Organisatie | Oldenzaal |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Besluit van het college van burgemeester en wethouders van de gemeente Oldenzaal houdende regels omtrent het informatiebeveiligingsbeleid 2020 t/m 2022 |
Citeertitel | Informatiebeveiligingsbeleid gemeente Oldenzaal 2020 t/m 2022 |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | ruimtelijke ordening, verkeer en vervoer |
Eigen onderwerp |
Deze regeling vervangt het Gemeentebrede Informatieveiligheidsbeleid 2016.
Onbekend
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
04-12-2019 | nieuwe regeling | 19-11-2019 |
Deze beleidsnota beschrijft het strategisch informatiebeveiligingsbeleid voor de jaren 2020 tot en met 2022 en vervangt het in 2016 vastgestelde ‘gemeentebrede Informatieveiligheidsbeleid’.
Deze nota is richtinggevend en kader stellend en wordt aangevuld met onderwerp specifieke beleidsdocumenten voor informatiebeveiliging op tactisch niveau en werkinstructies op operationeel niveau.
Met dit ‘Strategisch Gemeentelijk Informatiebeveiligingsbeleid 2020 t/m 2022’ zet de gemeente Oldenzaal een volgende stap om de beveiliging van persoonsgegevens en andere informatie binnen de gemeente te continueren en voort te gaan op de stappen die in de voorgaande jaren gezet zijn. De basis voor dit strategisch beleid is de NEN-ISO/IEC 27002:2017 en de daarvan afgeleide Baseline Informatiebeveiliging Overheid (BIO). De BIO is het nieuwe normenkader voor de gehele overheid en voor gemeenten de opvolger van de Baseline Informatiebeveiliging Gemeenten (BIG). De werkwijze van deze BIO is meer gericht op risicomanagement dan de oude BIG. De principes zijn gebaseerd op de 10 principes voor informatiebeveiliging zoals uitgewerkt door de VNG, zie 2.2.2.
In hoofdstuk 2 wordt de kern van het strategisch beleid uiteengezet. Dit beleid wordt op tactisch niveau aangevuld met onderwerp specifieke tactische beleidsregels die aanvullend zijn op dit strategisch beleid. In het jaarlijks uit te brengen gemeentelijk Informatiebeveiligingsplan (vast te stellen door het MT) worden deze tactische en operationele aspecten van de informatiebeveiliging verder uitgewerkt en geconcretiseerd. Dit wordt gedaan op basis van input van de teamleiders, de CISO, het dreigingsbeeld van de Informatiebeveiligingsdienst (IBD) en de uitkomsten van de Eenduidige Normatiek Single Information Audit (ENSIA). In dit plan staan dan ook de acties en planning vermeld, om de praktijk in overeenstemming te brengen met het beleid. Hoofdstuk 3 beschrijft vervolgens hoe de taken en verantwoordelijkheden in de organisatie belegd zijn.
1.2 Wat is informatiebeveiliging?
Onder informatiebeveiliging wordt verstaan het treffen en onderhouden van een samenhangend pakket van maatregelen om de betrouwbaarheid van de informatievoorziening aantoonbaar te waarborgen. Kernpunten daarbij zijn beschikbaarheid, integriteit (juistheid) en vertrouwelijkheid van persoonsgegevens en andere informatie.
Het informatiebeveiligingsbeleid geldt voor alle processen van de gemeente en borgt daarmee de informatievoorziening gedurende de hele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie. Het beperkt zich niet alleen tot de ICT en heeft betrekking op het politieke bestuur, alle medewerkers, burgers, gasten, bezoekers en externe relaties.
1.3 Ambitie en visie van de gemeente op het gebied van informatieveiligheid
De gemeente Oldenzaal wil alle informatie waar zij verantwoordelijk voor is zo goed mogelijk beschermen. De gemeente Oldenzaal moet voldoen aan de normen uit de BIO. Daarvoor hebben wij een risicoanalyse gemaakt. Op punten waar we nog onvoldoende scoren worden acties in jaarplannen weggezet.
Een betrouwbare informatievoorziening is essentieel voor het goed functioneren van de processen bij de gemeente. Informatiebeveiliging is het proces dat deze betrouwbare informatievoorziening borgt. Het opnemen van informatiebeveiliging als normaal kwaliteitscriterium voor een gezonde bedrijfsvoering is tegenwoordig niet langer een keuze, maar bittere noodzaak geworden.
