Zie Universitair Informatiemanagement

Informatiebeveiliging en privacy

Inleiding

Het informatiebeveiligingsbeleid bij de UT heeft als doel het waarborgen van de continuïteit van de bedrijfsvoering en het minimaliseren van de schade door het voorkomen van beveiligingsincidenten en het minimaliseren van eventuele gevolgen.

Principes

Informatiebeveiliging is een lijnverantwoordelijkheid: dat betekent dat de lijnmanagers (afdelingshoofden) de primaire verantwoordelijk dragen voor een goede informatiebeveiliging op hun afdeling / eenheid. Dit omvat ook de keuze van maatregelen en de uitvoering en handhaving ervan.

Informatiebeveiliging is ieders verantwoordelijkheid. Communiceer met medewerkers, studenten, docenten en derden dat er van hen verwacht wordt dat ze actief bijdragen aan de veiligheid van geautomatiseerde systemen en de daarin opgeslagen informatie. Dat kan in de aanstellingsbrief, tijdens functioneringsgesprekken, met een instellingsbrede gedragscode, met periodieke bewustwordingscampagnes, et cetera. Het opleggen van sancties na overtredingen maakt het geheel geloofwaardig.

Beleid

Het informatiebeveiligingsbeleid ligt ten grondslag aan de aanpak van informatiebeveiliging binnen de instelling. In het informatiebeveiligingsbeleid worden de randvoorwaarden en uitgangspunten vastgelegd en de wijze waarop het beleid wordt vertaald in concrete maatregelen. Om er voor te zorgen dat het beleid gedragen wordt binnen de organisatie en de organisatie er naar handelt wordt het uitgedragen door (of namens) het College van Bestuur. Het informatiebeveiligingsbeleid wordt opgesteld door Universitair Informatie Management en vastgesteld door het College van Bestuur.

Rollen

De Information Security Officer is een rol op strategisch (en tactisch) niveau binnen Universitair Informatie Management. UIM adviseert samen met LISA aan het College van Bestuur. De Security Officer bewaakt de uniformiteit binnen de instelling. De Security Manager is een functionaris bij LISA en deze vervult een rol bij de vertaling van de strategie naar tactische (en operationele) plannen. Dit doet de functionaris samen met de Information Security Officer (vanwege de uniformiteit), de systeemhouders en de facultaire informatiemanagers.

Kijk voor meer praktische informatie over ICT beveiliging op de Cybersafety website.

Documenten

Informatiebeveiligingsbeleid
Informatiebeveiligingsbeleid
Het informatiebeveiligingsbeleid ligt ten grondslag aan de aanpak van informatiebeveiliging. De primaire verantwoordelijkheid van informatiebeveiliging ligt bij de afdelingshoofden, zoals voor het bepalen welke maatregelen genomen moeten worden en te zorgen voor uitvoering en handhaving hiervan. Maar eigenlijk is iedereen verantwoordelijk voor informatiebeveiliging: de verwachting is dat je actief bijdraagt aan de veiligheid van geautomatiseerde systemen en de hierin opgeslagen informatie.
Privacy beleid
Privacy beleid
Het privacybeleid regelt de bescherming van verwerkingen waarin persoonsgegevens worden vastgelegd. Binnen de kaders van de geldende wet- en regelgeving wordt invulling gegeven aan de verantwoordelijkheden en rollen die nodig zijn om de privacy van alle bij de UT betrokken personen te beschermen.
Classificatierichtlijn
Classificatierichtlijn
Wij werken met informatie en geautomatiseerde informatiesystemen met informatie die beschermd moet worden. Het gaat om de juiste mate van beveiliging, die past bij de risico's die de informatie loopt. Hoe hoger het risico, hoe beter informatie beveiligd moet worden. De classificatierichtlijn begeleidt het classificatieproces voor het bepalen van de risico’s. Dit vindt plaats aan de hand van drie aspecten. 1. Beschikbaarheid: waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot informatie en aanverwante voorzieningen. 2. Integriteit: waarborgen van de correctheid en de volledigheid van informatie en verwerking. 3. Vertrouwelijkheid: waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe geautoriseerd zijn.
Wachtwoordbeleid
Wachtwoordbeleid
Het wachtwoordbeleid beschrijft waar wachtwoorden aan moeten voldoen, en wat de afwegingen zijn geweest om tot de gemaakte keuzes te komen.
Gedragscode ICT-functionarissen
Gedragscode ICT-functionarissen
Vanwege de soms vergaande bevoegdheden van ICT-functionarissen kunnen zij eenvoudig privacygevoelige gegevens verzamelen. Om misbruik te voorkomen zijn de ethische waarden en gedragsregels waaraan zij gehouden worden opgenomen in dit document.
Beleidsregels identitymanagement Universiteit Twente
Beleidsregels identitymanagement Universiteit Twente
LISA is als houder verantwoordelijk voor het Identitymanagement (IDM) systeem. Het IDM-systeem zorgt voor de authenticatie van gebruikers voor de informatiesystemen. Authenticatie is het proces waarmee een persoon zijn identiteit aantoont. Autorisatie is het proces van het verlenen van toegang aan personen of systemen tot functionaliteit van ICT-diensten. Er is vanuit de organisatie behoefte aan een korte bondige set beleidsuitgangspunten welke vervolgens als randvoorwaarden bij de verdere ontwikkelingen van het IDM-systeem gelden. Dit document beschrijft het kortetermijnbeleid, hiernaast zijn autorisatiebeleid en wachtwoordbeleid ontwikkeld. Deze beleidsregels zijn door het CvB op 2 december 2013 vastgesteld en op 9 juni 2015 gewijzigd.
Autorisatiebeleid Universiteit Twente
Autorisatiebeleid Universiteit Twente
Het toekennen van rechten wie wat mag, noemen we autorisatie. Het Autorisatiebeleid geeft algemene richtlijnen hoe bij informatiesystemen om te gaan met autorisaties. De houders van de instellingssystemen hebben op 24 maart 2014 in het I-Beraad ingestemd met dit beleid.