Gemeenteblad van Heusden

Datum publicatieOrganisatieJaargang en nummerRubriek
HeusdenGemeenteblad 2019, 85541Beleidsregels



Gemeente Heusden - Informatiebeveiligingsbeleid 2019-2021

Voorwoord

 

‘Mogelijkmakers’

Informatieveiligheid & Privacy

 

Voor u ligt het strategische informatiebeveiligingsbeleid voor de jaren 2019 t/m 2021 voor de gemeente Heusden. Dit beleid is normstellend (strategisch) en wordt uitgewerkt in het handboek informatiebeveiliging. Met dit beleid werkt de gemeente Heusden aan beveiliging van persoonsgegevens en informatie. Het beleid is gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG ).

 

Wat is informatiebeveiliging?

Onder informatiebeveiliging (verder afgekort IB) wordt verstaan het treffen en onderhouden van een samenhangend pakket aan maatregelen om de betrouwbaarheid van de informatievoorziening te waarborgen. Kernpunten daarbij zijn beschikbaarheid, integriteit (juistheid) en vertrouwelijkheid van persoonsgegevens en andere informatie. Het informatiebeveiligingsbeleid (verder afgekort IB-beleid) geldt voor het gehele proces van informatievoorziening en de gehele levenscyclus van informatiesystemen. Het beperkt zich niet alleen tot de ICT en gaat over het politiek bestuur, alle medewerkers, burgers, gasten, bezoekers en externe relaties.

 

Waarom informatiebeveiliging?

Informatie, waaronder privacygevoelige gegevens, is een van de belangrijkste bedrijfsmiddelen van een gemeente. Toegankelijke en betrouwbare overheidsinformatie is essentieel voor een gemeente, die zich verantwoordelijk gedraagt, aanspreekbaar en servicegericht is, die transparant en proactief verantwoording aflegt en die met minimale middelen maximale resultaten behaalt. De bescherming van vertrouwelijke en waardevolle informatie is hetgeen waar het uiteindelijk om gaat. Hoe vertrouwelijker of waardevoller de informatie is, hoe meer maatregelen er moeten worden getroffen.

Het proces van informatiebeveiliging is primair gericht op bescherming van gemeentelijke informatie, maar maakt bijvoorbeeld ook elektronische dienstverlening op verantwoorde wijze mogelijk, evenals nieuwe, innovatieve manieren van werken. De focus is informatie uitwisselen in alle verschijningsvormen, zoals elektronisch, op papier en mondeling. Het gaat niet alleen over bescherming van privacy, maar ook over bescherming van vitale maatschappelijke functies die worden ondersteund met informatie (verkeer, vervoer, openbare orde en veiligheid, etc.). Het gaat ook niet alleen over ICT: verantwoord en bewust gedrag van medewerkers is essentieel voor informatieveiligheid.

Hoe is informatiebeveiliging geborgd?

Om het informatiebeveiligingsbeleid op een efficiënte en effectieve wijze te beheren, zijn de bijbehorende normen en maatregelen geregistreerd in een ‘Informatiebeveiligings-managementsysteem’ (ISMS ). Het ISMS is een integraal kwaliteitssysteem voor informatiebeveiliging conform ISO 27002:2005 en is samen met het tactisch beleid vastgelegd in het handboek informatiebeveiliging gemeente Heusden.

Het IB-handboek is, samen met de handboeken met operationele procedures, onderdeel van het managementsysteem van de gemeente Heusden. Schematisch weergegeven:

 

 

Figuur 1 Schematische weergave borging informatiebeveiliging

 

 

Inhoud

 

 

1 Inleiding 4

2 Doelstelling en uitgangspunten informatiebeveiliging 6

2.1 Het belang van informatieveiligheid 6

2.2 Visie 6

2.3 Doelstelling 6

2.4 Uitgangspunten 7

2.5 Risicobenadering 7

2.6 Doelgroepen 7

2.7 De reikwijdte 8

2.8 Werking 8

2.9 Samenhang 8

3 Informatiebeveiliging managen (PDCA Cyclus) 9

3.1 Inrichten organisatie 9

3.2 Beheersen maatregelen 10

3.3 Beoordelen en corrigeren maatregelen 11

3.4 Classificeren en beschermen van informatie 12

4 Aanpak van informatiebeveiliging 14

4.1 Risicobeoordeling en risico-afweging 14

4.2 Organisatie van de informatiebeveiliging 14

4.3 Beheer van bedrijfsmiddelen 14

4.4 Beveiliging van personeel 14

4.5 Fysieke beveiliging en beveiliging van de omgeving 15

4.6 Beveiliging van apparatuur en informatie 15

4.7 Beheer van communicatie- en bedieningsprocessen 16

4.8 Logische toegangsbeveiliging 16

4.9 Data- beveiligingsincidenten 16

4.10 Bedrijfscontinuïteit 17

4.11 Naleving 17

5 Kwaliteitsbewaking 18

5.1 Communicatie 18

5.2 Borging 18

5.3 Geldigheid en evaluatie 18

5.4 Naleving 18

6 Informatiebeveiligingsbeleid gemeente Heusden 2019 t/m 2021 19

6.1 Algemeen 19

6.2 Informatiebeveiligingsbeleid 20

7 Bijlage: Relevante documenten en bronnen 21

7.1 Intern 21

7.2 Extern 21

8 Bijlage: Relevante documenten en bronnen 22

8.1 Intern 22

8.2 Extern 22

 

1 Inleiding

 

 

De gemeente Heusden erkent dat informatiebeveiliging steeds belangrijker wordt binnen de bedrijfsvoering bekeken vanuit:

 

• Het coalitieakkoord

“Wij vinden het belangrijk dat de gegevens van inwoners bij de gemeente in goede handen zijn. De onlangs aangescherpte regelgeving vraagt om verdere inspanning (en dus een inhaalslag) van gemeentelijke zijde. De kans op een datalek of een gehackt systeem laat zich uiteraard moeilijk inschatten. Indien dit zich voor doet, kan dat flinke gevolgen hebben. Denk hierbij aan financiële en emotionele schade voor inwoners op het moment dat hun (privacygevoelige) gegevens op straat komen te liggen, een boete van de AutoriteitPersoonsgegevens, imagoschade en problemen in de dienstverlening. Bij de aanpak gaan wij van een realistisch en praktisch scenario uit met als doel te voldoen aan de Algemene Verordening Gegevensbescherming (AVG) en het bereiken van een adequaat niveau op het gebied van de informatiebeveiliging.”

 

• De door de burger gestelde eisen en het vertrouwen

De gemeente Heusden wil in alle opzichten een betrouwbare partner zijn. ‘Klant centraal’, ‘dialoog’, ‘samenwerking’, ‘aanspreken’ en ‘verantwoordelijkheid nemen’ zijn belangrijke kernwaarden in het doen en laten van de medewerkers van de gemeente. Een betrouwbare informatievoorziening waarbij de informatie van burgers wordt beschermd en de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens is geborgd, is hier onlosmakelijk mee verbonden. Niet alleen kan inadequate beveiliging leiden tot beschadiging van het vertrouwen, maar ook kunnen (de privacy van) inwoners geschaad worden als bijvoorbeeld privéinformatie openbaar wordt of identiteitsgegevens worden misbruikt.