Met deze beleidsnota presenteren we het “Strategisch Informatiebeveiligingsbeleid 2020 - 2022”. De uitwerking van dit beleid in concrete maatregelen vindt plaats in het jaarlijks bij te stellen informatiebeveiligingsplan. En daarmee draagt dit bij aan het uiteindelijke doel:
Het borgen van betrouwbare dienstverlening en een aantoonbaar niveau van informatiebeveiliging dat
Het informatiebeveiligingsbeleid wordt minimaal eens in de 3 jaar geëvalueerd, zo nodig bijgesteld en opnieuw door het college vastgesteld.
De belangrijkste ontwikkelingen die van belang zijn voor de actualisering van het informatiebeveiligingsbeleid zijn de onderstaande.
De BIO (Baseline Informatiebeveiliging Overheid) is het nieuwe normenkader voor de gehele overheid. De werkwijze van deze BIO is meer gericht op risicomanagement dan de oude BIG (Baseline Informatiebeveiliging Gemeenten). Dat wil zeggen dat de organisatie nu meer dan vroeger moet werken volgens de aanpak van de ISO 27001 en daarbij is risicomanagement van belang. Dit houdt voor het management in, dat men op voorhand keuzes maakt en continu afwegingen maakt of informatie in bestaande en nieuwe processen adequaat beveiligd zijn in termen van beschikbaarheid, integriteit en vertrouwelijkheid.
2.2.2 De 10 principes voor informatiebeveiliging
De 10 principes voor informatiebeveiliging zijn een bestuurlijke aanvulling op het normenkader- 1 BIO en gaan over de waarden die de bestuurder zichzelf oplegt. De principes zijn als volgt:
De principes gaan vooral over de rol van het bestuur bij het borgen van informatiebeveiliging in de gemeentelijke organisatie. Deze principes ondersteunen de bestuurder bij het uitvoeren van goed risicomanagement. Als er iets verkeerd gaat met betrekking tot het beveiligen van de informatie binnen de gemeentelijke processen, dan kan dit directe gevolgen hebben voor inwoners, ondernemers en partners van de gemeente. Daarmee is het onderwerp informatiebeveiliging nadrukkelijk gewenst op de bestuurstafel.
2.2.3 Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten
Het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten geeft een actueel zicht op incidenten en factoren uit het verleden, aangevuld met een verwachting voor het heden en de nabije toekomst. Dit dreigingsbeeld is daarmee het ideale document om focus aan te brengen in het actualiseren van beleid en plannen voor informatiebeveiliging.
2.2.4 Informatie uit incidenten en inbreuken op de beveiliging
De gemeente kent naast het hierboven genoemde dreigingsbeeld natuurlijk een eigen systeem waarin incidenten worden vastgelegd. Dit systeem geeft ook waardevolle informatie om van te leren en dus zijn incidenten uit het verleden ook nadrukkelijk input bij het actualiseren van het beleid.
2.3 Standaarden informatiebeveiliging
De basis voor de inrichting van het beveiligingsbeleid is NEN-ISO/IEC 27001:2017. De maatregelen worden op basis van best practices bij (lokale) overheden en NEN-ISO/IEC 27002:2017 genomen. Deze internationaal erkende normen beschrijven hoe je procesmatig informatie kunt beveiligen met als doel de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen de organisatie zeker te stellen. Hierin zijn ook implementatie richtlijnen opgenomen.
Voor de ondersteuning van gemeenten bij het formuleren en realiseren van hun informatiebeveiligingsbeleid heeft de interbestuurlijke werkgroep Normatiek 2 in 2018 de Baseline Informatiebeveiliging Overheid (BIO) uitgebracht, afgeleid van beide NEN-normen. Deze BIO bestaat uit een baseline met verschillende niveaus van beveiligen.
2.4 Plaats van het strategisch beleid
Het strategisch beleid wordt gebruikt om de basis te leggen voor de tactische beleidsplannen en daarmee richting te geven voor de verdere invulling van informatiebeveiliging op tactisch en operationeel niveau.
Deze nota beschrijft op strategisch niveau het informatiebeveiligingsbeleid en wordt iedere drie jaar of bij grote wijzigingen herzien. Dit beleid wordt vertaald in tactische en operationele richtlijnen en maatregelen. De daaruit voortkomende werkzaamheden worden uitgewerkt in het jaarlijks te schrijven ‘Gemeentelijk Informatiebeveiligingsplan’.
