Organisatie | Tubbergen |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Strategisch informatiebeveiligingsbeleid Noaberkracht Dinkelland Tubbergen 2023-2026 |
Citeertitel | Strategisch informatiebeveiligingsbeleid Noaberkracht Dinkelland Tubbergen 2023-2026 |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Deze regeling vervangt de Nota Strategisch Informatieveiligheidsbeleid 2020.
Onbekend
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
30-08-2023 | nieuwe regeling | 22-08-2023 | 790068 |
Voor u ligt het strategisch informatiebeveiligingsbeleid van de gemeenten Dinkelland en Tubbergen en de bedrijfsvoeringsorganisatie Noaberkracht Dinkelland Tubbergen voor de jaren 2023 tot 2026. Het vervangt de in 2020 vastgestelde nota Strategisch Informatieveiligheidsbeleid 2020 Noaberkracht Dinkelland Tubbergen.
Omwille van de leesbaarheid worden de gemeentenamen en de naam van de bedrijfsvoeringorganisatie in dit document verder samengevoegd tot Noaberkracht.
Het beleid heeft een looptijd van drie jaar, waarna evaluatie en bijstelling zal plaats vinden.
Deze nota is richtinggevend en kaderstellend en wordt uitgewerkt met onderwerpspecifieke beleidsdocumenten voor informatiebeveiliging op tactisch niveau en werkinstructies op operationeel niveau.
Dit document bevat strategische beleidsuitgangspunten op het gebied van informatiebeveiliging (het geheel van activiteiten, methoden en middelen ter waarborging van beschikbaarheid, integriteit en vertrouwelijkheid van informatie en de organisatie daarvan). Hierin staan de uitgangspunten, het sturings- en verantwoordingsmechanisme en de rollen en verantwoordelijkheden aangaande informatiebeveiliging beschreven. Daarnaast is rekening gehouden met de wettelijke kaders die aan informatieverwerking binnen specifieke onderdelen worden gesteld, zoals de Wet basisregistratie personen (Wet BRP), Algemene Verordening Gegevensbescherming (AVG), Wet Structuur Uitvoeringsorganisatie Werk en Inkomen (SUWI), het DigID beveiligingsassessment (DigID audit) en Wet open overheid (Woo). Om te voorkomen dat binnen elk van die gebieden separaat (beveiligings-)beleid ontwikkeld en geïmplementeerd wordt, is de keuze gemaakt dit gemeentebrede informatiebeveiligingsbeleid op te stellen voor alle organisatieonderdelen.
Het gemeentelijke informatiebeveiligingsbeleid geeft een algemene basis gebaseerd op algemene normen, eisen en risico-inschattingen. Het biedt geen afdoende bescherming tegen terrorisme of spionage van (vreemde) mogendheden.
Met dit document worden de uitgangspunten ten aanzien van de beveiliging van informatieprocessen bepaald. Dit beleid brengt niet de huidige situatie in beeld maar beschrijft het ambitieniveau aangaande organisatiebrede informatiebeveiliging. Waar relevant is in dit document met rechte haken [ ] een verwijzing naar de BIO opgenomen. Dit betekent echter niet dat in alle gevallen de volledige maatregel door de implementatie van dit beleid wordt afgedekt.
Noaberkracht is een informatie-intensieve organisatie met een primaire focus op dienstverlening. Informatie is één van de voornaamste bedrijfsmiddelen voor het realiseren van doelstellingen zoals:
Deze organisatiekenmerken vragen om een betrouwbare en veilige informatievoorziening. De medewerkers van Noaberkracht moeten kunnen beschikken over betrouwbare informatie om de klanten (burgers, bedrijven, organisaties) optimaal te kunnen helpen en adviseren. Deze moeten er op hun beurt op kunnen vertrouwen dat hun gegevens bij Noaberkracht in goede handen zijn.
De door Noaberkracht geformuleerde zeven actielijnen voor organisatieontwikkeling vereisen allemaal direct of indirect, een betrouwbare, correcte en veilige informatievoorziening. Zonder dit fundament zullen de ambities niet waargemaakt kunnen worden.
Toegankelijke en betrouwbare overheidsinformatie is essentieel voor een gemeente, die zich verantwoordelijk gedraagt, aanspreekbaar en servicegericht is, die transparant en proactief verantwoording aflegt aan burgers en gemeenteraad en die met minimale middelen maximale resultaten behaalt. De bescherming van waardevolle informatie is hetgeen waar het uiteindelijk om gaat. Hoe waardevoller de informatie is, hoe meer maatregelen getroffen moeten worden.
