Organisatie | Dinkelland |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Besluit van het college van burgemeester en wethouders van de gemeente Dinkelland houdende regels omtrent Strategisch Informatieveiligheidsbeleid 2020 |
Citeertitel | Strategisch Informatieveiligheidsbeleid 2020 |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Deze regeling vervangt het op 21 februari 2017 in werking getreden Informatieveiligheidsbeleid.
Onbekend
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
04-11-2020 | nieuwe regeling | 12-05-2020 | 73366 |
In dit document is het strategisch informatieveiligheidsbeleid beschreven van de gemeenten Dinkelland en Tubbergen alsmede de bedrijfsvoeringorganisatie Noaberkracht Dinkelland Tubbergen. Omwille van de leesbaarheid van dit informatiebeveiligingsbeleid zijn de gemeentenamen en de naam van de bedrijfsvoeringorganisatie samengevoegd tot Noaberkracht. In alle gevallen worden de gemeenten Dinkelland en Tubbergen en de bedrijfsvoeringorganisatie Noaberkracht Dinkelland Tubbergen bedoeld.
Met dit beleid zetten de organisaties een volgende stap om de beveiliging van persoonsgegevens en andere informatie te continueren en voort te gaan op de stappen die in de voorgaande jaren gezet zijn. De basis voor dit strategisch beleid is de NEN-ISO/IEC 27002:2017 en de daarvan afgeleide Baseline Informatieveiligheid Overheid (BIO).
In de komende paragrafen wordt de kern van het strategisch beleid uiteengezet. In het jaarlijks uit te brengen organisatie brede informatieveiligheidsplan (vastgesteld door de directie) worden vervolgens tactische en operationele aspecten van de informatieveiligheid verder uitgewerkt en geconcretiseerd. Dit wordt o.a. gedaan op basis van input van de teamcoaches, de CISO, het dreigingsbeeld van de IBD en de uitkomsten van ENSIA.
Dit strategisch beleid is gebaseerd op het operationele kennisproduct ‘Strategisch Informatieveiligheidsbeleid’ van de informatiebeveiligingsdienst (IBD) voor gemeenten.
Onder informatieveiligheid wordt verstaan het treffen en onderhouden van een samenhangend pakket van maatregelen om de betrouwbaarheid van de informatievoorziening aantoonbaar te waarborgen. Kernpunten daarbij zijn beschikbaarheid, integriteit (juistheid) en vertrouwelijkheid van informatie, waaronder persoonsgegevens.
Het informatieveiligheidsbeleid geldt voor alle processen van de gemeente en borgt daarmee de informatievoorziening gedurende de hele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie. Het beperkt zich niet alleen tot de ICT en heeft betrekking op het politieke bestuur, alle medewerkers, burgers, gasten, bezoekers en externe relaties.
2. Ambitie en visie op het gebied van informatieveiligheid
De dreigingen met betrekking tot informatiebeveiliging zijn de afgelopen jaren flink toegenomen. Zowel de kans van optreden alsmede de impact van incidenten zijn dusdanig dat een organisatie zijn informatiebeveiliging op orde moet hebben, wil de organisatie geen onacceptabele risico’s lopen. Belangrijke vragen in dit kader zijn dan ook: “Hoe staat het met de informatiebeveiliging?”, en, “Wat moet er nog gebeuren?”. Het gewenste niveau is daarom sterk afhankelijk van de ambities van de organisatie.
De visie van Noaberkracht is om door te ontwikkelen naar een wendbare, toekomstbestendige organisatie die van betekenis is voor de samenleving en meebeweegt met veranderingen in de samenleving.
Om met de organisatie mee te groeien (of andersom) dient er de komende jaren een stevig fundament onder informatieveiligheid te worden gebouwd. Het streven is daarom dat beheersingsmaatregelen nog sterker op basis van risicomanagement worden bepaald, worden gedocumenteerd en op gestructureerde en geformaliseerde wijze worden uitgevoerd. De uitvoering van informatieveiligheid is in deze situatie aantoonbaar en wordt getoetst.
De ontwikkelingen die van belang zijn voor de actualisering van het informatieveiligheidsbeleid zijn de volgende:
De BIO (Baseline Informatieveiligheid Overheid) is het nieuwe normenkader voor de gehele overheid. De werkwijze van deze BIO is meer gericht op risicomanagement dan de oude baseline. Dat wil zeggen dat de afdelingsmanagers nu meer dan vroeger moeten werken volgens de aanpak van de ISO 27001, en daarbij is risicomanagement van belang. Dit houdt voor het management in, dat men op voorhand keuzes maakt en continu afwegingen maakt of informatie in bestaande en nieuwe processen adequaat beveiligd is in termen van beschikbaarheid, integriteit en vertrouwelijkheid.