2.5 Scope informatiebeveiliging
De scope van dit beleid omvat alle gemeentelijke processen, onderliggende informatiesystemen, informatie en gegevens (inclusief persoonsgegevens van inwoners en medewerkers) van de gemeente en externe partijen, het gebruik daarvan door medewerkers en (keten)partners in de meest brede zin van het woord, ongeacht locatie, tijdstip en gebruikte apparatuur.
Dit strategisch gemeentelijke Informatiebeveiligingsbeleid is een algemene basis en dekt tevens aanvullende beveiligingseisen uit wetgeving af zoals voor de Basisregistratie Personen (BRP), Paspoorten en Nederlandse identiteitskaarten (PNIK), DigiD en wet Structuur Uitvoeringsorganisatie Werk en Inkomen (SUWI) . Voor bepaalde kerntaken gelden op grond van deze en wet- en regelgeving ook nog enkele specifieke (aanvullende) beveiligingseisen (bijvoorbeeld SUWI en gemeentelijke basisregistraties). Deze worden in aanvullende documenten geformuleerd.
Bewust wordt in het strategisch beleid geen limitatief overzicht van onderliggende documenten opgenomen. In de onderliggende documenten wordt de link naar het strategisch beleid gelegd.
Het bestuur en management spelen een cruciale rol bij het vaststellen c.q. uitvoeren van dit strategische informatiebeveiligingsbeleid. Het management maakt een inschatting van het belang dat de verschillende delen van de informatievoorziening voor de gemeente heeft, de risico’s die de gemeente hiermee loopt en welke van deze risico’s onacceptabel hoog zijn.
Het bestuur is verantwoordelijk voor het opstellen van dit beleid voor informatiebeveiliging en het vaststellen ervan. Het management draagt dit beleid uit naar de organisatie, vertaalt dit in acties en ondersteunt en bewaakt de uitvoering ervan. Teamleiders zijn verantwoordelijk voor het implementeren van de maatregelen en moeten deze taak de komende jaren gaan oppakken.
Het gehele gemeentelijke management geeft een duidelijke richting aan informatiebeveiliging en demonstreert dat zij informatiebeveiliging ondersteunt en zich hierbij betrokken voelt, door het uitdragen en handhaven van een informatiebeveiligingsbeleid van en voor de hele gemeente. Dit beleid is van toepassing op de gehele organisatie, alle processen, organisatieonderdelen, objecten, informatiesystemen en gegevens(verzamelingen). Het informatiebeveiligingsbeleid is in lijn met het algemene beleid van de gemeente en de relevante landelijke en Europese wet- en regelgeving.
2.6.2 Belangrijkste uitgangspunten
De belangrijkste uitgangspunten van het beleid zijn:
Alle informatiebronnen en -systemen die gebruikt worden door de gemeente Oldenzaal hebben een interne eigenaar die de vertrouwelijkheid en/of waarde bepaalt van de informatie die ze bevatten. De primaire verantwoordelijkheid voor de bescherming van informatie ligt dan ook bij de eigenaar van de informatie. De eigenaar is de teamleider van het team waartoe de informatiebron of het -systeem behoort, niet de functioneel beheerder van de applicatie. (Zie ook het overzicht met applicaties).
Door periodieke controle, organisatie brede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening. In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening organisatie breed benaderd. Het plan wordt periodiek bijgesteld op basis van nieuwe ontwikkelingen, registraties in het incidentenregister en bestaande risicoanalyses.
2.6.3 Invulling van de uitgangspunten
Praktisch wordt als volgt invulling gegeven aan de uitgangspunten:
Hoewel de basiskernregistraties (zoals BRP, PUN, SUWI, BAG, BGT) en toekomstige basisregistraties belangrijk zijn in het kader van informatiebeveiliging, krijgen zij niet meer of minder voorrang dan andere (primaire) processen binnen de gemeente. Het samenspel van alle processen binnen de bedrijfsvoering is belangrijk voor de missie en de visie van de gemeente en het behalen van de doelen die zijn gesteld.
3. Organisatie, taken & verantwoordelijkheden
In dit hoofdstuk wordt uiteengezet welke taken en verantwoordelijkheden met betrekking tot informatiebeveiliging op welke plaats belegd zijn binnen de organisatie. De methodiek sluit aan bij de in de bedrijfsvoering bekende Three Lines of Defence (3LoD). In dit model is het lijnmanagement verantwoordelijk voor de eigen processen. De tweede lijn (CISO, security officers) ondersteunt, adviseert, coördineert en bewaakt of het management zijn verantwoordelijkheden ook daadwerkelijk neemt. In de derde lijn wordt het geheel door een (interne) auditor van een objectief oordeel voorzien met mogelijkheden tot verbetering. In het document “Governance voor Informatiebeveiliging gemeente Oldenzaal” staan de namen en rollen genoemd zoals die in Oldenzaal belegd zijn.
Het management zorgt dat alle processen en systemen en de daarbij behorende middelen altijd onder de verantwoordelijkheid vallen van een teamleider. Het management zorgt dat de teamleiders zich verantwoorden over de beveiliging van de informatie die onder hen berust. Het management zorgt dat de eindverantwoordelijke portefeuillehouders binnen het college gevraagd en ongevraagd geïnformeerd worden over de mate waarin informatiebeveiliging een onderdeel is van het handelen van de bedrijfsvoering. Op die manier kan het college zich ook verantwoorden naar de raad.
Het management stelt het gewenste niveau van continuïteit en vertrouwelijkheid vast. Het management draagt zorg voor het uitwerken van tactische informatiebeveiligingsbeleidsonderwerpen en laat zich hierin bijstaan door de CISO van de gemeente. Het management autoriseert de benodigde procedures en uitvoeringsmaatregelen. Het onderwerp informatiebeveiliging wordt in de gemeente Oldenzaal gezien als een integraal onderdeel van risicomanagement.
Informatiebeveiliging valt onder de verantwoordelijkheden van alle teamleiders. Om deze verantwoordelijkheid waar te maken dienen zij goed ondersteund te worden vanuit de tweede lijn. Deze verantwoordelijkheid kunnen zij niet delegeren, uitvoerende werkzaamheden wel. De bedoeling is dat alle processen, systemen, data, applicaties altijd minimaal 1 eigenaar hebben; er moet dus altijd iemand verantwoordelijk zijn. Teamleiders rapporteren aan het management over de door hen tactisch en operationeel uitgevoerde informatiebeveiligingsactiviteiten. Afstemming met de afdelingen over de inhoudelijke aanpak vindt plaats door minimaal 2 keer per jaar het onderwerp Informatiebeveiliging te bespreken in het bedrijfsvoeringsoverleg zoals DMT overleg, en/of teamleidersoverleg/lunch, maar ook CMT.
Taken van de teamleiders in het kader van informatiebeveiliging zijn:
Voorbereiding en coördinatie van het overleg ligt bij de CISO.
3.3 Controle en verantwoording
Dit Strategisch Beleid is een verantwoordelijkheid van het bestuur van de gemeente Oldenzaal. De bestuurders en directeur van de gemeente Oldenzaal geven volgens de 10 principes voor informatiebeveiliging richting en sturing aan het onderwerp informatiebeveiliging door het geven van voorbeeldgedrag en het vragen om informatie.
Het management is verantwoordelijk voor het gevraagd en ongevraagd rapporteren over informatiebeveiliging aan respectievelijke portefeuillehouders. Het management rapporteert daarnaast over de mate waarin zij invulling hebben gegeven aan het uitwerken van tactische (deel) beleidsonderwerpen die aanvullend zijn op dit strategische beleid.
De gemeente verantwoordt zich over informatiebeveiliging middels de ENSIA-systematiek. Daartoe is de CISO als ENSIA-coördinator aangewezen. Deze zorgt ervoor dat de informatie die nodig is voor het beantwoorden van vragen binnen ENSIA wordt opgehaald bij de verantwoordelijke teamleiders. De teamleiders leveren alle informatie die nodig is voor het invullen van de jaarlijkse ENSIA-vragenlijsten.
De verantwoording over de informatiebeveiliging komt in het jaarverslag tot uitdrukking in de collegeverklaring Informatiebeveiliging. Met deze verklaring geeft het college van B en W aan in hoeverre de gemeente voldoet aan de afspraken die gemaakt zijn voor de ENSIA-verantwoording Informatiebeveiliging. Ook worden de eventuele verbetermaatregelen vermeld die de gemeente gaat treffen. De ingevulde zelfevaluatievragenlijst vormt de basis voor het opstellen van de collegeverklaring aan de raad.
Door middel van deze verantwoording worden het bestuur van de gemeente Oldenzaal en de raad geïnformeerd alsmede de landelijke toezichthouders voor specifieke kerntaken. De betrokkenheid van het bestuur is essentieel, en laat zien dat de gemeente Oldenzaal informatiebeveiliging serieus neemt en het een onderdeel laat zijn van de ambities om informatie van zijn inwoners adequaat te beschermen.