Organisatie | Maastricht |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Strategisch informatiebeveiligingsbeleid |
Citeertitel | Strategisch informatiebeveiligingsbeleid |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Geen
Onbekend
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
19-11-2022 | nieuwe regeling | 08-11-2022 |
Het beheer van dit document berust bij de Chief Information Security Officer (CISO) van de gemeente Maastricht.
Dit document beschrijft het strategische informatiebeveiligingsbeleid van de gemeente Maastricht voor de periode 2022-2025 en vervangt het in 2019 vastgestelde `Informatiebeveiligingsbeleid gemeente Maastricht’. Het voorgaande beleid was gebaseerd op de baseline informatiebeveiliging overheid versie 1.02. Dit nieuwe beleid is gebaseerd op de Visie Informatiebeveiliging en verwijst naar de baseline informatiebeveiliging overheid versie 1.04zv als het gaat om de concrete controls, maatregelen en handreikingen.
Onder informatiebeveiliging1 verstaat de gemeente Maastricht: “het treffen en onderhouden van een samenhangend pakket van preventieve, detectieve, repressieve en correctieve maatregelen om de betrouwbaarheid van de informatievoorziening aantoonbaar te waarborgen. Kernpunten daarbij zijn beschikbaarheid, integriteit (juistheid) en vertrouwelijkheid van alle gemeentelijke informatie ongeacht de vorm, waaronder persoonsgegevens. Informatiebeveiliging gaat niet over ICT alleen, maar gaat over informatie in alle verschijningvormen binnen de organisatie. Informatiebeveiliging creëert daarmee waarde, voorkomt schade en draagt bij aan de bedrijfsdoelstellingen van de gemeentelijke organisatie.
Het strategisch informatiebeveiligingsbeleid van de gemeente Maastricht
De gemeente Maastricht baseert haar strategisch informatiebeveiligingsbeleid op de Visie Informatiebeveiliging, de Baseline Informatiebeveiliging Overheid en de 10 bestuurlijke principes voor informatiebeveiliging.
De gemeente Maastricht kijkt naar Informatieveiligheid vanuit de volgende 6 gezichtspunten:
Baseline Informatiebeveiliging Overheid
Met ingang van 2020 is de baseline informatiebeveiliging overheid het vigerende normenkader voor de overheid (momenteel BIO-versie-1.04zv). De werkwijze van de BIO is gericht op risicomanagement. Dat wil zeggen dat de afdelingsmanagers nu meer moeten werken volgens de aanpak van de ISO 27001, de internationale norm voor informatiebeveiliging. Dit houdt voor het management in dat zij voortdurend keuzes en continue afwegingen moeten maken of informatie in bestaande en nieuwe processen adequaat beveiligd is in termen van beschikbaarheid, integriteit en vertrouwelijkheid.
10 Bestuurlijke principes voor informatiebeveiliging
De 10 bestuurlijke principes voor informatiebeveiliging zijn:
De scope van dit beleid omvat alle gemeentelijke processen, onderliggende informatiesystemen (zowel on-premise als SaaS), procesautomatisering, informatie en gegevens van de gemeente en externe partijen (bijvoorbeeld politie), het gebruik daarvan door medewerkers en (keten)partners in de meest brede zin van het woord, ongeacht locatie, tijdstip en gebruikte apparatuur.
Dit strategisch informatiebeveiligingsbeleid is een algemene basis. Voor bepaalde kerntaken gelden op grond van wet- en regelgeving specifieke (aanvullende) beveiligingseisen (bijvoorbeeld DigiD, Suwinet, gemeentelijke basisregistraties, verplichte eisen van het Forum Standaardisatie etc.).
Het strategisch informatiebeveiligingsbeleid wordt, waar van toepassing, per onderwerp door zorg van het Directieteam (DT) aangevuld met specifieke beleidsdocumenten op tactisch niveau. Reeds door het DT vastgesteld tactisch beveiligingsbeleid blijft geldig.
Evaluatie en herziening strategisch informatiebeveiligingsbeleid
Het strategisch informatiebeveiligingsbeleid wordt minimaal één keer per drie jaar, of zodra zich belangrijke wijzigingen voordoen, beoordeeld en zo nodig bij- en formeel vastgesteld.
De strategische doelen van het informatiebeveiligingsbeleid zijn:
Randvoorwaarden, Uitgangspunten en Richtlijnen strategisch informatiebeveiligingsbeleid
De gemeente Maastricht hanteert de onderstaande randvoorwaarden, uitgangspunten en richtlijnen voor het strategisch informatiebeveiligingsbeleid:
Bij het plaatsen van een informatiesysteem in de Cloud, is de inschrijver en eventuele onderaannemers ISO27001 (Informatiebeveiliging) gecertificeerd en/of is in het bezit van een geldige ISAE3402 SOC2 assurance rapportage en/of levert ten tijde van de inschrijving en jaarlijks een TPM-verklaring over de gehele dienstverlening inclusief onderaannemers, uitgegeven door een IT Auditor (RE en/of CISA), waarmee assurance wordt afgegeven over de kwaliteitsaspecten integriteit, beschikbaarheid en vertrouwelijkheid in opzet, bestaan en werking.
