Gemeenteblad van Moerdijk
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Moerdijk | Gemeenteblad 2020, 32812 | Beleidsregels |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Moerdijk | Gemeenteblad 2020, 32812 | Beleidsregels |
STRATEGISCH INFORMATIEVEILIGHEIDSBELEID 2019-2023
Gemeente Moerdijk is een krachtige en ondernemende partner voor inwoners en bedrijven. Inwoners en bedrijven moeten er op kunnen vertrouwen, dat hun informatie bij ons in goede handen is. Veel van onze processen zijn afhankelijk van een betrouwbare informatievoorziening en ongestoorde werking van IT. Dat geldt zowel voor primaire processen, als voor ondersteunende processen. Zonder een betrouwbare informatievoorziening kunnen financiële uitgaven niet worden gecontroleerd, worden salarissen niet betaald en is er geen werkende toegangscontrole.
Wat bedoelen we nu precies met informatieveiligheid? We hebben het dan over de volgende betrouwbaarheidsaspecten:
Op deze manier zorgt Informatiebeveiliging voor een betrouwbare informatievoorziening.
De gemeente zet structureel in op het verhogen van Informatieveiligheid en verdere professionalisering van de informatieveiligheidsfunctie in de organisatie. Een betrouwbare informatievoorziening is noodzakelijk voor het goed functioneren van de gemeente. Het is een randvoorwaarde voor een professionele dienstverlening en het vormt de basis voor het beschermen van rechten van burgers, bedrijven en medewerkers. Informatieveiligheid vereist hiermee een integrale aanpak, goed opdrachtgever schap en risicobewustzijn. De gehele organisatie is betrokken bij dit onderwerp, want de informatieveiligheidsketen is net zo sterk als de zwakste schakel.
Het borgen van de continuïteit en betrouwbaarheid van de informatievoorziening. Bewustzijn is hierin essentieel. Informatieveiligheid moet vanuit het primaire proces worden gestuurd, daar waar het eigenaarschap van de informatie ligt.
Informatieveiligheid is geen organisatiedoel op zich. Het gaat uiteindelijk over de bescherming van (vitale) maatschappelijke functies, die afhankelijk zijn van een betrouwbare informatievoorziening. Denk hierbij o.a. aan WMO, jeugdzorg, waterbeheer, registratie van geboorte en overlijden en de openbare orde & veiligheid.
Het informatieveiligheidsbeleid geldt voor alle processen van de gemeente en borgt daarmee de informatievoorziening gedurende de hele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie. Het beperkt zich niet alleen tot de ICT en heeft betrekking op het politieke bestuur, alle medewerkers, burgers, gasten, bezoekers en externe relaties.
Dit Strategisch beleid wordt ondersteund door diverse aanvullende beleidsdocumenten en operationele procesbeschrijvingen.
Dit informatieveiligheidsbeleid dient minimaal één keer per drie jaar te worden beoordeeld en zo nodig bijgesteld. Zodra zich belangrijke wijzigingen voordoen, zal het beleid eerder worden vernieuwd. Jaarlijks wordt een informatieveiligheidsplan uitgewerkt aan de hand van nieuwe ontwikkelingen, incidenten of grote veranderingen in onze omgeving
Uitgangspunten voor Informatieveiligheid
De hieronder genoemde uitgangspunten gelden voor het verder ontwikkelen en inrichten van maatregelen rondom informatieveiligheid. Ze sluiten aan op de kernwaarden van Moerdijk uit het programma “Van Goed naar Beter” (samenwerken, bevlogen, aansprekend en vertrouwd).
Het management is primair verantwoordelijk voor de invoering en handhaving van informatieveiligheid en stelt medewerkers in staat hun verantwoordelijkheid te nemen.
Informatieveiligheid is risicomanagement: naast verplichte maatregelen kunnen we ervoor kiezen maatregelen wel of niet te treffen (risico-afwegingen). We doen dit conform het “Pas toe” of “Leg uit”-principe. 100% veiligheid bestaat niet.
Elk proces, informatiesysteem en gegeven heeft een formele eigenaar op management niveau. De eigenaar bepaalt de waarde van de informatie en is primair verantwoordelijk voor afdoende bescherming van deze informatie.
Met alle partijen waar wij mee samenwerken of taken aan uitbesteden worden afspraken gemaakt over de borging van informatieveiligheid met betrekking tot de onderlinge informatiestromen.
Informatieveiligheid is van ons allemaal
Betrouwbaar omgaan met informatie is een verantwoordelijkheid van alle medewerkers in de hele organisatie.
Beveiliging Incidenten worden altijd gemeld. Incidentregistratie wordt gebruikt om trends te signaleren en dient als input bij de voor het informatieveiligheidsplan. We leren van incidenten.
Maatregelen zijn in balans met de te beschermen waarde van de informatie; dit betekent dat onderzoek gedaan moet worden naar de noodzaak van maatregelen door middel van bijvoorbeeld een risicoanalyse. Risicomanagement is onderdeel van de besluitvorming.
De wettelijke basis voor informatieveiligheid valt af te leiden uit Europese richtlijnen en landelijke wet- en regelgeving.
