- Doel
- Doelstellingen
- Toepassingsgebied
- Naleving
- Herziening
- Beleidsverklaring
- 1. Beveiliging van systemen
- 2. Organisatie van de informatiebeveiliging 2. Organisatie van de informatiebeveiliging
- 3. Personeelsbeveiliging
- 4. Activabeheer
- 5. Toegangscontrole
- 6. Cryptografie
- 6. Cryptografie
- 7. Fysieke en omgevingsbeveiliging
- 8. Operations Security
- 9. Communicatiebeveiliging
- 10. Systeemverwerving, -ontwikkeling en -onderhoud
- 11. Leveranciersrelaties
- 12. Informatieveiligheidsincidentbeheer
- 13. 13. Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
- 14. Compliance
Doel
Informatie die wordt verzameld, geanalyseerd, opgeslagen, gecommuniceerd en gerapporteerd kan onderhevig zijn aan diefstal, misbruik, verlies en corruptie.
Informatie kan in gevaar worden gebracht door slechte opleiding en training, en de schending van beveiligingscontroles.
Informatiebeveiligingsincidenten kunnen aanleiding geven tot verlegenheid, financieel verlies, niet-naleving van normen en wetgeving, evenals mogelijke veroordelingen van de universiteit.
Dit informatiebeveiligingsbeleid op hoog niveau past naast het informatie-risicobeheerbeleid en het gegevensbeschermingsbeleid om de op risico gebaseerde informatiebeveiligingscontroles van de universiteit op hoog niveau te schetsen en te rechtvaardigen.
- Beleid inzake beheer van informatierisico’s
- Beleid inzake gegevensbescherming
Doelstellingen
De beveiligingsdoelstellingen van de universiteit zijn dat:
- Onze informatierisico’s worden geïdentificeerd, beheerd en behandeld volgens een overeengekomen risicotolerantie
- Onze geautoriseerde gebruikers kunnen veilig toegang krijgen tot informatie en deze delen om hun taken uit te voeren
- Onze fysieke, procedurele en technische controles zorgen voor een evenwicht tussen gebruikerservaring en veiligheid
- Onze contractuele en wettelijke verplichtingen met betrekking tot informatiebeveiliging worden nagekomen
- Ons onderwijs, onderzoek en administratieve activiteiten wordt rekening gehouden met informatiebeveiliging
- Personen die toegang hebben tot onze informatie zijn zich bewust van hun verantwoordelijkheden op het gebied van informatiebeveiliging
- Ongelukken met onze informatiemiddelen worden opgelost en er wordt lering uit getrokken om onze controles te verbeteren.
Toepassingsgebied
Het informatiebeveiligingsbeleid en de ondersteunende controles, processen en procedures zijn van toepassing op alle informatie die binnen de universiteit wordt gebruikt, in alle formaten. Dit omvat informatie die door andere organisaties wordt verwerkt in hun contacten met de universiteit.
Het informatiebeveiligingsbeleid en de ondersteunende controles, processen en procedures zijn van toepassing op alle personen die toegang hebben tot universitaire informatie en technologieën, met inbegrip van externe partijen die informatieverwerkingsdiensten aan de universiteit leveren.
Een gedetailleerd toepassingsgebied, met inbegrip van een uitsplitsing van gebruikers, informatiemiddelen en informatieverwerkende systemen, is opgenomen in het document Information Security Management System (ISMS) Framework.
Naleving
Op de naleving van de beheersingsmaatregelen in dit beleid zal worden toegezien door het Information Security-team en er zal verslag over worden uitgebracht aan de Information Governance Board.
Herziening
Het Informatiebeveiligingsteam zal dit beleid jaarlijks of zo nodig vaker herzien, en het zal worden goedgekeurd door de Raad voor Informatiebeheer en de Bestuursgroep van de universiteit.
Beleidsverklaring
Het is het beleid van de universiteit om ervoor te zorgen dat informatie wordt beschermd tegen een verlies van:
- Confidentialiteit – informatie zal alleen toegankelijk zijn voor geautoriseerde personen
- Integriteit – de nauwkeurigheid en volledigheid van informatie zal worden gehandhaafd
- Beschikbaarheid – informatie zal toegankelijk zijn voor geautoriseerde gebruikers en processen wanneer dat nodig is
De universiteit zal een Information Security Management System implementeren dat is gebaseerd op de ISO 27001 International Standard for Information Security. De universiteit zal zo nodig ook naar andere normen verwijzen, rekening houdend met de aanpak van haar stakeholders, waaronder onderzoekspartners.
