Zoek regelingen op overheid.nl
Ziet u een fout in deze regeling? Meld het ons op regelgeving@overheid.nl!
Regionale Dienst Werk en Inkomen Kromme Rijn Heuvelrug

Strategisch Informatiebeveiligingsbeleid Regionale Dienst Werk en Inkomen (RDWI)

Wetstechnische informatie

Gegevens van de regeling
OrganisatieRegionale Dienst Werk en Inkomen Kromme Rijn Heuvelrug
OrganisatietypeRegionaal samenwerkingsorgaan
Officiële naam regelingStrategisch Informatiebeveiligingsbeleid Regionale Dienst Werk en Inkomen (RDWI)
CiteertitelStrategisch Informatiebeveiligingsbeleid Regionale Dienst Werk en Inkomen
Vastgesteld doordagelijks bestuur
Onderwerpbestuur en recht
Eigen onderwerp

Opmerkingen met betrekking tot de regeling

Geen

Wettelijke grondslag(en) of bevoegdheid waarop de regeling is gebaseerd

Onbekend

Overzicht van in de tekst verwerkte wijzigingen

Datum inwerkingtreding

Terugwerkende kracht tot en met

Datum uitwerkingtreding

Betreft

Datum ondertekening

Bron bekendmaking

Kenmerk voorstel

12-11-2021nieuwe regeling

29-09-2021

bgr-2021-955

3421-02

Tekst van de regeling

Intitulé

Strategisch Informatiebeveiligingsbeleid Regionale Dienst Werk en Inkomen (RDWI)

 

1 Inleiding

 

Deze nota beschrijft het strategisch informatiebeveiligingsbeleid van de Regionale Dienst Werk en Inkomen (hierna: RDWI) vanaf 2021 en vervangt het vastgestelde informatiebeveiligingsbeleid van voorgaande jaren.

 

Deze nota is richtinggevend en kader stellend en wordt aangevuld met onderwerp specifieke beleidsdocumenten voor informatiebeveiliging op tactisch niveau en werkinstructies op operationeel niveau.

 

Met deze strategie voor de informatiebeveiliging zet de RDWI een volgende stap om de beveiliging van persoonsgegevens en andere informatie binnen de organisatie te continueren en voort te gaan op de stappen die in de voorgaande jaren gezet zijn. De basis voor deze strategie is de NEN-ISO/IEC 27002:2017 en de daarvan afgeleide Baseline Informatiebeveiliging Overheid (BIO). De principes zijn gebaseerd op de 10 principes voor informatiebeveiliging zoals uitgewerkt door de VNG (zie www.informatiebeveiligingsdienst.nl).

 

1.1 Wat is informatiebeveiliging?

Informatiebeveiliging is het treffen en onderhouden van een samenhangend pakket van maatregelen om de betrouwbaarheid van processen, informatievoorzieningen en gegevens aantoonbaar te waarborgen. Kernpunten daarbij zijn beschikbaarheid, integriteit (juistheid) en vertrouwelijkheid van persoonsgegevens en andere informatie.

De strategie voor informatiebeveiliging geldt voor alle processen van de RDWI en borgt daarmee de informatievoorziening gedurende de hele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie. Het beperkt zich niet alleen tot de ICT en heeft betrekking op het politieke bestuur, alle medewerkers, burgers, gasten, bezoekers en externe relaties.

 

1.2 Ambitie en visie op het gebied van informatieveiligheid

De RDWI hecht grote waarde aan een goede dienstverlening aan haar burgers en bedrijven op alle vlakken waar de RDWI verantwoordelijk voor is. Ook wil de RDWI een betrouwbare en transparante partij zijn naar haar burgers en bedrijven. Hiervoor is het noodzakelijk dat de informatie die wij verzamelen, bijhouden en verwerken en publiceren te allen tijde beschikbaar is, juist en actueel is (integer) en, indien van toepassing, alleen toegankelijk is voor degenen die toegang moeten hebben (vertrouwelijk). De RDWI wil meegaan met nieuwe ontwikkelingen en technologie om de dienstverbetering verder te verbeteren.

