Blad gemeenschappelijke regeling van Ferm Werk
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Ferm Werk | Blad gemeenschappelijke regeling 2023, 600 | beleidsregel |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Ferm Werk | Blad gemeenschappelijke regeling 2023, 600 | beleidsregel |
Informatiebeveiligingsbeleid Ferm Werk 2023-2027
1. Vertrekpunt informatiebeveiligingsbeleid Ferm Werk
Deze beleidsnota beschrijft het informatiebeveiligingsbeleid van Ferm Werk voor de jaren 2023 tot 2027. Het in 2019 vastgestelde ‘Strategisch Informatiebeveiligingsbeleid 2019-2022’ is hiermee vervangen. Dit herziene beleid borduurt voort op de reeds ingeslagen richting gebaseerd op het normenkader BIO (Baseline Informatie Overheid) dat Ferm Werk noodzaakte nieuw en passend informatiebeveiligings-beleid te formuleren. Daarnaast zijn er aanscherpingen, gebaseerd op de resultaten van de BIO-metingen van de afgelopen jaren.
Met dit ‘Informatiebeveiligingsbeleid 2023-2027’ zet Ferm Werk een volgende stap om de beveiliging van persoonsgegevens en andere informatie binnen de gemeente te waarborgen. Daarbij houden we rekening met het feit dat informatiebeveiliging een proces is waar de komende jaren continue aandacht voor nodig is.
1.1 Wat informatiebeveiliging is
Onder informatiebeveiliging wordt verstaan: “Het treffen en onderhouden van een samenhangend pakket van maatregelen om de betrouwbaarheid van de informatievoorziening aantoonbaar te waarborgen”. Kernpunten daarbij zijn beschikbaarheid, integriteit (juistheid) en vertrouwelijkheid van persoonsgegevens en alle informatiestromen.
Het informatiebeveiligingsbeleid geldt voor alle processen binnen Ferm Werk. Het omvat dus de informatievoorziening gedurende de hele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie of het karakter van de informatie. Het beperkt zich niet alleen tot de ICT maar heeft ook betrekking op het (politiek) bestuur, alle processen en op personen; alle medewerkers, inwoners en externe partijen.
De NOREA heeft een model ontwikkeld om de volwassenheid op het vlak van informatie-beveiliging te kunnen duiden op een schaal van 1 tot 5 (laag tot hoog).
Figuur 1 Volwassenheidsniveau informatiebeveiliging
Om aantoonbaar een informatieveilige organisatie te zijn en te (kunnen) voldoen aan de AVG, dient de gemeente op alle aspecten minimaal een 3,0 te scoren. Het streven is stapsgewijs deze score te behalen op alle aspecten. De verantwoordelijkheid voor het behalen van deze doelstelling ligt breed binnen de gehele organisatie.
Naar verwachting worden de normen aangescherpt externe en interne dreigingen het hoofd te kunnen bieden.
Het informatiebeleid is gebaseerd op het normenkader voor de gehele overheid, de Baseline Informatiebeveiliging Overheid (BIO). Het doel van dit beleidsstuk is het bieden van kaders en beschrijven van rollen en verantwoordelijkheden ten aanzien van de informatiebeveiliging voor Ferm Werk voor een periode van vier jaar. De concrete uitwerking van dit beleid vindt plaats in een nog op te stellen Informatiebeveiligingsplan.
2.2 Scope informatiebeveiliging
De scope van dit beleid omvat alle processen, onderliggende informatiesystemen, informatie en gegevens van Ferm Werk en haar externe partijen, het gebruik daarvan door medewerkers en (keten)partners in de meest brede zin van het woord, ongeacht locatie, tijdstip en gebruikte apparatuur.
Het informatiebeveiligingsbeleid is een algemene basis. Voor bepaalde kerntaken gelden op grond van wet- en regelgeving specifieke (aanvullende) beveiligingseisen (bijvoorbeeld ENSIA). Deze worden in aanvullende documenten geformuleerd.
Het beleid bevat geen limitatief overzicht van onderliggende documenten. Wel dienen beleidsdocumenten voor de bedrijfsvoering zich te conformeren aan de bepalingen van het informatiebeveiligingsbeleid, waardoor wordt voldaan aan de BIO normen.
3. Aandachtspunten voor informatiebeveiliging
3.1 Plaats van het informatiebeveiligingsbeleid
Deze nota beschrijft op hoofdlijnen het informatiebeveiligingsbeleid van Ferm Werk. Dit beleid wordt vertaald naar tactische en operationele richtlijnen en maatregelen. De daaruit voortkomende werkzaamheden worden uitgewerkt in een twee jaar geldend nog te schrijven Informatiebeveiligingsplan.
3.2 Dreigingsbeeld Nederlandse Gemeenten
Het Dreigingsbeeld Nederlandse Gemeenten1 geeft een actueel zicht op incidenten en factoren uit het verleden aangevuld met een verwachting voor het heden en de nabije toekomst. Dit dreigingsbeeld is voor Ferm Werk een informatiebron voor het identificeren van nieuwe risico’s en dreigingen. De CISO is namens Ferm Werk aangemeld bij de Informatiebeveiligingsdienst (IBD, VNG) en ontvangt periodiek berichten en rapportages hierover. Deze worden meegenomen in verschillende rapportages. Aansluitend hierop worden passende maatregelen genomen.