De gemeente Heusden onderkent in haar bedrijfsprocessen aspecten van informatiebeveiliging die management vragen en die bewaakt en gecontroleerd dienen te worden; om zo ‘in control’ te zijn en daarover op professionele wijze verantwoording af te leggen. Het management speelt een cruciale rol bij het uitvoeren van dit IB-beleid. Zo maakt het management een inschatting van het belang van de verschillende delen van de informatievoorziening , welke risico’s daarbij acceptabel zijn en welijke risico’s door middel van maatregelen ingeperkt moeten worden.

 

• De naleving en opvolging van wet- en regelgeving

Dit document legt de basis voor informatiebeveiliging binnen de gemeente. Het normenkader BIG is vastgesteld als basis voor de gemeente. Daarbij houdt de gemeente oog voor werkbaarheid, het realiseren van de merkbelofte en beoordeelt het normenkander door middel van het pas toe of leg uit principe. De gemeente streeft zo een adequaat niveau van beveiliging na. Het IB-beleid is naast de BIG in lijn met het algemene beleid van de gemeente en de relevante landelijke en Europese wet- en regelgeving, zoals de basisregistraties, Suwinet, Paspoorten en ID-bewijzen, maar ook de archiefwet en de Algemene Verordening Gegevensbescherming.

 

De omgeving van de gemeente verandert voortdurend. Dit vraagt op het actueel houden van het beleid en relevante documenten en inspelen op nieuwe ontwikkelingen en organisatorische veranderingen en technologische ontwikkelingen. Dit om burgers, partners, bedrijven en de interne organisatie van dienst te zijn en daarbij de informatiebeveiligingsaspecten te continueren en waar mogelijk te verbeteren. Het informatiebeveiligingsbeleid moet minimaal eenmaal per drie jaar worden geactualiseerd om te voldoen aan de BIG en audits zoals de BRP en DigiD.

LEESWIJZER

 

 

In hoofdstuk 2 staan de doelstelling en de uitgangspunten van dit IB-beleid genoemd, wordt de risicobenadering toegelicht en zijn de verantwoordelijkheden van de betrokkenen benoemd. Verder is in dit hoofdstuk de reikwijdte van het IB-beleid gekaderd en is de werking van oud- voor nieuw beleid geduid.

 

In hoofdstuk 3 wordt de managementcyclus van informatiebeveiliging toegelicht, staat uitgelegd hoe de IB-organisatie is ingericht en wordt uitgelegd hoe IB-controles werken en welke systematiek voor classificatie van informatie wordt toegepast.

 

In hoofdstuk 4 wordt de aanpak van de negen beveiligingsaspecten uit de BIG beschreven zoals die door gemeente Heusden wordt toegepast.

 

In hoofdstuk 5 wordt de bewaking van de kwaliteit van IB-beleid uitgelegd op het vlak van communiceren over IB-beleid, borgen van processen e.d., actueel houden van en het toezien op naleving van het IB-beleid.

 

In hoofdstuk 6 staan de feitelijke beleidsregels voor informatiebeveiliging, die de gemeente Heusden heeft vastgesteld.

2 Doelstelling en uitgangspunten informatiebeveiliging

 

 

In dit hoofdstuk treft u de doelstellingen en uitgangspunten van het IB-beleid. Daarnaast wordt de risicobenadering en komen de verantwoordelijkheden van betrokken aan bod. Ten slotte wordt de reikwijdte van het IB-beleid gekaderd en is de in werking treding van oud- voor nieuw beleid geduid.

2.1 Het belang van informatieveiligheid

Informatie is een van de voornaamste bedrijfsmiddelen van gemeente Heusden. Het verlies van gegevens, uitval van ICT, of het door onbevoegden kennisnemen of manipuleren van bepaalde informatie kan ernstige gevolgen hebben voor de bedrijfsvoering maar ook leiden tot imagoschade. Ernstige incidenten hebben mogelijk negatieve gevolgen voor burgers, bedrijven, partners en de eigen organisatie met waarschijnlijk ook politieke gevolgen. Informatieveiligheid is daarom van groot belang. Informatiebeveiliging (IB) is het proces dat dit belang dient.

2.2 Visie

 

De komende jaren zet de gemeente Heusden in op het implementeren en borgen van noodzakelijke maatregelen met betrekking tot privacy, informatieveiligheid en verdere professionalisering van de IB-functie in de organisatie.

Een betrouwbare informatievoorziening is noodzakelijk voor het goed functioneren van de gemeente en de basis voor het beschermen van rechten van burgers en bedrijven.

 

Het proces van informatiebeveiliging is primair gericht op bescherming van gemeentelijke informatie, maar is tegelijkertijd een ‘mogelijkmaker’; het maakt bijvoorbeeld elektronische dienstverlening op verantwoorde wijze mogelijk, evenals nieuwe, innovatieve manieren van werken. De focus is informatie uitwisselen in alle verschijningsvormen, zoals elektronisch, op papier en mondeling. Het gaat niet alleen over bescherming van privacy, maar ook over bescherming van vitale maatschappelijke functies die worden ondersteund met informatie (verkeer, vervoer, openbare orde en veiligheid, etc.). Het gaat ook niet alleen over ICT: verantwoord en bewust gedrag van medewerkers is essentieel voor informatieveiligheid.

2.3 Doelstelling

Dit IB-beleid is het kader voor passende technische en organisatorische maatregelen om gemeentelijke informatie te beschermen en te waarborgen dat de gemeente voldoet aan relevante wet en regelgeving. De gemeente Heusden streeft er naar om ‘in control’ te zijn en daarover op professionele wijze verantwoording af te leggen. In control betekent in dit verband dat de gemeente weet welke maatregelen genomen zijn en dat er een SMART-planning is van de maatregelen die nog niet genomen zijn en als laatste dat dit geheel verankerd is in de PDCA-cyclus .

Doelstelling is het: waarborgen van de continuïteit van de informatiesystemen , minimaliseren van gevolgen voortkomend uit incidenten. En binnen de wettelijke kaders ervoor zorgen dat gemeentelijke informatie adequaat wordt beheerd en beveiligd.

2.4 Uitgangspunten

  • Het informatiebeveiligingsbeleid van de gemeente Heusden is in lijn met het algemene beleid uit de programmabegroting van de gemeente en de relevante landelijke en Europese wet- en regelgeving.

  • Het beleid is gebaseerd op de Code voor Informatiebeveiliging (NEN/ISO 27002) en de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).

  • Het strategisch IB-beleid wordt vastgesteld door het college van burgemeester en wethouders. Het management herijkt periodiek het strategisch IB-beleid.