 

1.3 Leeswijzer

In hoofdstuk 2 wordt de kern van de strategie uiteengezet. Deze strategie wordt op tactisch niveau aangevuld met onderwerp specifieke tactische beleidsregels. In het jaarlijks uit te brengen Informatiebeveiligingsplan (vastgesteld door het managementteam(hierna: MT)) worden deze tactische en operationele aspecten van de informatiebeveiliging verder uitgewerkt en geconcretiseerd. Dit wordt gedaan op basis van input van de unitmanagers, de Chief Information Security Officer (CISO) , het dreigingsbeeld van de Informatiebeveiligingsdienst (IBD) en de uitkomsten van de jaarlijkse zelfaudit over informatiebeveiliging. In het plan staan dan ook de acties en planning vermeld, om de praktijk in overeenstemming te brengen met datgene wat in de strategie is geëist. Hoofdstuk 3 beschrijft vervolgens hoe de taken en verantwoordelijkheden in de organisatie belegd zijn.

2 Strategie

2.1 Doel

Het doel van deze nota is het presenteren van het strategisch informatiebeveiligingsbeleid vanaf 2021. Dit beleid wordt periodiek en in aansluiting bij de (bestaande) P&C-cycli en (externe) ontwikkelingen beoordeeld en zo nodig bijgesteld. De uitwerking van dit beleid in concrete maatregelen vindt plaats in het jaarlijks bij te stellen informatiebeveiligingsplan.

 

2.2 Ontwikkelingen

De ontwikkelingen die van belang zijn voor de actualisering van het informatiebeveiligingsbeleid van de RDWI zijn in onderstaande paragrafen beschreven.

2.2.1 De BIO

De Baseline Informatiebeveiliging Overheid (BIO) is vanaf 1-1-2020 het nieuwe normenkader voor de gehele overheid. De werkwijze van de BIO is gericht op risicomanagement, waarbij de voorgaande Baseline Informatiebeveiliging voor Gemeenten (BIG) gericht was op compliance. Risicomanagement is voor leidinggevenden dus leidend. Dit houdt in dat men op voorhand keuzes maakt en continu afwegingen maakt of informatie in bestaande en nieuwe processen adequaat beveiligd is in termen van beschikbaarheid, integriteit en vertrouwelijkheid.

2.2.2 De 10 principes voor informatiebeveiliging

De 10 principes voor informatiebeveiliging zijn een bestuurlijke aanvulling op het normenkader BIO. Deze principes helpen bestuurders om de juiste dingen te doen en gaan over waarden die de bestuurder zichzelf oplegt.

 

De principes zijn:

  • 1.

    Bestuurders bevorderen een veilige cultuur.

  • 2.

    Informatiebeveiliging is van iedereen.

  • 3.

    Informatiebeveiliging is risicomanagement.

  • 4.

    Risicomanagement is onderdeel van de besluitvorming.

  • 5.

    Informatiebeveiliging behoeft ook aandacht in (keten)samenwerking.

  • 6.

    Informatiebeveiliging is een proces.

  • 7.

    Informatiebeveiliging kost geld.

  • 8.

    Onzekerheid dient te worden ingecalculeerd.

  • 9.

    Verbetering komt voort uit leren en ervaring.

  • 10.

    Het bestuur controleert en evalueert.

De principes gaan vooral over de rol van de bestuurder bij het borgen van informatiebeveiliging in de organisatie. Deze principes ondersteunen de bestuurder bij het uitvoeren van goed risicomanagement. Als er iets verkeerd gaat met betrekking tot het beveiligen van de informatie binnen de processen dan kan dit directe gevolgen hebben voor burgers en partners van de RDWI en de dienstverlening aan deze partijen. Daarmee is het onderwerp informatiebeveiliging nadrukkelijk gewenst op de bestuurstafel.

2.2.3 Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten (IBD)

Het dreigingsbeeld geeft een actueel zicht op dreigingen, risico’s op het gebied van politiek & bestuur / inwoners & ondernemers / ambtelijk terrein en biedt een handelingsperspectief voor management en bestuur. Dit dreigingsbeeld is daarmee het ideale document om focus aan te brengen in het actualiseren van beleid en plannen voor informatiebeveiliging.

2.2.4 Informatie uit lokale incidenten en inbreuken op de beveiliging

De RDWI kent naast het hierboven genoemde dreigingsbeeld een systeem waarin incidenten worden vastgelegd. Dit systeem geeft ook waardevolle informatie om van te leren en dus zijn incidenten uit het verleden ook nadrukkelijk input bij het actualiseren van het beleid en voor het treffen van beveiligingsmaatregelen.