3.3 Informatie uit incidenten en inbreuken op de beveiliging
Ferm Werk kent naast het hierboven genoemde dreigingsbeeld ook een incidentenprocedure waarin wordt aangegeven hoe incidenten worden vastgelegd en gemonitord. Het bewaken van de oplossing van de beveiligingsincident wordt uitgevoerd door het team privacy en informatiebeveiliging (PIV) en de ICT manager binnen Ferm Werk..
Het functioneren en behoud van deze procedure zijn de verantwoordelijkheid van de controller met portefeuille bedrijfsvoering en wordt gewaarborgd door (integrale/) informatieveiligheid.
4. Principes van informatiebeveiliging
De BIO (Baseline Informatiebeveiliging Overheid) is sinds 1-1-2019 het nieuwe normenkader voor de gehele overheid. De werkwijze van deze BIO is meer gericht op risicomanagement, in tegenstelling tot de voormalige Baseline Informatiebeveiliging Gemeente (BIG)-richtlijnen. Dat wil zeggen dat proceseigenaren nu meer dan voorheen dienen te werken volgens de aanpak van de ISO-27001, waarbij risicomanagement centraal staat. Dit houdt voor het MT in dat zij op voorhand keuzes en continu afwegingen dienen te maken of informatie in bestaande en nieuwe processen adequaat beveiligd is in termen van beschikbaarheid, integriteit en vertrouwelijkheid.
4.2 Handvaten voor de rol van de bestuurder
De 10 principes voor de informatiebeveiliging zijn een bestuurlijke aanvulling op het normenkader2 BIO. Ze gaan over de waarden die het bestuur aan de organisatie en zichzelf oplegt. De principes zijn als volgt:
Informatiebeveiliging is risicomanagement;
Passende en tijdige betrokkenheid van belanghebbenden maakt het mogelijk dat hun kennis, opvattingen en percepties worden meegenomen in het informatiebeleid en de te nemen maatregelen. Dit resulteert in een verbeterd bewustzijn en goed geïnformeerd risicomanagement.
Onzekerheid dient te worden ingecalculeerd3;
Onzekerheid dient te worden ingecalculeerd;
De input voor risicomanagement is gebaseerd op historische en actuele informatie, evenals op toekomstige verwachtingen. Risicomanagement houdt expliciet rekening met eventuele beperkingen en onzekerheden die aan dergelijke informatie en verwachtingen zijn verbonden. Informatie moet tijdig, duidelijk en beschikbaar zijn voor relevante belanghebbenden.
Deze principes gaan vooral over de rol van het bestuur bij het borgen van informatiebeveiliging in de gemeenschappelijke regeling. Ze ondersteunen de bestuurder bij het waarborgen van goed risicomanagement. Als er iets verkeerd gaat met betrekking tot het beveiligen van de informatie binnen de processen, dan kan dit directe gevolgen hebben voor inwoners, ondernemers en partners van Ferm Werk. Daarmee hoort het onderwerp informatiebeveiliging thuis op de bestuurstafel.
5. Governance van informatiebeveiliging
Voor een gedegen organisatie van informatiebeveiliging binnen Ferm Werk staat risicomanagement centraal. Het Dagelijks Bestuur (DB), managementteam (MT) en teammanagers spelen een cruciale rol binnen Ferm Werk bij het waarborgen van dit informatiebeveiligingsbeleid. Hieronder zijn hun rol en verantwoordelijkheden benoemd.
5.5 Het belang van betrokkenheid
Het Dagelijks Bestuur, managementteam en de teammanagers spelen een cruciale rol binnen Ferm Werk bij het waarborgen van dit informatiebeveiligingsbeleid.
Teammanagers maken een inschatting van het belang dat de verschillende delen van de informatie-voorziening voor Ferm Werk hebben, van de risico’s die Ferm Werk hiermee loopt op basis van de opgestelde richtlijnen4. Ook dragen zij verantwoordelijkheid voor het uitdragen, ondersteunen en bewaken van dit informatiebeveiligingsbeleid. Zij rapporteren hierover middels BIO-metingen. De CISO gebruikt deze rapportages om het informatiebeveiligingsniveau periodiek te toetsen en Ferm Werk te adviseren vanuit het perspectief van de veiligheid.
Het MT bepaalt uiteindelijk welke van bedrijfsmatige risico’s acceptabel of onacceptabel zijn. Verder geeft het een duidelijke richting aan informatiebeveiliging en demonstreert dat zij informatiebeveiliging ondersteunt en zich hierbij betrokken voelt, door het uitdragen en handhaven van een informatiebeveiligingsbeleid van en voor heel Ferm Werk.
Het DB is verantwoordelijk voor het goedkeuren en waarborgen van de inhoud van het informatiebeveiligingsbeleid.
6. Rapportagemomenten voor informatiebeveiliging
6.1 Verantwoordingstraject ENSIA (m.b.t. de Suwinet diensten).
De gemeenten voor wie Ferm Werk sociale zaken verzorgt, moeten zich verantwoorden middels de ENSIA-systematiek. Hierbij ligt een verantwoordelijkheid omtrent kwaliteitsgarantie voor Ferm Werk, door het leveren van TPM’s (Third Party Mededeling). Jaarlijks worden deze TPM’s geleverd aan de ENSIA-coördinatoren van de verschillende gemeenten. Ook wordt het MT ingelicht over de resultaten.
De CISO stelt jaarlijks van een stand ten opzichte van de BIO normeringen op. Deze rapportage dient als sturingsmiddel voor de bedrijfsvoering en wordt hiertoe verstrekt aan het MT. Op basis van deze input en de overige activiteiten en vorderingen op dit gebied wordt gerapporteerd aan het bestuur via de planning en control cyclus.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/bgr-2023-600.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.