  • Het tactisch IB-beleid (het handboek informatiebeveiliging) wordt vastgesteld door het management. Het management herijkt minimaal jaarlijks het tactische beleid.

  • Informatiebeveiliging is een continu proces volgens de PDCA-cyclus.

  •  

2.5 Risicobenadering

De aanpak van informatiebeveiliging (IB-beleid) in de gemeente Heusden is ‘risico gebaseerd’. Dat wil zeggen: beveiligingsmaatregelen worden getroffen op basis van een toets aan de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG ) van VNG/KING (GAP-analyse ). Deze toets dient om een vergelijking te maken tussen de huidige en de gewenste situatie. Indien nodig wordt bij gevoelige systemen/processen een risicoanalyse uitgevoerd. De proceseigenaar beoordeelt de kwetsbaarheid van zijn werkproces en de dreigingen die kunnen leiden tot een beveiligingsincident, rekening houdend met de beschermingseisen van de informatie.

2.6 Doelgroepen

Het gemeentelijk IB-beleid is bedoeld voor alle in- en externe medewerkers van de gemeente:

Doelgroep

Rol informatieveiligheid

Gemeenteraad

Controlerende taak t.a.v. informatieveiligheid

College van B&W

Integrale verantwoordelijkheid

Portefeuillehouder informatiebeveiliging

Bestuurlijk verantwoordelijk voor zowel de interne als externe veiligheid

Directie

Kaderstelling en implementatie

Lijnmanagement (proceseigenaren)

Sturing op informatieveiligheid en controle op naleving

Medewerkers

Gedrag en naleving

Gegevenseigenaren/bronhouders (BRP/BAG, etc.)

Classificatie: bepalen beschermingseisen van informatie

Beleidmakers

Planvorming binnen IB-kaders

Functionaris Gegevensbescherming

Toetsen van en toezicht houden op AVG-compliance en privacy beleid en reglement van de gemeente Heusden

IB-functionarissen (CISO, FG, etc.)

Dagelijkse coördinatie van IB

Informatiearchitect

Informatiesystemen toetsen / ontwerpen binnen IB-kaders

Personeelszaken

Arbeidsvoorwaardelijke zaken

Facilitaire zaken

Fysieke toegangsbeveiliging

ICT-diensten

Technische beveiliging

Auditors

Onafhankelijke toetsing

Leveranciers en ketenpartners

Compliance1

 

Figuur 2 Matrix doelgroepen - rollen informatieveiligheid

2.7 De reikwijdte

  • Dit beleid is van toepassing is op alle gemeentelijke processen, op onderliggende informatiesystemen, op informatie en gegevens van de gemeente en op externe partijen; het gebruik daarvan door medewerkers en (keten)partners in de meest brede zin van het woord, ongeacht locatie, tijdstip en gebruikte apparatuur.

  • Dit beleid is hét overkoepelende informatiebeveiligingsbeleid met een organisatiebrede werking, met als basis de BIG en waarbij voor bepaalde kerntaken op grond van wet- en regelgeving specifieke (aanvullende) beveiligingseisen gelden. Zoals basisregistraties als de BRP en BAG, maar ook Suwinet, Paspoorten en ID-bewijzen PNIK, de archiefwet en de AVG.

  • Dit beleid is in lijn met het algemeen beleid uit de programma begroting van de gemeente en met de relevante landelijke en Europese wet- en regelgeving.

2.8 Werking

Dit IB-beleid treedt in werking op de datum dat het is vastgesteld door het college van burgemeester en wethouders. Hiermee komt het oude Informatie beveiligingsbeleid van de gemeente Heusden te vervallen met uitzondering van de bestaande(deel)beleidsplannen voor BRP, reisdocumenten en ID-kaarten en BAG.

Het beleid uit dit overkoepelend IB-beleid is van toepassing op alle overige (deel)beveiligingsplannen van de gemeente Heusden. Dit beleid vormt de kapstok. De betreffende beveiligingsplannen staan echter op zichzelf en dat blijft zo omdat daarin de specifieke maatregelen, procedures, regelingen en bijlagen in zijn opgenomen.

2.9 Samenhang

Aan het IB-beleid van de gemeente Heusden wordt nadere invulling gegeven door het management op basis van het ‘pas toe of leg uit principe’. In het IB-beleid worden hiervoor beleidsregels opgenomen op alle aspecten van informatiebeveiliging uit de BIG. Het gaat hier om de volgende beveiligingsaspecten:

1. Risicobeoordeling en risico-afweging

2. Organisatie van de informatiebeveiliging.

3. Beheer van bedrijfsmiddelen.

4. Beveiliging van personeel.

5. Fysieke beveiliging en beveiliging van de omgeving.

6. Beveiliging van apparatuur en informatie.

7. Beheer van communicatie- en bedieningsprocessen

8. Logische toegangsbeveiliging.

9. Data- en beveiligingsincidenten.

10. Bedrijfscontinuïteit.

11. Naleving

 

In hoofdstuk 4 ‘Aanpak informatiebeveiliging’ van dit beleidsdocument wordt de aanpak van bovenstaande beveiligingsaspecten beschreven zoals die door de gemeente Heusden wordt gehanteerd.

3 Informatiebeveiliging managen (PDCA Cyclus)

 

 

In dit hoofdstuk wordt de managementcyclus van informatiebeveiliging toegelicht; staat uitgelegd hoe de IB-organisatie is ingericht en wordt uitgelegd hoe IB-controles.

3.1 Inrichten organisatie

Door het inrichten van een informatiebeveiligingsorganisatie zorgt de gemeente Heusden voor passende aandacht en sturing. Het college van burgemeester en wethouders is bestuurlijk integraal eindverantwoordelijk voor de beveiliging van informatie binnen de werkprocessen van de gemeente. Het management is organisatorisch integraal eindverantwoordelijk voor de beveiliging van informatie en voor de werking van het ISMS en zal via delegatie naar medewerkers de taken en verantwoordelijkheden beleggen voor de implementatie en beheer van maatregelen die voortkomen uit dit beleid.

 

Specifieke rollen die het college hierbij aanwijst zijn:

  • Portefeuillehouder in- en externe veiligheid: vanuit het college is de burgemeester het aanspreekpunt

  • de Chief Information Officer (CIO). Dit is de manager informatiebeveiliging en dit is een rol op strategisch niveau binnen de gemeentelijke organisatie;

  • de Chief Information Security Officer (CISO). De organisatie van informatiebeveiliging wordt namens het management aangestuurd door de CISO. Tactische/operationele taken zullen worden gedelegeerd aan informatiebeveiligingsfunctionarissen binnen de afdelingen en processen.

  • de Privacy Officer (PO). De organisatie van privacy namens het management wordt aangestuurd door de PO.

  • De Functionaris Gegevensbescherming (FG). Het toezicht op Privacy en Informatiebeveiliging wordt conform de AVG uitgevoerd door de FG.