Basis voor Informatieveiligheid
De Baseline Informatiebeveiliging Overheid (BIO) [Bijlage A]
Informatieveiligheid is een randvoorwaarde voor een professionele gemeente. Ten opzichte van het huidige normenkader, de Baseline Informatieveiligheid Gemeenten (BIG), worden bijna 200 maatregelen geschrapt. Gemeenten krijgen zo meer ruimte om voor hen relevante maatregelen te treffen. De maatregelen uit de BIG, die in de BIO nog wel worden genoemd gelden als verplicht te implementeren ‘control’ binnen de gehele overheid.
Met de BIO wordt informatieveiligheid nog meer dan voorheen een zaak van de bestuurder en het management van de gemeente. De BIO positioneert hen sterker dan voorheen in de rol waarvan hij/zij risico gebaseerd stuurt op het gebied van Informatieveiligheid. Zij zullen hierover met de betrokken Chief Information Security Officer (CISO) afspraken moeten maken. Daarnaast is het cruciaal in de BIO dat de verantwoordelijkheid voor informatieveiligheid wordt belegd bij het lijnmanagement (teamleiders).
De 10 bestuurlijke princ ipes voor informatiebeveiliging [Bijlage B]
Binnen informatieveiligheid is ICT slechts een onderdeel, het gaat in veel gevallen om de mens in de organisatie en de manier waarop deze met risico’s omgaat. Beveiliging van gegevens en systemen is een zaak van organisatie, procedures, werkprocessen en in de laatste plaats techniek. Het gaat om de mens, de manier waarop deze werkt en het gereedschap waarmee het werk verricht wordt.
In aanvulling op eerder genoemde baseline (BIO) zijn door de VNG de principes voor bestuurders vastgesteld. Dit is de bestuurlijke aanvulling op de BIO en helpt de bestuurder om de juiste dingen te doen. De principes gaan vooral over de rol van het bestuur bij het borgen van informatieveiligheid in de gemeentelijke organisatie. Ze ondersteunen de bestuurder bij het uitvoeren van goed risicomanagement. (Grote) incidenten met betrekking tot de informatievoorziening, kunnen directe gevolgen hebben voor inwoners, ondernemers en partners van de gemeente. Daarmee is informatieveiligheid nadrukkelijk een gewenst onderwerp voor op de bestuurstafel.
Dreig ingsbeeld Nederlandse Gemeenten [Bijlage C]
Het dreigingsbeeld Nederlandse Gemeenten 2019-2020 geeft een actueel zicht op incidenten en factoren uit het verleden aangevuld met een verwachting voor het heden en de nabije toekomst. Dit dreigingsbeeld is daarmee het ideale document om focus aan te brengen in het actualiseren van beleid en plan voor informatieveiligheid.
Organisatie, taken en verantwoordelijkheden
Goede onderlinge samenwerking en afstemming, ieder vanuit zijn eigen verantwoordelijkheid, is bepalend voor het succes van informatieveiligheid. De methodiek, die hier het beste bij aansluit, is de “Three Lines of Defense (3LoD)”-methodiek. Deze methode is meer dan alleen een organisatiestructuur en het benoemen van rollen. Het is in een fundamenteel andere manier van (samen)werken) en denken en draagt zodoende bij aan het nemen van verantwoordelijkheid voor het managen van risico’s.
Teamleiders zijn verantwoordelijk voor het gevraagd en ongevraagd rapporteren over Informatieveiligheid aan de respectievelijke de portefeuillehouders. Teamleiders rapporteren daarnaast over de mate waarin zij invulling hebben gegeven aan hun verantwoordelijkheid t.a.v. basisregistraties en informatieveiligheid aan de coördinator ENSIA.
De gemeente verantwoordt zich over Informatieveiligheid middels de ENSIA-systematiek. Dat betekent dat een ENSIA-coördinator is aangewezen. Deze zorgt ervoor dat de informatie, die nodig is voor het beantwoorden van vragen binnen ENSIA wordt opgehaald bij de verantwoordelijke teamleiders. De teamleiders zorgen ervoor dat alle informatie, die nodig is voor het beantwoorden van de jaarlijkse ENSIA-vragenlijsten en de bijbehorende bewijsvoering voor 1 december van het lopende jaar wordt aangeleverd.
De verantwoording over de Informatieveiligheid komt in het jaarverslag tot uitdrukking in de collegeverklaring Informatiebeveiliging. Met deze verklaring geeft het College van B&W aan in hoeverre de gemeente voldoet aan de afspraken die gemaakt zijn voor de ENSIA-verantwoording Informatiebeveiliging. Ook worden de eventuele verbetermaatregelen vermeld die de gemeente gaat treffen. De antwoorden op ge vragen vormen de basis voor het opstellen van de Collegeverklaring.
Middels deze verantwoording wordt het bestuur van de gemeente Moerdijk geïnformeerd. De gemeenteraad wordt geïnformeerd via de portefeuillehouder en in algemene zin via de jaarrekening. De betrokkenheid van het bestuur is essentieel, en laat zien dat de gemeente Moerdijk informatiebeveiliging serieus neemt en het een onderdeel laat zijn van de ambities om informatie van haar inwoners adequaat te beschermen.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/gmb-2020-32812.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.