Gemeenteblad van Moerdijk

Datum publicatieOrganisatieJaargang en nummerRubriek
MoerdijkGemeenteblad 2020, 32812Beleidsregels



STRATEGISCH INFORMATIEVEILIGHEIDSBELEID 2019-2023

Het college van de gemeente Moerdijk, in zijn vergadering van 6 januari 2020:

 

gelet op artikel 4:81 Algemene wet bestuursrecht, de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ en de Baseline Informatiebeveiliging Overheid ,

 

BESLUIT

 

vast te stellen het :

 

STRATEGISCH INFORMATIEVEILIGHEIDSBELEID 2019-2023

Informatieveiligheid

 

Inleiding

Gemeente Moerdijk is een krachtige en ondernemende partner voor inwoners en bedrijven. Inwoners en bedrijven moeten er op kunnen vertrouwen, dat hun informatie bij ons in goede handen is. Veel van onze processen zijn afhankelijk van een betrouwbare informatievoorziening en ongestoorde werking van IT. Dat geldt zowel voor primaire processen, als voor ondersteunende processen. Zonder een betrouwbare informatievoorziening kunnen financiële uitgaven niet worden gecontroleerd, worden salarissen niet betaald en is er geen werkende toegangscontrole.

Definitie

Wat bedoelen we nu precies met informatieveiligheid? We hebben het dan over de volgende betrouwbaarheidsaspecten:

  • Informatie moet beschikbaar zijn, op het moment dat we het nodig hebben.

  • Informatie is exclusief toegankelijk voor de personen, die dit mogen gebruiken voor het werk.

  • Informatie is integer, wat betekent dat informatie tijdig, juist en volledig is.

Op deze manier zorgt Informatiebeveiliging voor een betrouwbare informatievoorziening.

 

Visie op Informatieveiligheid

De gemeente zet structureel in op het verhogen van Informatieveiligheid en verdere professionalisering van de informatieveiligheidsfunctie in de organisatie. Een betrouwbare informatievoorziening is noodzakelijk voor het goed functioneren van de gemeente. Het is een randvoorwaarde voor een professionele dienstverlening en het vormt de basis voor het beschermen van rechten van burgers, bedrijven en medewerkers. Informatieveiligheid vereist hiermee een integrale aanpak, goed opdrachtgever schap en risicobewustzijn. De gehele organisatie is betrokken bij dit onderwerp, want de informatieveiligheidsketen is net zo sterk als de zwakste schakel.

Doel

Het borgen van de continuïteit en betrouwbaarheid van de informatievoorziening. Bewustzijn is hierin essentieel. Informatieveiligheid moet vanuit het primaire proces worden gestuurd, daar waar het eigenaarschap van de informatie ligt.

Informatieveiligheid is geen organisatiedoel op zich. Het gaat uiteindelijk over de bescherming van (vitale) maatschappelijke functies, die afhankelijk zijn van een betrouwbare informatievoorziening. Denk hierbij o.a. aan WMO, jeugdzorg, waterbeheer, registratie van geboorte en overlijden en de openbare orde & veiligheid.

Scope

Het informatieveiligheidsbeleid geldt voor alle processen van de gemeente en borgt daarmee de informatievoorziening gedurende de hele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie. Het beperkt zich niet alleen tot de ICT en heeft betrekking op het politieke bestuur, alle medewerkers, burgers, gasten, bezoekers en externe relaties.

Dit Strategisch beleid wordt ondersteund door diverse aanvullende beleidsdocumenten en operationele procesbeschrijvingen.

Geldigheid

Dit informatieveiligheidsbeleid dient minimaal één keer per drie jaar te worden beoordeeld en zo nodig bijgesteld. Zodra zich belangrijke wijzigingen voordoen, zal het beleid eerder worden vernieuwd. Jaarlijks wordt een informatieveiligheidsplan uitgewerkt aan de hand van nieuwe ontwikkelingen, incidenten of grote veranderingen in onze omgeving

Uitgangspunten voor Informatieveiligheid

De hieronder genoemde uitgangspunten gelden voor het verder ontwikkelen en inrichten van maatregelen rondom informatieveiligheid. Ze sluiten aan op de kernwaarden van Moerdijk uit het programma “Van Goed naar Beter” (samenwerken, bevlogen, aansprekend en vertrouwd).