 

Het toewijzen van overige rollen, taken en bevoegdheden is een managementverantwoordelijkheid en wordt verder uitgewerkt in het handboek informatiebeveiliging. Het gaat hier om rollen en dus niet om functies/functiebeschrijvingen.

 

Het college is verantwoordelijk voor kaderstelling en het management voor sturing. Het management stuurt op concern risico’s, controleert of de getroffen maatregelen overeenstemmen met de betrouwbaarheidseisen en of deze voldoende bescherming bieden en evalueert periodiek beleidskaders en stelt ze waar nodig bij.

 

De managers binnen de gemeente zijn verantwoordelijk voor de integrale beveiliging van hun eigen organisatieonderdelen. Alle medewerkers van de gemeente Heusden hebben de verantwoording tot naleving van dit beleid en opvolging van de maatregelen die voortvloeien uit dit beleid. Identificatie van incidenten of het niet voldoen aan het gestelde in dit beleid moet worden gemeld aan de betreffende clustermanager en aan de CISO.

 

Alle medewerkers worden door het management actief geïnformeerd over dit informatiebeveiligingsbeleid en van hen wordt verwacht dat ze kennisnemen van de inhoud van dit beleid.

 

Dit beleid maakt integraal deel uit van de gedragscode van de gemeente Heusden

 

3.2 Beheersen maatregelen

Voor de beheersing van informatiebeveiligingsaspecten hanteert de gemeente Heusden een Information Security Management System (ISMS). Het ISMS is gebaseerd op de internationale standaarden voor informatiebeveiligingsmanagementsystemen volgens de ISO 27001. Het ISMS bevat een informatie-beveiligingsmanagementproces dat is ingericht op basis van de PDCA-cyclus.

 

Figuur 3 ISMS informatiebeveiliging

(bron: Informatie Beveiligings Dienst gemeenten).

Voor begrippen zie voetnoot.

Concreet betekent bovenstaande dat in Heusden:

 

  • het management jaarlijks een plan opstelt voor het verbeteren van de informatiebeveiliging. Dit plan wordt vastgelegd in het handboek informatiebeveiliging;

  • het management jaarlijks het IB-beleid evalueert;

  • het management maatregelen treft om de beveiligingsrisico’s te verminderen en om compliant te zijn aan wet- regelgeving, landelijke normen en de (BIG);

  • de informatiebeveiligingsfunctionaris/CISO jaarlijks vaststelt welke (rest-)risico’s er zijn door middel van een risicoanalyse;

  • jaarlijks deelneemt aan de ENSIA vragenlijst en het management periodiek zelfonderzoeken en interne/externe audits laat uitvoeren voor de BRP, reisdocumenten en ID-kaarten, de BAG en Suwi en andere toekomstige wettelijke normenkaders;

  • het college en de gemeenteraad jaarlijks via de horizontale verantwoording worden geïnformeerd over de resultaten van de ENSIA en de zelfonderzoeken.

 

3.3 Beoordelen en corrigeren maatregelen

De gemeente Heusden controleert periodiek de maatregelen die voortkomen uit dit beleid door controles vanuit AO/IC, interne assessments en externe audits ten aanzien van (kosten)effectiviteit en informatieveiligheid. Jaarlijks beoordeelt het management het informatiebeveiligings- managementproces op basis van verzamelde gegevens en informatie.

Input voor deze beoordeling is o.a.:

 

• Registratie van incidenten en beveiligingsissues die niet worden nageleefd.

• Registratie van controles en interne en externe audits.

• Leveranciersbeoordelingen.

• Risicoanalyse output.

• Medewerkerscompetenties.

• Bewustwordingssessies en -trainingen.

• Wet- & regelgeving.

 

Op basis van de beoordelingen worden waar nodig corrigerende en/of preventieve maatregelen doorgevoerd. Maatregelen worden geselecteerd met het doel dat de kans op herhaling wordt geminimaliseerd. Of waardoor de doeltreffendheid van het informatiebeveiligings-managementsysteem wordt verbeterd en het geleverde product of dienst beter aansluit op de eisen van de burger, bedrijven en partners.

3.4 Classificeren en beschermen van informatie

Om te kunnen bepalen welke beveiligingsmaatregelen moeten worden getroffen voor processen en informatiesystemen worden beveiligingsclassificaties gebruikt . Classificatie maakt het vereiste beschermingsniveau zichtbaar en maakt direct duidelijk welke maatregelen nodig zijn. Er wordt geclassificeerd op drie betrouwbaarheidsaspecten van informatie: beschikbaarheid, integriteit (juistheid, volledigheid) en vertrouwelijkheid (BIV).

 

Er zijn drie beschermingsniveaus van laag naar hoog. Daarnaast is er nog een niveau ‘geen’. Dit niveau geeft aan dat er geen beschermingseisen worden gesteld, bijvoorbeeld omdat informatie openbaar is. De niveaus zijn in onderstaande tabel weergegeven. Tussen haakjes staan voorbeelden. Deze niveaus zijn bedacht om het proces van classificeren te vereenvoudigen.

 

Het beschermingsniveau van informatie wordt uitgedrukt in classificatieniveaus voor beschikbaarheid, integriteit en vertrouwelijkheid van informatie:

  • Beschikbaarheid: hoeveel en wanneer data toegankelijk is en gebruikt kan worden. De onderscheiden niveaus zijn: niet nodig; noodzakelijk; belangrijk en essentieel.

  • Integriteit: het in overeenstemming zijn van informatie met de werkelijkheid en dat niets ten onrechte is achtergehouden of verdwenen (juistheid, volledigheid en tijdigheid). De onderscheiden niveaus zijn: niet zeker; beschermd; hoog en absoluut.

  • Vertrouwelijkheid: de bevoegdheden en de mogelijkheden tot muteren, kopiëren, toevoegen, vernietigen of kennisnemen van informatie voor een gedefinieerde groep van gerechtigden. De onderscheiden niveaus zijn: openbaar; bedrijfsvertrouwelijk, vertrouwelijk en geheim.