 

2.3 Standaarden informatiebeveiliging

De basis voor de inrichting van het strategische informatiebeveiligingsbeleid is de ISO27001/2. Beveiligingsmaatregelen worden genomen op basis van “best practices” bij (lokale) overheden en deze ISO-normen.

 

Voor de ondersteuning van organisaties bij het formuleren en realiseren van hun

informatiebeveiligingsbeleid heeft de interbestuurlijke werkgroep Normatiek2 in 2018 de Baseline Informatiebeveiliging Overheid (BIO) uitgebracht, afgeleid van beide ISO-normen. Deze BIO bestaat uit een baseline met verschillende niveaus voor het beveiligen van informatie.

Door de Informatiebeveiligingsdienst (IBD) worden er praktische operationele handreikingen uitgebracht, zoals een handleiding voor het uitvoeren van risicoanalyses, voor het opstellen van een beveiligingsplan en diverse soorten beleidsstukken.

 

Het informatiebeveiligingsbeleid is in lijn met het algemene beleid van de RDWI en de relevante landelijke en Europese wet- en regelgeving.

 

2.4 Plaats van strategische informatiebeveiliging

De strategie wordt gebruikt om de basis te leggen voor de tactische beleidsplannen en daarmee richting te geven voor de verdere invulling van informatiebeveiliging op tactisch en operationeel niveau.

Deze nota beschrijft op strategisch niveau het informatiebeveiligingsbeleid. Dit beleid zal worden vertaald in tactische en operationele richtlijnen en maatregelen. De daaruit voortkomende werkzaamheden worden uitgewerkt in het jaarlijks te schrijven Informatiebeveiligingsplan.

 

2.5 Scope informatiebeveiliging

De scope van dit beleid omvat alle processen, onderliggende informatiesystemen, informatie en gegevens van de RDWI en de uitwisseling van gegevens met externe partijen, het gebruik daarvan door medewerkers en (keten)partners in de meest brede zin van het woord, ongeacht locatie, tijdstip en gebruikte apparatuur.

 

Dit strategisch informatiebeveiligingsbeleid is een algemene basis en dekt ook de beveiligingseisen uit wetgeving af zoals voor de BRP, SUWI en DigiD. Voor bepaalde kerntaken gelden op grond van deze en wet- en regelgeving ook nog enkele specifieke (aanvullende) beveiligingseisen (bijvoorbeeld SUWI). Deze worden in aanvullende documenten geformuleerd.

Bewust wordt in het strategisch beleid geen limitatief overzicht van onderliggende documenten opgenomen. In de onderliggende documenten wordt de link naar het strategisch beleid gelegd.

 

2.6 Uitgangspunten

Het bestuur, de directeur en het MT van de RDWI spelen een cruciale rol bij het uitvoeren van dit strategische informatiebeveiligingsbeleid. Het MT maakt een inschatting van het belang dat de verschillende delen van de informatievoorziening voor de RDWI heeft, de risico’s die de RDWI hiermee loopt en welke van deze risico’s onacceptabel hoog zijn. Op basis hiervan zet het MT dit beleid voor informatiebeveiliging op, draagt dit uit naar de organisatie en ondersteunt en bewaakt de uitvoering ervan.

 

Het MT geeft een duidelijke richting aan informatiebeveiliging en demonstreert dat zij informatiebeveiliging ondersteunt en zich hierbij betrokken voelt, door het uitdragen en handhaven van een informatiebeveiligingsbeleid van en voor de hele organisatie. Dit beleid is van toepassing op de gehele organisatie, alle processen, organisatieonderdelen, objecten, informatiesystemen en gegevens(verzamelingen). De strategie Informatiebeveiliging is in lijn met het algemene beleid van de RDWI en de relevante landelijke en Europese wet- en regelgeving.

2.6.1 Strategische doelen

De strategische doelen van het informatiebeveiligingsbeleid zijn:

  • Het managen van de informatiebeveiliging.

  • Adequate bescherming van bedrijfsmiddelen.

  • Het minimaliseren van risico’s van menselijk gedrag.

  • Het voorkomen van ongeautoriseerde toegang tot systemen en/of gebouwen.

  • Het garanderen van correcte en veilige informatievoorzieningen.

  • Het beheersen van de toegang tot informatiesystemen.

  • Het waarborgen van veilige informatiesystemen.

  • Het adequaat reageren op informatiebeveiligingsincidenten.

  • Het beschermen van kritieke bedrijfsprocessen.

  • Het beschermen en correct verwerken van persoonsgegevens van burgers en

  • medewerkers.

