Informatiebeveiliging

Inleiding

Het informatiebeveiligingsbeleid bij de UT heeft als doel het waarborgen van de continuïteit van de bedrijfsvoering en het minimaliseren van de schade door het voorkomen van beveiligingsincidenten en het minimaliseren van eventuele gevolgen.

Principes

Informatiebeveiliging is een lijnverantwoordelijkheid: dat betekent dat de lijnmanagers (afdelingshoofden) de primaire verantwoordelijk dragen voor een goede informatiebeveiliging op hun afdeling / eenheid. Dit omvat ook de keuze van maatregelen en de uitvoering en handhaving ervan.

Informatiebeveiliging is ieders verantwoordelijkheid. Communiceer met medewerkers, studenten, docenten en derden dat er van hen verwacht wordt dat ze actief bijdragen aan de veiligheid van geautomatiseerde systemen en de daarin opgeslagen informatie. Dat kan in de aanstellingsbrief, tijdens functioneringsgesprekken, met een instellingsbrede gedragscode, met periodieke bewustwordingscampagnes, et cetera. Het opleggen van sancties na overtredingen maakt het geheel geloofwaardig.

Beleid

Het informatiebeveiligingsbeleid ligt ten grondslag aan de aanpak van informatiebeveiliging binnen de instelling. In het informatiebeveiligingsbeleid worden de randvoorwaarden en uitgangspunten vastgelegd en de wijze waarop het beleid wordt vertaald in concrete maatregelen. Om er voor te zorgen dat het beleid gedragen wordt binnen de organisatie en de organisatie er naar handelt wordt het uitgedragen door (of namens) het College van Bestuur. Het informatiebeveiligingsbeleid wordt opgesteld door Universitair Informatie Management en vastgesteld door het College van Bestuur.

Rollen

De Information Security Officer is een rol op strategisch (en tactisch) niveau binnen Universitair Informatie Management. UIM adviseert samen met het servicecentrum ICTS aan het College van Bestuur. De Security Officer bewaakt de uniformiteit binnen de instelling. De Information Security Manager is een functionaris bij ICTS en vervult een rol bij de vertaling van de strategie naar tactische (en operationele) plannen. Dit doet de functionaris samen met de Information Security Officer (vanwege de uniformiteit), de systeemhouders en de facultaire informatiemanagers.

Kijk voor meer praktische informatie over ICT beveiliging op de website van ICTS.

Informatiebeveiliging en privacy

pdf

Informatiebeveiligingsbeleid

Het informatiebeveiligingsbeleid geeft de kaders voor het treffen en onderhouden van een samenhangend pakket aan maatregelen om de beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening te garanderen.
Op 7 december 2015 heeft het College van Bestuur het herziene Informatiebeveiligingsbeleid vastgesteld. ... lees verder

pdf

Classificatierichtlijn Informatie en Informatiesystemen

Bij de Universiteit Twente wordt gewerkt met informatie en geautomatiseerde informatie-systemen. Aandacht voor de beveiliging van informatie is noodzakelijk. Het gaat daarbij om de juiste mate van beveiliging, één die past bij de risico's die de informatie loopt. Classificatie van informatie geeft een inschatting van de gevoeligheid en het belang van de informatie en de daarbij horende graad van beveiliging. Classificatie levert zodoende een bijdrage aan het bepalen van de juiste mate van beveiliging van de informatie.
Deze classificatierichtlijn werkt de classificatie van Informatie en Informatiesystemen uit zoals beschreven in het Informatiebeveiligingsbeleid Universiteit Twente. Deze richtlijn is zo geschreven dat zij bruikbaar is tijdens het classificatieproces zonder dat het Informatie-beveiligingsbeleid Universiteit Twente geraadpleegd hoeft te worden. ... lees verder

pdf

Gedragscode ICT-functionarissen Universiteit Twente

Vanuit hun functie hebben ICT-functionarissen vaak verregaande bevoegdheden binnen informatieverwerkende systemen. Door de tools die hen ter beschikking staan kunnen zij vaak op eenvoudige wijze privacygevoelige informatie verzamelen. De formulering van deze integriteitscode ICT-functionarissen past binnen een nog te ontwikkelen algemene integriteitscode voor de gehele UT, welke beschrijft wat de ethische waarden zijn die wij voorstaan en waarop men ons mag aanspreken.
De gedragscode is op 18 februari 2013 door het CvB vastgesteld en op 11 april besproken in het lokaal overleg tussen CvB en vakbonden (OPUT). ... lees verder

PDF

Beleidsregels Identitymanagement Universiteit Twente

ICTS is als houder verantwoordelijk voor het Identitymanagement (IDM) systeem. Het IDM-systeem zorgt voor de authenticatie van gebruikers voor de informatiesystemen. Authenticatie is het proces waarmee een persoon zijn identiteit aantoont. Autorisatie is het proces van het verlenen van toegang aan personen of systemen tot functionaliteit van ICT-diensten.
Er is vanuit de organisatie behoefte aan een korte bondige set beleidsuitgangspunten welke vervolgens als randvoorwaarden bij de verdere ontwikkelingen van het IDM-systeem gelden. Dit document beschrijft het kortetermijnbeleid, hiernaast wordt er autorisatiebeleid en wachtwoordbeleid ontwikkeld.
Deze beleidsregels zijn door het CvB op 2 december 2013 vastgesteld en op 9 juni 2015 gewijzigd. ... lees verder

PDF

Autorisatiebeleid Universiteit Twente

Het toekennen van rechten wie wat mag, noemen we autorisatie. Het Autorisatiebeleid geeft algemene richtlijnen hoe bij informatiesystemen om te gaan met autorisaties.
De houders van de instellingssystemen hebben op 24 maart 2014 in het I-Beraad ingestemd met dit beleid. ... lees verder

PDF

Ambitieniveau SURFaudit

In SURF-verband is afgesproken dat de instellingen de SURFaudit uitvoeren om het niveau van de informatiebeveiliging te meten. Op 23 maart 2015 heeft het CvB besloten om het ambitieniveau voor de SURFaudit vast te stellen op minstens volwassenheidsniveau 3: Defined Process. ... lees verder

pdf

Wachtwoordbeleid Universiteit Twente

Bij de opstelling van de Beleidsregels Identitymanagement Universiteit Twente is ervoor gekozen om een apart wachtwoordbeleid op te stellen waarin alle aspecten opnieuw worden afgewogen en uitgewerkt. De verschillende inzichten worden in dit document belicht.
Het College van Bestuur heeft op 9 juni 2015 besloten om de notitie ‘Wachtwoordbeleid Universiteit Twente’ en de wijziging van de ‘Beleidsregels Identitymanagement Universiteit Twente’ vast te stellen. ... lees verder

Privacybeleid

In onze toenemend gedigitaliseerde maatschappij krijgt privacy steeds meer aandacht. Medewerkers en studenten vinden privacy steeds belangrijker. High Tech, Human Touch impliceert aandacht voor privacy bij onderzoek, onderwijs en bedrijfsvoering. De Wet bescherming persoonsgegevens (Wbp) is onlangs uitgebreid met een meldplicht datalekken, en op Europees niveau is recent de Algemene verordening gegevensbescherming (Avg) vastgesteld, als opvolger van de huidige richtlijn waarop de Wbp is gebaseerd. Alle reden voor de Universiteit Twente om een privacybeleid op te stellen. ... lees verder