De 10 principes voor informatieveiligheid
De 10 principes voor informatieveiligheid zijn een bestuurlijke aanvulling op het normenkader BIO en gaan over de waarden die de bestuurder zichzelf oplegt. De principes zijn als volgt:
De principes gaan vooral over de rol van het bestuur bij het borgen van informatieveiligheid in de gemeentelijke organisatie. Deze principes ondersteunen de bestuurder bij het uitvoeren van goed risicomanagement. Als er iets verkeerd gaat met betrekking tot het beveiligen van de informatie binnen de gemeentelijke processen, dan kan dit directe gevolgen hebben voor inwoners, ondernemers en partners van de gemeente. Daarmee is het onderwerp informatieveiligheid nadrukkelijk gewenst op de bestuurstafel.
Dreigingsbeeld Informatieveiligheid Nederlandse Gemeenten
Het Dreigingsbeeld Informatieveiligheid Nederlandse Gemeenten geeft een actueel zicht op incidenten en factoren uit het verleden, aangevuld met een verwachting voor het heden en de nabije toekomst. Dit dreigingsbeeld is daarmee het ideale document om focus aan te brengen in het actualiseren van beleid en plannen voor informatieveiligheid.
Informatie uit incidenten en inbreuken op de beveiliging
Noaberkracht kent naast het hierboven genoemde dreigingsbeeld natuurlijk een eigen systeem waarin incidenten worden vastgelegd. Dit systeem geeft ook waardevolle informatie om van te leren en dus zijn incidenten uit het verleden ook nadrukkelijk input bij het actualiseren van het beleid.
3.2 Standaarden informatieveiligheid
De basis voor de inrichting van het beveiligingsbeleid is NEN-ISO/IEC 27001:2017. De maatregelen worden op basis van best practices bij (lokale) overheden en NEN-ISO/IEC 27002:2017 genomen.
Voor de ondersteuning van gemeenten bij het formuleren en realiseren van hun informatieveiligheidsbeleid heeft een interbestuurlijke werkgroep in 2018 de Baseline Informatieveiligheid Overheid (BIO) uitgebracht. Deze BIO bestaat uit een baseline met verschillende niveaus. Ook zijn praktische operationele handreikingen uitgebracht, zoals een handleiding voor het uitvoeren van een risicoanalyse en voor het opstellen van een beveiligingsplan.
Plaats van het strategisch beleid
Het strategisch beleid wordt gebruikt om de basis te leggen voor de tactische beleidsplannen en daarmee richting te geven voor de verdere invulling van informatieveiligheid op tactisch en operationeel niveau. Dit beleid beschrijft op strategisch niveau het informatieveiligheidsbeleid. Dit beleid zal worden vertaald in tactische en operationele richtlijnen en maatregelen.
3.3 Scope informatieveiligheid
De scope van dit beleid omvat alle processen, onderliggende informatiesystemen, informatie en gegevens van de organisaties en externe partijen (bijvoorbeeld politie), het gebruik daarvan door medewerkers en (keten)partners in de meest brede zin van het woord, ongeacht locatie, tijdstip en gebruikte apparatuur (zowel analoog als digitaal).
Dit strategisch Informatieveiligheidsbeleid is een algemene basis en dekt tevens aanvullende beveiligingseisen uit wetgeving af zoals voor de BRP, PNIK en SUWI . Voor bepaalde kerntaken gelden op grond van deze en wet- en regelgeving ook nog enkele specifieke (aanvullende) beveiligingseisen (bijvoorbeeld SUWI en gemeentelijke basisregistraties). Deze worden in aanvullende documenten geformuleerd.
Bewust wordt in dit strategisch beleid geen limitatief overzicht van onderliggende documenten opgenomen. In de onderliggende documenten wordt de link naar het strategisch beleid gelegd.
Het bestuur, de directie en de teamcoaches spelen een cruciale rol bij het uitvoeren van dit strategische informatieveiligheidsbeleid. Het management maakt een inschatting van het belang dat de verschillende delen van de informatievoorziening voor de organisaties hebben, de risico’s die worden gelopen en welke van deze risico’s onacceptabel hoog zijn.
Op basis hiervan zet het management dit beleid voor informatieveiligheid op, draagt dit uit naar de organisatie en ondersteunt en bewaakt de uitvoering ervan.
