebeveiliging.

2.9.5 Beveiligingsbeheerder SUWI

De beveiligingsbeheerder SUWI beheert beveiligingsprocedures en -maatregelen in het kader van Suwinet, zodanig dat de beveiliging van Suwinet overeenkomstig wettelijke eisen is geïmplementeerd. De beveiligingsbeheerder SUWI:

• •

  Bevordert en adviseert over de beveiliging van Suwinet,en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de beveiliging van Suwinet;

• •

  Ziet er op toe dat de maatregelen worden nageleefd;

• •

  Evalueert de uitkomsten van verbetermaatregelen;

• •

  Verzorgt rapportages met betrekking tot de beveiligingsstatus van Suwinet aan het MT en/of college;

• •

  Doet controles op het gebruik van Suwinet door de gemeente en vraagt daarvoor (specifieke) rapportages op bij het BKWI;

• •

  Draagt zorg voor de ICT-gerelateerde maatregelen uit de BIO in ENSIA;

• •

  Doet jaarlijks een zelfevaluatie op het geldende (specifieke) normenkader en stelt de Collegeverklaring op in het kader van ENSIA;

• •

  Is aanspreekpunt tijdens de externe audit op de Collegeverklaring;

• •

  Rapporteert de uitkomsten van de zelfevaluatie en externe audit op Suwinet aan het college van B&W, de CISO en de Controller informatiebeveiliging.

2.9.6 Beveiligingsbeheerder DigiD

De Beveiligingsbeheerder DigiD is verantwoordelijk voor het geheel van activiteiten gericht op de naleving van de maatregelen en procedures die voortkomen uit het informatieveiligheidsbeleid, inclusief de normenkaders voor audit en (zelf)evaluatie en het informatieveiligheidsplan. Hieronder vallen:

• •

  De preventie van beveiligingsincidenten en het geven van een adequate respons;

• •

  Draagt zorg voor de DigiD-gerelateerde maatregelen uit de BIO in ENSIA;

• •

  Doet jaarlijks een zelfevaluatie op het geldende (specifieke) normenkader en stelt de Collegeverklaring op in het kader van ENSIA;

• •

  Rapporteert aan het college van B&W, de CISO en de Controller informatiebeveiliging.

2.9.7 Beveiligingsbeheerder Gebouwenbeheer

De Beveiligingsbeheerder Gebouwenbeheer is de directe contactpersoon voor de organisatie ten aanzien van alle activiteiten informatieveiligheid die betrekking hebben op facilitaire zaken en Huisvesting en Services en is verantwoordelijk voor de fysieke toegangsbeveiliging en kantoorinrichting (archiefkasten, kluizen enzovoort).

De Beveiligingsbeheerder Gebouwenbeheer:

• •

  Organiseert activiteiten ter voorkoming van beveiligingsincidenten;

• •

  Zorgt voor registratie van incidenten en is verantwoordelijk voor de juiste afhandeling en evaluatie van incidenten;

• •

  Coördineert de toepassing van specifieke wet- en regelgeving;

• •

  Rapporteert aan de CISO en de Controller informatieveiligheid.

2.9.8 Beveiligingsbeheerder ICT

De Beveiligingsbeheerder ICT is de directe contactpersoon voor de organisatie ten aanzien van alle activiteiten informatieveiligheid die betrekking hebben op ICT. De Beveiligingsbeheerder ICT is verantwoordelijk voor het geheel van activiteiten gericht op de naleving van de maatregelen en procedures die voortkomen uit het informatieveiligheidsbeleid, inclusief de normenkaders voor audit en (zelf)evaluatie en het Informatieveiligheidsplan. De Beveiligingsbeheerder ICT:

• •

  Organiseert activiteiten ter voorkoming van beveiligingsincidenten;

• •

  Zorgt voor registratie van incidenten en is verantwoordelijk voor de juiste afhandeling en evaluatie van incidenten;

• •

  Coördineert de toepassing van specifieke wet- en regelgeving;

• •

  Draagt zorg voor de ICT-gerelateerde maatregelen uit de BIO en ENSIA;

• •

  Rapporteert aan de CISO en de Controller informatieveiligheid.

2.9.9 Beveiligingsbeheerder DIV

De Beveiligingsbeheerder DIV is de directe contactpersoon voor de organisatie ten aanzien van alle activiteiten informatieveiligheid die betrekking hebben op DIV en is verantwoordelijk voor het geheel van activiteiten gericht op de naleving van de maatregelen en procedures die voortkomen uit het informatieveiligheidsbeleid, inclusief de normenkaders voor audit en (zelf)evaluatie, het informatieveiligheidsplan en wet en regelgeving specifiek ten aanzien van DIV, waaronder de Archiefwet in relatie tot de wet Revitalisering Generiek Toezicht (RGT). De Beveiligingsbeheer DIV:

• •

  Organiseert activiteiten ter voorkoming van beveiligingsincidenten;

• •

  Zorgt voor registratie van incidenten en is verantwoordelijk voor de juiste afhandeling en evaluatie van incidenten;

• •

  Coördineert de toepassing van specifieke wet- en regelgeving;

• •

  Rapporteert aan de CISO en de Controller informatieveiligheid.