Verantwoordelijkheid

Het management is primair verantwoordelijk voor de invoering en handhaving van informatieveiligheid en stelt medewerkers in staat hun verantwoordelijkheid te nemen.

Risicomanagement

Informatieveiligheid is risicomanagement: naast verplichte maatregelen kunnen we ervoor kiezen maatregelen wel of niet te treffen (risico-afwegingen). We doen dit conform het “Pas toe” of “Leg uit”-principe. 100% veiligheid bestaat niet.

Eigenaarschap

Elk proces, informatiesysteem en gegeven heeft een formele eigenaar op management niveau. De eigenaar bepaalt de waarde van de informatie en is primair verantwoordelijk voor afdoende bescherming van deze informatie.

Samenwerking

Met alle partijen waar wij mee samenwerken of taken aan uitbesteden worden afspraken gemaakt over de borging van informatieveiligheid met betrekking tot de onderlinge informatiestromen.

Informatieveiligheid is van ons allemaal

Betrouwbaar omgaan met informatie is een verantwoordelijkheid van alle medewerkers in de hele organisatie.

Incidenten

Beveiliging Incidenten worden altijd gemeld. Incidentregistratie wordt gebruikt om trends te signaleren en dient als input bij de voor het informatieveiligheidsplan. We leren van incidenten.

Balans

Maatregelen zijn in balans met de te beschermen waarde van de informatie; dit betekent dat onderzoek gedaan moet worden naar de noodzaak van maatregelen door middel van bijvoorbeeld een risicoanalyse. Risicomanagement is onderdeel van de besluitvorming.

Grondslag

De wettelijke basis voor informatieveiligheid valt af te leiden uit Europese richtlijnen en landelijke wet- en regelgeving.

Basis voor Informatieveiligheid

De Baseline Informatiebeveiliging Overheid (BIO) [Bijlage A]

Informatieveiligheid is een randvoorwaarde voor een professionele gemeente. Ten opzichte van het huidige normenkader, de Baseline Informatieveiligheid Gemeenten (BIG), worden bijna 200 maatregelen geschrapt. Gemeenten krijgen zo meer ruimte om voor hen relevante maatregelen te treffen. De maatregelen uit de BIG, die in de BIO nog wel worden genoemd gelden als verplicht te implementeren ‘control’ binnen de gehele overheid.

Met de BIO wordt informatieveiligheid nog meer dan voorheen een zaak van de bestuurder en het management van de gemeente. De BIO positioneert hen sterker dan voorheen in de rol waarvan hij/zij risico gebaseerd stuurt op het gebied van Informatieveiligheid. Zij zullen hierover met de betrokken Chief Information Security Officer (CISO) afspraken moeten maken. Daarnaast is het cruciaal in de BIO dat de verantwoordelijkheid voor informatieveiligheid wordt belegd bij het lijnmanagement (teamleiders).

De 10 bestuurlijke princ ipes voor informatiebeveiliging [Bijlage B]

Binnen informatieveiligheid is ICT slechts een onderdeel, het gaat in veel gevallen om de mens in de organisatie en de manier waarop deze met risico’s omgaat. Beveiliging van gegevens en systemen is een zaak van organisatie, procedures, werkprocessen en in de laatste plaats techniek. Het gaat om de mens, de manier waarop deze werkt en het gereedschap waarmee het werk verricht wordt.

In aanvulling op eerder genoemde baseline (BIO) zijn door de VNG de principes voor bestuurders vastgesteld. Dit is de bestuurlijke aanvulling op de BIO en helpt de bestuurder om de juiste dingen te doen. De principes gaan vooral over de rol van het bestuur bij het borgen van informatieveiligheid in de gemeentelijke organisatie. Ze ondersteunen de bestuurder bij het uitvoeren van goed risicomanagement. (Grote) incidenten met betrekking tot de informatievoorziening, kunnen directe gevolgen hebben voor inwoners, ondernemers en partners van de gemeente. Daarmee is informatieveiligheid nadrukkelijk een gewenst onderwerp voor op de bestuurstafel.

Dreig ingsbeeld Nederlandse Gemeenten [Bijlage C]

Het dreigingsbeeld Nederlandse Gemeenten 2019-2020 geeft een actueel zicht op incidenten en factoren uit het verleden aangevuld met een verwachting voor het heden en de nabije toekomst. Dit dreigingsbeeld is daarmee het ideale document om focus aan te brengen in het actualiseren van beleid en plan voor informatieveiligheid.

Organisatie, taken en verantwoordelijkheden

Goede onderlinge samenwerking en afstemming, ieder vanuit zijn eigen verantwoordelijkheid, is bepalend voor het succes van informatieveiligheid. De methodiek, die hier het beste bij aansluit, is de “Three Lines of Defense (3LoD)”-methodiek. Deze methode is meer dan alleen een organisatiestructuur en het benoemen van rollen. Het is in een fundamenteel andere manier van (samen)werken) en denken en draagt zodoende bij aan het nemen van verantwoordelijkheid voor het managen van risico’s.

 

Lijn

Verantwoordelijkheid

Wie

1

Verantwoordelijk voor de uitvoering, de resultaten, naleving van maatregelen en effectieve beheersing van informatieveiligheidsrisico’s met betrekking tot de eigen processen.

Lijnmanagement S-Team

2

Ondersteunt, adviseert, coördineert en bewaakt, onafhankelijk van de eerste lijn, of “de eerste lijn” hun verantwoordelijkheid neemt.

CISO, FG, PO

3

De gang van zaken van een objectief oordeel voorzien over de kwaliteit van de interne beheersing met mogelijkheden tot verbetering.

Auditor Controller Informatieveiligheid

 

 

Controle en Verantwoording

Teamleiders zijn verantwoordelijk voor het gevraagd en ongevraagd rapporteren over Informatieveiligheid aan de respectievelijke de portefeuillehouders. Teamleiders rapporteren daarnaast over de mate waarin zij invulling hebben gegeven aan hun verantwoordelijkheid t.a.v. basisregistraties en informatieveiligheid aan de coördinator ENSIA.

ENSIA

De gemeente verantwoordt zich over Informatieveiligheid middels de ENSIA-systematiek. Dat betekent dat een ENSIA-coördinator is aangewezen. Deze zorgt ervoor dat de informatie, die nodig is voor het beantwoorden van vragen binnen ENSIA wordt opgehaald bij de verantwoordelijke teamleiders. De teamleiders zorgen ervoor dat alle informatie, die nodig is voor het beantwoorden van de jaarlijkse ENSIA-vragenlijsten en de bijbehorende bewijsvoering voor 1 december van het lopende jaar wordt aangeleverd.

De verantwoording over de Informatieveiligheid komt in het jaarverslag tot uitdrukking in de collegeverklaring Informatiebeveiliging. Met deze verklaring geeft het College van B&W aan in hoeverre de gemeente voldoet aan de afspraken die gemaakt zijn voor de ENSIA-verantwoording Informatiebeveiliging. Ook worden de eventuele verbetermaatregelen vermeld die de gemeente gaat treffen. De antwoorden op ge vragen vormen de basis voor het opstellen van de Collegeverklaring.

Middels deze verantwoording wordt het bestuur van de gemeente Moerdijk geïnformeerd. De gemeenteraad wordt geïnformeerd via de portefeuillehouder en in algemene zin via de jaarrekening. De betrokkenheid van het bestuur is essentieel, en laat zien dat de gemeente Moerdijk informatiebeveiliging serieus neemt en het een onderdeel laat zijn van de ambities om informatie van haar inwoners adequaat te beschermen.

Inwerkingtreding

  • 1.

    Deze beleidsregel treedt in werking op de dag na bekendmaking

  • 2.

    De “Notitie Informatiebeveiligingsbeleid gemeente Moerdijk 2018-2020” wordt hiermee ingetrokken.

  • 3.

    Deze beleidsregel wordt aangehaald als: “STRATEGISCH INFORMATIEVEILIGHEIDSBELEID 2019-2023”

 

 

Aldus besloten in de openbare vergadering van het college, gehouden op 6 januari 2020.

De secretaris,

ir. J.C. Slagboom

De burgemeester,

J.P.M. Klijs