De universiteit zal een risicogebaseerde aanpak hanteren bij de toepassing van controles:
- Beleid inzake informatiebeveiliging
- Organisatie van informatiebeveiliging
- Human Resources Security
- Asset Management
- Access Toegangscontrole
- Cryptografie
- Fysieke en omgevingsbeveiliging
- Operationsbeveiliging
- Communicatiebeveiliging
- Systeemverwerving, Ontwikkeling en onderhoud
- Relaties met leveranciers
- Informatiebeveiligingsincidentenbeheer
- Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
- Compliance
1. Beveiliging van systemen
2. Organisatie van de informatiebeveiliging
2. Organisatie van de informatiebeveiliging
De universiteit zal passende bestuursregelingen voor het beheer van de informatiebeveiliging vaststellen en uitvoeren. Dit omvat de vaststelling en toewijzing van beveiligingsverantwoordelijkheden, om de uitvoering en werking van de informatiebeveiliging binnen de universiteit te initiëren en te controleren.
De universiteit benoemt ten minste:
- Een Executive om de Information Governance Board voor te zitten en verantwoordelijkheid te nemen voor informatierisico’s
- Een Information Governance Board om invloed uit te oefenen op, toezicht te houden op en het bevorderen van het effectieve beheer van universitaire informatie
- Een Information Security Specialist om de dagelijkse informatiebeveiligingsfunctie te beheren
- Information Asset Owners (IAO’s) om lokale verantwoordelijkheid te nemen voor informatiebeheer; en Information Asset Managers (IAM’s) die verantwoordelijk zijn voor het dagelijkse informatiebeheer
3. Personeelsbeveiliging
Het beveiligingsbeleid van de universiteit en de verwachtingen voor aanvaardbaar gebruik zullen aan alle gebruikers worden meegedeeld om ervoor te zorgen dat zij hun verantwoordelijkheden begrijpen. Voorlichting en opleiding op het gebied van informatiebeveiliging zullen ter beschikking van alle personeelsleden worden gesteld, en slecht en ongepast gedrag zal worden aangepakt.
Waar mogelijk zullen beveiligingsverantwoordelijkheden worden opgenomen in functiebeschrijvingen, persoonsspecificaties en persoonlijke ontwikkelingsplannen.
4. Activabeheer
Alle activa (informatie, software, elektronische informatieverwerkingsapparatuur, dienstvoorzieningen en mensen) zullen worden gedocumenteerd en verantwoord. Eigenaars zullen worden geïdentificeerd voor alle activa en zij zullen verantwoordelijk zijn voor het onderhoud en de bescherming van hun activa.
Alle informatie-activa zullen worden geclassificeerd volgens hun wettelijke vereisten, bedrijfswaarde, kriticiteit en gevoeligheid, en de classificatie zal de passende behandelingsvereisten aangeven. Alle informatie-activa zullen een welbepaald bewaar- en verwijderingsschema hebben.
5. Toegangscontrole
De toegang tot alle informatie zal worden gecontroleerd en zal worden gestuurd door zakelijke vereisten. Toegang zal worden verleend of regelingen zullen worden getroffen voor gebruikers overeenkomstig hun rol en de classificatie van informatie, alleen tot een niveau dat hen in staat stelt hun taken uit te voeren.
Er zal een formele gebruikersregistratie- en -uitschrijvingsprocedure worden gehandhaafd voor toegang tot alle informatiesystemen en -diensten. Deze procedure zal verplichte authenticatiemethoden omvatten op basis van de gevoeligheid van de informatie waartoe toegang wordt verkregen, en zal waar nodig meervoudige factoren in overweging nemen.
Er zullen specifieke controles worden ingevoerd voor gebruikers met verhoogde rechten, om het risico van onachtzaam of opzettelijk misbruik van het systeem te verminderen. Waar mogelijk zullen de taken worden gescheiden.
6. Cryptografie
6. Cryptografie
De universiteit zal richtsnoeren en instrumenten aanreiken voor een correct en doeltreffend gebruik van cryptografie om de vertrouwelijkheid, authenticiteit en integriteit van informatie en systemen te beschermen.
