Organisatie | Berkelland |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Besluit van het college van burgemeester en wethouders van de gemeente Berkelland houdende regels omtrent Informatiebeveiliging vastgestelde beleidskaders 2019 |
Citeertitel | Informatiebeveiliging vastgestelde beleidskaders 2019 |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | openbare orde en veiligheid |
Eigen onderwerp |
Deze regeling bevat de vroegst mogelijke datum van inwerkingtreding.
Deze regeling vervangt de Informatiebeveiliging (vastgesteld beleidskaders 2016).
Onbekend
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
07-02-2019 | nieuwe regeling | 29-01-2019 | 236865 |
In dit document is het gemeentebreed informatiebeveiligingsbeleid beschreven van de gemeente Berkelland.
Het doel van informatiebeveiliging is het:
Het informatiebeveiligingsbeleid is gebaseerd op de internationale standaarden voor informatiebeveiliging: NEN/ISO 27001 en NEN/ISO 27002. Voornamelijk op basis van deze standaard is de Baseline Informatiebeveiliging Nederlandse Gemeenten (VNG/KING) opgesteld. Deze Baseline Informatiebeveiliging geeft een specifieke invulling aan de wijze waarop de veiligheid van informatie binnen gemeentelijke organisaties moet zijn geborgd.
Er is wetgeving waar altijd aan voldaan moet worden, zoals bijvoorbeeld de Wet Basisregistratie Personen (BRP), Wet structuur uitvoeringsorganisatie werk en inkomen (Suwi), Basisregistraties Adressen en Gebouwen, Paspoort Uitvoeringsregeling Nederland, maar ook de archiefwet en de Wet bescherming persoonsgegevens.
De algemeen directeur/ gemeentesecretaris is verantwoordelijk voor het stellen van normen en kaders en het geven van sturing ten aanzien van de veiligheid van informatie. Hij belegt verantwoordelijkheden voor informatiebeveiligingscomponenten, –systemen en –taken bij de zelforganiserende teams en/of bij specifieke functionarissen. Hij houdt daarbij rekening met een functiescheiding tussen uitvoerende, controlerende en beleidsbepalende taken. Hij wijst een coördinator privacybescherming en informatieveiligheid en CISO aan.
De kaders zijn zodanig opgezet dat het een naslagwerk vormt voor hen die direct betrokken zijn bij de informatieveiligheid en hier in hun werk of project aandacht aan moet besteden. De intentie is niet dat alle medewerkers exact weten wat er in het gemeentebreed informatiebeveiligingsbeleid staat, maar wel weten dat er kaders zijn, hoe het te gebruiken, wat de belangrijkste uitgangspunten zijn en bij wie hulp is te vinden.
In 2016 is er voor het laatst een volledig naar de laatste inzichten opgesteld beleids- en beheerkader voor de gemeente Berkelland vastgesteld. In 2017 is deze geactualiseerd naar de eisen en aanpassingen als gevolg van de invoering AVG, het ENSIA veranwoordingsproces en organisatorische inpassing van Functionaris Gegevensbescherming, CISO en coördinator privacybescherming en informatieveiligheid.
Deze aanpassing betreft een update voor het gebruik van Suwinet. De gemeente dient zelf een security officer, gemandateerde en applicatiebeheerder van de Sociale dienst Oost Achterhoek aan te wijzen. Die taak wordt hier aan de gemeentesecretaris toegewezen.
2. Visie informatiebeveiliging gemeente Berkelland
Het belang van informatie(veiligheid)
Informatie is één van de voornaamste bedrijfsmiddelen van Berkelland. Het verlies van gegevens, uitval van ICT en/of het door onbevoegden kennisnemen of manipuleren van bepaalde informatie kan ernstige gevolgen hebben voor de bedrijfsvoering. Informatieveiligheid is alleen daarom al van groot belang. Ernstige incidenten hebben mogelijk negatieve gevolgen voor burgers, bedrijven, partners en de eigen organisatie met waarschijnlijk ook politieke consequenties. Het kan ook leiden tot imagoschade.
Informatiebeveiliging (IB) is het proces dat deze belangen dient.
Een betrouwbare 1 informatievoorziening is noodzakelijk voor het goed functioneren van de gemeentelijke organisatie en de basis voor het beschermen van rechten van burgers en bedrijven. Dit vereist een integrale aanpak, goed opdrachtgeverschap en risicobewustzijn. Ieder organisatieonderdeel is hierbij betrokken. |
Het proces van informatiebeveiliging is primair gericht op bescherming van gemeentelijke informatie. De focus is gericht op informatie(uitwisseling) in alle verschijningsvormen, zoals elektronisch, op papier en mondeling. Het gaat niet alleen over beschikbaarheid van informatiesystemen en afscherming van gegevens. Het gaat ook om de bescherming van vitale maatschappelijke functies die worden ondersteund met informatie (verkeer, vervoer, openbare orde en veiligheid, etc.). Het gaat ook niet alleen over ICT techniek: verantwoord en bewust gedrag van medewerkers is essentieel voor informatieveiligheid. Over de privacy en bescherming van persoonsgegevens worden afzonderlijk aanvullende maatregelen getroffen. De Europese Algemene Verordening Gegevensbescherming stelt per 25 mei 2018 aanvullende eisen. Hiervoor zijn in het Privacybeleid op 11 december 2018 aanvullende kaders gesteld.
