Organisatie | Landsmeer |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Informatiebeveiligingsbeleid 2019 - 2022 Gemeente Landsmeer |
Citeertitel | Informatiebeveiligingsbeleid 2019 - 2022 Gemeente Landsmeer |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Geen
N.v.t.
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
05-05-2020 | 01-01-2020 | Nieuwe regeling | 03-12-2019 |
Voor u ligt het strategisch informatiebeveiligingsbeleid voor de jaren 2019 - 2022 voor de gemeente Landsmeer en vervangt het in september 2014 vastgestelde informatiebeveiligingsbeleid.
Met dit ‘Strategisch Gemeentelijk Informatiebeveiligingsbeleid 2019 - 2022’ zet de gemeente een volgende stap om de beveiliging van persoonsgegevens en andere informatie binnen de gemeente te continueren en voort te gaan op de stappen die in de voorgaande jaren gezet zijn.
In hoofdstuk 2 wordt de kern van het strategisch beleid uiteengezet. Dit beleid wordt op tactisch niveau aangevuld met onderwerp-specifieke tactische beleidsregels die aanvullend zijn op dit strategisch beleid. In het jaarlijks uit te brengen gemeentelijk Informatiebeveiligingsplan worden deze tactische en operationele aspecten van de informatiebeveiliging verder uitgewerkt en geconcretiseerd. Dit wordt gedaan op basis van input van:
Daarin staan dan ook de acties en planning vermeld, om de praktijk in overeenstemming te brengen met datgene wat in het beleid is geëist. Hoofdstuk 3 beschrijft vervolgens hoe de taken en verantwoordelijkheden in de organisatie belegd zijn.
Onder informatiebeveiliging (verder afgekort IB) wordt verstaan:
Het juist omgaan met informatie is de verantwoordelijkheid van alle medewerkers van gemeente Landsmeer. Het is dan ook van belang dat alle medewerkers het beleid kennen en ernaar handelen. Het informatiebeveiligingsbeleid (verder afgekort IB-beleid) geldt voor het gehele proces van informatievoorziening en de gehele levenscyclus van informatiesystemen. Het beperkt zich niet alleen tot de ICT en gaat over het politiek bestuur, alle medewerkers, burgers, gasten, bezoekers en externe relaties.
Informatie, waaronder privacygevoelige gegevens, is een van de belangrijkste bedrijfsmiddelen van een gemeente. Toegankelijke en betrouwbare overheidsinformatie is essentieel voor een gemeente, die zich verantwoordelijk gedraagt, aanspreekbaar en servicegericht is, die transparant en proactief verantwoording aflegt en die met minimale middelen maximale resultaten behaalt. De bescherming van vertrouwelijke en waardevolle informatie is hetgeen waar het uiteindelijk om gaat. Hoe vertrouwelijker of waardevoller de informatie is, hoe meer maatregelen er moeten worden getroffen.
Het proces van informatiebeveiliging is primair gericht op bescherming van gemeentelijke informatie, maar maakt bijvoorbeeld ook elektronische dienstverlening op verantwoorde wijze mogelijk, evenals nieuwe, innovatieve manieren van werken. De focus is informatie uitwisselen in alle verschijningsvormen, zoals elektronisch, op papier en mondeling. Het gaat niet alleen over bescherming van privacy, maar ook over bescherming van vitale maatschappelijke functies die worden ondersteund met informatie (verkeer, vervoer, openbare orde en veiligheid, etc.). Het gaat ook niet alleen over ICT: verantwoord en bewust gedrag van medewerkers is essentieel voor informatieveiligheid.
Hoe is informatiebeveiliging geborgd?
Dit informatiebeveiligingsbeleid is de kapstok voor alle te nemen maatregelen in het kader van informatiebeveiliging. Uit de wet- en regelgeving waar de gemeente zich aan moet houden, vloeien maatregelen voort. Die maatregelen worden jaarlijks in de vorm van een informatiebeveiligingsjaarplan (met concrete acties) uitgewerkt en vervolgens uitgevoerd. Alle resultaten omtrent informatiebeveiliging worden in het Informatiemanagementsysteem (ISMS) van gemeente Landsmeer vastgelegd.
1.1 Het belang van informatieveiligheid
Informatie is één van de voornaamste bedrijfsmiddelen van gemeente Landsmeer. Het verlies van gegevens, uitval van ICT, of het door onbevoegden kennisnemen of manipuleren van bepaalde informatie kan ernstige gevolgen hebben voor de bedrijfsvoering maar kan daarnaast ook leiden tot imagoschade.
Ernstige incidenten hebben mogelijk negatieve gevolgen voor burgers, bedrijven, partners en de eigen organisatie met waarschijnlijk ook politieke gevolgen.
Informatieveiligheid is daarom van groot belang. Informatiebeveiliging (IB) is het proces dat dit belang dient.
