Organisatie | Zeist |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Strategisch Informatieveiligheidsbeleid Gemeente Zeist 2022-2026 |
Citeertitel | Strategisch Informatieveiligheidsbeleid Gemeente Zeist 2022-2026 |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | openbare orde en veiligheid |
Eigen onderwerp |
Deze regeling vervangt het in 2019 vastgestelde ‘Strategisch Informatieveiligheidsbeleid Weerbaar verder'.
Onbekend
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
15-12-2023 | nieuwe regeling | 08-12-2023 | 86733 |
Deze beleidsnota beschrijft het strategisch Informatieveiligheidsbeleid voor de jaren 2022 - 2026 en vervangt het in 2019 vastgestelde ‘Strategisch Informatieveiligheidsbeleid Weerbaar verder’.
Met dit ‘Strategisch Informatieveiligheidsbeleid’ zet de gemeente een volgende stap om de beveiliging van persoonsgegevens en andere informatie binnen de gemeente te continueren en voort te gaan op de stappen die in de voorgaande jaren gezet zijn.
De nota is richtinggevend en kaderstellend en wordt aangevuld met specifieke beleidsdocumenten voor Informatieveiligheid op tactisch niveau en werkinstructies op operationeel niveau.
De basis voor dit strategisch beleid is de NEN-ISO/IEC 27002:2017 en de daarvan afgeleide Baseline Informatieveiligheid Overheid (BIO). De principes zijn gebaseerd op de 10 principes voor Informatieveiligheid zoals uitgewerkt door de VNG (zie 3.2.2)1 .
In het eerste hoofdstuk wordt de ambitie en visie van de gemeente beschreven. Hoofdstuk 2 gaat in op de ontwikkelingen op het gebied van Informatieveiligheid in Nederland en daarbuiten. In het daarop volgende hoofdstuk wordt de kern van het strategisch beleid uiteengezet. Hoofdstuk 4 beschrijft vervolgens hoe de taken en verantwoordelijkheden in de organisatie belegd zijn.
Dit beleid is door het College van B&W vastgesteld voor de periode van 2022-2026. Uiterlijk het laatste jaar zal het geëvalueerd, waar nodig aangepast en opnieuw vastgesteld worden. Indien een nieuw beleidskader binnen deze termijn nog niet is vastgesteld, dan blijft het huidige beleidskader tot dat moment van toepassing.
1.2. Wat is Informatieveiligheid?
Onder Informatieveiligheid wordt verstaan het treffen en onderhouden van een samenhangend pakket van beheersingsmaatregelen om de betrouwbaarheid van de informatievoorziening aantoonbaar te waarborgen. Hieronder vallen alle processen, organisatieonderdelen, objecten, informatiesystemen, procesautomatisering en gegevens(verzamelingen). Kernpunten daarbij zijn:
Het Informatieveiligheidsbeleid geldt voor alle processen van de gemeente en borgt daarmee de informatievoorziening gedurende de hele levenscyclus van informatiesystemen of procesautomatiseringssystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie. Het beperkt zich niet alleen tot de ICT, maar overstijgt afdelingsgrenzen en heeft betrekking op het politieke bestuur, alle medewerkers, burgers, gasten, bezoekers en externe relaties.
1.3. Ambitie en visie op Informatieveiligheid
De gemeente voert een belangrijke en omvangrijke set publieke taken uit, die zijn verankerd in wet- en regelgeving. Daarvoor verwerken we veel (gevoelige) informatie van burgers en organisaties. Zij verwachten terecht dat wij zorgvuldig met die informatie omgaan en die beschermen. Continuïteit en betrouwbaarheid zijn essentieel voor de werking van onze samenleving en het vertrouwen daarin. De groeiende dreiging van incidenten en crises voedt het risico op grote maatschappelijke en politieke gevolgen.
De ontwikkelingen qua dreigingen op het gebied van Informatieveiligheid en daadwerkelijke gevolgen, zoals Hof van Twente, zijn alarmerend. Incidenten die in het nieuws komen hebben ernstige gevolgen, zowel financieel als voor het vertrouwen in de overheid. En dat terwijl digitalisering cruciaal is voor het behalen van de doelen van de gemeente en hand in hand gaat met een goed en betrouwbaar functionerende informatievoorziening.
