Organisatie | Velsen |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Beleid informatiebeveiliging Gemeente Velsen 2016 |
Citeertitel | Beleid informatiebeveiliging Gemeente Velsen 2016 |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp | Het beleid informatiebeveiliging Gemeente Velsen, vastgesteld in 2011 komt hiermee te vervallen. |
Externe bijlage | Informatiebeveiligingsbeleid Gemeente Velsen 2016 |
Geen
Nvt
Geen
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
16-02-2016 | Nieuwe regeling | 16-02-2016 Nvt | B16.0057 |
Informatie is een belangrijk bedrijfsmiddel van de gemeente Velsen. Daarbij heeft Velsen op het gebied van privacy een maatschappelijke verantwoordelijkheid en hecht dus belang aan het beschermen van de privacy van haar burgers. Een hoge betrouwbaarheid van de informatievoorziening zorgt voor een betrouwbare dienstverlening en maakt efficiënt werken mogelijk.
De betrouwbaarheid van de informatievoorziening valt uiteen in drie begrippen: beschikbaarheid, integriteit en vertrouwelijkheid. Informatiebeveiliging is het proces dat er voor zorgt dat de betrouwbaarheid voldoende (d.w.z.: op het afgesproken niveau) is. Door periodieke controle, organisatiebrede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening. In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening organisatiebreed benaderd. Het plan dient jaarlijks te worden aangepast naar aanleiding van nieuwe ontwikkelingen, controles en registraties in het incidentenregister.
Informatiebeveiliging raakt alle onderdelen van de organisatie. Het is daarom nodig verantwoordelijkheden, rollen, taken en bevoegdheden volstrekt helder te hebben.
Het college van Burgemeester en Wethouders is integraal verantwoordelijk voor de beveiliging van informatie binnen de werkprocessen van de gemeente zodat de betrouwbaarheid van de organisatie als verlener van diensten aan de inwoners van Velsen op een hoog peil wordt gehouden. Als zodanig stelt het college het informatiebeveiligingsbeleid vast, delegeert de uitvoering aan de directie en informeert de gemeenteraad over dit thema.
De Directie is verantwoordelijk voor de beveiliging van informatie en bijbehorende sturing. Namens de directie geeft de afdelingsmanager Informatiemanagement op dagelijkse basis invulling aan de sturende rol. De hieruit voortvloeiende taken zijn belegd bij de coördinator informatiebeveiliging (CIB).
De CIB ondersteunt (onder verantwoordelijkheid van portefeuillehouder en afdelingsmanager Informatiemanagement) de directie en de afdelingsmanagers met kennis over informatiebeveiliging zodat zij hun verantwoordelijkheid voor de betrouwbaarheid van de informatievoorziening juist kunnen invullen én is aanspreekpunt voor medewerkers van de gemeente Velsen over het onderwerp informatiebeveiliging. De CIB zorgt voor de totstandkoming van beleid en plan en coördineert, samen met de Contactpersonen informatiebeveiliging op de afdelingen, de uitvoering van de maatregelen, rapporteert hierover en over incidenten. Concerncontrol voert de periodieke controle uit op de juiste naleving, de werking, de effectiviteit en de kwaliteit van de maatregelen.
Vanuit juridische zaken is een privacyfunctionaris belast met de implicaties die voortvloeien uit de Wbp ofwel op de bescherming van de privacy en persoonsgegevens binnen de gemeente Velsen.
Het inrichten van een systeem voor informatiebeveiliging (Information Security Management System of ISMS) begint met beleid. Dit wordt vertaald naar een informatiebeveiligingsplan met maatregelen om de juiste bescherming van de informatievoorziening tot stand te brengen. De maatregelen worden geprioriteerd en voor uitvoering ingepland. De effectiviteit van de maatregelen wordt vervolgens door controles bepaald. Zo nodig wordt de effectiviteit verbeterd door maatregelen aan te passen. In de loop van de tijd is het misschien nodig om nieuwe maatregelen te treffen als gevolg van ontwikkelingen. De cyclus die hierdoor ontstaat wordt Plan, Do, Check, Act-cyclus (PDCA-cyclus) genoemd.
Het beleid van de gemeente Velsen is gebaseerd op de Baseline Informatiebeveiliging voor Gemeenten (BIG) en deze bestaat uit 2 delen, te weten een strategisch en tactisch deel. De BIG is opgesteld door de informatiebeveiligingsdienst (IBD, onderdeel van KING, opgericht in 2012) en in 2013 vastgesteld door de VNG. Dit naar aanleiding van een aantal ernstige incidenten die zich vanaf 2011 bij de gemeentelijke overheid hebben voorgedaan.
De Strategische Baseline kan gezien worden als een ’kapstok’ waaraan de elementen van informatiebeveiliging opgehangen worden. Centraal staan de organisatie en de verantwoording over informatiebeveiliging binnen de gemeente. Dit deel vinden we terug in het ISMS dat vanuit een PDCA-cyclus grip houdt op het proces.
De Tactische Baseline beschrijft de normen en maatregelen ten behoeve van
controle en risicomanagement. De Tactische Baseline beschrijft aan de hand van
dezelfde indeling als de internationale beveiligingsnorm ISO/IEC 27002:2007, de
controls/maatregelen die als baseline gelden voor de gemeenten. Het is feitelijk het toetsingskader waaraan inhoudelijk moet worden voldaan.
De Tactische Baseline hanteert de volgende indeling:
Niet alle bedrijfsprocessen van de gemeente Velsen zijn van hetzelfde gewicht. Het is goed om de meest kritische processen te benoemen. Voor deze processen dient te worden bepaald of de BIG voldoende bescherming biedt en welke aanvullende maatregelen er eventueel nodig zijn.
De kritische processen van de gemeente Velsen zijn:
Medewerkers van de gemeente Velsen hebben informatie nodig om hun werk te kunnen doen. Een deel van de informatie heeft een sterk vertrouwelijk karakter en mag niet door alle medewerkers worden geraadpleegd. Aan de andere kant is het wel nodig dat de informatievoorziening volledig aansluit bij de taken die de medewerker verricht. Softwareapplicaties die primair gericht zijn op het raadplegen van informatie maken het mogelijk om informatie op maat te ontsluiten.