Gemeenteblad van Nijmegen
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Nijmegen | Gemeenteblad 2019, 270559 | Overige besluiten van algemene strekking |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Nijmegen | Gemeenteblad 2019, 270559 | Overige besluiten van algemene strekking |
Informatiebeveiligingsbeleid 2019 gemeente Nijmegen
Informatie is één van de belangrijkste bedrijfsmiddelen van de gemeente. Toegankelijke en betrouwbare informatie is essentieel voor een gemeente omdat het de basis is voor juist en efficiënt handelen. Gemeente Nijmegen wil zich verantwoordelijk gedragen, aanspreekbaar en servicegericht zijn. Gemeente Nijmegen wil bovenal transparant en proactief verantwoording afleggen aan burgers en raadsleden en met minimale middelen maximale resultaten behalen. De bescherming van waardevolle informatie is datgene waar het uiteindelijk om gaat. Hoe waardevoller de informatie is, hoe stringenter de maatregelen die getroffen moeten worden. Waarde van informatie kan bestaan uit de schade die verlies oplevert voor een burger op het moment dat persoonsinformatie niet meer onder controle staat van de gemeente. Maar waarde kan ook bestaan uit de impact van een politiek gevoelig lek, of financieel gewin door voorkennis op inkoop trajecten of speculaties op grond transacties.
Informatiebeveiliging is de verzamelnaam voor een pakket aan maatregelen, die getroffen worden om de betrouwbaarheid van processen, de gebruikte informatiesystemen en de daarin opgeslagen gegevens te garanderen, en te beschermen tegen bedreigingen. De best practices op dit terrein zijn beschreven in de ISO 27001/2 norm. Het begrip ‘informatiebeveiliging’ heeft te maken met:
Reikwijdte en afbakening Informatiebeveiliging
Informatiebeveiliging is meer dan ICT, computers en automatisering. Het gaat om alle uitingsvormen van informatie (analoog, digitaal, tekst, video, geluid, geheugen, kennis), alle mogelijke informatiedragers (papier, elektronisch, foto, film, CD, DVD, USB, SD kaart, beeldscherm et cetera) en alle informatie verwerkende systemen (applicaties, systeemprogrammatuur, databases, hardware, bijbehorende bedrijfsmiddelen), maar vooral ook mensen en processen. Studies laten zien dat de meeste incidenten niet voortkomen uit gebrekkige techniek, maar vooral door menselijk handelen en een tekort schietende organisatie. Voorbeelden van informatiebeveiligingsmaatregelen zijn: het implementeren van een clean desk beleid of het opstellen van regels aangaande de omgang met mobiele devices (laptops, telefoons) en het geven van aanwijzingen voor telewerken.
Dit document is een algemene beschrijving van beleid op het vlak van informatiebeveiliging. De uitwerking levert uitgangspunten op en regels die de keuzes van gemeente Nijmegen weergeven op het vlak van informatiebeveiliging. Deze keuzes zijn gebaseerd op de Baseline Informatiebeveiliging Gemeenten (BIG), die opgevolgd wordt door de Baseline Informatiebeveiliging Overheid (BIO). Zij leiden tot het best passende beleid voor Nijmegen.
In dit document zijn de beleidsuitgangspunten weergegeven. In de uitwerking worden deze verder beschreven. Ook zijn er beveiligingseisen en -maatregelen opgenomen, die organisatie breed voor alle processen en systemen gelden. Onderdeel van het informatiebeveiligingsbeleid is een beheerstructuur voor informatiebeveiliging, waarmee verantwoordelijkheden voor informatiebeveiliging worden belegd en informatiebeveiliging wordt ingebed in de reguliere planning- en control cyclus binnen de (kwaliteits¬handhaving van de) bedrijfsvoering. Ook voor privacy is een dergelijke beheerstructuur van belang. De overlap bevindt zich op het vlak van de juiste organisatorische en technische maatregelen ter bescherming van de persoonsgegevens, zoals bedoeld door de AVG. De beheerstructuren overlappen daarom met elkaar. Voor aanvullingen op het vlak van privacy, zie het geldende Privacy Beleid van gemeente Nijmegen zoals vastgesteld door het college van Burgemeester en Wethouders.