  • Het waarborgen van de naleving van dit beleid.

2.6.2 Belangrijkste uitgangspunten

De belangrijkste uitgangspunten zijn:

 

  • Alle informatie en informatiesystemen zijn van belang voor de RDWI, bepaalde informatie is van vitaal en kritiek belang. Het dagelijks bestuur is eindverantwoordelijke voor de informatiebeveiliging.

  • De uitvoering van de informatiebeveiliging is een verantwoordelijkheid van het MT in zijn geheel en de onderliggende lijn. Alle informatiebronnen en -systemen die gebruikt worden door de RDWI hebben een interne eigenaar die de vertrouwelijkheid en/of waarde bepaalt van de informatie die ze bevatten. De primaire verantwoordelijkheid voor de bescherming van informatie ligt dan ook bij de eigenaar van de informatie.

  • Door periodieke controle, organisatie brede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. De strategie Informatiebeveiliging vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening. In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening organisatie breed benaderd. Het plan wordt periodiek bijgesteld op basis van nieuwe ontwikkelingen, registraties in het incidentenregister en bestaande risicoanalyses.

  • Informatiebeveiliging is een continu verbeterproces. ‘Plan, do, check en act’ vormen samen het managementsysteem van informatiebeveiliging.

  • De RDWI stelt de benodigde mensen en middelen beschikbaar om haar eigendommen en werkprocessen te kunnen beveiligen volgens de wijze zoals gesteld in dit beleid.

  • Regels en verantwoordelijkheden voor het beveiligingsbeleid dienen te worden vastgelegd en vastgesteld.

  • Iedere medewerker, zowel vast als tijdelijk, intern of extern, is verplicht waar nodig gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht en bij vermeende inbreuken hiervan melding te maken.

2.6.3 Invulling van de uitgangspunten

Praktisch wordt als volgt invulling gegeven aan de uitgangspunten:

 

  • Het dagelijks bestuur stelt als eindverantwoordelijke de strategie Informatiebeveiliging vast.

  • Het MT stelt jaarlijks het informatiebeveiligingsplan vast.

  • Het MT is verantwoordelijk voor het (laten) uitwerken en uitvoeren van onderwerp specifieke tactische beleidsregels die aanvullend zijn op de strategie.

  • Het MT is verantwoordelijk voor het vragen om informatie bij de onderliggende lijn en ziet erop toe dat er adequate maatregelen genomen zijn voor de bescherming van de informatie die onder hun verantwoordelijkheid valt.

  • De Chief Information Security Officer (CISO) ondersteunt vanuit een onafhankelijke positie de organisatie bij het bewaken en verhogen van de betrouwbaarheid van de informatievoorziening en rapporteert hierover rechtstreeks aan het MT voorafgaand aan de kwartaalrapportage en/of de going-concernrapportages.

  • In de kwartaalrapportages en de going-concernrapportages dient aandacht te zijn voor de informatiebeveiliging n.a.v. input van de CISO. De onderwerpen, die als risicovol worden gezien, moeten tevens worden opgenomen in de auditplannen.

  • De unitmanagers zijn verantwoordelijk voor de uitvoering van de informatiebeveiliging voor de processen waarvoor zij verantwoordelijk zijn.

  • Er bestaat geen rangorde in belangrijkheid van (primaire) processen binnen de RDWI. Het samenspel van alle processen binnen de bedrijfsvoering is belangrijk voor de missie en de visie van de RDWI en het behalen van de doelen die zijn gesteld.

  • Alle medewerkers van de RDWI worden getraind in het gebruik van beveiligingsprocedures.

  • Medewerkers dienen verantwoord om te gaan met persoonsgegevens en andere informatie.

  • Unitmanagers dienen erop toe te zien dat de controle op het verwerken van persoonsgegevens regelmatig wordt uitgevoerd, zodat zij kunnen vaststellen dat alleen rechthebbende ambtenaren de juiste persoonsgegevens ingezien en verwerkt hebben.

  • De beveiligingsmaatregelen worden bepaald op basis van risicomanagement. Onder verantwoordelijkheid van de unitmanagers worden quickscans informatiebeveiliging uitgevoerd op basis van de BIO om deze risico-afwegingen te kunnen maken.

2.6.4 Randvoorwaarden

Belangrijke randvoorwaarden zijn:

  • De informatiebeveiliging maakt deel uit van afspraken met ketenpartners.