2.9.9.1 Beveiligingsbeheerder P&O

De Beveiligingsbeheerder P&O is de directe contactpersoon voor de organisatie ten aanzien van alle activiteiten informatieveiligheid die betrekking hebben op P&O en heeft een belangrijke adviesrol op het gebied van organisatie en informatieprocessen. De Beveiligingsbeheerder P&O is verantwoordelijk voor het geheel van activiteiten gericht op de naleving van de maatregelen en procedures die voortkomen uit het informatieveiligheidsbeleid, inclusief de normenkaders voor audit en (zelf)evaluatie en het informatieveiligheidsplan. De Beveiligingsbeheer P&O:

• •

  Organiseert activiteiten ter voorkoming van beveiligingsincidenten;

• •

  Zorgt voor registratie van incidenten en is verantwoordelijk voor de juiste afhandeling en evaluatie van incidenten;

• •

  Coördineert de toepassing van specifieke wet- en regelgeving;

• •

  Rapporteert aan de CISO en de Controller informatieveiligheid.

2.9.9.2 Functioneel applicatiebeheerder 

De Functioneel applicatiebeheer is verantwoordelijk voor het geheel van activiteiten gericht op het ondersteunen van de informatie­systemen en de waarborging van continuïteit aan de gebruikerszijde van de informatie­voorziening.

2.9.9.3 Certificaatbeheerder 

De certificaatbeheerder beheert de elektronische sleutels van PKI/Overheid conform de voorschriften. Public key infrastructure (PKI) is het systeem waarmee uitgiften en beheer van digitale certificaten wordt gerealiseerd. Aan het gebruik zijn voorschriften verbonden ten aanzien van installatie, beveiliging, update, geldigheid en toepassing. De certificaatbeheerder is hiervoor verantwoordelijk.

2.9.9.4 Gegevensbeheerder

De Gegevensbeheerder is verantwoordelijk voor het geheel van activiteiten gericht op de inhoudelijke kwaliteitszorg betreffende het gegevens verzamelen, de gegevensverwerking en de informatievoorziening.

2.9.9.5 Gegevenseigenaar

De gegevenseigenaar (ook wel Informatie-eigenaar of Data-eigenaar) is verantwoordelijk voor de gegevens binnen een specifiek data domein. Een gegevenseigenaar moet ervoor zorgen dat de gegevens binnen zijn domein correct wordt beheerd over verschillende systemen en bedrijfsactiviteiten. Specifieke verantwoordelijkheden voor de gegevenseigenaar zijn:

• •

  Goedkeuren van data definities;

• •

  Zorgen voor de juistheid van informatie zoals gebruikt binnen en door de gehele organisatie;

• •

  Datakwaliteit;

• •

  Beoordelen en goedkeuren van de Master Data Management (MDM) aanpak, resultaten en activiteiten. MDM heeft als doel het stroomlijnen van data uitwisseling en het bieden van een enkele, consistente weergave van kritische data voor iedereen binnen de organisatie.

• •

  Samenwerken met andere Data-eigenaren om data problemen en onbegrip tussen de verschillende bedrijfseenheden op te lossen;

• •

  Input geven over softwareoplossingen, beleid of wettelijke vereisten die van invloed zijn op het data domein van de Data-eigenaar.

2.9.9.6 Proceseigenaar

De proceseigenaar is verantwoordelijk voor een proces. Deze verantwoordelijkheid kan meerdere aspecten betreffen:

• •

  Het ontwerp en de invoering van het proces zelf. We onderscheiden een procesontwikkelings-verantwoordelijkheid (omvat zowel ontwerp als verbetering van het proces) en een procesimplementatie-verantwoordelijkheid (inclusief de verantwoordelijkheid voor interne audits waarmee aangetoond wordt dat het proces ‘werkt’);

• •

  De resultaten van het proces. Deze procesbesturingsverantwoordelijkheid betreft de operationele beheersing en logistieke aspecten van resultaat (kwaliteit, tijd) en resourceverbruik (mensen, middelen). Het gaat daarbij om de eind- resultaten van het proces;

• •

  Hiërarchische verantwoordelijkheid voor de medewerkers met de belangrijkste rollen in het proces.

2.9.9.7 Systeemeigenaar

De systeemeigenaar bepaalt wat er nodig is voor een optimale ondersteuning van de informatievoorziening van de bedrijfsprocessen. De systeemeigenaar (die ook proceseigenaar kan zijn) bepaalt de prioriteiten voor zowel de exploitatie als het doorvoeren van wijzigingen. Het budget betreft niet alleen de ICT-kosten, maar ook bijvoorbeeld wat beschikbaar is voor de ondersteuning door functioneel beheer. Systeemeigenaarschap is geen ICT-rol. Een systeemeigenaar mag voor wat betreft de technologie afstand nemen, maar is wel verantwoordelijk voor de informatievoorziening die nodig is voor de ondersteuning van bedrijfsprocessen.

2.9.9.8 Autorisatiebevoegde Reisdocumenten/Aanvraagstations

De Autorisatiebevoegde Reisdocumenten is verantwoordelijk voor het beheer van de autorisaties voor de reisdocumentenmodules (RAAS en aanvraagstations).

2.9.9.9 Autorisatiebevoegde Rijbewijzen

De Autorisatiebevoegde Rijbewijzen is verantwoordelijk voor het beheer van de autorisaties voor rijbewijzen, inclusief aanmelding bij de RDW.

2.9.9.10 Vertrouwde Contactpersoon Informatiebeveiliging (VCIB)

De VCIB krijgt waarschuwingen en informatie van de IBD met een vertrouwelijk karakter over mogelijke bedreigingen en incidenten waarvan de inhoud een vertrouwelijk karakter heeft en die niet met anderen gedeeld mogen worden.

2.9.9.11 Algemene Contactpersoon Informatiebeveiliging (ACIB)

De ACIB krijgt algemene waarschuwingen en informatie van de IBD met een niet vertrouwelijk karakter over algemene bedreigingen en incidenten.