Niveau

Vertrouwelijkheid

Integriteit

Beschikbaarheid

Geen

Openbaar

informatie mag door iedereen worden ingezien

(bv: algemene informatie op de externe website van de gemeente

Niet zeker

informatie mag worden veranderd

(bv: templates en sjablonen)

 

Niet nodig

gegevens kunnen zonder gevolgen langere tijd niet beschikbaar zijn

(bv: ondersteunende tools als routeplanner)

Laag

Bedrijfsvertrouwelijk

informatie is toegankelijk voor alle medewerkers van de organisatie

(bv: informatie op het intranet)

Beschermd

het bedrijfsproces staat enkele (integriteits-) fouten toe

(bv: rapportages)

Noodzakelijk

informatie mag incidenteel niet beschikbaar zijn

(bv: administratieve gegevens)

Midden

Vertrouwelijk

informatie is alleen toegankelijk voor een beperkte groep gebruikers

(bv: persoonsgegevens, financiële gegevens

Hoog

het bedrijfsproces staat zeer weinig fouten toe

(bv: bedrijfsvoeringinformatie en primaire procesinformatie zoals vergunningen)

Belangrijk

informatie moet vrijwel altijd beschikbaar zijn, continuïteit is belangrijk

(bv: primaire proces informatie)

Hoog

Geheim

informatie is alleen toegankelijk voor direct geadresseerde(n)

(bv: zorggegevens en strafrechtelijke informatie)

Absoluut

het bedrijfsproces staat geen fouten toe

(bv: gemeentelijke informatie op de website)

Essentieel

informatie mag alleen in uitzonderlijke situaties uitvallen, bijvoorbeeld bij calamiteiten

(bv: basisregistraties)

 

Figuur 4 Classificatie van informatie

Er wordt gestreefd naar een balans tussen het te lopen risico en de kosten van tegenmaatregelen. Zo mogelijk wordt een technische oplossing ingezet boven gedragsverandering.

Het toekennen van classificatieniveaus aan data en/of informatiesystemen is van groot belang, omdat daarmee het (vereiste) beschermingsniveau kenbaar gemaakt wordt. Aan de hand hiervan kan worden bepaald welke beveiligingseisen gelden en welke maatregelen moeten worden genomen. Dit is bijvoorbeeld relevant voor beheerders die lang niet altijd bekend zijn met de inhoud en dus de waarde van data, maar wel worden geacht adequate beschermingsmaatregelen te treffen. De volgende factoren oefenen invloed uit op de adequate beveiligingsmaatregelen:

beleidsuitgangspunten, architectuurprincipes, beveiligingseisen (en hoe deze te interpreteren).

De classificatieniveaus, hiervoor genoemd, zijn afgeleid van de waarde van data en het belang van het bedrijfsproces waarin deze data een rol spelen. Stel daarom vast wat het belang is van de bedrijfsvoeringsprocessen voor de organisatie en hoe deze processen worden ondersteund door de ICT-voorzieningen.

Er zijn drie beschermingsniveaus van laag naar hoog. Daarnaast is er nog een niveau ‘geen’. Dit niveau geeft aan dat er geen beschermingseisen worden gesteld, bijvoorbeeld omdat informatie openbaar is. De niveaus zijn in onderstaande tabel weergegeven. Tussen haakjes staan voorbeelden. Deze niveaus zijn bedacht om het proces van classificeren te vereenvoudigen.

 

Classificatie vindt plaats door de kritieke en de privacygevoelige processen van de gemeentelijke organisatie te inventariseren aan de hand van: verstoring of uitval van het proces, systeem, eigenaar, gegevens, hardware. Hierbij wordt een link gelegd met de toegepaste informatiemiddelen en informatiesystemen per proces. Een voorbeeld is het proces van aanvragen bij ‘het cluster’ sociale zaken. Classificaties van processen staan in het register van verwerkingen.

Proces

Product/dienst

Zaaktype

Resultaat

Beschikbaar-heidsscore

Integriteits score

Vertouwe-lijkheids- score

(p4) Verstrekken producten & diensten (Sociale Zaken)

Vergunningen en ontheffingen, subsidies, verzoeken, aangiften, publieke producten, inkomens- en maatschappelijke ondersteuning

(Aan)vraag

inwoner/bedrijf 

wonen, werken, welzijn en zorg

Besluit / beschikking/ product uit zorgsysteem

B:

Essentieel

I:

Hoog

V:

Geheim

 

Figuur 5 Voorbeeld classificatie

4 Aanpak van informatiebeveiliging

 

In BIG is een aantal beveiligingsaspecten benoemd, waaraan de gemeente moet voldoen. In het IB-handboek en in het ISMS wordt dezelfde indeling en volgorde gehanteerd. Dit zijn allemaal beveligingsaspecten met betrekking tot de bedrijfsvoering. In dit hoofdstuk is de aanpak beschreven van de elf beveiligingsaspecten uit de BIG zoals die door de gemeente Heusden worden gebruikt.

4.1 Risicobeoordeling en risico-afweging

Risicobewustzijn van alle medewerkers van de gemeente Heusden is de sleutel tot een effectieve informatiebeveiliging. Risicobewustzijn wordt volledig ondersteund door het management en zal gestimuleerd worden door bewustwordingssessies en publicaties via onder meer het intranet. Het risicobewustzijn wordt ook ondersteund door het opstellen en naleven van gedragscodes en gebruikersovereenkomsten en zal waar nodig aandacht krijgen in functiebeschrijvingen, arbeidscontracten en overeenkomsten met derden.

 

Via de BIG toets en Risicoanalyse conform de opzet van de Informatie Beveiligings Dienst (IBD), worden mogelijke dreigingen en informatiebeveiligingsrisico’s geïdentificeerd en geïndexeerd. Het management zal de resultaten die hier uit voortkomen beoordelen en een implementatieplan opstellen ter vermindering van het risico tot een acceptabel niveau.

4.2 Organisatie van de informatiebeveiliging

De organisatie van de informatiebeveiliging is beschreven in paragraaf 3.1 van dit beleidsdocument.

4.3 Beheer van bedrijfsmiddelen

ICT-middelen die aan medewerkers van de gemeente Heusden beschikbaar worden gesteld, dienen conform de beveiligingsregels te worden gebruikt. Opgeslagen en verwerkte informatie van of voor de gemeente Heusden op systemen van de gemeente blijft te allen tijde eigendom van de gemeente Heusden. De internationale en lokale privacywetgeving zal worden gehandhaafd wanneer een beroep wordt gedaan op eigendomsrechten.

4.4 Beveiliging van personeel

Bij het aannemen of inhuren van nieuw personeel en het laten verrichten van werkzaamheden door externe medewerkers wordt rekening gehouden met informatieveiligheid. Verantwoordelijkheden zijn waar nodig vóór het dienstverband vastgelegd in een passende functiebeschrijving/opdracht en in de arbeidsvoorwaarden/ inhuurovereenkomst.

 

Medewerkers die werken met vertrouwelijke of geheime informatie overleggen voor indiensttreding

een Verklaring Omtrent het Gedrag (VOG). De VOG wordt indien nodig herhaald tijdens het

dienstverband.

 

Werknemers, ingehuurd personeel en externe gebruikers, die ICT-voorzieningen gebruiken gebruiken deze conform de beveiligingsregels en worden hierin wegwijs gemaakt door hun mentor.

Voor het gebruik van gemeentelijke informatie gelden de rechten en plichten zoals vastgelegd in de diverse documenten, zoals het CAR-UWO, geheimhoudingsverklaring, huisregels. De gemeente Heusden onderschrijft daarbij artikel 2:5 (2.1.5) uit de Awb.