Het proces van informatiebeveiliging is primair gericht op bescherming van gemeentelijke informatie, maar is tegelijkertijd een ‘enabler’; het maakt bijvoorbeeld elektronische dienstverlening op verantwoorde wijze mogelijk, evenals nieuwe, innovatieve manieren van werken. De focus is informatie uitwisselen in alle verschijningsvormen, zoals elektronisch, op papier en mondeling. Het gaat niet alleen over bescherming van privacy, maar ook over bescherming van vitale maatschappelijke functies die worden ondersteund met informatie (verkeer, vervoer, openbare orde en veiligheid, etc.). Het gaat ook niet alleen over ICT: verantwoord en bewust gedrag van medewerkers is essentieel voor informatieveiligheid.
Het strategisch beleid wordt gebruikt om de basis te leggen voor de tactische beleidsplannen en daarmee richting te geven voor de verdere invulling van informatiebeveiliging op tactisch en operationeel niveau.
Dit beleid zal worden vertaald in tactische en operationele richtlijnen en maatregelen. De daaruit voortkomende werkzaamheden worden uitgewerkt in het jaarlijks bij te stellen ‘Gemeentelijk Informatiebeveiligingsplan1’.
Doelstelling is het waarborgen van de continuïteit van de informatiesystemen en minimaliseren van gevolgen voortkomend uit incidenten. En binnen de wettelijke kaders ervoor zorgen dat gemeentelijke informatie adequaat wordt beheerd en beveiligd.
De ontwikkelingen die van belang zijn voor de actualisering van het informatiebeveiligingsbeleid zijn de volgende:
De BIO (Baseline Informatiebeveiliging Overheid)2 is het nieuwe normenkader voor de gehele overheid. De werkwijze van deze BIO is meer gericht op risicomanagement dan de oude BIG (Baseline Informatiebeveiliging Gemeenten).
Dat wil zeggen dat de teammanagers nu meer dan vroeger moeten werken volgens de aanpak van de ISO 27001 en daarbij is risicomanagement van belang. Dit houdt voor het management in dat men op voorhand keuzes maakt en continu afwegingen maakt of informatie in bestaande en nieuwe processen adequaat beveiligd zijn in termen van beschikbaarheid (B), integriteit (I) en vertrouwelijkheid (V).
Het toekennen van classificatieniveaus aan data is van groot belang, omdat daarmee het (vereiste) beschermingsniveau kenbaar gemaakt wordt. Aan de hand hiervan kan worden bepaald welke beveiligingseisen gelden en welke maatregelen moeten worden genomen.
De BIO verschilt op een aantal punten van de BIG. De grootste verschillen zijn:
Drie Basisbeveiligingsniveaus (BBN)3;
De BIO legt meer nadruk op risicomanagement dan de BIG, die meer gaat over specifieke maatregelen. De rol van de bestuurder en teammanager is ten aanzien van risicomanagement explicieter dan de BIG aangaf. Dit houdt voor het management in dat men op voorhand keuzes maakt en continu afwegingen maakt of informatie in bestaande en nieuwe processen adequaat beveiligd zijn in termen van beschikbaarheid, integriteit en vertrouwelijkheid. Om daar invulling aan te geven wordt tegelijkertijd met de BIO een handreiking ‘10 bestuurlijke principes voor informatiebeveiliging’ 4 van kracht. Deze principes ondersteunen bestuurders bij de invulling van hun verantwoordelijkheid.
Tien bestuurlijke principes voor informatiebeveiliging
De principes gaan vooral over de rol van het bestuur bij het borgen van informatiebeveiliging in de gemeentelijke organisatie. Deze principes ondersteunen de bestuurder bij het uitvoeren van goed risicomanagement. Als er iets verkeerd gaat met betrekking tot het beveiligen van de informatie binnen de gemeentelijke processen, dan kan dit directe gevolgen hebben voor inwoners, ondernemers en partners van de gemeente. Daarmee is het onderwerp informatiebeveiliging nadrukkelijk gewenst op de bestuurstafel.
De 10 bestuurlijke principes voor informatiebeveiliging zijn:
Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten
Het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten geeft een actueel zicht op incidenten en factoren uit het verleden, aangevuld met een verwachting voor het heden en de nabije toekomst. Dit dreigingsbeeld is daarmee het ideale document om focus aan te brengen in het actualiseren van beleid en plannen voor informatiebeveiliging.
Informatie uit incidenten en inbreuken op de beveiliging
De gemeente kent naast het hierboven genoemde dreigingsbeeld ook een eigen systeem waarin incidenten worden vastgelegd. Dit systeem geeft waardevolle informatie om van te leren en dus zijn incidenten uit het verleden ook nadrukkelijk input bij het actualiseren van het beleid.
