Jaarstukken 2018

Informatiebeveiliging en privacy

Informatiebeveiliging

Informatiebeveiliging

In 2016 is de gemeente gestart met de invoering van de Baseline Informatiebeveiliging voor Gemeenten (BIG) met als doel om informatiebeveiliging structureel te borgen in de organisatie. De bestuurlijke richting, kaders en uitgangspunten waarin informatiebeveiliging zich behoort te ontwikkelen, zijn vastgelegd in een beleidsdocument en er is een CISO benoemd die binnen de gestelde beleidskaders belast is met het vormgeven van de beveiligingsorganisatie en het verder professionaliseren van informatieveiligheid. Informatiebeveiliging is overigens geen doel op zich maar een essentiële factor om de bedrijfsdoelstellingen te kunnen realiseren. Het ondersteunt de primaire processen en de veilige en verantwoorde uitvoering daarvan om het gestelde vertrouwen van de burger in de overheid niet te schaden.

Beheer:
De afgelopen periode is ingezet om de organisatie van de informatiebeveiliging een structurele plek te geven. Dat gaat overigens niet vanzelf en vereist ook voor de komende jaren een aanpak met een hoog bewustzijnsgehalte in de vorm van intern overleg, workshops, cursussen en training op alle niveaus. Het besef moet groeien dat de managers zelf verantwoordelijk zijn voor informatiebeveiliging en daar ook naar moeten handelen. Dat kunnen managers niet alleen en daarvoor biedt de 2e lijn zoals de CISO en andere faciliterende disciplines ondersteuning in de vorm van tijdige (sturings-)informatie, advies, controle en begeleiding. In deze beoogde samenwerking zal de komende jaren intensief geïnvesteerd moeten worden om informatiebeveiliging tot een succes te maken.

Het borgen van informatiebeveiliging wordt ondersteund met een ISMS (Informatie Security Management Systeem). Het beveiligingsproces vereist namelijk jaarlijks periodieke activiteiten op het gebied van planning, implementatie, controle, verbeteringen en rapportages. Daardoor is de gemeente beter in staat om:

  • informatiebeveiliging te managen;
  • bedrijfsmiddelen te beschermen;
  • de bewustwording en acceptatie van informatiebeveiliging bij medewerkers te versterken;
  • ongeautoriseerde toegang tot informatie te voorkomen;
  • snel en adequaat te kunnen reageren op beveiligingsincidenten;
  • persoonsgegevens van burgers en medewerkers te beschermen;
  • de bedrijfscontinuïteit te garanderen;
  • te voldoen aan naleving van wet- en regelgeving.

Om dit geheel te blijven overzien en te kunnen managen, heeft de gemeente gekozen voor een geautomatiseerde tooling die het ISMS ondersteunt. Deze tooling draagt eveneens bij tot verhoogde transparantie doordat het de aantoonbaarheid om in control te raken ondersteunt.
Het ISMS van de gemeente Hulst is overigens nog niet volop operationeel, maar de eerste stappen zijn gezet.

Overige activiteiten 2018:
Verder zijn in 2018 de volgende maatregelen uit de BIG gerealiseerd:

  • Jaarplan informatiebeveiliging 2018 / 2019 als onderdeel van het ISMS waarin de belangrijkste actiepunten voor die periode zijn opgenomen;
  • Verklaring van toepasselijkheid is vastgesteld. Dit document geeft inzicht in de beveiligingsmaatregelen volgens de BIG die wel/niet/deels zijn geïmplementeerd of niet van toepassing zijn;
  • Inrichting van samenwerking tussen de CISO en de PO n.a.v. de inwerkingtreding van de AVG;
  • Instellen van een structureel overlegorgaan informatiebeveiliging (groot Privacy Informatiebeveiliging Team). In dit overleg nemen de informatiebeveiligers / privacybeheerders van de verschillende afdelingen deel;
  • Encrypted e-mailen; vaststellen procedure beheer van certificaten en encryptiesleutels met de daarbij horende handreiking encryptiegebruik;
  • Vaststellen procedure mobiele gegevensdragers;
  • Diverse awareness-activiteiten op het gebied van informatieveiligheid en privacy (inzet tv-schermen en intranet; presentaties tijdens afdelingsoverleggen, MO, gemeenteraad, i-organisatie enz);
  • Dataclassificaties uitgevoerd op informatiesystemen.

Niet alle geplande activiteiten voor 2018 zijn overigens gerealiseerd. Dat heeft enerzijds te maken met de omvang van de taken in relatie tot beschikbare capaciteit en anderzijds met het stellen van andere prioriteiten en afweging van risico’s bij niet uitvoering van taken door diverse actiehouders. Deze afwerking van de achterstand is intern besproken en wordt gepland in 2019.


Figuur 1: Voortgang activiteiten informatiebeveiliging.

Audits:
Verder zijn de verplichte zelfevaluaties/audits in 2018 met goed gevolg uitgevoerd op het gebied van de:

  • Basisregistratie Personen (BRP);
  • Paspoorten en Nederlandse Identiteitskaarten (PNIK);
  • Basisregistratie Adressen & Gebouwen (BAG);
  • Basisregistratie Grootschalige Topografie (BGT);
  • Baseline Informatiebeveiliging Gemeenten (BIG);
  • DigiD;
  • Structuur uitvoeringsorganisatie Werk & Inkomen (Suwinet).

Er zijn van deze zelfevaluaties / audits afzonderlijke rapporten beschikbaar waarin de bevindingen en conclusies zijn vastgelegd. ENSIA (Eenduidige Normatiek Single Information Audit) ondersteunt de gemeente bij het in één keer slim verantwoording afleggen over informatieveiligheid gebaseerd op de BIG met inbegrip van de specifieke normenkaders voor de BRP, PNIK, BAG, BGT, DigiD en Suwinet. Uitgangspunt hierbij is de horizontale verantwoording aan de gemeenteraad. Deze vormt de basis voor het verticale verantwoordingsproces aan nationale partijen die een rol hebben in het toezicht op informatieveiligheid.

ga terug