De gemeente moet borgen dat het (gehele) proces en de daarbij behorende informatie onder alle omstandigheden beschikbaar, tijdig, juist, volledig en alleen toegankelijk voor de juiste personen is. Mocht er toch iets misgaan moet dit snel worden opgemerkt en herstelbaar zijn.
Het sterk toenemende dreigingsniveau heeft een immense impact op het omgaan met digitale weerbaarheid. Gevaren verdwijnen niet, maar nemen juist toe en veranderen steeds. Het realiseren van Informatieveiligheid is niet iets wat je eenmalig doet. Voortdurend verbeteren is belangrijk. Het belang en de afhankelijkheid van veilige IT-voorzieningen nemen toe, net als toenemende technologische mogelijkheden en bedreigingen op dit gebied.
Om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie blijvend te waarborgen is het noodzakelijk om op het gebied van Informatieveiligheid te groeien. Als volwassenheidsmodel hanteren we het model dat door de NBA-LIO (Nederlandse Beroepsorganisatie voor Accountants – Ledengroep Intern en Overheidsaccountants), met medewerking van NOREA (de beroepsorganisatie van IT-Auditors) is opgesteld. Het wisselt per proces op welk volwassenheidsniveau wordt geacteerd. Het helpt om tot een reëel ambitieniveau te komen, passend bij de risicobereidheid en beschikbare capaciteit en middelen. Als team Veilig werken binnen afdeling IV gebruiken we dit model in onze evaluatie en het opstellen van het jaarplan.
2. Informatieveiligheid in breder perspectief
Met de toenemende digitalisering wordt het beveiligen van informatie een steeds belangrijker thema. Niet alleen binnen Nederland, maar ook daarbuiten.
2.1. Europese beleidsontwikkelingen
Op alle beleidsniveaus wordt in toenemende mate aan digitale veiligheid gewerkt. Zo wordt in EU-verband gewerkt aan een nieuwe “EU strategie inzake cyberbeveiliging voor het digitale tijdperk”:
Daarbij is veel aandacht voor het opzetten van netwerken en operationele samenwerking gericht op o.a. verhogen veerkracht, informatiedeling, veilige next-generatie digitale infrastructuur & technologie, certificering van hard- & software, de stabiliteit van het internet, het trainen van de beroepsbevolking en cyberdiplomatie.
Deze strategie zal de basis leggen voor nieuwe regelgeving en de actualisatie van bestaande EU-regelgeving, zoals de Cyber Security Act en de Network & Information Security Directive (NIS en NIS2). Heeft vooral impact omdat organisaties als MKB en gemeenten hierin als zijnde vitaal worden gekenmerkt en daarmee voortaan door het NCSC (National Cyber Security Center) worden bediend.
2.2. Nederlandse beleidsontwikkelingen
In nationaal verband wordt door de Rijksoverheid verder gewerkt aan de uitwerking van voornoemde EU-regelgeving, o.a. de Wet beveiliging netwerk- en informatiesystemen (Wbni) en de roadmap veilige hard- & software, het bestaande beleid (NCSA) en mogelijke nieuwe investeringen door het nieuwe kabinet. Wat betreft laatstgenoemde zijn de volgende zaken relevant:
In de brede maatschappelijke heroverwegingen (BMH) is in 2021 voorgesteld dat het kabinet extra investeert in het verhogen van de weerbaarheid van vitale processen (vaak ook “vitale infrastructuur” genoemd) en een minister Digitale Zaken. Dit heeft zich onder andere vertaald in een staatssecretaris Digitalisering. De ambitie van het digitaliseringsbeleid van het kabinet is een veilige, inclusieve en kansrijke digitale samenleving, waarbij publieke waarden en de gebruikers centraal staan2.
De Nederlandse vitale infrastructuur wordt gevormd door processen (zoals bijvoorbeeld telecom en energie) die zo vitaal zijn voor het functioneren van de samenleving, dat verstoring ervan leidt tot instabiliteit en discontinuïteit. De Rijksoverheid kijkt alleen naar de vitale processen die van nationaal belang zijn en heeft hiervoor criteria opgesteld. Dat leidt ertoe dat sommige processen en infrastructuur die op lokaal niveau vitaal zijn voor het functioneren van de stad, zoals ziekenhuizen en scholen, op nationaal niveau niet vitaal zijn en dus ook geen cybersecurity ondersteuning krijgen van het Rijk (via het NCSC).