2.2 Standaarden informatiebeveiliging
De basis voor de inrichting van het beveiligingsbeleid is NEN-ISO/IEC 27001:2017. De maatregelen worden op basis van best practices bij (lokale) overheden en NEN- ISO/IEC 27002:2017 genomen.
De interbestuurlijke werkgroep Normatiek heeft in 2018 de Baseline Informatiebeveiliging Overheid (BIO) uitgebracht, afgeleid van beide NEN-normen. Deze BIO bestaat uit een baseline met verschillende niveaus van beveiligen.
2.3 Plaats van het strategisch beleid
Het strategisch beleid wordt gebruikt om de basis te leggen voor de tactische beleidsplannen en daarmee richting te geven voor de verdere invulling van informatiebeveiliging op tactisch en operationeel niveau.
Dit beleid zal worden vertaald in tactische en operationele richtlijnen en maatregelen. De daaruit voortkomende werkzaamheden worden uitgewerkt in het jaarlijks bij te stellen ‘Gemeentelijk Informatiebeveiligingsplan’.
2.4 Scope informatiebeveiliging
De scope van dit beleid omvat alle gemeentelijke processen, onderliggende informatiesystemen, informatie en gegevens van de gemeente en externe partijen (bijvoorbeeld politie), het gebruik daarvan door medewerkers en (keten)partners in de meest brede zin van het woord, ongeacht locatie, tijdstip en gebruikte apparatuur.
Dit strategisch gemeentelijke Informatiebeveiligingsbeleid is een algemene basis en dekt tevens aanvullende beveiligingseisen uit wetgeving af, zoals voor de BRP, PNIK en SUWI. Voor bepaalde kerntaken gelden op grond van deze en wet- en regelgeving ook nog enkele specifieke (aanvullende) beveiligingseisen (bijvoorbeeld SUWI en gemeentelijke basisregistraties). Deze worden in aanvullende documenten geformuleerd.
Bewust wordt in het strategisch beleid geen limitatief overzicht van onderliggende documenten opgenomen. In de onderliggende documenten wordt de link naar het strategisch beleid gelegd.
Het bestuur, de directie en het teammanagement spelen een cruciale rol bij het uitvoeren van dit strategisch informatiebeveiligingsbeleid. Het management maakt een inschatting van het belang dat de verschillende delen van de informatievoorziening voor de gemeente heeft, de risico’s die de gemeente hiermee loopt en welke van deze risico’s onacceptabel hoog zijn. Op basis hiervan zet het management dit beleid voor informatiebeveiliging op, draagt dit uit naar de organisatie en ondersteunt en bewaakt de uitvoering ervan.
Het gehele gemeentelijk management geeft een duidelijke richting aan informatiebeveiliging en demonstreert dat zij informatiebeveiliging ondersteunt en zich hierbij betrokken voelt, door het uitdragen en handhaven van een informatiebeveiligingsbeleid van en voor de hele gemeente. Zoals eerder benoemd is dit beleid van toepassing op de gehele organisatie, alle processen, organisatieonderdelen, objecten, informatiesystemen en gegevens(verzamelingen). Het informatiebeveiligingsbeleid is in lijn met het algemene beleid van de gemeente en de relevante landelijke en Europese wet- en regelgeving.
De belangrijkste uitgangspunten van het beleid zijn:
De uitvoering van de informatiebeveiliging is een verantwoordelijkheid van het management. Alle informatiebronnen en -systemen die gebruikt worden door gemeente Landsmeer hebben een interne eigenaar die de vertrouwelijkheid en/of waarde bepaalt van de informatie die ze bevatten. De primaire verantwoordelijkheid voor de bescherming van informatie ligt dan ook bij de eigenaar van de informatie;
Door periodieke controle, organisatiebrede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening. In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening organisatiebreed benaderd. Het plan wordt periodiek bijgesteld op basis van nieuwe ontwikkelingen, registraties in het incidentenregister en bestaande risicoanalyses;
Invulling van de uitgangspunten
Praktisch wordt als volgt invulling gegeven aan de uitgangspunten:
Hoewel de basisregistraties (zoals BRP, PUN, SUWI, BAG, BGT) en toekomstige basisregistraties belangrijk zijn in het kader van informatiebeveiliging, krijgen zij niet meer of minder voorrang dan andere (primaire) processen binnen de gemeente. Het samenspel van alle processen binnen de bedrijfsvoering is belangrijk voor de missie en de visie van de gemeente en het behalen van de doelen die gesteld zijn;
Dit beleid is van toepassing is op alle gemeentelijke processen, op onderliggende informatiesystemen, op informatie en gegevens van de gemeente en op externe partijen; het gebruik daarvan door medewerkers en (keten)partners in de meest brede zin van het woord, ongeacht locatie, tijdstip en gebruikte apparatuur.