Daarnaast zijn er ook eisen die door wet- en regelgeving worden gesteld. In bijvoorbeeld de AVG is de eis opgenomen om “passende” organisatorische- en technische maatregelen te nemen tegen “ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging". Het begrip "passend" geeft niet alleen aan dat er een proportionaliteit tussen de beveiligingsmaatregelen en de aard van de te beschermen gegevens moet zijn, maar ook dat beveiliging niet statisch kan zijn maar mee moet bewegen met dreigingen en de stand der techniek. Daarnaast zijn er specifieke eisen ten aanzien van informatiebeveiliging gesteld in andere wet en regelgevingen, zoals Wet Suwi, Wet BRP, Archiefwet maar ook wet- en regelgeving in het sociale domein.
Informatiebeveiliging is de verzamelnaam voor de processen die ingericht worden om de betrouwbaarheid van gemeentelijke processen, de gebruikte informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijk onheil. Het begrip ‘informatiebeveiliging’ heeft betrekking op:
Naast deze drie meer traditionele elementen horen ook de volgende tot het domein van informatiebeveiliging:
Het verwerken van persoonsgegevens vereist in alle gevallen passende organisatorische en technische beveiligingsmaatregelen. Het beschermen van privacy – het eerbiedigen van de persoonlijke levenssfeer – wordt daardoor als een onlosmakelijk onderdeel van informatiebeveiliging beschouwd. Daar waar in dit document over beveiliging wordt gesproken mag ook het beschermen van privacy worden verondersteld.
2.1 Ontwikkelingen / veranderende omgeving
De BIO (Baseline Informatiebeveiliging Overheid) is vanaf 2020 het normenkader voor de gehele overheid. De werkwijze van deze BIO is sterker gericht op risicomanagement dan het eerder door de gemeenten gehanteerde normenkader, de BIG. Van het (lijn)management wordt veel meer gevraagd om afwegingen en keuzes te maken over een adequaat niveau van beveiliging van hun processen en gegevens.
Bij de dagelijkse taakuitoefening wordt steeds meer gebruik gemaakt van mobiele computerapparatuur waarbij informatiesystemen steeds meer in open verbinding staan met de buitenwereld. Ook door schaalvergroting en samenwerking in ketenautomatisering neemt de kans op, en de impact van, incidenten toe. Een zelfde risico ligt in het integreren of koppelen van systemen, die niet van oorsprong zijn ontworpen met veiligheid in gedachte.
De door de VNG opgestelde en door alle gemeenten onderschreven principes voor de digitale samenleving geven richtlijnen en opgaven voor gemeenten in de omgang met digitalisering, dataverzameling en de inzet van technologie. Transparantie, democratische controle maar ook informatieveiligheid zijn hierbij kernbegrippen.
Met Common Ground wordt een grote stap gezet in de richting van een open, transparante overheid waarbinnen gegevens sneller en veiliger kunnen worden uitgewisseld, zowel intern als extern. Common Ground is een beweging waarin gemeenten werken aan een stapsgewijze modernisering van de ICT-infrastructuur. Dit vraagt naast aandacht voor privacy ook veel aandacht voor informatieveiligheid.
Internet of things en smart society-projecten dragen bij aan het vergroten van de leefbaarheid en veiligheid binnen de gemeente. Voorheen ‘domme’ objecten, worden slim (IoT) en maken het besturen van de gemeente makkelijker. Bijvoorbeeld prullenbakken die zelf aangeven dat ze vol zitten, of parkeerplaatsen die zelf aangeven dat ze vrij zijn. Maar ook minder mondaine toepassingen als sluizen, gemalen en riolen. Dit zet echter de informatieveiligheid verder onder druk. De IoT-apparatuur en -software die gemeenten hiervoor inzetten zorgen voor meer risico’s en kwetsbaarheden.
Kunstmatige intelligentie of artificial intelligence (AI) biedt kansen voor gemeenten. AI kan gemeenten helpen om beter inzicht te krijgen in hun processen en gegevens, en daarmee zorgen voor een betere dienstverlening voor inwoners en bedrijven. Het is ook een beveiligingstool van de toekomst. Met AI kunnen betere veiligheidsanalyses worden gedaan van allerlei systeem- en netwerkinformatie. Hiermee hebben gemeenten sneller inzicht in mogelijke incidenten of inbraakpogingen. De technologie is echter nog erg onvolwassen en vormt daarmee een risico voor de bedrijfsvoering. Hackers kunnen dit in de toekomst gebruiken om in te breken op gemeentelijke systemen.
Het door de IBD/VNG periodiek opgestelde Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten geeft een actueel zicht op incidenten en factoren uit het verleden, aangevuld met een verwachting voor het heden en de nabije toekomst. Dit dreigingsbeeld is daarmee zeer geschikt om focus aan te brengen in het actualiseren van beleid en plannen voor informatiebeveiliging. De volgende thema’s werden en worden geprioriteerd voor 2023/2024:
De scope van dit beleid omvat alle gemeentelijke informatieprocessen, zowel ambtelijke als bestuurlijke, inclusief de onderliggende informatiesystemen, informatie en gegevens van de gemeenten en betrokken externe partijen, het gebruik daarvan door medewerkers en (keten)partners in de meest brede zin van het woord; ongeacht locatie, tijdstip en gebruikte apparatuur; inclusief Web based-, cloud-, SaaS-, PaaS-, IaaS-, etc. oplossingen.
Organisatorisch zijn de uitgangspunten van dit beleid van toepassing op zowel de ambtelijke organisatie als op (de leden van) de colleges en alle hieronder ressorterende bestuursorganen. Het zelfde geldt ook voor de gemeenteraden en de griffies en de daaraan gelieerde organisatieonderdelen (zoals de rekenkamer).
Het Informatiebeveiligingsbeleid is bedoeld voor alle in- en externe medewerkers en ketenpartners van Noaberkracht:
De specifieke taken en verantwoordelijkheden van beveiligingsrollen zijn nader uitgewerkt in hoofdstuk 5.
2.3 Wettelijke basis en controle beveiligingsnormen
De wettelijke basis van informatiebeveiliging valt af te leiden uit Europese verordeningen en richtlijnen en uit landelijke wet- en regelgeving, zoals (niet uitputtend):
Op grond van bovenstaande wet- en regelgeving worden er eisen gesteld aan het niveau van informatiebeveiliging, de beheersmaatregelen en de controle (interne controle (ic)/interne audit) daarop.
Noaberkracht is als overheidsorganisatie verplicht te voldoen aan de standaarden uit de ‘pas toe of leg uit1 ’-lijst met verplichte standaarden voor de publieke sector van het Forum Standaardisatie. Hiertoe horen onder meer de normen NEN-ISO/IEC 27001:2017 en NEN-ISO/IEC 27002:2017 waarop de Baseline Informatiebeveiliging Overheid (BIO) is gebaseerd. Bij de aanbesteding van nieuwe producten of diensten of het verlengen van bestaande producten of diensten worden de relevante open standaarden uit de lijst van het Forum Standaardisatie uitgevraagd.
3 Informatiebeveiligingsbeleid
3.1 Het doel van informatiebeveiliging
Het Informatiebeveiligingsbeleid heeft als doel het waarborgen van de continuïteit van de informatievoorziening - en daarmee van de bedrijfsvoering – en het minimaliseren van de schade door het voorkomen van beveiligingsincidenten en het beperken van eventuele gevolgen ervan.
Dit strategische kader is richtinggevend en kaderstellend voor het tactische informatiebeveiligingsbeleid en voor passende organisatorische en technische maatregelen. Deze hebben ten doel gemeentelijke informatie te beschermen en te waarborgen dat de gemeente haar bedrijfsdoelstellingen met digitalisering kan realiseren en voldoet aan relevante wet- en regelgeving.
De gemeente streeft er naar om ‘in control’ te zijn en daarover op professionele wijze verantwoording af te leggen. In control betekent in dit verband dat de gemeente weet welke maatregelen genomen zijn en dat er een SMART-planning is van de maatregelen die nog niet genomen zijn en als laatste dat dit geheel verankerd is in een PDCA-cyclus.
De strategische doelen van het informatiebeveiligingsbeleid zijn:
Informatiebeveiliging is geen doel op zich. Dit informatiebeveiligingsbeleid moet dan ook in samenhang gezien worden met onder meer de organisatievisie, de visie op dienstverlening, de visie op informatievoorziening en passen binnen wet- en regelgeving.
In de informatievisie van Noaberkracht is als een van de leidende principes opgenomen dat de IV-organisatie professioneel gemanaged wordt. Governance is hierbij nodig om het te sturen en gericht door te ontwikkelen. Daarbij is governance er ook op gericht om de basis solide te houden. Ditzelfde geldt onverminderd voor informatiebeveiliging. Governance houdt in ieder geval in:
3.2 Strategisch beleidsdocument voor informatiebeveiliging
De colleges van B en W behoren dit gemeentebrede strategische beleidsdocument voor informatiebeveiliging goed te keuren en kenbaar te maken aan alle medewerkers, alsmede hiernaar te handelen. [5.1.1.1]
Dit beleidsdocument bevat de onderstaande punten:
De verwijzing naar relevante wet- en regelgeving en gemeentelijke regels en voorschriften op het gebied van privacybescherming, integriteit, archivering en fysieke beveiliging (zie 2.3) en de wijze waarop naleving van deze wettelijke, reglementaire of contractuele verplichtingen wordt gewaarborgd (zie hoofdstuk 4);
Externe partijen moeten een zelfde beveiligingsniveau hanteren zoals opgenomen in dit beleid; zij moeten tevens aan kunnen tonen dat zij voldoen aan dit niveau van beveiliging. Specifieke informatie op het gebied van informatiebeveiliging van relevante expertisegroepen, leveranciers van hardware, software en diensten en de IBD wordt gebruikt om de informatiebeveiliging te verbeteren. [12.6.1] De gemeente heeft uitgewerkt met welke instanties contact wordt onderhouden en door wie. [6.1.3.1] Dit overzicht wordt minimaal jaarlijks bijgewerkt. [6.1.3.2]
3.3 De plaats van het strategisch beleid
In het strategisch beleidsstuk worden de uitgangspunten, leidende principes en de organisatie van de informatiebeveiliging beschreven. Het geeft de hoofdlijnen en de kaders.
Het strategisch beleid wordt gebruikt om de basis te leggen voor het tactische beleid en daarmee richting te geven voor de verdere invulling van informatiebeveiliging op tactisch en operationeel niveau. Het fundament van het tactische beleid van Noaberkracht wordt gevormd door de Baseline Informatiebeveiliging Overheid (BIO).
Alle Nederlandse gemeenten hanteren vanaf 1 januari 2020 samen met de rijksoverheid, de waterschappen en de provincies één uniform normenkader voor informatiebeveiliging: de BIO. Deze heeft de voor gemeenten gebruikte Baseline Informatiebeveiliging Gemeenten (BIG) vervangen. De BIO is gebaseerd op de internationale ISO27001/2-standaard en biedt een baseline met verschillende niveaus van beveiliging. Risicomanagement vormt zowel de basis van de BIO als een leidend uitgangspunt bij de implementatie en gebruik er van. De BIO bevat normen op alle te onderscheiden gebieden van informatiebeveiliging en vormt de bulk van het tactische informatiebeveiligingsbeleid van de gemeente. De BIO stelt normen voor de volgende onderwerpen:
Daar waar dit vereist is of nodig wordt geacht op basis van risicomanagement worden door de gemeente aanvullende tactische beleidsdocumenten opgesteld.
De vertaling naar operationeel niveau zal bestaan uit talrijke maatregelen, richtlijnen, procedures en andere operationele documentatie. Deze zullen de praktische uitwerking vormen van het tactische beleid.
De op te stellen en te implementeren werkzaamheden worden uitgewerkt in een jaarlijks te schrijven informatiebeveiligingsplan.
3.4 Visie op informatiebeveiliging
Noaberkracht draagt er zorg voor dat de informatiebeveiliging (en als onlosmakelijk onderdeel daarvan privacy) goed georganiseerd wordt en blijft. De volgende uitgangspunten en leidende principes worden gehanteerd bij het informatiebeveiligingsbeleid:
De uitvoering van de informatiebeveiliging is een verantwoordelijkheid van het lijnmanagement (directie en teammanagers). Alle informatiebronnen en -systemen die gebruikt worden door Noaberkracht hebben een interne eigenaar die de vertrouwelijkheid en/of waarde bepaalt van de informatie die ze bevatten. De primaire verantwoordelijkheid voor de bescherming van informatie ligt dan ook bij de eigenaar van de informatie.
Door periodieke controle, organisatiebrede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening. In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening organisatiebreed benaderd. Het plan wordt periodiek bijgesteld op basis van nieuwe ontwikkelingen, registraties in het incidentenregister en risicoanalyses.
3.4.2 Invulling van de uitgangspunten
Praktisch wordt als volgt invulling gegeven aan de uitgangspunten:
De Chief Information Security Officer (CISO) ondersteunt vanuit een onafhankelijke centrale positie alle onderdelen van de organisatie bij het bewaken en verhogen van de betrouwbaarheid van de informatievoorziening en rapporteert hierover rechtstreeks aan de directie, voorafgaand aan de voortgangsgesprekken in het kader van de P&C-cyclus.
De teammanagers zijn verantwoordelijk voor het realiseren van de informatiebeveiliging binnen de processen waar zij verantwoordelijk voor zijn. Dit geldt ook voor onderdelen die uitbesteed zijn of worden uitgevoerd bij samenwerkingsverbanden, ketenpartners of leveranciers. Deze vallen onverminderd binnen de scope van het informatiebeveiligingsbeleid van Noaberkracht.
Hoewel de basisregistraties (zoals BRP, BAG, BGT) belangrijk zijn in het kader van informatiebeveiliging, krijgen zij niet meer of minder voorrang dan andere (primaire) processen binnen de organisatie. Het samenspel van alle processen binnen de bedrijfsvoering is belangrijk voor de missie en de visie van de organisatie en het behalen van de doelen die zijn gesteld.
4 Borging van het informatiebeveiligingsbeleid
Om de borging van het informatiebeveiligingsbeleid en de daarvan afgeleide plannen te realiseren, wordt naast een toebedeling van rollen (zie hoofdstuk 5), onderstaande Plan, Do, Check, Act (PDCA) cyclus doorlopen. Alhoewel altijd tussentijds documenten kunnen worden bijgesteld, worden onderstaande uitgangspunten gehanteerd voor het doorlopen van de PDCA-cyclus resulterend in een Information Security Management System (ISMS) (zie figuur 1). [18.2.1.1]
4.1 Informatiebeveiligingsbeleid (zowel strategisch als tactisch)
De start ligt bij de visie op informatiebeveiliging en het informatiebeveiligingsbeleid. Dit is organisatiebreed beleid dat de uitgangspunten, de normen en de kaders biedt voor de beveiliging van alle onderliggende gemeentelijke informatieprocessen. Uitzonderingen hierop zijn toegestaan, maar dan wel duidelijk gemotiveerd én verifieerbaar; dit wordt ook wel het ‘pas toe of leg uit’-principe genoemd.
Bijstelling van het (strategische) informatiebeveiligingsbeleid vindt plaats rond een cyclus van drie jaar. Indien zich grote wijzigingen voordoen vindt actualisatie eerder plaats; [5.1.2.1]
4.2 Informatiebeveiligingsanalyse
Stap twee is gericht op het implementatietraject. De implementatiefase begint met het uitvoeren van een informatiebeveiligingsanalyse. Tijdens deze informatiebeveiligingsanalyse wordt de praktijksituatie in de gemeente getoetst aan het gemeentebrede informatiebeveiligingsbeleid en aan de beveiligingsmaatregelen uit de BIO door middel van het uitvoeren van een risico-inventarisatie en -evaluatie (RI&E), een GAP-analyse, een scan van de fysieke beveiliging (rondgang gebouw) en een evaluatie van het vorige informatiebeveiligingsplan.
Bijstelling van de informatiebeveiligingsanalyse vindt jaarlijks plaats.
In de informatiebeveiligingsanalyse worden niet alleen de ‘harde aspecten’ onderzocht, dat wil zeggen de techniek, de regels en de procedures, maar worden ook de ‘zachte aspecten’ meegenomen. Deze richten zich op het menselijk handelen en cultuuraspecten en daarnaast de sociale en fysieke inrichting van de organisatie.
4.3 Informatiebeveiligingsplan
Op basis van de informatiebeveiligingsanalyse wordt in stap drie een actieplan opgesteld; het jaarlijkse informatiebeveiligingsplan. De in de analyse geconstateerde risico’s worden gewogen en waar nodig van maatregelen voorzien. Het invoeren van maatregelen gebeurt vanuit een risicobenadering: de effecten van de maatregelen moeten in verhouding staan tot de noodzakelijke beveiliging. Hierbij wordt ook gebruik gemaakt van beveiligingsclassificaties (dataclassificatie). Prioritering van de acties wordt gedaan op basis van de risico’s die vanuit de RI&E zijn geconstateerd, de beschikbare tijd en de beschikbare middelen. Hierdoor ontstaat een compact actieplan waarmee de organisatie vaststelt welke verbeteracties gedurende een periode van een jaar worden uitgevoerd. Dit actieplan vormt een praktische leidraad voor de verbetering en borging van informatiebeveiliging in de organisatie. De governancegroep informatiebeveiliging komt bij elkaar om de implementatie van het actieplan informatiebeveiliging te evalueren te bewaken en waar nodig bij te stellen. Dit vindt conform de bespreking in het informatiebeveiligingsoverleg minimaal vier maal per jaar plaats (zie paragraaf 5.2).
4.4 Technische en organisatorische maatregelen
Stap vier bestaat uit het opleveren van een complete set aan technische en organisatorische maatregelen die gericht is op de specifieke eisen van een onderdeel. Het kan gaan om maatregelen uit de BIO, maar ook om specifieke maatregelen voor applicaties zoals de BRP, SUWI, de BAG, het financiële systeem of om de primaire processen van de organisatie, ICT-beheerprocessen of de inrichting van de ICT-platformen. Dit betreft met name het opstellen van procedures en werkinstructies.
De directie beoordeelt regelmatig de naleving van de informatieverwerking en -procedures binnen haar verantwoordelijkheidsgebied aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging. [18.2.2] Dit mondt uit in het jaarverslag. Daarin wordt in lijn met de P&C-cyclus en ondersteund door een in control verklaring (ICV) gerapporteerd over het doorlopen van de beschreven cyclus met betrekking tot informatiebeveiliging. In deze rapportage worden ook andere voor informatiebeveiliging en privacy relevante onderwerpen – zoals auditresultaten en de uitkomsten van interne controles – behandeld. [18.1.4.2; 18.2.2.1]
Om te beoordelen of de organisatie haar informatiebeveiligingsbeleid- en doelstellingen heeft behaald, worden periodieke onafhankelijke controles en audits uitgevoerd - waarbij een onafhankelijke deskundige partij een toets uitvoert op de opzet, bestaan en werking van beheersmaatregelen. Hiertoe kan een externe (erkende) partij worden ingeschakeld of het eigen team concern control.