Dit informatiebeveiligingsbeleid (IB-beleid) is het kader voor passende organisatorische, procedurele en technische maatregelen om gemeentelijke informatie te beschermen en te waarborgen. De gemeente Berkelland streeft er naar om ‘in control’ te zijn en daarover op professionele wijze bestuurlijke verantwoording af te leggen aan ketenpartners en gemeenteraad. In control betekent in dit verband dat:
Het beleid is gebaseerd op de Code voor Informatiebeveiliging (NEN/ISO 27002) en de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) 2 .
De aanpak van informatiebeveiliging (IB-beleid) in de gemeente Berkelland is ‘risk based’. Dat wil zeggen: beveiligingsmaatregelen worden getroffen op basis van een toets tegen de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) van VNG/KING (GAP-analyse) en de mate waarop in Berkelland daarvoor risico wordt gelopen.Er is een standaard pakket aan maatregelen. Indien een systeem meer maatregelen nodig heeft, wordt een risicoanalyse uitgevoerd. Daartoe inventariseert de proceseigenaar de kwetsbaarheid van zijn werkproces en de dreigingen die kunnen leiden tot een beveiligingsincident, rekening houdend met de beschermingseisen van de informatie. Het risico is de kans op beveiligingsincidenten en de impact daarvan op het werkproces en wordt bepaald door de proceseigenaar: risico = kans x impact.
Dit gemeentelijke IB-beleid is een algemene basis. Voor bepaalde kerntaken gelden op grond van wet- en regelgeving specifieke (aanvullende) beveiligingseisen. 3
Dit IB-beleid treedt in werking per 1 januari 2019.
Aan het informatiebeveiligingsbeleid van de gemeente Berkelland wordt nadere invulling gegeven door de algemeen directeur/gemeentesecretaris, de concern opdrachtgevers en de zelforganiserende teams op basis van het ‘pas toe of legt principe’ uit de hoofdstukken 5 tot en met 15 uit de tactische variant van de Baseline Informatiebeveiliging Gemeenten. Deze wordt verder uitgewerkt in een beveiligingsbeheerkader.
3. Kaders informatieveiligheid gemeente Berkelland
Alle informatie en informatiesystemen vallen onder dit beleidskader van informatiebeveiliging. De verantwoordelijkheid voor informatiebeveiliging ligt bij de algemeen directeur/gemeentesecretaris, de concern opdrachtgevers en de teams. Het college van burgemeester en wethouders is bestuurlijk eindverantwoordelijke. De verantwoordelijkheden voor de bescherming van persoonsgegevens en privacy en voor het uitvoeren van beveiligingsprocedures zijn expliciet gedefinieerd.
Het bestuur kiest voor een optimale beveiliging van de haar toevertrouwde informatievoorziening en passende maatregelen. Hierbij wordt een zorgvuldige afweging gemaakt tussen afhankelijkheid en kwetsbaarheid van de processen enerzijds en de risico’s versus kosten/consequenties van de beveiligingsmaatregelen anderzijds.
Specifieke regels en verantwoordelijkheden voor het beveiligingsbeheer dienen te worden vastgelegd en vastgesteld door de algemeen directeur/gemeentesecretaris in overleg met de werkgroep Privacybescherming en informatiebeveiliging. Alle medewerkers van de gemeente worden bewust gemaakt van en getraind in het gebruik van beveiligingsprocedures.
Informatiebeveiliging is een continu verbeterproces. De algemeen directeur/gemeentesecretaris stelt minimaal tweejaarlijks een informatiebeveiligingsplan vast, waarin de betrouwbaarheid, de beschikbaarheid en de integriteit van de informatievoorziening organisatie breed wordt benaderd en verbetermaatregelen worden gepland.
De CISO ziet vanuit een onafhankelijke positie toe op correcte naleving, werking, effectiviteit en kwaliteit van de maatregelen die ten aanzien van de informatieveiligheid zijn getroffen. Hij ziet op de voortgang van de uitvoering van het informatiebeveiligingsplan. Hij rapporteert hierover minimaal eens per jaar (zo nodig rechtstreeks) aan het college.
Dit IB-beleid treedt in werking op 1 januari 2019. Hiermee komt het oude IB-beleid van de gemeente Berkelland van 1 september 2017 te vervallen.