 

In de Awb staat de geheimhouding geregeld in art 2:5 (2.1.5)

Een ieder die is betrokken bij de uitvoering van de taak van een bestuursorgaan en daarbij de

beschikking krijgt over gegevens waarvan hij het vertrouwelijke karakter kent of redelijkerwijs moet

vermoeden, en voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift ter zake van die gegevens een geheimhoudingsplicht geldt, is verplicht tot geheimhouding van die gegevens, behoudens voor zover enig wettelijk voorschrift hem tot mededeling verplicht of uit zijn taak de noodzaak tot mededeling voortvloeit.

Voor de omgang met vertrouwelijke en/of geheime informatie hanteert de gemeente Heusden:

 

  • Openbaarheid van bestuur is de regel.

  • Vertrouwelijkheid kan, maar dan zo kort mogelijk; heeft geen juridische status.

  • Geheimhouding is de uitzondering, maar mag alleen worden opgelegd als dat volstrekt noodzakelijk is (zoals bij een WOB-verzoek) en daarbij moeten procedures correct worden doorlopen.

 

4.5 Fysieke beveiliging en beveiliging van de omgeving

De gemeente Heusden heeft ICT-voorzieningen geïmplementeerd voor de eigen bedrijfsonderdelen en voor locaties die onderlinge interne communicatie en samenwerking met partners, burgers en medewerkers op afstand mogelijk maakt. Deze ICT-voorzieningen zijn deels in beheer en eigendom van de gemeente Heusden en deels uitbesteed in de Cloud en via SaaS oplossingen. Voor de beveiliging hiervan moet door de leverancier jaarlijks een verklaring (Third Party Mededeling) worden overlegd waarin hij aantoont dat hij voldoet aan alle hoogste informatiebeveiligingseisen.

 

ICT-voorzieningen en Cloud/SaaS-oplossingen, die kritieke of gevoelige bedrijfsactiviteiten ondersteunen, dienen fysiek te worden ondergebracht in beveiligde ruimten, beschermd door afgegrensde beveiligde gebieden, in een gecontroleerde omgeving, beveiligd met geschikte beveiligingsbarrières en toegangsbeveiliging. Ze zijn fysiek beschermd tegen toegang door onbevoegden, schade en storingen.

 

Voor bepaalde diensten wordt gebruik gemaakt van externe publieke netwerken zoals het internet. Hiervoor zijn diverse beveiligingsmaatregelen en beheersmaatregelen geïmplementeerd om de beschikbaarheid, integriteit en vertrouwelijkheid te waarborgen.

4.6 Beveiliging van apparatuur en informatie

Organisatorisch is het zo mogelijk geregeld dat er een scheiding is van beheertaken en overige gebruikerstaken. In beginsel heeft niemand autorisaties om een gehele cyclus van handelingen in een informatiesysteem te beheersen. In geval van overlap hierin, zoals bij de salarisadministrateur, geldt het vier ogenprincipe. Nieuwe systemen, upgrades en nieuwe versies worden gechecked op impact en gevolgen en pas geïmplementeerd na formele acceptatie en goedkeuring door de proceseigenaar.

 

Gegevens op papier worden beschermd door een deugdelijke opslag en een regeling voor de toegang tot archiefruimten. Documenten, opslagmedia, in- en uitvoergegevens en systeemdocumentatie worden beschermd tegen onbevoegde openbaarmaking, wijziging, verwijdering en vernietiging.

 

Digitale gegevens worden beschermd door opslag in- en toegang tot applicaties en informatiesystemen die zijn toegestaan om hiervoor te gebruiken. Het handboek informatiebeveiliging geeft richtlijnen welke applicaties en informatiesysteem hiervoor zijn goedgekeurd. Het toch gebruiken van applicaties en informatiesystemen die niet zijn goedgekeurd, is dus niet toegestaan.

 

Beveiligingsmaatregelen die worden getroffen, hebben betrekking op zowel door de gemeente verstrekte middelen als privé-apparatuur die voor zakelijk gebruik worden ingezet ('bring your own device' (BYOD)). Op privé-apparatuur waarmee verbinding wordt gemaakt met het gemeentelijke netwerk is de gemeente bevoegd om beveiligingsinstellingen af te dwingen, als de situatie hierom vraagt. Richtlijn is dat privé-apparatuur alleen verbonden mag worden met het gemeentenetwerk als wordt voldaan aan de beveiligingsregels en voorwaarden van ICT.

 

ICT maakt reservekopieën van alle essentiële bedrijfsgegevens en programmatuur zodat de continuïteit van de gegevensverwerking kan worden gegarandeerd. Bij gebruik van Cloud/SaaS-oplossingen is de leverancier hier verantwoordelijk voor. De omvang en frequentie van de back-ups is in beide gevallen in overeenstemming met het belang van de data voor de continuïteit van de dienstverlening en de interne bedrijfsvoering. Dit wordt verzorgd door systeembeheer of door de Cloud/SaaS-leverancier. De systeembeheerder weet wat te doen/mee te nemen in de reservekopie op basis van wat de systeemeigenaren hebben aangegeven als essentiële systemen en data/gegevens. Op basis daarvan is een back-up schema opgesteld en ingericht. Jaarlijks wordt door middel van een back-up en restoretest getoetst of alle essentiële programmatuur en gegevenssets zijn te herstellen.

 

Digitale documenten van de gemeente waar burgers en bedrijven rechten aan kunnen ontlenen, maken gebruik van PKI Overheid certificaten voor tekenen en/of encryptie. Hiervoor wordt een richtlijn PKI en certificaten opgesteld. De gemeente kent diverse PKI’s.

 

Het gebruik van informatiesystemen, alsmede uitzonderingen en informatiebeveiligingsincidenten, worden vastgelegd in logbestanden op een manier die in overeenstemming is met het risico, en zodanig dat tenminste wordt voldaan aan alle relevante wettelijke eisen.

4.7 Beheer van communicatie- en bedieningsprocessen

Doel van het beheer van communicatie- en bedieningsvoorschriften is het garanderen van correcte en veilige bediening en beheer van de ICT-voorzieningen. Hiervoor moeten maatregelen getroffen worden en procedures opgesteld voor het beheer en de bediening van de ICT-voorzieningen en het adequaat reageren op incidenten.

Als uitgangspunten voor het goed beheer van communicatie- en bedieningsvoorschriften hanteert de gemeente Heusden:

 

• In beginsel mag niemand autorisaties hebben om een gehele cyclus van handelingen in een informatiesysteem te beheersen, zodanig dat beschikbaarheid, integriteit of vertrouwelijkheid kan worden gecompromitteerd.

• In beginsel is er een scheiding tussen beheertaken en overige gebruikstaken. Hierbij worden beheerwerkzaamheden alleen uitgevoerd wanneer ingelogd als beheerder, normale gebruikstaken alleen wanneer ingelogd als gebruiker.