  • Kennis en bewustzijn van informatiebeveiliging en omgaan met persoonsgegevens binnen de organisatie dienen actief bevorderd en geborgd te worden.

  • Jaarlijks wordt een informatiebeveiligingsplan opgesteld onder leiding van de unitmanager Financien, Informatiemanagement en Facilitair, gebaseerd op:

    • de uitkomsten van de jaarlijkse Eenduidige Normatiek Single Information Audit (ENSIA);

    • het dreigingsbeeld gemeenten van de IBD;

    • de door de unitmanagers ingebrachte onderwerpen voor de informatievoorziening waarvoor zij verantwoordelijk zijn.

  • Jaarlijks wordt de strategie beoordeeld op veranderende wetgeving, actualiteit of andere oorzaken die een aanpassing van de strategie Informatiebeveiliging vragen.

3 Organisatie, taken en verantwoordelijkheden

 

In dit hoofdstuk wordt uiteengezet welke taken en verantwoordelijkheden met betrekking tot informatiebeveiliging op welke plaats belegd zijn binnen de organisatie. De methodiek sluit aan bij de in de bedrijfsvoering bekende Three Lines of Defence (3LoD)(zie figuur 1). In dit model is het lijnmanagement verantwoordelijk voor de eigen processen. De tweede lijn (CISO, security officers) ondersteunt, adviseert, coördineert en bewaakt of het management zijn verantwoordelijkheden ook daadwerkelijk neemt. In de derde lijn wordt het geheel door een (interne) auditor van een objectief oordeel voorzien met mogelijkheden tot verbetering.

 

3.1 Aansturing: het MT

Het MT zorgt dat alle processen en systemen en de daarbij behorende middelen altijd onder de verantwoordelijkheid vallen van een unitmanager. Het MT zorgt dat de unitmanagers zich verantwoorden over de beveiliging van de informatie die onder hen berust. Het MT zorgt dat de eindverantwoordelijke portefeuillehouders binnen het dagelijks bestuur gevraagd en ongevraagd geïnformeerd worden over de mate waarin informatiebeveiliging een onderdeel is van het handelen van de bedrijfsvoering. Op die manier kan het dagelijks bestuur zich ook verantwoorden naar het algemeen bestuur.

Het MT stelt het gewenste niveau van de continuïteit van de bedrijfsvoering en vertrouwelijkheid van gegevens vast. Het MT draagt zorg voor het uitwerken van tactische informatiebeveiligingsbeleidsonderwerpen en laat zich hierin bijstaan door de CISO. Het MT autoriseert de benodigde procedures en uitvoeringsmaatregelen. Het onderwerp informatiebeveiliging wordt gezien als een integraal onderdeel van risicomanagement.

 

3.2 Uitvoering: unitmanagers

Informatiebeveiliging valt onder de verantwoordelijkheden van alle unitmanagers. Om deze verantwoordelijkheid waar te maken, dienen zij goed ondersteund te worden vanuit de tweede lijn (CISO, security officers). Deze verantwoordelijkheid kunnen zij niet delegeren, uitvoerende werkzaamheden kunnen zij wel delegeren naar de onderliggende lijn. De bedoeling is dat alle processen, systemen, data, applicaties altijd minimaal 1 eigenaar hebben; er moet dus altijd iemand verantwoordelijk zijn. Unitmanagers rapporteren aan het MT over de door hen tactisch en operationeel uitgevoerde informatiebeveiligingsactiviteiten. Afstemming met de afdelingen over de inhoudelijke aanpak vindt plaats door minimaal 1 maal per jaar het onderwerp Informatiebeveiliging te bespreken in het MT. Voorbereiding en coördinatie van dit overleg ligt bij de CISO.

 

Taken van de unitmanagers in het kader van informatiebeveiliging zijn:

  • Het leveren van input voor wijzigingen op maatregelen en procedures.

  • Het binnen de eigen unit uitdragen van het beveiligingsbeleid, de daaraan gerelateerde procedures.

  • Het vroegtijdig signaleren van de voornaamste bedreigingen waaraan de bedrijfsinformatie is blootgesteld.

  • Bespreking van beveiligingsincidenten en de consequenties die dit moet hebben voor beleid en maatregelen.

Figuur 1

Toegepast wordt het principe van het ‘3-Lines of Defence’ model. In dit 3LoD model hebben de verschillende spelers specifieke rollen en taken met betrekking tot informatiebeveiliging.

