Organisatie | Zwijndrecht |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Strategisch Informatiebeveiligingsbeleid Drechtsteden 2020-2024 |
Citeertitel | Strategisch Informatiebeveiligingsbeleid Drechtsteden 2020-2024 |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Geen
artikel 147 van de Gemeentewet
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
10-12-2020 | nieuwe regeling | 13-10-2020 |
Deze beleidsnota beschrijft het strategisch informatiebeveiligingsbeleid voor de jaren 2020 tot 2024 en vervangt het in 2015 en 2019 vastgestelde Informatiebeveiligingsbeleid Drechtsteden.
Het Strategisch informatiebeveiligingsbeleid is een richtinggevend en kaderstellend beleidsdocument en wordt aangevuld met beleid voor informatiebeveiliging op tactisch - en operationeel niveau met specifieke (beleids)documenten.
Met dit ‘Strategisch Informatiebeveiligingsbeleid 2020-2024’ zet de Drechtsteden een volgende stap om de beveiliging van persoonsgegevens en andere informatie binnen de Drechtsteden te continueren en voort te gaan op de stappen die in de voorgaande jaren zijn gezet. De basis voor dit strategisch beleid is de NEN-ISO/IEC 27001:2017 en de daarvan afgeleide Baseline Informatiebeveiliging Overheid (BIO) . De principes zijn gebaseerd op de 10 principes voor informatiebeveiliging zoals vastgesteld door de Vereniging van Nederlandse Gemeente (VNG).
In hoofdstuk 2 wordt de kern van het strategisch beleid uiteengezet. Dit beleid wordt op tactisch niveau aangevuld met onderwerp specifieke tactische beleidsregels. In het jaarlijks uit te brengen Informatiebeveiligingsplan worden deze tactische en operationele aspecten van de informatiebeveiliging verder uitgewerkt en geconcretiseerd. Dit wordt gedaan op basis van input van de deelnemende organisaties, risicoanalyses, de rapportage van de Chief Information Security Officer (CISO), het dreigingsbeeld van de Informatiebeveiligingsdienst (IBD), de uitkomsten van zelfevaluaties en audits. In dit plan staan dan ook de acties en planning vermeld, om de praktijk in overeenstemming te brengen met datgene wat in het beleid is geëist. Hoofdstuk 3 beschrijft vervolgens hoe de taken en verantwoordelijkheden in de organisatie belegd zijn.
1.2 Wat is informatiebeveiligingsbeleid?
Onder informatiebeveiliging wordt verstaan het treffen en onderhouden van een samenhangend pakket van maatregelen om de betrouwbaarheid van de informatievoorziening aantoonbaar te waarborgen. Kernpunten daarbij zijn beschikbaarheid, integriteit (juistheid) en vertrouwelijkheid van persoonsgegevens en andere informatie.
Het strategisch informatiebeveiligingsbeleid geldt voor alle processen van de Drechtsteden en borgt daarmee de informatievoorziening gedurende de hele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie. Het beperkt zich niet alleen tot de ICT en heeft betrekking op het politieke bestuur, alle medewerkers, burgers, gasten, bezoekers en externe relaties.
De Baseline Informatiebeveiliging Overheid(BIO) is het nieuwe normenkader voor de gehele overheid. De werkwijze van deze BIO is meer gericht op risicomanagement dan het oude nomenkader, de BIG. Dat wil zeggen dat de procesverantwoordelijken nu meer dan vroeger moeten werken volgens de aanpak van de ISO 27001 en daarbij is risicomanagement van belang. Dit houdt voor het management in, dat men op voorhand keuzes maakt en continu afwegingen maakt of informatie in bestaande en nieuwe processen adequaat beveiligd is in termen van beschikbaarheid, integriteit en vertrouwelijkheid.
2.2.2 De 10 principes voor informatiebeveiliging
De 10 principes voor informatiebeveiliging zijn een bestuurlijke aanvulling op het normenkader BIO en gaan over de waarden die de bestuurder zichzelf oplegt.
De principes gaan vooral over de rol van het bestuur bij het borgen van informatiebeveiliging in de (gemeentelijke) organisatie. Deze principes ondersteunen de bestuurder bij het uitvoeren van goed risicomanagement. Als er iets verkeerd gaat met betrekking tot het beveiligen van de informatie binnen de processen, dan kan dit directe gevolgen hebben voor klanten, inwoners, ondernemers en partners van de organisatie. Daarmee is het onderwerp informatiebeveiliging nadrukkelijk gewenst op de bestuurstafel.
2.2.3 Resultaatgebieden binnen de Drechtsteden
Vanuit de organisaties zijn er binnen de Drechtsteden 10 resultaatgebieden gedefinieerd. Deze resultaatgebieden bieden de organisaties de mogelijkheid om op invoering van de verplichte en gekozen maatregelen te sturen.