Kennis over en bewustzijn van informatiebeveiliging onder medewerkers en het omgaan met persoonsgegevens wordt actief bevorderd en geborgd door het lijnmanagement in een doorlopende bewustwordingscampagne geïnitieerd door de chief information security officer (CISO) en de functionaris voor de gegevensbescherming (FG);
Informatiebeveiligingsorganisatie: Taken, Verantwoordelijkheden en Bevoegdheden
Binnen de gemeente Maastricht zijn de volgende rollen met de daarbij behorende taken, verantwoordelijkheden en bevoegdheden ten aanzien van informatiebeveiliging benoemd en belegd:
Het College van Burgemeester en Wethouders is integraal verantwoordelijk voor de beveiliging van informatie binnen de werkprocessen van de gemeente. Het college van B&W stelt het strategisch informatiebeveiligingsbeleid vast; verantwoordt zich over informatiebeveiliging aan de gemeenteraad (horizontale verantwoording) en aan de nationale toezichthouders (verticale verantwoording).
Het Directieteam stelt het tactisch informatiebeveiligingsbeleid en het I&A portfolio inclusief Informatiebeveilgingsopgaven vast.
De Directeur bedrijfsvoering is gemandateerd bevoegd en verantwoordelijk voor het waar nodig (laten) uitwerken, vaststellen en uitvoeren van onderwerp specifieke tactische beleidsregels die aanvullend zijn op het strategisch informatiebeveiligingsbeleid;
Chief Information Security Officer
De gemeentelijke CISO heeft een onafhankelijk positie tegenover zowel het lijnmanagement als het bestuur van de gemeente.
De CISO is bevoegd en verantwoordelijk voor:
Specialist informatiebeveiliging
Specifieke beveiligingsfuncties
De Taken, Verantwoordelijkheden en Bevoegdheden van deze rollen, staan nader beschreven in het Informatiebeveiligingsbeleid Publieke Dienstverlening.
Sociale zaken Maastricht Heuvelland
De Taken, Verantwoordelijkheden en Bevoegdheden van bovenstaande rol, staat nader beschreven in het Informatiebeveiligingsbeleid Publieke Dienstverlening.
Is verantwoordelijk voor de (keten)processen die onder hun verantwoordelijkheid vallen inclusief informatiebeveiliging en draagt zorg voor het actueel houden van het informatie security management systeem (ISMS) voor zijn processen en voor de bevordering en borging van het bewustzijn ten aanzien van informatiebeveiliging bij medewerkers;
Medewerkers zijn verantwoordelijk voor het zorgvuldig omgaan met persoonsgegevens en andere (vertrouwelijke) informatie waar zij uit hoofde van hun functie toegang toe hebben.
Overlegstructuur informatieveiligheid
Het strategisch informatiebeveiligingsoverleg vindt zo vaak plaats als nodig is; deelnemers zijn de portefeuillehouder informatieveiligheid, de directeur bedrijfsvoering/CIO en de CISO, als onderdeel van het reguliere PO IBD. Het overleg richt zich op de strategische richting die de gemeente Maastricht aangaande informatieveiligheid wenst op te gaan.
Vindt 2-wekelijks plaats, deelnemers: CISO, FG. Adviseur Audit & Control en specialist informatiebeveiliging. Het overleg heeft onder meer binnen de gemeente een adviesfunctie richting bestuur en management van de organisatie. Het overleg richt zich op beleid en adviseert gevraagd en ongevraagd over vraagstukken aangaande informatiebeveiliging.
Op ad-hoc basis worden per onderwerp eventueel andere deelnemers uitgenodigd.
Wekelijks vergadert het C(omputer)E(mergency)R(esponse)T(eam). Aan het overleg nemen deel: CISO. Specialist informatiebeveiliging, Systeem architect, Infrastructuur architect, Infrabeheerder(s) en Licentiebeheerder. Op ad-hoc basis worden per onderwerp eventueel andere deelnemers uitgenodigd.
De gemeente verantwoordt zich over het taakveld informatieveiligheid door middel van de jaarlijkse Eenduidige Normatiek Single Information Audit (ENSIA-methodiek). De gemeentesecretaris wijst een ENSIA-coördinator aan die in zijn opdracht ervoor zorgt dat de informatie die nodig is voor het beantwoorden van de ENSIA-vragenlijsten, wordt opgehaald bij de verantwoordelijke afdelingsmanagers.
De verantwoording over informatieveiligheid komt tot uitdrukking in de jaarlijkse collegeverklaring Informatiebeveiliging en het jaarverslag. Door middel van deze verantwoording wordt het bestuur geïnformeerd. De betrokkenheid van het bestuur is essentieel en laat zien dat de gemeente Maastricht informatiebeveiliging serieus neemt en het een onderdeel laat zijn van de ambities om informatie van haar burgers adequaat te beschermen.