Jaarlijks wordt een auditplan (intern controleplan) opgesteld waarin wordt vastgelegd welke interne controles en audits in het komende jaar plaatsvinden en op welke informatiesystemen deze betrekking hebben. [18.2.1.2] In dit plan wordt tevens een beschrijving van de uit te voeren controles opgenomen, evenals de uitvoerders en verantwoordelijken (lijnmanagement; teammanagers) voor de controles gekoppeld aan een tijdsplanning. Ook de jaarlijkse controle op de technische naleving van beveiligingsnormen bij informatiesystemen, zoals penetratietesten, zijn onderdeel van dit plan. [18.2.3.1] Over de resultaten van de uitgevoerde audits wordt door de lijnverantwoordelijken (teammanagers) gerapporteerd aan de CISO. De CISO bundelt deze bijdragen en rapporteert hierover periodiek aan management en bestuur.
5 Organisatie van de informatiebeveiliging
In dit hoofdstuk wordt uiteengezet welke taken en verantwoordelijkheden met betrekking tot informatiebeveiliging op welke plaats belegd zijn binnen de organisatie. De methodiek sluit aan bij de in de bedrijfsvoering bekende Three Lines of Defence (3LoD). In dit model is het lijnmanagement (i.c. de teammanagers) als de eerste lijn verantwoordelijk voor de eigen processen, waaronder ook voor informatiebeveiliging. De tweede lijn (CISO, risicomanagement, beveiligingsbeheerders) ondersteunt, adviseert, coördineert en bewaakt of het management zijn verantwoordelijkheden ook daadwerkelijk neemt.
In de derde lijn vindt nadere toetsing plaats door verbijzonderde interne controle (VIC) en wordt het geheel door een interne auditor getoetst en van een objectief oordeel voorzien met mogelijkheden tot verbetering. Het toezicht door de FG (functionaris gegevensbescherming) is hier een onderdeel van. Hier is op onderdelen nog een vierde lijn aan toe te voegen in de vorm van een (op onderdelen verplichte) externe audit.
5.1 Verantwoordelijkheidsniveaus binnen Noaberkracht
Binnen Noaberkracht worden – waar relevant in lijn met geldende wet- en regelgeving – de volgende verantwoordelijkheids- en takenniveaus met betrekking tot informatiebeveiliging onderscheiden [6.1.1.2]:
5.1.1 Controle en toetsing door de gemeenteraad
De gemeenteraad draagt een specifieke bevoegdheid voor de controle en de toetsing op de werking van beleid binnen de eigen gemeente, zo ook voor informatiebeveiliging. Het college van B&W legt in lijn met de P&C-cyclus jaarlijks verantwoording af aan de raad, door middel van een collegeverklaring/ICV – waarop door een auditor assurance wordt afgegeven – en in het jaarverslag met een passage over informatiebeveiliging in de paragraaf bedrijfsvoering. [18.2.2.1]
5.1.2 Beleidsbepalende, regisserende en coördinerende verantwoordelijkheden op organisatieniveau
Het college van B en W draagt als eigenaar van gemeentelijke informatieprocessen en (informatie)systemen de eindverantwoordelijkheid voor een passend niveau van informatiebeveiliging. Verder stellen ze met het voorliggende beleidsdocument de kaders ten aanzien van informatiebeveiliging op basis van landelijke en Europese wet- en regelgeving vast. Het college informeert de gemeenteraad over de informatiebeveiliging van de gemeente, door een aparte paragraaf op te nemen in de jaarrekening van de gemeente. Hierin wordt de gemeenteraad op de hoogte gebracht over de stand van zaken, de uitgevoerde plannen van het afgelopen jaar en de planning en plannen voor het volgende jaar. Daarnaast worden de Chief Information Security Officer (CISO) en de controller informatiebeveiliging op basis van een vastgesteld functieprofiel aangesteld door het college van B en W. [6.1.1.2; 6.1.1.3; 6.1.1.4]
5.1.3 Gemandateerde verantwoordelijkheden en taken op organisatieniveau
De directie van Noaberkracht voert onder mandaat van de colleges activiteiten uit voor informatiebeveiliging. Dit wordt in een mandaatbesluit vastgelegd. De directie stelt in overleg met het managementteam en de CISO het gewenste niveau van informatiebeveiliging vast voor de gemeente. De beveiligingseisen worden per bedrijfsproces vastgesteld. De directie is verantwoordelijk voor de juiste implementatie van de beveiliging in de bedrijfsprocessen en in de in- en externe (informatie)systemen en wijst voor ieder (informatie)systeem een procesverantwoordelijke of systeemeigenaar aan. Deze is verantwoordelijk voor het stellen van eisen aan een systeem en de inrichting van de controle hierop, zodat voldaan wordt aan het informatiebeveiligingsbeleid en aan de wettelijke eisen. [8.1.2]
De directie heeft in ieder geval de volgende verantwoordelijkheden:
5.1.4 Verantwoordelijkheden en taken op teamniveau
De teammanagers (proceseigenaren) zijn eigenaar van en integraal verantwoordelijk voor de (informatie) beveiliging van de informatieprocessen en -systemen binnen hun organisatieonderdeel.