De organisaties in staat stellen om een duidelijk beeld te krijgen op informatiebeveiligingsrisico's en hoe de risicobereidheid door maatregelen kunnen worden afgedekt.
Het is belangrijk dat de volledige organisatie en in het bijzonder de informatiebeveiligingsadviseurs de kennis en kunde krijgen om hun taak op een goede manier uit te voeren. Verspreiding van kennis en bewustwording zal door CISO en de informatiebeveiligingsadviseurs plaats moeten gaan vinden op zowel strategisch als tactisch en operationeel niveau.
De organisaties in staat stellen grip te houden op hoe de systemen en applicaties zijn geïmplementeerd. Hierbij wordt gekeken naar of ze voldoen aan de gestelde eisen en welke risico’s eventueel voortkomen uit discrepanties.
Informatiebeveiliging dient een positief gevoel te geven bij medewerkers en dient hen te ondersteunen in hun dagdagelijkse werkzaamheden.
Informatiebeveiliging is een onderwerp dat net zoveel met de toekomst te maken heeft als met het verleden. Het is daarom belangrijk om vanuit een informatiebeveiligingsperspectief vernieuwing en innovatie te ondersteunen om zo klaar te zijn voor de toekomst.
Leveranciers en contractmanagement
Met de huidige push naar sourcing vanuit het transitieplan en de sourcing strategie wordt het essentieel om op strategisch niveau contacten te hebben en onderhouden met de belangrijke leveranciers om te zorgen dat ook naar de toekomst toe de informatiebeveiliging kan worden geborgd.
Informatiebeveiliging en informatiemanagement zijn dicht aan elkaar gelieerd en kunnen niet zonder elkaar. Met een juiste toepassing van informatiemanagement wordt er in een beginfase van het voortbrengingsproces al aandacht gevestigd op Privacy by Design en Security by Design.
Incidenten / Crisis management
Indien grote incidenten zich voordoen of een crisissituatie ontstaat dient informatiebeveiliging hierbij te ondersteunen.
Gevraagd en ongevraagd zal vanuit het CISO-team advies worden gegeven.
Het duidelijk neerzetten van een governance structuur is belangrijk. De organisatie moet eigenaarschap hebben belegd en verantwoordelijkheid nemen op de risico’s die worden gelopen en de maatregelen die worden getroffen.
2.2.4 Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten
Het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten geeft een actueel beeld van incidenten en factoren uit het verleden, aangevuld met een verwachting voor het heden en de nabije toekomst. Dit dreigingsbeeld is daarmee het ideale document om focus aan te brengen in het actualiseren van beleid en plannen voor informatiebeveiliging.
2.3 Standaarden informatiebeveiliging
De basis voor de inrichting van het beveiligingsbeleid is NEN-ISO/IEC 27001:2017. De maatregelen worden op basis van best practices bij (lokale) overheden en NEN-ISO/IEC 27002:2017 genomen.
Voor de ondersteuning van alle overheden bij het formuleren en realiseren van hun informatiebeveiligingsbeleid heeft de interbestuurlijke werkgroep Normatiek in 2018 de Baseline Informatiebeveiliging Overheid (BIO) uitgebracht, afgeleid van beide NEN-normen. Deze BIO bestaat uit een baseline met verschillende niveaus van beveiligen. Ook zullen praktische operationele handreikingen worden uitgebracht, zoals een handleiding voor het uitvoeren van een risicoanalyse voor het opstellen van een beveiligingsplan.
De inhoud en structuur van deze nota zijn afgestemd op die van de NEN-ISO en de BIO.
2.4 Plaats van het strategisch beleid
Het strategisch beleid wordt gebruikt om de basis te leggen voor het tactisch beleid en tactische beleidsplannen en daarmee richting te geven voor de verdere invulling van informatiebeveiliging op tactisch en operationeel niveau.
Deze nota beschrijft op strategisch niveau het informatiebeveiligingsbeleid. Dit beleid zal worden vertaald in tactische en operationele richtlijnen en maatregelen. De daaruit voortkomende werkzaamheden worden uitgewerkt in het jaarlijks te schrijven Informatiebeveiligingsplan.
2.5 Scope informatiebeveiliging
De scope van dit beleid omvat alle processen, onderliggende informatiesystemen, informatie en gegevens van de organisatie en externe partijen (bijvoorbeeld politie), het gebruik daarvan door medewerkers en (keten)partners in de meest brede zin van het woord, ongeacht locatie, tijdstip en gebruikte apparatuur.
Dit strategisch regionale Informatiebeveiligingsbeleid is een algemene basis en dekt tevens aanvullende beveiligingseisen uit (nieuwe) wetgeving af . Voor bepaalde kerntaken gelden op grond van deze wet- en regelgeving ook nog enkele specifieke (aanvullende) beveiligingseisen Deze worden in aanvullende documenten geformuleerd .
Bewust wordt in het strategisch beleid geen limitatief overzicht van onderliggende documenten opgenomen. In de onderliggende documenten wordt de link naar het strategisch beleid gelegd.
Het bestuur, de directie en de procesverantwoordelijken spelen een cruciale rol bij het uitvoeren van dit strategische informatiebeveiligingsbeleid. De procesverantwoordelijke maakt een inschatting van het belang dat de verschillende delen van de informatievoorziening voor de organisatie heeft, de risico’s die de organisatie hiermee loopt en welke van deze risico’s onacceptabel hoog zijn.
Op basis hiervan zet de procesverantwoordelijke dit beleid voor informatiebeveiliging op, draagt dit uit naar de organisatie en ondersteunt en bewaakt de uitvoering ervan.
Het gehele management geeft een duidelijke richting aan informatiebeveiliging en demonstreert dat zij informatiebeveiliging ondersteunt en zich hierbij betrokken voelt, door het uitdragen en handhaven van een informatiebeveiligingsbeleid van en voor de hele organisatie. Dit beleid is van toepassing op de gehele organisatie, alle processen, organisatieonderdelen, objecten, informatiesystemen en gegevens(verzamelingen). Het informatiebeveiligingsbeleid is in lijn met het algemene beleid binnen de Drechtsteden en de relevante landelijke en Europese wet- en regelgeving.
2.6.2 Belangrijkste uitgangspunten
De belangrijkste uitgangspunten van het beleid zijn:
De uitvoering van de informatiebeveiliging is een verantwoordelijkheid van de procesverantwoordelijke. Alle informatiebronnen en -systemen die gebruikt worden door de Drechtsteden hebben een interne eigenaar die de vertrouwelijkheid en/of waarde bepaalt van de informatie die ze bevatten. De primaire verantwoordelijkheid voor de bescherming van informatie ligt dan ook bij de eigenaar van de informatie.
Door periodieke controle, organisatie brede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening. In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening regio breed benaderd. Het plan wordt periodiek bijgesteld op basis van nieuwe ontwikkelingen, registraties in het incidentenregister en bestaande risicoanalyses.
Iedere medewerker en/of gebruiker, zowel vast als tijdelijk, intern of extern, is verplicht waar nodig gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht en bij vermeende inbreuken hiervan melding te maken.
2.6.3 Invulling van de uitgangspunten
Praktisch wordt als volgt invulling gegeven aan de uitgangspunten:
Hoewel de basiskernregistraties (zoals BRP, PUN, SUWI, BAG, BGT) en toekomstige basisregistraties belangrijk zijn in het kader van informatiebeveiliging, krijgen zij niet meer of minder voorrang dan andere (primaire) processen binnen de organisatie. Het samenspel van alle processen binnen de bedrijfsvoering is belangrijk voor de missie en de visie van de organisatie en het behalen van de doelen die zijn gesteld.
Voor de invulling van de uitgangspunten wordt ook verwezen naar de lokale addendum die is toegevoegd.
Belangrijke randvoorwaarden zijn:
De informatiebeveiliging maakt deel uit van afspraken met ketenpartners. In verwerkersovereenkomsten is het normenkader BIO als vereiste opgenomen.
Kennis en bewustzijn van informatiebeveiliging en specifiek omgaan met persoonsgegevens binnen de organisatie dienen actief bevorderd en geborgd te worden.
Jaarlijks wordt een informatiebeveiligingsplan opgesteld onder leiding van de CISO, gebaseerd op:
Voor de uitvoering van het informatiebeveiligingsbeleid is capaciteit en budget beschikbaar om de uitgangspunten, maatregelen en bevindingen te kunnen implementeren.
3. Organisatie, taken & verantwoordelijkheden
In dit hoofdstuk wordt uiteengezet welke taken en verantwoordelijkheden met betrekking tot informatiebeveiliging op welke plaats belegd zijn binnen de organisatie. De methodiek sluit aan bij de in de bedrijfsvoering bekende Three Lines of Defence (3LoD). In dit model zijn de proceseigenaren verantwoordelijk voor de eigen processen. De tweede lijn (CISO, informatiebeveiligingsadviseur) ondersteunt, adviseert, coördineert en bewaakt of het management zijn verantwoordelijkheden ook daadwerkelijk neemt. In de derde lijn wordt het geheel door een (interne) auditor van een objectief oordeel voorzien met mogelijkheden tot verbetering.
De directie zorgt dat alle processen en systemen en de daarbij behorende middelen altijd onder de verantwoordelijkheid vallen van een procesverantwoordelijken. De directie zorgt dat de procesverantwoordelijken zich verantwoorden over de beveiliging van de informatie die onder hen berust.
De directie stelt het gewenste niveau van continuïteit en vertrouwelijkheid vast. De directie draagt zorg voor het uitwerken van tactische informatiebeveiligingsbeleidsonderwerpen en laat zich hierin bijstaan door de CISO van de organisatie. De directie autoriseert de benodigde procedures en uitvoeringsmaatregelen. Het onderwerp informatiebeveiliging wordt in de Drechtsteden gezien als een integraal onderdeel van risicomanagement.
De directie zorgt dat de eindverantwoordelijke portefeuillehouders binnen het college gevraagd en ongevraagd geïnformeerd worden over de mate waarin informatiebeveiliging een onderdeel is van het handelen van de bedrijfsvoering. Op die manier kan het college zich ook verantwoorden naar de raad.
3.2 Uitvoering: procesverantwoordelijke
Informatiebeveiliging valt onder de verantwoordelijkheden van alle procesverantwoordelijken. Om deze verantwoordelijkheid waar te maken dienen zij goed ondersteund te worden vanuit de tweede lijn. Deze verantwoordelijkheid kunnen zij niet delegeren, uitvoerende werkzaamheden wel. De bedoeling is dat alle processen, systemen, data en applicaties altijd 1 eigenaar hebben; er moet dus altijd iemand verantwoordelijk zijn. Procesverantwoordelijken rapporteren aan de directie over de door hen tactisch en operationeel uitgevoerde informatiebeveiligingsactiviteiten. Afstemming met de betrokkenen over de inhoudelijke aanpak vindt plaats door minimaal 2 keer per jaar het onderwerp Informatiebeveiliging te bespreken in het bedrijfsvoeringsoverleg.
Taken van de procesverantwoordelijke in het kader van informatiebeveiliging zijn:
3.3 Controle en verantwoording
Dit Strategisch informatiebeveiligingsbeleid is een verantwoordelijkheid van het bestuur van de gemeente Zwijndrecht. De bestuurders en directeuren van de gemeente Zwijndrecht zullen volgens de 10 principes voor informatiebeveiliging richting en sturing geven aan het onderwerp informatiebeveiliging door het geven van voorbeeldgedrag en het vragen om informatie.
De directie is verantwoordelijk voor het gevraagd en ongevraagd rapporteren over informatiebeveiliging aan respectievelijke portefeuillehouders. De directie rapporteert daarnaast over de mate waarin zij invulling hebben gegeven aan het uitwerken van tactische (deel) beleidsonderwerpen die aanvullend zijn op dit strategische beleid.
3.3.1 Zelfevaluatie (ENSIA) en Audit
De organisatie verantwoordt zich over informatiebeveiliging middels de landelijk beschikbaar gestelde zelfevaluatie tool. Voor deze zelfevaluatie en het daaropvolgend audit proces wordt een coördinator aangewezen. Deze zorgt ervoor dat de informatie die nodig is voor het beantwoorden van de vragen wordt opgehaald bij de procesverantwoordelijken. De procesverantwoordelijken leveren alle informatie die nodig is voor het invullen van de zelfevaluatie.
De verantwoording over de informatiebeveiliging komt in het jaarverslag tot uitdrukking. Met deze verklaring geeft het algemeen bestuur aan in hoeverre de organisatie voldoet aan de afspraken die gemaakt zijn voor de verantwoording Informatiebeveiliging. Eventuele verbetermaatregelen worden hierin meegenomen.
De ingevulde zelfevaluatievragenlijst vormt voor de gemeentelijke organisaties de basis voor het opstellen van de collegeverklaring voor zowel de horizontale als verticale verantwoording.
De betrokkenheid van het bestuur is essentieel, en laat zien dat de gemeente Zwijndrecht informatiebeveiliging serieus neemt en het een onderdeel laat zijn van de ambities om informatie adequaat te beschermen.
Vastgesteld op 13 oktober 2020 door het college van burgemeester en wethouders van de gemeente Zwijndrecht.
Burgemeester en Wethouders van de gemeente Zwijndrecht,
Ella Croonenberg-Borst, Hein van der Loo
Secretaris, Burgemeester
In de gemeente Zwijndrecht kennen we een andere organisatiestructuur dan in het regionaal opgestelde beveiligingsbeleid. In dit Addendum de vertaling:
Het MT neemt het jaarlijks door de CISO opgestelde Informatiebeveiligingsplan over als Informatiebeveiligingsplan Zwijndrecht. Het MT van Zwijndrecht kan, indien gewenst, specifiek op de eigen organisatie gerichte maatregelen aan dit plan toevoegen.