Het gehele management geeft een duidelijke richting aan informatieveiligheid en demonstreert dat zij informatieveiligheid ondersteunt en zich hierbij betrokken voelt, door het uitdragen en handhaven van een informatieveiligheidsbeleid van en voor de hele gemeente. Het informatieveiligheidsbeleid is in lijn met het algemene beleid van Noaberkracht en de relevante landelijke en Europese wet- en regelgeving.
De strategische doelen van het informatieveiligheidsbeleid zijn:
De uitvoering van de informatieveiligheid is een verantwoordelijkheid van de teamcoaches. Alle informatiebronnen en -systemen die gebruikt worden hebben een interne eigenaar die de vertrouwelijkheid en/of waarde bepaalt van de informatie die ze bevatten. De primaire verantwoordelijkheid voor de bescherming van informatie ligt dan ook bij de eigenaar van de informatie.
Door periodieke controle, organisatie brede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatieveiligheidsbeleid vormt samen met het informatieveiligheidsplan het fundament onder een betrouwbare informatievoorziening. In het informatieveiligheidsplan wordt de betrouwbaarheid van de informatievoorziening organisatie breed benaderd. Het plan wordt periodiek bijgesteld op basis van nieuwe ontwikkelingen, registraties in het incidentenregister en risicoanalyses.
Aan de uitgangspunten wordt op volgende wijze invulling gegeven:
Hoewel de basiskernregistraties (zoals BRP, PUN, SUWI, BAG, BGT) en toekomstige basisregistraties belangrijk zijn in het kader van informatieveiligheid, krijgen zij niet meer of minder voorrang dan andere (primaire) processen. Het samenspel van alle processen binnen de bedrijfsvoering is belangrijk het behalen van de doelen die zijn gesteld.
4. Organisatie, taken & verantwoordelijkheden
In dit hoofdstuk wordt uiteengezet welke taken en verantwoordelijkheden met betrekking tot informatieveiligheid op welke plaats belegd zijn binnen de organisatie. De methodiek sluit aan bij de in de bedrijfsvoering bekende Three Lines of Defence (3LoD). In dit model is het lijnmanagement verantwoordelijk voor de eigen processen. De tweede lijn (CISO, beveiligingsbeheerders) ondersteunt, adviseert, coördineert en bewaakt of het management zijn verantwoordelijkheden ook daadwerkelijk neemt. In de derde lijn wordt het geheel door een (interne) auditor van een objectief oordeel voorzien met mogelijkheden tot verbetering.
De directie zorgt dat alle processen en systemen en de daarbij behorende middelen altijd onder de verantwoordelijkheid vallen van een teamcoach. De directie zorgt dat de teamcoaches zich verantwoorden over de beveiliging van de informatie die onder hen berust. De directie zorgt dat de eindverantwoordelijke portefeuillehouders binnen het college gevraagd en ongevraagd geïnformeerd worden over de mate waarin informatieveiligheid een onderdeel is van het handelen van de bedrijfsvoering. Op die manier kan het college zich ook verantwoorden naar de raad.
De directie stelt het gewenste niveau van continuïteit en vertrouwelijkheid vast. De directie draagt zorg voor het uitwerken van tactische informatieveiligheidsbeleidsonderwerpen en laat zich hierin bijstaan door de CISO. De directie autoriseert de benodigde procedures en uitvoeringsmaatregelen. Het onderwerp informatieveiligheid wordt gezien als een integraal onderdeel van risicomanagement.
Informatieveiligheid valt onder de verantwoordelijkheden van alle teamcoaches. Om deze verantwoordelijkheid waar te maken dienen zij goed ondersteund te worden vanuit de tweede lijn. Deze verantwoordelijkheid kunnen zij niet delegeren, uitvoerende werkzaamheden wel. De bedoeling is dat alle processen, systemen, data, applicaties altijd minimaal één eigenaar hebben; er moet dus altijd iemand verantwoordelijk zijn.
Teamcoaches rapporteren aan de directie over de door hen tactisch en operationeel uitgevoerde informatieveiligheid activiteiten. Taken van de teamcoaches in het kader van informatieveiligheid zijn:
4.3 Controle en verantwoording
Dit strategisch beleid is een verantwoordelijkheid van het bestuur van de organisaties. De bestuurders en directeuren zullen richting en sturing geven aan het onderwerp informatieveiligheid door het geven van voorbeeldgedrag en het vragen om informatie.
De directie is verantwoordelijk voor het gevraagd en ongevraagd rapporteren over informatieveiligheid aan respectievelijke portefeuillehouders. De directie rapporteert daarnaast over de mate waarin zij invulling hebben gegeven aan het uitwerken van tactische (deel) beleidsonderwerpen die aanvullend zijn op dit strategische beleid.