4.8 Logische toegangsbeveiliging

Toegang tot informatie en IT-faciliteiten zal op basis van ‘need to know’ worden beperkt zodat gebruikers toegang krijgen tot datgene wat noodzakelijk is voor het uitvoeren van de functie.

Toegang tot informatiesystemen wordt geïnitieerd door de clustermanager van de medewerker op basis van het toekennen van een autorisatiesprofiel die hoort bij de medewerkersrol. Na het accorderen door de informatie- of informatiesysteemeigenaar zullen de autorisaties worden toegekend. Het ontzeggen van toegang tot informatiesystemen wordt eveneens geïnitieerd door de manager.

 

Na het afmelden van medewerkers die uit dienst zijn of van stagiaires en inhuurkrachten waarvan de opdracht is gestopt, worden door de informatie- of informatiesysteemeigenaar de autorisaties ingetrokken.

 

De managers regelen via P&O dat medewerkers toegang krijgen of de toegang wordt ontzegd tot informatiesystemen via een autorisatieprofiel. De toekenning werkt daar waar mogelijk op basis van single-sign-on via dezelfde gebruikersnaam en wachtwoord waarmee de gebruiker op het netwerk inlogt.

4.9 Data- beveiligingsincidenten

De medewerker dient geconstateerde of vermoede data-/beveiligingslekken en beveiligingsincidenten direct te melden bij de I&A Servicedesk van de gemeente en bij zijn manager.

Beveiligingsincidenten worden op basis van deze melding doorgegeven aan de CISO en/of FG. Ook worden ze als zodanig geregistreerd en voorgelegd aan het security-overleg. Voor afhandeling geldt de rapportage en escalatielijn volgens het informatiebeveiligingshandboek en het datalekprotocol.

4.10 Bedrijfscontinuïteit

Er zijn voor de risicovolle en privacygevoelig processen en systemen continuïteits-/uitwijkplannen die door een beheerst proces van informatiebeveiliging tot stand komen. Deze processen zijn opgenomen in het register van verwerkingen.

 

Er worden minimaal jaarlijks oefeningen of testen gehouden om de continuïteitsplannen te toetsen (opzet, bestaan en werking). Aan de hand van de resultaten worden de plannen bijgesteld en wordt de organisatie bijgeschoold.

4.11 Naleving

Het verbeteren van de kwaliteit van informatieveiligheid is een continu proces en onderdeel van alle gemeentelijke processen waarin wordt gewerkt met gevoelige informatie. Informatieveiligheid is een kwaliteitskenmerk van het primaire proces, waarop de manager van elke afdeling stuurt. De kwaliteit wordt gemeten aan:

  • de mate waarin een volledige set aan maatregelen is geïmplementeerd, gebaseerd op vastgesteld beleid;

  • efficiency en effectiviteit van de geïmplementeerde maatregelen;

  • de mate waarin de informatiebeveiliging het bereiken van de strategische doelstellingen ondersteunt.

 

Voor elk type registratie wordt de bewaartermijn, het opslagmedium en eventuele vernietiging bepaald in overeenstemming met wet, regelgeving, contractuele verplichtingen en bedrijfsmatige eisen. Bij de keuze van het opslagmedium wordt rekening gehouden met de bewaartermijn, de achteruitgang van de kwaliteit van het medium in de loop van de tijd en de voortdurende beschikbaarheid van hulpmiddelen (zoals hard- en software) om de gegevens te raadplegen en te bewerken.

5 Kwaliteitsbewaking

 

In dit hoofdstuk staat de bewaking van de kwaliteit van IB-beleid uitgelegd op het vlak van: communiceren over IB-beleid, borgen van processen e.d., actueel houden van het IB-beleid en het toezien op naleving van het IB-beleid.

5.1 Communicatie

In de communicatie van dit beleid staat de bewustwording centraal van de medewerkers (en ingehuurde derden) en de naleving van de regels en richtlijnen. Om dit te bewerkstelligen zullen er gedragsregels worden opgesteld en gecommuniceerd zodat medewerkers weten wat er van hen wordt verwacht, welke risico´s er zijn en welke rechten en plichten ze hebben. Veranderingen en aanpassingen in het managementsysteem worden door het management beoordeeld en intern gecommuniceerd, indien nodig ook naar relevante externe partijen.

 

Het management bevordert naleving en bewustwording en bepaalt de communicatie over informatiebeveiliging. Dit vertaalt zich in beveiligingsrichtlijnen en aandacht voor dit thema in de nieuwsvoorziening. Afspraken worden vastgelegd. Naast besprekingen, bijeenkomsten is het algemene communicatiekanaal intranet de voornaamste bron van informatie.

5.2 Borging

Borging vindt plaats door vastlegging van de afspraken in procesbeschrijvingen, richtlijnen, gedragscode, procedures, werkinstructies of tooling . De informatie dient voor alle medewerkers toegankelijk te zijn en zal via het intranet verspreid worden.

5.3 Geldigheid en evaluatie

Het college van burgemeester en wethouders is eigenaar van dit beleidsdocument. Het beheer, opstellen en actueel houden van het beleidsdocument is de verantwoordelijkheid van de CISO namens het management.

 

Dit beleid is drie jaar geldig (volgens richtlijnen BIG) en wordt minimaal één keer per jaar geëvalueerd samen met het IB-handboek. Dit met het oog op:

• de toereikende, de tactische en de operationele uitvoering ervan;

• de stand van de techniek (beveiliging en bedreiging);

• voortschrijdend inzicht;

• veranderende wet- en regelgeving of organisatie.

Op grond van een jaarlijkse toetsing van de informatiebeveiliging via audits en zelfassessments, veranderende wet- en regelgeving of door andere omstandigheden, kan dit beleid tussentijds worden bijgesteld.

5.4 Naleving

Naleving van het beleid wordt gecontroleerd. Niet naleving van het beleid kan disciplinaire maatregelen tot gevolg hebben, conform lokale regel- en wetgeving. Periodiek is er de landelijke ENSIA-vragenlijst en zijn er diverse audits, zelfevaluaties, bewustwordingssessies en de risicoanalyse. Deze acties zorgen ervoor dat het beleid wordt gecontroleerd op toepasbaarheid, volledigheid en werking.

6 Informatiebeveiligingsbeleid gemeente Heusden 2019 t/m 2021

 

 

In dit afsluitende hoofdstuk zijn alle beleidsregels uit het beleidsdocument samengebracht en samengevat tot de feitelijke beleidsregels voor informatiebeveiliging, die de gemeente Heusden heeft vastgesteld bij besluit van het college van burgemeester en wethouders.

 

Het doel van dit hoofdstuk is dat de strategische beleidslijnen van de gemeente informatieveiligheid vaststaan. Waarmee het college richting geeft aan de wijze waarop het invulling wil geven aan de BIG. Deze strategische uitgangspunten vormen het kader voor de tactische vertaling hiervan door het management.