Het huidige kabinet heeft €95 miljoen extra geïnvesteerd in cybersecurity. Deze middelen zijn vooral geïnvesteerd in meer personele capaciteit bij verschillende overheidsonderdelen. Het NCSC schaart de gemeente niet onder vitaal en verwijst naar de Informatieveiligheidsdienst (IBD) van de VNG. De samenwerking tussen IBD en het NCSC is de laatste jaren versterkt.
2.3. Nederlandse Cybersecurity Agenda (NCSA)
De Rijksoverheid heeft de NCSA opgesteld met als doel dat Nederland in staat is om op een veilige wijze de economische en maatschappelijke kansen van digitalisering te verzilveren en de nationale veiligheid in het digitale domein te beschermen. Deze agenda heeft landelijke impact, maar is niet afgestemd op de agenda’s van gemeenten. De NCSA bevat zeven ambities:
Eén van de prioriteiten van de NCSA is de vorming van een Landelijk Dekkend Stelsel (LDS) dat ervoor moet zorgen dat (op termijn) een stelsel van cybersecurity samenwerkingsverbanden tot stand komt waarin informatie over cybersecurity breder, efficiënter en effectiever kan worden gedeeld tussen publieke en private partijen.
Ook het jaarlijkse Cybersecuritybeeld Nederland (CSBN), is gekoppeld aan de NCSA en wordt ieder jaar gepubliceerd door de Nationale Coördinator Terrorismebestrijding & Veiligheid (NCTV).
2.4. Agenda Digitale Veiligheid 2020-2024
Het bestuur van de Vereniging Nederlandse Gemeenten (VNG) heeft het thema digitale veiligheid omarmd en begin 2020 in de Agenda Digitale Veiligheid voor gemeenten drie categorieën gedefinieerd.
Kernwoorden in de agenda zijn: ketenverantwoordelijkheid, risicomanagement en het aansluiten bij bestaande structuren.
In 2021 hebben de VNG leden ingestemd met de resolutie Digitale Veiligheid, waarin digitale veiligheid een kerntaak van de gemeente wordt genoemd. De resolutie komt voort uit de Agenda Digitale Veiligheid gemeenten 2020-2024. Gemeenten onderschrijven middels de resolutie dat de digitalisering in de samenleving doorzet en dat hiermee naast kansen en mogelijkheden ook risico’s toenemen. Gemeenten dragen en voelen de verantwoordelijkheid om continu te werken aan een veilige en weerbare digitale samenleving.
3. Strategisch Informatieveiligheidsbeleid gemeente Zeist
Informatieveiligheid is geen doel op zichzelf, maar moet eraan bijdragen dat de gemeente haar ambities, doelen en resultaten (duurzaam) realiseert. De informatie die Zeist verwerkt is in beginsel van en voor burgers, bedrijven en bezoekers van Zeist. Het doel van de gemeentelijke informatievoorziening is het vervullen van haar taken en het daarbij bieden van diensten aan inwoners en organisaties, in toenemende mate via de digitale weg. Het daarvan afgeleide organisatiedoel ten aanzien van informatieveiligheid is het waarborgen van de continuïteit, integriteit en vertrouwelijkheid van de informatievoorziening.
De ontwikkelingen die van belang zijn voor de actualisering van het informatieveiligheidsbeleid zijn:
De BIO (Baseline Informatieveiligheid Overheid) is sinds 2020 het normenkader voor de gehele overheid. De werkwijze van deze BIO is gericht op risicomanagement. Dat wil zeggen dat de lijnmanagers nu meer dan voorheen moeten werken volgens de aanpak van de ISO 27001 en daarbij is risicomanagement van belang. Dit houdt voor het management in, dat men op voorhand keuzes maakt en continu afwegingen maakt of informatie in bestaande en nieuwe processen adequaat beveiligd zijn in termen van beschikbaarheid, integriteit en vertrouwelijkheid. We werken risico-gestuurd, dat wil enerzijds zeggen dat er in de uitvoering voorrang wordt gegeven aan het afwenden van de grootste risico’s. Anderzijds wil dit zeggen dat maatregelen niet altijd integraal voor de hele organisatie worden geïmplementeerd, maar dat ook dit risico-gestuurd wordt gedaan. We implementeren maatregelen die passen bij het gewenste risicoprofiel.
3.2.2. De 10 bestuurlijke principes voor Informatieveiligheid
We hanteren de door de VNG opgestelde 10 bestuurlijke principes voor Informatieveiligheid, deze principes zijn een bestuurlijke aanvulling op het BIO normenkader en gaan over de waarden die de bestuurder zichzelf oplegt. De principes zijn:
De principes gaan vooral over de rol van het bestuur bij het borgen van Informatieveiligheid in de gemeentelijke organisatie. Deze principes ondersteunen de bestuurder bij het uitvoeren van goed risicomanagement.
Als er iets verkeerd gaat met betrekking tot het beveiligen van informatie binnen de gemeentelijke processen, kan dit directe gevolgen hebben voor inwoners, ondernemers en partners van de gemeente. Daarmee is het onderwerp informatieveiligheid nadrukkelijk gewenst op de bestuurstafel.
3.2.3. Dreigingsbeeld Informatieveiligheid Nederlandse Gemeenten
De Informatieveiligheidsdienst (IBD) brengt eens in de twee jaar het Dreigingsbeeld Informatieveiligheid Nederlandse Gemeenten uit IBD_dreigingsbeeld_2023-2024_DEF-versie.pdf (Informatieveiligheidsdienst.nl). Dit document geeft een actueel zicht op incidenten en factoren uit het verleden, aangevuld met een verwachting voor het heden en de nabije toekomst. Een groeiende dreiging van ransomware-aanvallen met als gevolg uitval van, en fouten in de dienstverlening en bedrijfsvoering, vertrouwelijke informatie die in verkeerde handen terechtkomt en reputatieschade met als mogelijk gevolg minder vertrouwen in de overheid.
Dit dreigingsbeeld is daarmee het ideale document om focus aan te brengen in het actualiseren van beleid en plannen voor Informatieveiligheid.
3.2.4. Informatie uit incidenten en inbreuken op de beveiliging
De gemeente kent naast het hierboven genoemde dreigingsbeeld ook een eigen registratie waarin incidenten worden vastgelegd. Dit geeft waardevolle informatie om van te leren en dus zijn incidenten uit het verleden ook nadrukkelijk input bij het actualiseren van het beleid. Het blijvend evalueren en leren is hierbij het uitgangspunt.
Wij doen steeds minder zelf qua informatieverwerking, veelal omdat de markt die kant op blijft gaan, deels omdat we de kennis niet meer in huis hebben qua beheer. Nieuwe informatiesystemen worden als SaaS afgenomen. De kans op - en impact van grote verstoringen neemt door die fragmentering af, het risico moet per geval bekeken en beheerst worden (vergt tactische inzet, competenties en rollen
Wij kunnen 24/7 monitoring en respons die vereist is (o.a. SIEM-SOC) onmogelijk met eigen middelen klaarspelen. We worden dus ook daarin afhankelijk van marktpartijen en intern vergt die vooral een professionele regie-organisatie en bijvoorbeeld piket dienst.
Ook infrastructuur (datacenter en netwerk) zit in deze trend; dit laten we door externen beheren en veelal ook niet meer op onze locatie draaien. Daarmee ook de maatregelen qua beveiliging, die gaan daarmee ook naar externe partijen. Het voeren van regie blijft hierbij essentieel.
3.3. Standaarden Informatieveiligheid
De basis voor inrichting van het beveiligingsbeleid is NEN-ISO/IEC 27001:2017. De maatregelen worden genomen op basis van best practices bij (lokale) overheden en genoemde norm.
Voor de ondersteuning van gemeenten bij het formuleren en realiseren van hun Informatieveiligheidsbeleid heeft de interbestuurlijke werkgroep Normatiek3 in 2018 de Baseline Informatieveiligheid Overheid (BIO) uitgebracht, afgeleid van beide NEN-normen. Deze BIO bestaat uit een baseline met verschillende niveaus van beveiligen.
