Organisatie | Hoeksche Waard |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Besluit van het college van burgemeester en wethouders houdende regels omtrent Informatiebeveiligingsbeleid gemeente Hoeksche Waard 2020-2024 |
Citeertitel | Informatiebeveiligingsbeleid gemeente Hoeksche Waard 2020-2024 |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Geen
Onbekend
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
30-04-2020 | nieuwe regeling | 07-04-2020 | 43023 |
1. Vertrekpunt gemeentelijk informatiebeveiligingsbeleid
Deze beleidsnota beschrijft het informatiebeveiligingsbeleid van de gemeente Hoeksche Waard voor de jaren 2020 tot 2024 en vervangt het in 2019 vastgestelde “Gemeentelijk Informatiebeveiligingsbeleid 2019-2020”. Met de komst van het normenkader BIO (Baseline Informatie Overheid), is de gemeente genoodzaakt om een nieuw en passend informatiebeveiligingsbeleid te formuleren. Het beleid borduurt voort op het Kompas en de beleidsfilosofie van gemeente Hoeksche Waard. Verder is deze nota richtinggevend en kaderstellend. Het wordt aangevuld met onderwerp-specifieke beleidsdocumenten voor informatiebeveiliging op tactisch niveau, zoals het informatiebeveiligingsplan (IBP) en werkinstructies op operationeel niveau.
Met dit “Informatiebeveiligingsbeleid 2020-2024” zet de gemeente Hoeksche Waard een volgende stap om de beveiliging van persoonsgegevens en andere informatie binnen de gemeente te continueren, hierbij rekening houdend dat informatiebeveiliging een proces is, waar continue aandacht voor nodig is de komende jaren.
1.1 Wat is informatiebeveiliging
Onder informatiebeveiliging wordt verstaan: “Het treffen en onderhouden van een samenhangend pakket van maatregelen om de betrouwbaarheid van de informatievoorziening aantoonbaar te waarborgen”. Kernpunten daarbij zijn beschikbaarheid, integriteit (juistheid) en vertrouwelijkheid van persoonsgegevens en alle informatiestromen.
Het informatiebeveiligingsbeleid geldt voor alle processen 1 van de gemeente en borgt daarmee de informatievoorziening gedurende de hele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie. Het beperkt zich niet alleen tot de ICT en heeft betrekking op het (politiek) bestuur, alle processen en op personen; alle medewerkers, burgers en externe partijen.
Het informatiebeleidsplan is gebaseerd op het normenkader voor de gehele overheid, de Baseline Informatiebeveiliging Overheid (BIO). Het doel van deze beleidsnota is het bieden van kaders en beschrijven van rollen en verantwoordelijkheden ten aanzien van de informatiebeveiliging voor de gemeente Hoeksche Waard voor een periode van vier jaar. De concrete uitwerking van dit beleid vindt plaats in een op te stellen Informatiebeveiligingsplan.
2.2 Scope informatiebeveiliging
De scope van dit beleid omvat alle gemeentelijke processen, onderliggende informatiesystemen, informatie en gegevens van de gemeente Hoeksche Waard en haar externe partijen, het gebruik daarvan door medewerkers en (keten)partners in de meest brede zin van het woord, ongeacht locatie, tijdstip en gebruikte apparatuur.
Het informatiebeveiligingsbeleid is een algemene basis. Voor bepaalde kerntaken gelden op grond van wet- en regelgeving specifieke (aanvullende) beveiligingseisen (bijvoorbeeld ENSIA). Deze worden in aanvullende documenten geformuleerd.
In het beleid bevat geen limitatief overzicht van onderliggende documenten. Wel dienen beleidsdocumenten voor de bedrijfsvoering zich te conformeren aan de bepalingen van het informatiebeveiligingsbeleid.
3.Aandachtspunten voor informatiebeveiliging
3.1 Plaats van het informatiebeveiligingsbeleid
Deze nota beschrijft op hoofdlijnen het informatiebeveiligingsbeleid van de gemeente Hoeksche Waard. Dit beleid wordt vertaald naar tactische en operationele richtlijnen en maatregelen. De daaruit voortkomende werkzaamheden worden uitgewerkt in het twee jaar geldend te schrijven gemeentelijk Informatiebeveiligingsplan.
3.2 Dreigingsbeeld Nederlandse Gemeenten
Het Dreigingsbeeld Nederlandse Gemeenten2 geeft een actueel zicht op incidenten en factoren uit het verleden aangevuld met een verwachting voor het heden en de nabije toekomst. Dit dreigingsbeeld is voor de gemeente Hoeksche Waard een indicatie en informatiebron om nieuwe risico’s en dreigingen te identificeren. De CISO is namens de gemeente Hoeksche Waard aangemeld bij de Informatiebeveiligingsdienst (IBD, VNG) en ontvangt periodiek berichten en rapportages hierover. Deze worden meegenomen in zogenaamde incidentenrapportages. Aansluitend hierop worden passende maatregelen genomen
3.3 Informatie uit incidenten en inbreuken op de beveiliging
De gemeente Hoeksche Waard kent naast het hierboven genoemde dreigingsbeeld natuurlijk ook een eigen systeem, ISMS, waarin incidenten worden vastgelegd. Het functioneren en behoud van dit systeem zijn de verantwoordelijkheid van de directeur met portefeuille bedrijfsvoering en wordt gewaarborgd door (integrale/) informatieveiligheid. Dit systeem geeft ook waardevolle informatie om van te leren en dus zijn incidenten uit het verleden ook nadrukkelijk input bij het uitvoeren en actualiseren van het beleid.
4. Principes van informatiebeveiliging
De BIO (Baseline Informatiebeveiliging Overheid) is sinds 1-1-2019 het nieuwe normenkader voor de gehele overheid. De werkwijze van deze BIO is meer gericht op risicomanagement, in tegenstelling tot de voormalige Baseline Informatiebeveiliging Gemeente (BIG)-richtlijnen. Dat wil zeggen dat proceseigenaren nu meer dan voorheen dienen te werken volgens de aanpak van de ISO-27001, waarbij risicomanagement centraal staat. Dit houdt voor het directie- en managementteam in dat zij op voorhand keuzes en continu afwegingen dienen te maken of informatie in bestaande en nieuwe processen adequaat beveiligd is in termen van beschikbaarheid, integriteit en vertrouwelijkheid.
4.2 Handvaten voor de rol van de bestuurder
De 10 principes voor de informatiebeveiliging zijn een bestuurlijke aanvulling op het normenkader3 BIO en gaan over de waarden die het college aan de organisatie en zichzelf oplegt. De principes zijn als volgt:
Menselijk gedrag en cultuur beïnvloeden op significante wijze alle aspecten van risicomanagement op elk niveau en in elk stadium. Informatiebeveiliging is van iedereen;
Passende en tijdige betrokkenheid van belanghebbenden maakt het mogelijk dat hun kennis, opvattingen en percepties worden meegenomen in het informatiebeleid en de te nemen maatregelen.. Dit resulteert in een verbeterd bewustzijn en goed geïnformeerd risicomanagement.
Risicomanagement wordt bewust toegepast bij alle organisatie activiteiten en in het bijzonder bij de besluitvorming.
Risicomanagement is onderdeel van alle besluiten en onderdeel van integraal management..
Het risicomanagementproces wordt aangepast op basis van nieuwe ontwikkelingen en staat in verhouding tot doelstellingen en de context van de organisatie.
Onzekerheid dient te worden ingecalculeerd 4
Risico’s kunnen ontstaan, veranderen of verdwijnen als de externe en interne context van een organisatie veran-dert. Risicomanagement detecteert en anticipeert op die veranderingen en gebeurtenissen op een gepaste en tijdige manier.
Risico’s moeten behandeld worden en er zijn vele manieren om veiligheid te realiseren, maar aan alle zijn kosten verbonden.
De input voor risicomanagement is gebaseerd op historische en actuele informatie, evenals op toekomstige verwachtingen. Risicomanagement houdt expliciet rekening met eventuele beperkingen en onzekerheden die aan dergelijke informatie en verwachtingen zijn verbonden. Informatie moet tijdig, duidelijk en beschikbaar zijn voor relevante belanghebbenden.
Risicobeheer wordt voortdurend verbeterd door leren en ervaring.
10. Het bestuur controleert en evalueert
Risicomanagement is het controleren en evalueren van resultaten, evenals het nemen van eindverantwoordelijk-heid en het doorhakken van lastige knopen.
De principes gaan vooral over de rol van het bestuur bij het borgen van informatiebeveiliging in de gemeentelijke organisatie. Deze principes ondersteunen de bestuurder bij het waarborgen van goed risicomanagement. Als er iets verkeerd gaat met betrekking tot het beveiligen van de informatie binnen de gemeentelijke processen, dan kan dit directe gevolgen hebben voor inwoners, ondernemers en partners van de gemeente. Daarmee hoort het onderwerp informatiebeveiliging thuis op de bestuurstafel.
5. Organiseren van informatiebeveiligingsbeleid
De gemeenteraad, college van burgemeester en wethouders, de directie- en het managementteam spelen een cruciale rol binnen de gemeente Hoeksche Waard bij het waarborgen van dit informatiebeveiligingsbeleid.
5.1 Het belang van betrokkenheid
Het management maakt een inschatting van het belang dat de verschillende delen van de informatie-voorziening voor de gemeente hebben, van de risico’s die de gemeente hiermee loopt op basis van de opgestelde richtlijnen5 . Ook draagt het team van managers verantwoordelijk voor het uitdragen, het ondersteunen en bewaken van dit informatiebeveiligingsbeleid. Hierover wordt via een processysteem gerapporteerd. De CISO gebruikt deze rapportages om het informatiebeveiligingsniveau periodiek te toetsen en om vanuit het perspectief van de veiligheid de gemeente Hoeksche Waard te adviseren.
Het directieteam bepaalt uiteindelijk welke van deze bedrijfsmatige risico’s acceptabel of onacceptabel zijn. Verder geeft het directieteam een duidelijke richting aan informatiebeveiliging en demonstreert hiermee dat zij informatiebeveiliging ondersteunt en zich hierbij betrokken voelt, door het uitdragen en handhaven van een informatiebeveiligingsbeleid van en voor de hele gemeente.
De CISO en concerncontroller faciliteren en adviseren de organisatie met en bij het informatiebeveiligingsbeleid. Verder dient dit Informatiebeveiligingsbeleid ook als toetsingskader om te bepalen in hoeverre de gemeente ‘in control’ is.
Het college van burgemeester en wethouders is verantwoordelijk voor het goedkeuren en waarborgen van de inhoud van het informatiebeveiligingsbeleid. De portefeuille informatieveiligheid is eveneens belegd binnen het college als aparte verantwoordelijkheid.
De burgemeester heeft daarnaast vanuit zijn zelfstandige taken en bevoegdheden (openbare orde en veiligheid) een directe link met cybersecurity en daarmee met de digitale veiligheid van de gemeente.
De gemeenteraad heeft een toezichthoudende rol op basis van de controlerende taak die de Gemeentewet aan de gemeenteraad toekent.
5.5 Teammanagers (proceseigenaren)
Hoewel de basiskernregistraties (zoals BRP, PUN, SUWI, BAG, BGT) en toekomstige basisregistraties belangrijk zijn in kader van informatiebeveiliging, krijgen zij niet meer of minder voorrang dan andere (primaire) processen binnen de gemeente. Het samenspel van alle processen binnen de bedrijfsvoering is belangrijk om de basis op orde te krijgen voor de gemeente en het behalen van de doelen die gesteld zijn door het College van B&W6 .
6. Rapportagemomenten voor informatiebeveiliging
6.1 Verantwoordingstraject ENSIA
De gemeente Hoeksche Waard verantwoordt zich over informatiebeveiliging middels de ENSIA-systematiek. Dat betekent dat jaarlijks een ENSIA-coördinator7 wordt aangewezen, deze zorgt ervoor dat de informatie die nodig is voor het beantwoorden van vragen binnen ENSIA wordt opgehaald bij de verantwoordelijke teammanagers/proceseigenaren. Deze leveren alle informatie die nodig is voor het invullen van de jaarlijkse ENSIA-vragenlijsten. Ook is er een aansluitbeleid die jaarlijks geëvalueerd wordt door de CISO.
De verantwoording over het ENSIA-traject komt in het jaarverslag tot uitdrukking in de ‘Collegeverklaring ENSIA‘. Met deze verklaring geeft het college van B&W aan dat men op de hoogte is van de actuele stand van zaken m.b.t. de ENSIA onderdelen. Ook worden de eventuele verbetermaatregelen vermeld die de gemeente gaat treffen.
Tot slot beantwoordt de gemeente Hoeksche Waard algemene vragen ten aanzien van de ENSIA8 die ontsloten worden op www.waarstaatjegemeente.nl(een platform van de VNG).
De CISO stelt twee maal per jaar van een incidentenrapportage en/of een stand ten opzichte van de BIO normeringen op. Deze rapportage dient als sturingsmiddel voor de bedrijfsvoering en wordt hiertoe verstrekt aan het directieteam. Op basis van deze input en de overige activiteiten en vorderingen op dit gebied wordt gerapporteerd aan het bestuur middels de planning en control cyclus.
Het incalculeren van onzekerheden; besluiten worden gebaseerd op historische en actuele informatie, evenals op toekomstige verwachtingen. Risicomanagement houdt expliciet rekening met eventuele beperkingen en onzekerheden die aan dergelijke informatie en verwachtingen zijn verbonden. Informatie moet tijdig, duidelijk en beschikbaar zijn voor relevante belanghebbenden.
[1] Ontsluiting informatie ENSIA op waarstaatjegemeente.nl; https://www.waarstaatjegemeente.nl/dashboard/dashboard/zoekresultaat/?search=Informatie informatieveiligheid en privacy.