De teammanagers hebben in ieder geval de volgende verantwoordelijkheden:
Het expliciet vaststellen van relevante wettelijke, statutaire, regelgevende, en/of contractuele eisen en de aanpak van de organisatie om aan deze eisen te voldoen voor elk informatiesysteem (een samenhangende, gegevensverwerkende functionaliteit voor de besturing of ondersteuning van één of meer bedrijfsprocessen) en de organisatie [18.1.1];
5.1.5 Chief Information Security Officer (CISO)
Deze rol is op organisatieniveau verantwoordelijk voor het actueel houden van het informatiebeveiligingsbeleid, het coördineren van de uitvoering van het beleid, het adviseren bij projecten, het beheersen van risico’s en het opstellen van rapportages.
De CISO heeft in ieder geval de volgende verantwoordelijkheden:
5.1.6 De controller informatiebeveiliging
Deze rol is op organisatieniveau verantwoordelijk voor het verbijzonderde toezicht op de naleving van het informatiebeveiligingsbeleid, de realisatie van voorgenomen beveiligingsmaatregelen en de escalatie van beveiligingsincidenten.
De controller informatiebeveiliging is in ieder geval verantwoordelijk voor:
De rol van controller informatiebeveiliging heeft op twee specifieke deelgebieden een voorgeschreven benaming. Dit betreft het gebied van reisdocumenten en rijbewijzen. Het betreft de volgende benamingen:
5.1.7 De beveiligingsbeheerder
Deze rol is verantwoordelijk voor het beheer, de coördinatie en advies ten aanzien van de informatiebeveiliging binnen een specifiek deelgebied. In wetgeving worden verschillende benamingen aan rollen gegeven voor veelal dezelfde taken en verantwoordelijkheden ten aanzien van specifieke gegevensverzamelingen. Om eenduidigheid in naamgeving te verkrijgen wordt in dit beleidsdocument de beveiligingsverantwoordelijkheid ten aanzien van een specifieke gegevensverzameling toegewezen aan de zogenoemde beveiligingsbeheerder. Op de volgende deelgebieden is een beveiligingsbeheerder aangewezen; met vermelding van eventuele officiële rolbenaming: DigiD, BRP, Waardedocumenten (officieel: autorisatiebevoegde Reisdocumenten/Aanvraagstations en Autorisatiebevoegde Rijbewijzen), SUWI (officieel: Security Officer SUWI) en de BAG, BGT en BRO. Daarnaast worden er (indien mogelijk) beveiligingsbeheerders aangewezen op verschillende aspecten van de gemeentelijke bedrijfsvoering (zoals facilitaire zaken, ICT, DIV (archivering) en HR/personeelszaken) en de primaire processen (bijvoorbeeld sociaal domein, financiën, beveiliging & handhaving, publieksdiensten (eventueel gecombineerd met BRP en waardedocumenten), ruimte/omgeving).
Specifiek verplichte beveiligingsbeheerdersrollen:
Security Officer SUWI: verantwoordelijk voor het beheer van beveiligingsprocedures en maatregelen in het kader van Suwinet. De Security Officer SUWI verzorgt minimaal tweemaal per jaar een rapportage met betrekking tot de beveiligingsstatus van Suwinet aan het college en vraagt daarnaast meerdere keren per jaar een rapportage op bij het BKWI over het gebruik van Suwinet door de gemeente.
De beveiligingsbeheerder is voor het toegewezen deelgebied verantwoordelijk voor het geheel van activiteiten gericht op de toepassing en naleving van de maatregelen en procedures die voortkomen uit het informatiebeveiligingsbeleid, inclusief de maatregelen die op de audit en zelfevaluatie onderdelen gelden.
5.1.8 Verantwoordelijkheden bedrijfsvoeringsapplicaties
Bedrijfsvoeringsapplicaties zijn teamoverstijgende (informatie)systemen binnen de organisatie en worden onder de verantwoordelijkheid van het team Informatiemanagement en facilitair (IMF) gefaciliteerd en onderhouden. Deze systemen, die door meer dan één organisatieonderdeel worden gebruikt, bevatten gegevens die door meerdere organisatieonderdelen worden vastgelegd. Voor iedere bedrijfsvoeringsapplicatie heeft het management de zorg dit te mandateren aan een organisatieonderdeel dat daarmee verantwoordelijk wordt voor de gehele gegevensverzameling of het (informatie)systeem. De procesverantwoordelijke van een bedrijfsvoeringsapplicatie draagt er zorg voor dat bij het gebruik ervan de wettelijke eisen en de gemeentelijke voorschriften (waaronder de juiste classificatie) worden nageleefd en dat de verantwoordelijkheden voor beveiliging voor alle betrokken partijen duidelijk omschreven zijn.