6.1 Algemeen

Het bestuur en management spelen een cruciale rol bij het uitvoeren van dit informatiebeveiligingsbeleid. Zo maakt het management een inschatting van het belang dat de verschillende delen van de informatievoorziening voor de gemeente hebben, de risico’s die de gemeente hiermee loopt en welke van deze risico’s onacceptabel hoog zijn. Op basis hiervan zet het management dit beleid voor informatiebeveiliging op, draagt dit uit naar de organisatie en ondersteunt en bewaakt de uitvoering ervan.

 

Het gehele gemeentelijk management geeft een duidelijke richting aan informatiebeveiliging en demonstreert dat zij informatiebeveiliging ondersteunt en zich hierbij betrokken voelt, door het uitbrengen en handhaven van een informatiebeveiligingsbeleid van en voor de hele gemeente. Dit beleid is van toepassing op de gehele organisatie, alle processen, organisatieonderdelen, objecten, informatiesystemen en gegevens(verzamelingen). Het informatiebeveiligingsbeleid van is in lijn met het algemene beleid van de gemeente en de relevante landelijke en Europese wet- en regelgeving. Dit beleid bevat een bijlage met nadere aanwijzingen.

De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van het beleid. Hierbij geldt:

  • er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: AVG, BRP, SUWI, BAG en PUN, maar ook de archiefwet;

  • er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG);

  • de gemeente stelt dit normenkader vast, waarbij er ruimte is voor afweging en prioritering op basis van het ‘pas toe of leg uit’ principe.

 

Het beleid houdt rekening met onder andere:

  • de Internationale standaard voor informatiebeveiliging (ISO27001);

  • de Code voor Informatiebeveiliging (NEN/ISO 27002);

  • Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) aangevuld met ‘eigen’ regelgeving die specifiek voor Heusden van toepassing is verklaard;

• Eenduidige Normatiek Single Information Audit (ENSIA );

• eisen voortkomende uit van toepassing zijnde wet- en regelgeving, waaronder:

o artikel 213a van de gemeentewet;

o de ICT-beveiligingseisen en -richtlijnen voor:

  •  Basisadministratie Persoonsgegevens en Reisdocumenten (BPR);

  •  Basisadministratie Adressen en Gebouwen (BAG);

  •  Basisregistratie personen en Waardedocumenten (Brp);

  •  Paspoort Uitvoeringsregeling Nederland (PUN);

  •  Archiefwet;

  •  Wet structuur uitvoeringsorganisatie werk en inkomen (Suwi);

  •  Wet bescherming persoonsgegevens (Wbp);

  •  DigiD webrichtlijnen;

  •  Algemene verordening gegevensbescherming (AVG);

o de RODIN-richtlijnen voor digitale archivering en volledige substitutie.

• eisen gesteld door derden aan de dienst – en productlevering.

 

Alle opvolgende wetgeving en richtlijnen worden van toepassing op het moment dat zij ingaan. Zoals Baseline Informatiebeveiliging Overheid (BIO), die de sectorale baselines BIR, BIG, BIWA en IBI vervangt.

6.2 Informatiebeveiligingsbeleid

De volgende beleidslijnen zijn ontleend aan de Code voor Informatiebeveiliging (NEN/ISO 27002:2007) en de Baseline Informatiebeveiliging Gemeenten:

 

  • 1.

    Alle informatie en informatiesystemen zijn van kritiek en vitaal belang voor de gemeente. De verantwoordelijkheid voor informatiebeveiliging ligt bij het (lijn)¬management, met het college van burgemeester en wethouders als eindverantwoordelijke. De verantwoordelijkheden voor de bescherming van gegevens en voor het uitvoeren van beveiligingsprocedures zijn expliciet gedefinieerd. De gemeente blijft verantwoordelijk voor haar eigen informatievoorziening, ongeacht of document- of informatiesystemen zich intern of extern bevinden.

 

  • 2.

    De gemeente kiest voor een optimale beveiliging van de haar toevertrouwde informatievoorziening en passende maatregelen. Een optimale veiligheid ontstaat door het zorgvuldig afwegen van afhankelijkheid en kwetsbaarheid van gemeente processen en risico’s versus kosten/consequenties van beveiligingsmaatregelen. Hierbij wordt een balans gezocht tussen risico’s en kosten/consequenties van de benodigde beveiligingsmaatregelen.

 

  • 3.

    Door periodieke controle, organisatie brede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening. In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening organisatie breed benaderd. Het plan wordt periodiek bijgesteld op basis van nieuwe ontwikkelingen, registraties in het incidentenregister en bestaande risicoanalyses.

 

  • 4.

    Informatiebeveiliging is een continu verbeterproces. ‘Plan, do, check en act’ vormen samen het management systeem van informatiebeveiliging.

 

  • 5.

    De informatiebeveiligingsfunctionaris/Chief Information Security Officer (CISO) en de Functionaris Gegevensbescherming ondersteunen vanuit een onafhankelijke positie de organisatie bij het bewaken en verhogen van de betrouwbaarheid van de informatievoorziening en rapporteert hierover.

 

  • 6.

    De gemeente stelt de benodigde mensen en middelen beschikbaar om haar eigendommen en werkprocessen te kunnen beveiligen volgens de wijze gesteld in dit beleid.

 

  • 7.

    Regels en verantwoordelijkheden voor het beveiligingsbeleid dienen te worden vastgelegd en vastgesteld door het management. Alle medewerkers van de gemeente worden getraind in het gebruik van beveiligingsprocedures.

 

  • 8.

    Iedere medewerker, zowel vast als tijdelijk, intern of extern is verplicht waar nodig (privacygevoelige) gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht en bij vermeende inbreuken hiervan melding te maken.

7 Bijlage: Relevante documenten en bronnen

 

 

7.1 Intern

  • Algemene Inkoop Voorwaarden, gemeente Heusden

  • GIBIT (Gemeentelijke inkoopvoorwaarden bij IT)

 

7.2 Extern

  • NEN/ISO 27001 (2005) en 27002 (Code voor Informatiebeveiliging) (2007)

  • Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), KING, 2015

  • Strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

  • Tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

  • CBP richtsnoeren ‘beveiliging van persoonsgegevens’, 2013:

  • https://wetten.overheid.nl/BWBR0033572/2013-03-01

  • GEMMA: https://www.vngrealisatie.nl/producten/gemma

8 Bijlage: Relevante documenten en bronnen

8.1 Intern

  • Algemene Inkoop Voorwaarden, gemeente Heusden

  • GIBIT (Gemeentelijke inkoopvoorwaarden bij IT)

8.2 Extern

  • NEN/ISO 27001 (2005) en 27002 (Code voor Informatiebeveiliging) (2007)

  • Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), KING, 2015

  • Strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

  • Tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

  • CBP richtsnoeren ‘beveiliging van persoonsgegevens’, 2013:

  • https://wetten.overheid.nl/BWBR0033572/2013-03-01

  • GEMMA: https://www.vngrealisatie.nl/producten/gemma