 

Rollen en Taken binnen het 3-Lines of Defence model

1e lijn >> Directie,

lijnmanagement, medewerkers

2e lijn >> CISO en TISO 1 , samenwerkend in een Information Securityteam

3e lijn >> Controller, auditor, FG

Dagelijkse operatie

  • Voldoen aan beleid

  • Implementatie beleid

  • Inrichting processen

  • Maken werkbeschrijvingen

  • Inrichting techniek

  • Risico eigenaar

Borging

  • Borging kennis

  • 1e lijn controles (controles eigen werk)

  • Inrichten functiescheiding

Kader stellend

  • Definiëren kader stellend beleid

Adviserend

  • Ondersteunen 1e lijn

Toetsend

  • Dagelijkse operatie toetsen aan beleid

  • Review operationeel beleid

Monitorend

  • Control review

  • Risico assessments

  • Risico monitoring

Onafhankelijke toetsing van 1e en 2e lijn m.b.t.

  • Naleving beleid

  • Uitvoer processen

  • De realisatie van de maatregelen

  • De afhandeling van beveiligingsincidenten.

Onafhankelijk betekent

  • Geen operationele verantwoordelijkheid

  • Geen beleidsmatige verantwoordelijkheid

 

3.3 Controle en verantwoording

Dit strategisch beleid is een verantwoordelijkheid van het dagelijks bestuur van de RDWI. Het dagelijks bestuur zal volgens de 10 principes voor informatiebeveiliging richting en sturing geven aan het onderwerp informatiebeveiliging door het geven van voorbeeldgedrag en het vragen om informatie.

Het MT is verantwoordelijk voor het gevraagd en ongevraagd rapporteren over informatiebeveiliging aan respectievelijke portefeuillehouders. Het MT rapporteert daarnaast over de mate waarin zij invulling heeft gegeven aan het uitwerken van tactische (deel) beleidsonderwerpen die aanvullend zijn op dit strategische beleid.

 

3.4 ENSIA

Ongeacht de delegatie van taken en verantwoordelijkheden op het terrein van werk en inkomen aan de RDWI, blijven de deelnemende gemeenten bestuurlijk verantwoordelijk voor het gebruik van Suwinet door de RDWI. Deze verantwoording wordt afgelegd in het ENSIA proces. ENSIA helpt gemeenten in één keer verantwoording af te leggen over informatieveiligheid gebaseerd op de normen die gelden voor de Nederlandse overheid, de BIO. Dit vindt plaats volgens een vastgesteld verantwoordingsproces van zelfevaluatie naar het opstellen van een collegeverklaring en een externe audit. De RDWI heeft een taak en verantwoordelijkheid in het ENSIA-proces richting de deelnemende gemeenten.

 

Om dit proces te stroomlijnen is er regionaal een kwartiermaker ‘regionale samenwerking ENSIA’ aangesteld. Deze zorgt ervoor dat de informatie die nodig is voor het beantwoorden van vragen binnen ENSIA wordt opgehaald. De RDWI heeft een intern ENSIA-coördinator die zorg draagt voor verdere stroomlijning van dit proces binnen de RDWI.

4 Financiering van informatieveiligheid

 

Informatieveiligheid kost geld en zal ook meer gaan kosten aangezien organisaties steeds afhankelijker van ICT worden. Tot op heden worden de kosten van informatieveiligheid grotendeels gedekt vanuit ICT-budgetten. Om meer overzicht te krijgen in de kosten is het noodzakelijk om deze kosten beter in beeld te krijgen. Tegelijkertijd is het logisch dat informatieveiligheid het beste gediend is door de financiering te beleggen bij de betrokken eigenaren.

 

Voorgesteld wordt de volgende splitsing aan te brengen:

  • De kosten van de beveiliging van de gemeentelijke IT-infrastructuur komt ten laste van het de kostenplaats automatisering.

  • De kosten voor de uitvoering van IT-audits en assessments, zoals ENSIA, komen ten laste van de kostenplaats automatisering.

  • Personele kosten RDWI zitten in de betreffende in unitbudgetten.

  • De personele loonkosten van de CISO’s worden door de RID aan de deelnemers doorbelast volgens de afgesproken verdeelsleutel.

  • Scholing en kennisopbouw van medewerkers komen voor een deel ten laste van de unitbudgetten en voor een deel ten laste van het organisatie brede opleidingsbudget.

1

Technisch information security officer, ondergebracht bij de GR RID