7. Fysieke en omgevingsbeveiliging
Informatieverwerkende faciliteiten worden ondergebracht in beveiligde zones, die fysiek worden beschermd tegen ongeoorloofde toegang, beschadiging en interferentie door gedefinieerde veiligheidsperimeters. Er worden gelaagde interne en externe beveiligingscontroles ingevoerd om toegang door onbevoegden te ontmoedigen of te voorkomen en om activa, met name die welke kritiek of gevoelig zijn, te beschermen tegen gewelddadige of heimelijke aanvallen.
8. Operations Security
De universiteit zal zorgen voor een correcte en veilige werking van informatieverwerkingssystemen.
Dit omvat:
- Gedocumenteerde operationele procedures
- Het gebruik van formeel veranderings- en capaciteitsbeheer
- Controles tegen malware
- Gedefinieerd gebruik van logging
- Vulnerability management
9. Communicatiebeveiliging
De universiteit zal netwerkbeveiligingscontroles handhaven om de bescherming van informatie binnen haar netwerken te verzekeren, en de hulpmiddelen en begeleiding bieden om de veilige overdracht van informatie te verzekeren, zowel binnen haar netwerken als met externe entiteiten, in overeenstemming met de classificatie- en verwerkingsvereisten die aan die informatie verbonden zijn.
10. Systeemverwerving, -ontwikkeling en -onderhoud
Informatiebeveiligingsvereisten zullen worden gedefinieerd tijdens de ontwikkeling van zakelijke vereisten voor nieuwe informatiesystemen of wijzigingen in bestaande informatiesystemen.
Controles om geïdentificeerde risico’s te beperken zullen waar nodig worden geïmplementeerd.
Systeemontwikkeling zal onderworpen zijn aan wijzigingsbeheer en scheiding van test-, ontwikkelings- en operationele omgevingen.
11. Leveranciersrelaties
Bij het aangaan van relaties met leveranciers zal rekening worden gehouden met de informatiebeveiligingsvereisten van de universiteit, om ervoor te zorgen dat voor leveranciers toegankelijke bedrijfsmiddelen worden beschermd.
De activiteiten van leveranciers zullen worden gecontroleerd en geauditeerd overeenkomstig de waarde van de bedrijfsmiddelen en de bijbehorende risico’s.
12. Informatieveiligheidsincidentbeheer
Er zullen richtsnoeren beschikbaar zijn over wat een informatieveiligheidsincident is en hoe dit moet worden gemeld.
Daadwerkelijke of vermoede inbreuken op de informatiebeveiliging moeten worden gemeld en zullen worden onderzocht.
Er zullen passende corrigerende maatregelen worden genomen en eventuele lessen zullen in de controles worden ingebouwd.
13. 13. Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
De universiteit zal regelingen hebben getroffen om kritieke bedrijfsprocessen te beschermen tegen de gevolgen van belangrijke storingen van informatiesystemen of rampen en om te zorgen voor hun tijdig herstel in overeenstemming met de gedocumenteerde bedrijfsbehoeften.
Dit omvat passende back-uproutines en ingebouwde veerkracht.
Bedrijfscontinuïteitsplannen moeten worden onderhouden en getest ter ondersteuning van dit beleid.
Bedrijfsimpactanalyse zal worden ondernomen van de gevolgen van rampen, beveiligingsstoringen, verlies van diensten, en gebrek aan beschikbaarheid van diensten.
14. Compliance
Het ontwerp, de werking, het gebruik en het beheer van informatiesystemen moeten voldoen aan alle wettelijke, regelgevende en contractuele beveiligingsvereisten.
Huidig omvat dit de wetgeving inzake gegevensbescherming, de norm voor de betaalkaartindustrie (PCI-DSS), de Prevent-richtsnoeren van de regering en de contractuele verbintenissen van de universiteit.
De universiteit zal een combinatie van interne en externe audits gebruiken om de naleving van de gekozen normen en beste praktijken aan te tonen, met inbegrip van intern beleid en procedures.
Dit omvat IT-gezondheidscontroles, hiaatanalyses ten opzichte van gedocumenteerde normen, interne controles op de naleving door het personeel, en aangiften van eigenaars van informatiemiddelen.