Dit beleid is hét overkoepelende informatiebeveiligingsbeleid met een organisatiebrede werking, met als basis de BIO en waarbij voor bepaalde kerntaken op grond van wet- en regelgeving specifieke (aanvullende) beveiligingseisen gelden. Zoals basisregistraties als de BRP en BAG, maar ook Suwinet, Paspoorten en ID-bewijzen PNIK, de archiefwet en de AVG.
De BIO is allereerst een gemeenschappelijk normenkader voor de beveiliging van de informatie(systemen) van de overheid. Daarnaast concretiseert de BIO een aantal normen tot verplichte overheidsmaatregelen:
Informatiebeveiliging en privacy hebben een duidelijke relatie met elkaar, maar zijn wel twee verschillende disciplines. Het beleid omtrent privacy wordt in het Privacy Beleidskader (B&W besluit d.d. 23 juli 2019) beschreven en wordt hier buiten beschouwing gelaten. De focus ligt in dit document op het beveiligen van álle informatie van gemeente Landsmeer.
3. Organisatie, taken en verantwoordelijkheden
In dit hoofdstuk wordt uiteengezet welke taken en verantwoordelijkheden met betrekking tot informatiebeveiliging op welke plaats belegd zijn binnen de organisatie. De methodiek sluit aan bij de in de bedrijfsvoering bekende Three Lines of Defence (3LoD). In dit model:
Informatiebeveiliging valt onder de verantwoordelijkheden van alle teammanagers. Om deze verantwoordelijkheid waar te maken dienen zij goed ondersteund te worden vanuit de tweede lijn. Deze verantwoordelijkheid kunnen zij niet delegeren, uitvoerende werkzaamheden wél.
Alle processen, systemen, data, applicaties etc. dient altijd minimaal 1 eigenaar hebben; er moet dus altijd iemand verantwoordelijk zijn. Teammanagers rapporteren aan de directie over de door hen tactisch en operationeel uitgevoerde informatiebeveiligingsactiviteiten. Afstemming met de teams over de inhoudelijke aanpak vindt plaats door minimaal 2 keer per jaar het onderwerp informatiebeveiliging te bespreken in het bedrijfsvoeringsoverleg.
Taken van de teammanagers in het kader van informatiebeveiliging zijn:
Voorbereiding en coördinatie van het overleg ligt bij de CISO.
3.3 Controle en verantwoording
Dit strategisch beleid is een verantwoordelijkheid van het bestuur van gemeente Landsmeer. De bestuurders van gemeente Landsmeer zullen volgens de 10 principes voor informatiebeveiliging richting en sturing geven aan het onderwerp informatiebeveiliging door het geven van voorbeeldgedrag en het vragen om informatie.
De directie is verantwoordelijk voor het gevraagd en ongevraagd rapporteren over informatiebeveiliging aan respectievelijke portefeuillehouders. De directie rapporteert daarnaast over de mate waarin zij invulling hebben gegeven aan het uitwerken van tactische (deel) beleidsonderwerpen die aanvullend zijn op dit strategische beleid.
De gemeente verantwoordt zich over informatiebeveiliging middels de ENSIA- systematiek. Dat betekent dat jaarlijks een ENSIA-coördinator wordt aangewezen. Deze zorgt ervoor dat de informatie die nodig is voor het beantwoorden van vragen binnen ENSIA wordt opgehaald bij de verantwoordelijke teammanagers. De teammanagers (of de medewerker aan wie deze werkzaamheden zijn gedelegeerd) leveren alle informatie die nodig is voor het invullen van de jaarlijkse ENSIA- vragenlijsten.
De verantwoording over de informatiebeveiliging komt in het jaarverslag tot uitdrukking in de collegeverklaring Informatiebeveiliging. Met deze verklaring geeft het college van B&W aan in hoeverre de gemeente voldoet aan de afspraken die gemaakt zijn voor de ENSIA-verantwoording Informatiebeveiliging. Ook worden de eventuele verbetermaatregelen vermeld die de gemeente gaat treffen. De ingevulde zelfevaluatievragenlijst vormt de basis voor het opstellen van de collegeverklaring aan de raad.
Bijlage A Basisbeveiligingsniveaus (deze bijlage behoort bij het Informatiebeveiligingsbeleid 2019-2022)
De basisbeveiligingsniveaus zijn uitgewerkt langs de lijnen beschikbaarheid, integriteit en vertrouwelijkheid. De BBN-toets helpt bij het kiezen van het best passende niveau. De beschikbaarheidsniveaus zijn gebaseerd op de geldende beschikbaarheidsniveaus die door de grote interne dienstenleveranciers worden gehanteerd. De vertrouwelijkheidsniveaus zijn in lijn gebracht met de schadescenario’s die gelden voor de te beschermen belangen. De onderverdeling is als volgt: