Gemeenteblad van Berg en Dal
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Berg en Dal | Gemeenteblad 2017, 152562 | Beleidsregels |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Berg en Dal | Gemeenteblad 2017, 152562 | Beleidsregels |
Informatiebeveiligingsbeleid gemeente Berg en Dal
De gemeente Berg en Dal is een overheidsorganisatie waarin gewerkt wordt met vertrouwelijke informatie. Mede door de toenemende digitalisering is het zorgvuldig omgaan met de informatie en gegevens van burgers en organisaties voor gemeenten van groot belang. Een betrouwbare, beschikbare en correcte informatiehuishouding is essentieel voor de dienstverlening. Goede informatiebeveiliging is een vereiste om hierin te voorzien.
Onder informatiebeveiliging wordt verstaan: het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie. Deze informatiebeveiliging is nodig om een goede en veilige dienstverlening naar burgers en bedrijven te garanderen.
Bij het opstellen van het informatiebeveiligingsbeleid is met nadruk rekening gehouden met de Baseline Informatiebeveiliging voor Nederlandse Gemeenten (BIG). De BIG is opgesteld door de Informatiebeveiligingsdienst (IBD) in opdracht van de Vereniging Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING). De BIG dient als norm voor informatiebeveiliging voor alle Nederlandse gemeenten. Het college van Berg en Dal heeft op 12 april 2016 ingestemd met een integrale aanpak informatiebeveiliging, privacy en melding datalekken. Onderdeel van dit besluit is het voorstel implementatie BIG in de gemeente Berg en Dal. Daarmee conformeert de gemeente zich aan de 303 normen uit de BIG. Deze vormen de basis voor het vast te stellen informatiebeveiligingsbeleid (zie ook https://www.ibdgemeenten.nl/producten/strategische-en-tactische-big/).
Informatiebeveiliging is geen zaak die alleen de ICT-afdeling aangaat. Een groot deel van beveiligingsnormen zoals ISO 27001 en de BIG gaan over beveiligingsmaatregelen die niet onder verantwoording van ICT liggen, maar op het terrein van bestuur, personeelszaken, burgerzaken, sociale zaken, facilitair en de afdelingshoofden.
Een zorgvuldige informatiebeveiliging vormt ook de basis om te kunnen voldoen aan de verschillende audits, zoals: BRP, PUN (Paspoort Uitvoeringsregeling Nederland, reisdocumenten), BAG, SUWI, DigiD.
Het informatiebeveiligingsbeleid is het kader voor passende technische en organisatorische maatregelen om informatie te beschermen en te waarborgen, waarmee de gemeente voldoet aan relevante wet en regelgeving.
Informatie is een belangrijk bedrijfsmiddel dat de gemeente op gepaste wijze beschermt. Daarom is het volgende doel gesteld ten opzichte van informatiebeveiliging:
Dit doel wordt bereikt door een passende set van maatregelen te treffen om risico’s af te dekken en om, in het geval van incidenten, de eventuele gevolgschade (impact) van deze incidenten te beperken. Deze maatregelen staan beschreven in het informatiebeveiligingsplan1 (zie hoofdstuk 5).
3. Scope van het informatiebeveiligingsbeleid
3.1. Subjecten van het informatiebeveiligingsbeleid
Informatiebeveiliging en daarmee ook dit informatiebeveiligingsbeleid geldt voor alle personeelsleden in dienst van de gemeente Berg en Dal en alle externe krachten die tijdelijk of voor onbepaalde duur bij de gemeente werkzaam zijn of voor de gemeente werkzaamheden verrichten (bijv. onderaannemers, consultants, leveranciers, e.d.).
Indien bij samenwerking met derden sprake is van uitwisseling van informatie, waarvan de gemeente Berg en Dal eigenaar of beheerder is, dient informatiebeveiliging een onderdeel te zijn de samenwerkingsovereenkomst en mag deze niet strijdig zijn met het informatiebeveiligingsbeleid van de gemeente Berg en Dal. Bijzondere aandacht is er voor de GR ICT Rijk van Nijmegen (iRvN) waarbij het iRvN taken voor de gemeente uitvoert.
3.2. Objecten van het informatiebeveiligingsbeleid
Het informatiebeveiligingsbeleid is van toepassing op:
Het informatiebeveiligingsbeleid richt dus zich niet alleen op de geautomatiseerde gegevensverwerking door middel van ICT-voorzieningen, maar uitdrukkelijk ook op de bescherming van niet geautomatiseerde gegevens (zoals fysieke documenten) en bedrijfseigendommen.
Het informatiebeveiligingsbeleid geldt voor alle informatie, hetzij mondeling, hetzij geschreven, geprint of elektronisch opgeslagen, die eigendom is van, in bewaring is bij of gebruikt wordt door welk gedeelte van de gemeente Berg en Dal dan ook. Het informatiebeveiligingsbeleid geldt ook voor alle (tijdelijke) dragers gebruikt in het creëren, verwerken, versturen, sorteren, gebruiken of controleren van gegevens en informatie.
Het informatiebeveiligingsbeleid is locatieonafhankelijk. Indien een medewerker, zakelijke relatie of leverancier of derde zich op een locatie bevindt buiten het gemeentehuis van de gemeente, maar wel met informatie of informatievoorziening (denk aan onderhoud in het veld, thuiswerken en/of webmail) van de gemeente werkt, is het beleid ook van toepassing.
Zonder beveiligde informatie kan de gemeente Berg en Dal bloot staan aan imagoschade en financiële schade.
De risicobronnen waar de informatie en informatievoorziening aan zijn blootgesteld komen voort uit:
De risico’s zijn in kaart gebracht in een risico- en impactanalyse en maken deel uit van het informatiebeveiligingsplan (zie hoofdstuk 5).
4. Definities en belang van informatiebeveiliging
De kwaliteit van de informatievoorziening is uit te drukken in termen van beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid:
Beschikbaarheid betekent dat informatie(systemen) beschikbaar zijn op de juiste momenten. Hierdoor hebben burgers, bedrijven en organisaties toegang tot voor hen relevante informatie en hebben medewerkers toegang tot relevante informatie om hun werk en hun dienstverlening richting de burgers, bedrijven en organisaties ongestoord uit te kunnen voeren.
De informatiesystemen moeten voldoen aan een beschikbaarheid tijdens kantoortijd van minimaal 95%. Buiten kantoortijd zijn er geen beschikbaarheidseisen met uitzondering van voorzieningen in het kader van rampenbestrijding. In het geval van uitval van bedrijfsprocessen en/of informatiesystemen ten gevolge van een calamiteit dient de dienstverlening binnen 48 uur hersteld te zijn.
Vertrouwelijkheid betekent dat informatie alleen toegankelijk is voor degenen die hiertoe geautoriseerd zijn. Voor de gemeente is het van belang dat vertrouwelijke informatie zoals de persoonsgegevens van burgers en gegevens van bedrijven alleen toegankelijk is voor bevoegden. Of een persoon bevoegd is, bepaalt de taak en verantwoordelijkheid of functieomschrijving van de betreffende persoon.
Controleerbaarheid betekent het gemak waarmee de volledigheid en correctheid van informatie is te controleren, zelfs na een bepaalde periode. De verantwoordelijke personen en afdelingen treffen maatregelen, zodat op ieder gewenst moment en periodiek de gegevens in de informatiesystemen zijn te controleren. Deze controle kan bestaan uit een intern of extern onderzoek.
Voor het uitvoeren van het informatiebeveiligingsbeleid is een informatiebeveiligingsplan vereist.
Als onderdeel van het informatiebeveiligingsplan is een GAP- en risicoanalyse uitgevoerd. Op basis van de risicoanalyse zijn maatregelen geselecteerd uit de Tactische Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) .2 Deze maatregelen moet de gemeente op basis van het risicoprofiel (de dreigingen, kwetsbaarheden en impact op de organisatie) met prioriteit implementeren3.
Het normenkader voor de maatregelen staat benoemd in de tactische BIG. In het informatiebeveiligingsplan staat wat de maatregel inhoudt, op welke manier, door wie en wanneer de maatregel wordt ingevoerd. Het informatiebeveiligingsplan wordt één keer per jaar herijkt en vastgesteld door het MT.
De BIG is opgesteld op basis van een algemeen risicoprofiel over alle gemeenten en richt zich niet op alle voor de gemeente Berg en Dal relevante risicobronnen en de gevolgen. Het kan zijn dat een informatiesysteem of bedrijfsproces meer beveiligingsmaatregelen nodig heeft dan in de BIG staan beschreven. Bijvoorbeeld de maatregelen die specifiek voor het sociaal domein en burgerzaken vereist zijn. Om vast te stellen of voor een informatiesysteem of bedrijfsproces meer beveiligingsmaatregelen gewenst zijn, wordt een dataclassificatie uitgevoerd voor informatiesystemen en bedrijfsprocessen. Vanuit het resultaat van een dataclassificatie, worden de maatregelen vastgesteld en opgenomen in de PDCA-cyclus van informatiebeveiliging. De PDCA-cyclus wordt nader toegelicht en uitgewerkt in het informatiebeveiligingsplan.
6. Organisatie van informatiebeveiliging
De informatiebeveiligingsorganisatie beschrijft de verantwoordelijkheden, taken en bevoegdheden die met betrekking tot informatiebeveiliging per functie of rol verankerd zijn.
De inrichting van de informatiebeveiligingsorganisatie is beschreven in het document ‘informatiebeveiligingsorganisatie gemeente Berg en Dal’.
Er zijn wettelijke eisen gesteld aan de beveiliging van gegevens en informatiesystemen. Voorbeelden hiervan zijn te vinden in:
de Wet Bescherming Persoonsgegevens (Wbp) gaat in op de bescherming van persoonsgegevens in gestructureerde gegevensverwerkingen. De gemeente dient volgens deze wet ervoor zorg te dragen dat persoonsgegevens van burgers, bedrijven, medewerkers, leveranciers en overige belanghebbenden worden beschermd tegen onrechtmatige verwerking van of onbevoegde toegang tot deze gegevens.
de Wet Computercriminaliteit II. Deze wet gaan in op computergerelateerde strafbare handelingen. De gemeente dient door middel van adequate informatiebeveiligingsmaatregelen ervoor te zorgen dat deze wet door medewerkers van de gemeente Berg en Dal of door derden waarvoor de gemeente verantwoordelijk is niet wordt overtreden.
De BIG is een afgeleide van de Code voor Informatiebeveiliging (NEN/ISO 27002). Deze code bevat elf categorieën waarop informatiebeveiliging betrekking heeft. Deze categorieën zijn:
De onderwerpen in de BIG zijn gebaseerd op de indeling van de NEN/ISO-normering voor informatiebeveiliging (NEN/ISO-27001 en -27002). Aangevuld met de specifieke wetgeving/regels binnen thema’s als:
Deze categorieën en regels per thema komen terug in de toegewezen rollen binnen de informatiebeveiligingsorganisatie van Berg en Dal.
Het informatiebeveiligingsbeleid treedt in werking na vaststelling door het college van B en W. Het college heeft op 5 juli 2016 dit beleid vastgesteld. Na deze vaststelling komt enig voorgaand informatiebeveiligingsbeleid van de gemeente Berg en Dal te vervallen.
Daarnaast evalueert en beoordeelt de CISO het informatiebeveiligingsbeleid na 5 jaar op relevantie en actualiteit. Indien noodzakelijk stelt de CISO het document voortijdig bij en laat het vaststellen door het college van B en W.
Het informatiebeveiligingsplan (hoofdstuk 5) wordt één keer per jaar herijkt door de CISO en vastgesteld door het MT.
De informatiebeveiligingsorganisatie (hoofdstuk 6) wordt herijkt door de CISO wanneer vereist en vastgesteld door het MT.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/gmb-2017-152562.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.