3.4. Plaats van het strategisch beleid
Het strategisch beleid wordt gebruikt om de basis te leggen voor de tactische beleidsplannen en daarmee richting te geven voor de verdere invulling van Informatieveiligheid op tactisch en operationeel niveau.
Deze nota beschrijft op strategisch niveau het Informatieveiligheidsbeleid. Dit beleid wordt op tactisch niveau aangevuld met specifieke beleidsregels die aanvullend zijn op dit strategisch beleid. In het jaarlijks uit te brengen Informatieveiligheidsplan worden deze tactische en operationele aspecten van Informatieveiligheid verder uitgewerkt en geconcretiseerd. Dit wordt gedaan op basis van input van de lijnmanagers, de CISO, het dreigingsbeeld van de IBD en de uitkomsten van ENSIA. Daarin staan dan ook de acties en planning vermeld, om de praktijk in overeenstemming te brengen met datgene wat in het beleid is vastgelegd.
3.5. Scope Informatieveiligheid
De scope van dit beleid omvat alle gemeentelijke processen, onderliggende informatiesystemen, technische infrastructuur, procesautomatisering, informatie en gegevens van de gemeente en externe partijen, het gebruik daarvan door medewerkers en (keten)partners in de meest brede zin van het woord, ongeacht locatie, tijdstip en gebruikte apparatuur.
Dit strategisch gemeentelijke Informatieveiligheidsbeleid is een algemene basis en dekt tevens aanvullende beveiligingseisen uit wetgeving af zoals voor de Basisregistratie Personen (BRP), Paspoorten Nederlandse Identiteitskaarten (PNIK) en Structuur Uitvoeringsorganisatie Werk en Inkomen (SUWI). Voor bepaalde kerntaken gelden op grond van deze en wet- en regelgeving ook nog enkele specifieke (aanvullende) beveiligingseisen (bijvoorbeeld SUWI en gemeentelijke basisregistraties). Deze worden in aanvullende documenten geformuleerd.
Bewust wordt in het strategisch beleid geen limitatief overzicht van onderliggende documenten opgenomen. In de onderliggende documenten wordt de link naar het strategisch beleid gelegd.
Informatieveiligheid en privacy zijn nauwverwante thema’s, daar waar Informatieveiligheid alle typen informatie betreft gaat privacy specifiek over persoonsgegevens en het naleven van regels voor de verwerking van persoonsgegevens. Een privacy incident is daarmee altijd ook een Informatieveiligheids incident, maar andersom hoeft dit niet zo te zijn. Zeist heeft separaat beleid inzake bescherming persoonsgegevens (Strategisch Privacy beleid gemeente Zeist 2022-2026.
Op tactisch en operationeel niveau wordt binnen de 2de lijn samengewerkt door de Informatieveiligheid – en privacyfunctionarissen. Dit uit zich onder andere in de samenstelling van het team Veilig werken. Onder leiding van de CIO (hoofd IV) maken de CISO, Strategisch ICT adviseur, TISO, Privacyofficer en optioneel de FG deel dit van dit team. De samenwerking wordt ook tot uiting gebracht doordat de jaarplannen op het gebied van Informatieveiligheid en privacy op elkaar worden afgestemd.
Het bestuur, het GMT en lijnmanagers spelen een cruciale rol bij het uitvoeren van dit strategische Informatieveiligheidsbeleid. Het management maakt een inschatting van het belang dat de verschillende delen van de informatievoorziening voor de gemeente heeft, de risico’s die de gemeente hiermee loopt en welke van deze risico’s onacceptabel hoog zijn.
Op basis hiervan zet het management dit beleid voor Informatieveiligheid op, draagt dit uit naar de organisatie en ondersteunt en bewaakt de uitvoering ervan.
Het GMT geeft een duidelijke richting aan Informatieveiligheid en demonstreert dat zij Informatieveiligheid ondersteunt en zich hierbij betrokken voelt, door het uitdragen en handhaven van een Informatieveiligheidsbeleid van en voor de hele gemeente. Dit beleid is van toepassing op de gehele organisatie, alle processen, organisatieonderdelen, objecten, informatiesystemen, procesautomatisering en gegevens(verzamelingen). Het Informatieveiligheidsbeleid is in lijn met het algemene beleid van de gemeente en de relevante landelijke en Europese wet- en regelgeving.