De informatiebeveiligingsmaatregelen worden per ISO hoofdstuk verder uitgewerkt in het document Uitwerking Informatiebeveiligingsmaatregelen, dat tegelijk met het Informatiebeveiligingsbeleid door het GMT is vastgesteld. Dit informatiebeveiligingsbeleid omvat tevens het beveiligingsplan voor Suwinet.
Informatiebeveiligingsbeleid van de gemeente Nijmegen
Het bestuur en (lijn)management spelen een cruciale rol bij het uitvoeren van dit informatiebeveiligingsbeleid. Deze rol wordt nader uitgewerkt in het “3 lines of defense” model zoals dat beschreven wordt in de Uitwerking Informatiebeveiligingsmaatregelen.
Het management geeft een duidelijke richting aan informatiebeveiliging en laat zien dat zij informatiebeveiliging belangrijk vindt en zich hierbij betrokken voelt, door het uitbrengen en handhaven van een informatiebeveiligingsbeleid. Dit beleid is van toepassing op de gehele organisatie, alle processen, organisatieonderdelen, objecten, informatiesystemen en gegevens(verzamelingen). Het informatiebeveiligingsbeleid is in lijn met het algemene beleid en de relevante landelijke en Europese wet- en regelgeving.
De gemeente is zelf verantwoordelijk voor het opstellen, uitvoeren en handhaven van het beleid. Hierbij geldt:
De volgende uitgangspunten zijn ontleend aan de Code voor Informatiebeveiliging (NEN/ISO 27002:20017) en de BIG/BIO:
Door periodieke controle, organisatie brede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het ISMS (Information Security Management System) de basis onder een betrouwbare informatievoorziening. In het ISMS wordt de verbetering van de betrouwbaarheid van de informatievoorziening gemeentebreed benaderd. De planning in het ISMS wordt bijgesteld op basis van nieuwe ontwikkelingen.
CISO: Chief Information Security Officer, gemeentebreed informatiebeveiligingsfunctionaris
FG: gemeentebreed Functionaris Gegevensbescherming
Voor Suwinet: Security Officer
Voor de BRP: beveiligingsbeheerder BRP
Voor de reisdocumenten: beveiligingsfunctionaris Reisdocumenten
Voor de rijbewijzen: beveiligingsfunctionaris Rijbewijzen
In de Uitwerking Informatiebeveiligingsmaatregelen worden de rollen nader uitgewerkt.
Uitgangspunten informatiebeveiliging
Het belang van informatie(veiligheid)
Informatie is één van de voornaamste bedrijfsmiddelen van Nijmegen. Het verlies van gegevens, uitval van ICT, of het door onbevoegden kennisnemen of manipuleren van bepaalde informatie kan ernstige gevolgen hebben voor de bedrijfsvoering maar ook leiden tot imagoschade. Ernstige incidenten hebben mogelijk negatieve gevolgen voor burgers, bedrijven, partners en de eigen organisatie met waarschijnlijk ook politieke consequenties. Informatieveiligheid is daarom van groot belang. Informatiebeveiliging is de manier waarop we dit realiseren.
De komende jaren zet de gemeente Nijmegen in op het verhogen van informatieveiligheid en verdere professionalisering van de informatiebeveiligingsfunctie in de organisatie. Een betrouwbare informatievoorziening is noodzakelijk voor het goed functioneren van de gemeente en de basis voor het beschermen van rechten van burgers en bedrijven. Dit vereist een integrale aanpak, goed opdrachtgeverschap en risicobewustzijn. Ieder organisatieonderdeel is hierbij betrokken.
Het proces van informatiebeveiliging is vooral gericht op bescherming van informatie, maar tegelijkertijd maakt het nieuwe manieren van werken mogelijk door kaders te geven voor gefundeerde besluiten over bijvoorbeeld data analyse. Zo zorgt het voor een verantwoorde manier van elektronische dienstverlening. De focus is informatie uitwisselen in alle verschijningsvormen, zowel digitaal, op papier als mondeling. Het gaat niet alleen over bescherming van privacy, maar ook over bescherming van vitale maatschappelijke functies die worden ondersteund met informatie (verkeer, vervoer, openbare orde en veiligheid, etc.). Het gaat ook niet alleen over ICT: verantwoord en bewust gedrag van medewerkers is essentieel voor informatieveiligheid. Integriteit en de bescherming van onze informatiestromen gaan hand in hand.
Dit informatiebeveiligingsbeleid is het kader voor passende technische en organisatorische maatregelen, zoals bedoeld in artikel 32 van de AVG, om informatie te beschermen en te waarborgen. Hiermee voldoet de gemeente aan relevante wet- en regelgeving. De gemeente Nijmegen wil haar volwassenheidsniveau verhogen. Zij streeft er naar om “in control” te zijn en daarover op professionele wijze jaarlijks verantwoording af te leggen via de Rapportage Informatiebeveiliging. In control betekent in dit verband dat de gemeente weet welke maatregelen genomen zijn, dat er een controleerbare planning is van de maatregelen die nog niet genomen zijn, en die bewaakt moeten worden. De genomen maatregelen dragen aantoonbaar bij aan het voldoen aan de relevante wet- en regelgeving. Aantoonbaar betekent dat verantwoordelijkheden vastgelegd zijn en naleving zichtbaar getoetst wordt. Vastgelegde verantwoordelijkheden gaan gepaard met bewustzijn bij de medewerkers van hun rollen en taken op het vlak van informatiebeveiliging, zodat zij deze ook waar kunnen maken. Toetsing maakt het mogelijk om lering te trekken uit resultaten en systematisch verbetering tot stand te brengen. Hiermee kunnen ook voor de langere termijn uitspraken gedaan worden over de kwaliteit en de continuïteit van de ICT omgeving van gemeente Nijmegen.
De aanpak van informatiebeveiliging (Informatiebeveiligingsbeleid) in Nijmegen kent een risico gedreven insteek.. Dat wil zeggen: beveiligingsmaatregelen worden getroffen op basis van een toets tegen de baseline informatiebeveiliging, die gebaseerd is op de hier boven genoemde ISO 27002 norm. Indien een systeem meer maatregelen nodig heeft, wordt een risicoanalyse uitgevoerd. De proceseigenaar onderzoekt dan de kwetsbaarheid van zijn werkproces en de dreigingen die kunnen leiden tot een beveiligingsincident. Er wordt rekening gehouden met de beveiligingseisen van de informatie. Deze eisen blijken uit de classificatie van de informatie op het gebied van beschikbaarheid, integriteit, volledigheid en duurzaamheid. Het risico is de kans op beveiligingsincidenten en de impact daarvan op het werkproces en wordt bepaald door de proceseigenaar: risico = kans x impact.
Kwetsbaarheid van het werkproces kan veroorzaakt worden door het niet controleren op input en/of output, onbekendheid met de classificatie van de gegevens, onduidelijkheid over toegangsrechten, het niet aanwezig zijn van goede procedures, onduidelijkheid over regie en over normen waaraan voldaan moet worden.
Het Informatiebeveiligingsbeleid is bedoeld voor alle in- en externe medewerkers van de gemeente. Voor een overzicht van de doelgroepen zie de Uitwerking Informatiebeveiligingsmaatregelen.
De scope van dit beleid omvat alle processen, onderliggende informatiesystemen, informatie en gegevens van de gemeente en externe partijen (bijv. politie), het gebruik daarvan door medewerkers en (keten)partners in de meest brede zin van het woord, ongeacht locatie, tijdstip en gebruikte apparatuur.
Informatiebeveiligingsbeleid en architectuur
Informatiebeveiliging is onderdeel van de informatiearchitectuur en zal worden uitgewerkt als onderdeel van die architectuur. Deze is gebaseerd op het DIB (Digitaal Informatie Beleid). De architectuur beschrijft onder meer principes, richtlijnen en maatregelen o.b.v. verschillende beschermingsniveaus (classificatie)
De gemeente honoreert wettelijk gezien in beginsel alle rechten van betrokkenen op basis van de AVG. Hierbij moet het verzoek op basis van een recht van betrokkenen wel in evenredigheid staan met de belasting van de gemeentelijke organisatie. Het excessief opvragen van persoonsgegevens kan bestempeld worden als misbruik van recht. De gemeente voert een registratie van alle verzoeken.
De inwerkingtreding van dit Informatiebeveiligingsbeleid is op de dag na publicatie in het gemeenteblad.
Bij inwerkingtreding van deze beleidsregels vervalt het tot nu toe gehanteerde informatiebeveiligingsbeleid.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/gmb-2019-270559.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.