Deze regeling is van toepassing op het gehele proces van informatievoorziening en de gehele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie.
Regeling informatiebeveiliging politie
Geldig vanaf 15 december 2017
Geldig vanaf 15 december 2017
Regeling informatiebeveiliging politie
Opschrift
Aanhef
De Minister van Binnenlandse Zaken en de Minister van Justitie,
Gelet op de artikelen 38, derde lid, artikel 46 en 48, eerste lid, van de Politiewet 1993;
Gezien het advies van de korpsbeheerders, kenmerk 0113\1235\EMd’H, d.d. 17 december 1996, en van de Raad voor het Korps landelijke politiediensten, d.d. 25 oktober 1996;
Besluiten:
Artikel 1
In deze regeling wordt verstaan onder:
- a. afhankelijkheidsanalyse:
-
het vaststellen in hoeverre bedrijfsprocessen die door informatiesystemen ondersteund worden, afhankelijk zijn van de betrouwbaarheid van deze systemen en het vaststellen welke potentiële schades kunnen optreden als gevolg van het falen van deze informatiesystemen;
- d. betrouwbaarheid:
-
de mate waarin de politie zich kan verlaten op een informatiesysteem voor haar informatievoorziening;
- e. beschikbaarheid:
-
de mate waarin een informatiesysteem in bedrijf is op het moment dat de politie het nodig heeft;
- d. integriteit:
-
de mate waarin een informatiesysteem zonder fouten is;
- e. exclusiviteit:
-
de mate waarin de toegang tot en de kennisname van een informatiesysteem en de informatie daarin beperkt is tot een gedefinieerde groep van gerechtigden;
- f. informatiesysteem:
-
een geheel van gegevensverzamelingen, personen, procedures, programmatuur en opslagverwerkings- en communicatie-apparatuur;
- g. gemeenschappelijke IT-dienst:
-
een geheel van voorzieningen dat ter beschikking staat aan één of meerdere informatiesystemen binnen de politie en waarvoor de verantwoordelijkheid eenduidig is toe te wijzen aan één organisatorische eenheid;
- h. kwetsbaarheidsanalyse:
-
het vaststellen van de invloed van het manifest worden van bedreigingen op het functioneren van een informatiesysteem of een gemeenschappelijke IT-dienst;
- i. informatiebeveiliging:
-
het treffen en onderhouden van een samenhangend pakket van maatregelen ter waarborging van de beschikbaarheid, integriteit en exclusiviteit van een informatiesysteem en daarmee van de informatie daarin;
- j. informatiebeveiligingsplan:
-
de opsomming van alle beveiligingsmaatregelen of de vindplaatsen daarvan die voor een informatiesysteem of een gemeenschappelijke IT-dienst van kracht zijn;
- k. calamiteitenparagraaf:
-
de opsomming van alle maatregelen die tot uitvoering moeten komen als zich een situatie voordoet waarbij de beschikbaarheid, integriteit of exclusiviteit van een informatiesysteem in beduidende mate niet aan de eisen voldoen;
- l. kwaliteit:
-
de mate waarin het geheel van eigenschappen van een informatiesysteem voldoet aan de uit het gebruiksdoel voortvloeiende eisen;
- m. systeemexploitatie:
-
de zorg voor het functioneren van (een deel van) een informatiesysteem;
- n. systeemverwerving:
-
de zorg voor het ontwikkelen, kopen, huren en dergelijke en het uitvoeren van aanpassingen aan (delen van) een informatiesysteem zoals procedures, programmatuur of apparatuur.
Artikel 2
Artikel 3
1.
De korpschef stelt het informatiebeveiligingsbeleid vast in een beleidsdocument en draagt dit beleid uit. Indien het informatiebeveiligingsbeleid mede betrekking heeft op informatiesystemen ten behoeve van de opsporing van strafbare feiten, stelt de korpschef dit beleidsdocument vast na overleg met de hoofdofficier van justitie.
2.
Het document omvat tenminste:
de strategische uitgangspunten en randvoorwaarden die de politie hanteert ten aanzien van informatiebeveiliging, met name de inbedding in en afstemming op het algemene beveiligingsbeleid en het informatievoorzieningsbeleid;
de organisatie van de beveiligingsfunctie, waaronder het toedelen van verantwoordelijkheden, taken en bevoegdheden;
de eenduidige en volledige indeling van informatievoorzieningsfaciliteiten in informatiesystemen en gemeenschappelijke IT-diensten en toewijzing van de verantwoordelijkheden daarvoor aan leidinggevenden;
de wijze waarop het beleid wordt vertaald naar concrete maatregelen en de wijze waarop deze gefinancierd worden;
de gemeenschappelijke betrouwbaarheidseisen en maatregelen, vastgesteld met inachtneming van de bij deze regeling gevoegde bijlage, die voor de politie van toepassing zijn;
de wijze waarop geconstateerde dan wel vermoede inbreuken op de informatiebeveiliging door politieambtenaren gemeld worden, de politieambtenaar bij wie deze inbreuken worden gemeld en de wijze waarop deze worden afgehandeld;
de wijze waarop en de frequentie waarmee volgens een vastgesteld schema het informatiebeveiligingsbeleid geëvalueerd wordt en de toereikendheid van het informatiebeveiligingsbeleid alsmede de implementatie en de uitvoering daarvan wordt beoordeeld door een onafhankelijke deskundige;
de wijze waarop het beveiligingsbewustzijn wordt bevorderd en
de te nemen maatregelen met betrekking tot de interceptiefaciliteiten binnen het korps.