3.6.2. Belangrijkste uitgangspunten
De belangrijkste uitgangspunten van het beleid zijn:
De uitvoering van Informatieveiligheid is een verantwoordelijkheid van het lijnmanagement. Alle informatiebronnen en -systemen die gebruikt worden door de gemeente hebben een interne eigenaar die de vertrouwelijkheid en/of waarde bepaalt van de informatie en processen die ze bevatten. De primaire verantwoordelijkheid voor de bescherming van informatie en processen ligt dan ook bij de (proces)eigenaar van de informatie.
Door periodieke controle, organisatie brede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het Informatieveiligheidsbeleid vormt samen met het Informatieveiligheidsplan het fundament onder een betrouwbare informatievoorziening. In het Informatieveiligheidsplan wordt de betrouwbaarheid van de informatievoorziening organisatie breed benaderd. Het plan wordt periodiek bijgesteld op basis van nieuwe ontwikkelingen, registraties in het incidentenregister en bestaande risicoanalyses.
3.6.3. Invulling van de uitgangspunten
Praktisch wordt als volgt invulling gegeven aan de uitgangspunten:
Informatieveiligheid is geen eenmalige activiteit maar een continu verbeterproces. Dit plan is slechts een enkele stap in een (reeds gestarte) cyclus die steeds opnieuw doorlopen wordt. De kwaliteitscyclus bestaat uit de volgende vier stappen:
De gemeente volgt een aanpak van Informatieveiligheid op basis van risicobeheersing. Het streven naar 100% veiligheid is een utopie. Met een aanpak gebaseerd op risicobeheersing is de gemeente beter in staat om een evenwichtige set van veiligheidsmaatregelen te implementeren en om daarbij een betere afweging tussen kosten en noodzaak te maken.
Het startpunt is het uitvoeren van een nulmeting (GAP analyse) op basis van de BIO en bedoeld om inzicht te krijgen in het ‘GAP’ tussen datgene wat nodig is en wat ontbreekt. Op basis van dat inzicht vindt een impactanalyse plaats waardoor de gemeente in staat is om prioritering te geven aan verbeterpunten voor de korte (denk aan ‘Quick Wins’) en lange termijn. Bij deze benadering is ruimte voor afweging en prioritering op basis van het principe ‘pas toe of leg uit’.
Indien een gemeentelijk proces meer beheersingsmaatregelen nodig heeft dan vindt hierop een (uitgebreide) risicoanalyse plaats. Daartoe inventariseert de proceseigenaar de kwetsbaarheid van het werkproces en de dreigingen die kunnen leiden tot een veiligheidsincident.
4. Organisatie, taken en verantwoordelijkheden.
Het college van B&W is bestuurlijk verantwoordelijk voor de veiligheid van informatie binnen de werkprocessen van de gemeente en stelt beleidskaders op voor Informatieveiligheid op basis van landelijke en Europese wet- en regelgeving en landelijke normenkaders. Het college van B&W stelt formeel het Informatieveiligheidsbeleid vast, delegeert de uitvoering hiervan aan het hoofd van de afdeling Informatievoorziening (CIO), en informeert jaarlijks de raad over dit thema.
Binnen het college van B&W valt Informatieveiligheid onder de portefeuille van de bestuurder Informatievoorziening. De CISO heeft een onafhankelijke rol en adviseert het college van B&W over het vast te stellen beleid en rapporteert gevraagd en ongevraagd over Informatieveiligheid.
In dit hoofdstuk wordt uiteengezet welke taken en verantwoordelijkheden met betrekking tot Informatieveiligheid op welke plaats belegd zijn binnen de organisatie. De methodiek sluit aan bij de in de bedrijfsvoering bekende Three Lines of Defence (3LoD)4. In dit model is het lijnmanagement verantwoordelijk voor de eigen processen. De tweede lijn (CISO, security officer, privacy officer) ondersteunt, adviseert, coördineert en bewaakt of het management zijn verantwoordelijkheden ook daadwerkelijk neemt. In de derde lijn wordt het geheel door een (interne of externe) auditor van een objectief oordeel voorzien met mogelijkheden tot verbetering.
Tabel verantwoordelijken (RASCI) en 3-lijnen model (Three Lines of Defence (3LoD)).5
Het GMT zorgt samen met het hoofd van de afdeling Informatievoorziening (Chief Information Officer ofwel CIO) dat alle processen en systemen onder verantwoordelijkheid vallen van een lijnmanager. En dat lijnmanagers zich verantwoorden over de beveiliging van de informatie en processen die onder hen berust. Het GMT zorgt dat de eindverantwoordelijke portefeuillehouders binnen het college gevraagd en ongevraagd geïnformeerd worden over de mate waarin informatieveiligheid een onderdeel is van het handelen van de bedrijfsvoering. Op die manier kan het college zich ook verantwoorden naar de raad.
Het GMT stelt het gewenste niveau van continuïteit en vertrouwelijkheid vast. En draagt zorg voor het uitwerken van tactische informatiebeveiligings onderwerpen en laat zich hierin bijstaan door de CISO van de gemeente. Het GMT autoriseert de benodigde procedures en uitvoeringsmaatregelen. Het onderwerp informatieveiligheid wordt gezien als een integraal onderdeel van risicomanagement.
4.2. Uitvoering: Lijnmanagement / Proceseigenaar
Informatiebeveiliging valt onder de verantwoordelijkheden van alle lijnmanagers en proceseigenaren. Om deze verantwoordelijkheid waar te maken dienen zij goed ondersteund te worden vanuit de tweede lijn. Deze verantwoordelijkheid kunnen zij niet overdragen, uitvoerende werkzaamheden wel. Vanuit de BIO en rechtmatigheid is de insteek dat alle processen, systemen, data, applicaties altijd minimaal één eigenaar hebben; er moet dus altijd iemand verantwoordelijk zijn. Lijnmanagers rapporteren aan het GMT over de door hen tactisch en operationeel uitgevoerde informatiebeveiligingsactiviteiten. Afstemming met de teams over de inhoudelijke aanpak vindt plaats door minimaal twee keer per jaar het onderwerp Informatieveiligheid te bespreken in het BMO.
Verantwoordelijkheden van de (lijn)managers in het kader van informatiebeveiliging zijn:
4.3. Control en verantwoording
Dit Strategisch Beleid is een verantwoordelijkheid van het bestuur van de gemeente. Waarbij zowel de bestuurder als het GMT van gemeente Zeist volgens de 10 principes voor informatiebeveiliging richting en sturing geven aan het onderwerp informatiebeveiliging door het geven van voorbeeldgedrag en het vragen om informatie.
Het GMT is verantwoordelijk voor het gevraagd en ongevraagd rapporteren over informatiebeveiliging aan respectievelijke portefeuillehouders. En rapporteert over de mate waarin zij invulling hebben gegeven aan het uitwerken van tactische (deel) beleidsonderwerpen die aanvullend zijn op dit strategische beleid.
De gemeente verantwoordt zich over Informatieveiligheid middels de ENSIA-systematiek. De ENSIA-coördinator is verantwoordelijk voor de coördinatie van dit proces. En zorgt ervoor dat de informatie die nodig is voor het beantwoorden van de ENSIA vragen wordt opgehaald bij de verantwoordelijke (lijn)managers. De (lijn)managers leveren de informatie voor het invullen van de jaarlijkse ENSIA-vragenlijsten.
De verantwoording over de Informatieveiligheid komt in het jaarverslag tot uitdrukking in de collegeverklaring Informatieveiligheid. Met deze verklaring geeft het college van B en W aan in hoeverre de gemeente voldoet aan de afspraken die gemaakt zijn voor de ENSIA-verantwoording Informatieveiligheid. Ook worden de eventuele verbetermaatregelen vermeld die de gemeente gaat treffen. De door de organisatie ingevulde zelfevaluatievragenlijst vanuit de ENSIA vormt de basis voor het opstellen van de collegeverklaring aan de raad. Met deze verklaring geeft het college aan in hoeverre de gemeente voldoet aan de voor DigiD en Suwinet geselecteerde informatiebeveiligings-normen op basis van de Eenduidige Normatiek Single Information Audit ENSIA) systematiek.
De betrokkenheid van het bestuur is essentieel, en laat zien dat de gemeente Informatieveiligheid serieus neemt en het een onderdeel laat zijn van de ambities om informatie van haar inwoners adequaat te beschermen.