De gemandateerd eigenaar maakt minimaal de volgende schriftelijk afspraken met het gemeentelijke organisatieonderdeel of de externe organisatie dat van het teamoverstijgend (informatie)systeem gebruik maakt:
5.1.9 Functionaris gegevensbescherming (FG)
De FG is conform de algemene verordening gegevensbescherming (AVG) de interne toezichthouder op de verwerking van persoonsgegevens binnen de gemeente. [18.1.4.1] Het is in die hoedanigheid een functie; geen rol. De FG heeft de volgende wettelijke taken (AVG Art. 39), vertaald naar de situatie bij Noaberkracht:
Het takenpakket van de FG bestaat uit de volgende punten (art. 39 lid 1 AVG):
Toezien op naleving van zowel de AVG als andere wetten met betrekking tot gegevensbescherming als ook het beleid met betrekking tot de bescherming van persoonsgegevens van de verwerkingsverantwoordelijke of de verwerker. Hierbij hoort tevens toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
De FG vervult dezelfde functie voor de Wet politiegegevens (Wpg).
De FG heeft voor privacy een toezichthoudende taak, vergelijkbaar met de taak van controller informatiebeveiliging voor informatiebeveiliging. De uitvoering en implementatie van het beleid is belegd bij een of meerdere privacybeheerders, al dan niet specifiek voor een bepaald team, zoals bijvoorbeeld het sociaal domein.
5.1.10 De privacy officer (privacybeheerder)
Deze rol is gericht op de uitvoering en de naleving van de Algemene verordening gegevensbescherming (AVG). Daarnaast adviseert de medewerker over privacybescherming en over activiteiten ter bescherming van persoonsgegevens.
De privacy officer heeft in ieder geval de volgende verantwoordelijkheden:
Alle medewerkers dragen verantwoordelijkheid voor de beveiliging van de activiteiten die behoren tot hun eigen functie en taken. Zij betrachten zorgvuldigheid en discipline bij het omgaan met informatie en (informatie)systemen. Zij zijn zich bewust van de eisen ten aanzien van de betrouwbaarheid, de integriteit, de beschikbaarheid en de controleerbaarheid van de informatieprocessen waarbij zij zijn betrokken. Extra zorgvuldigheid wordt betracht bij het omgaan met persoonsgegevens. In het tactisch informatiebeveiligingsbeleid zijn gedragsregels in het kader van informatiebeveiliging en privacy uitgewerkt. Iedere medewerker wordt geacht deze gedragsregels te kennen en uit te dragen bij het uitoefenen van zijn of haar functie.
Figuur 2. Functies en rollen in de informatiebeveiligingsorganisatie
Minimaal vier maal per jaar wordt een overleg van de governancegroep IBP georganiseerd. De CISO is voorzitter van het overleg. Bij dit overleg zijn aanwezig:
Overleg informatiebeveiliging en privacy
Tweewekelijks overleggen de CISO, de functionaris gegevensbescherming en de privacy officer over tactische en operationele zaken.
Het datalekteam heeft tot taak het onderzoeken en afhandelen van mogelijke incidenten, waaronder datalekken. Het komt in actie zodra er een informatiebeveiligingsincident is geconstateerd of aangemeld.
Het team bestaat uit de CISO, de FG, de privacy officer en de voor het incident verantwoordelijke proceseigenaar. Indien nodig wordt het team per casus uitgebreid met andere specialisten.
Maandelijks overleggen de CISO en IMF over ontwikkelingen en tactische en operationele zaken binnen de organisatie.
Daarnaast vindt afstemming plaats tussen de CISO en de functioneel-, applicatie- en gegevensbeheerder(s) en de procesverantwoordelijke van (informatie)systemen.
5.3 Informatiebeveiligings-crisisbeheersing
Voor interne crisisbeheersing dient een kernteam informatiebeveiliging geïnstalleerd te zijn. Dit team komt uitsluitend bij elkaar in geval van grote incidenten of calamiteiten (gebeurtenis die een zodanige verstoring van informatiesystemen of processen tot gevolg heeft, dat aanzienlijke maatregelen moeten worden genomen om het oorspronkelijke werkingsniveau te herstellen). Het directieteam stelt vast in welke gevallen en door wie contacten met autoriteiten (brandweer, toezichthouders, IBD [12.6.1, 6.1.3.3] enz.) wordt onderhouden. [6.1.3] De criteria voor de handels- en werkwijze tijdens grote incidenten of calamiteiten worden nader in een procedure2 uitgewerkt. Het kernteam bestaat in ieder geval uit: