Beleid informatiebeveiliging Gemeente Velsen 2016

Geldend van 16-02-2016 t/m heden

Intitulé

Beleid informatiebeveiliging Gemeente Velsen 2016

Managementsamenvatting

Informatie is een belangrijk bedrijfsmiddel van de gemeente Velsen. Daarbij heeft Velsen op het gebied van privacy een maatschappelijke verantwoordelijkheid en hecht dus belang aan het beschermen van de privacy van haar burgers. Een hoge betrouwbaarheid van de informatievoorziening zorgt voor een betrouwbare dienstverlening en maakt efficiënt werken mogelijk.

De betrouwbaarheid van de informatievoorziening valt uiteen in drie begrippen: beschikbaarheid, integriteit en vertrouwelijkheid. Informatiebeveiliging is het proces dat er voor zorgt dat de betrouwbaarheid voldoende (d.w.z.: op het afgesproken niveau) is. Door periodieke controle, organisatiebrede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening. In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening organisatiebreed benaderd. Het plan dient jaarlijks te worden aangepast naar aanleiding van nieuwe ontwikkelingen, controles en registraties in het incidentenregister.

Informatiebeveiliging raakt alle onderdelen van de organisatie. Het is daarom nodig verantwoordelijkheden, rollen, taken en bevoegdheden volstrekt helder te hebben.

  • ·

    Het college van Burgemeester en Wethouders is integraal verantwoordelijk voor de beveiliging van informatie binnen de werkprocessen van de gemeente zodat de betrouwbaarheid van de organisatie als verlener van diensten aan de inwoners van Velsen op een hoog peil wordt gehouden. Als zodanig stelt het college het informatiebeveiligingsbeleid vast, delegeert de uitvoering aan de directie en informeert de gemeenteraad over dit thema.

  • ·

    De Directie is verantwoordelijk voor de beveiliging van informatie en bijbehorende sturing. Namens de directie geeft de afdelingsmanager Informatiemanagement op dagelijkse basis invulling aan de sturende rol. De hieruit voortvloeiende taken zijn belegd bij de coördinator informatiebeveiliging (CIB).

  • ·

    Het lijnmanagement van de gemeente is verantwoordelijk voor de integrale beveiliging van de organisatieonderdelen.

  • ·

    De gemeentelijke Service Organisatie (SO) of gelijkwaardig (Informatiemanagement, HR, Algemene zaken (facilitair), etc.) is verantwoordelijk voor uitvoering.

De CIB ondersteunt (onder verantwoordelijkheid van portefeuillehouder en afdelingsmanager Informatiemanagement) de directie en de afdelingsmanagers met kennis over informatiebeveiliging zodat zij hun verantwoordelijkheid voor de betrouwbaarheid van de informatievoorziening juist kunnen invullen én is aanspreekpunt voor medewerkers van de gemeente Velsen over het onderwerp informatiebeveiliging. De CIB zorgt voor de totstandkoming van beleid en plan en coördineert, samen met de Contactpersonen informatiebeveiliging op de afdelingen, de uitvoering van de maatregelen, rapporteert hierover en over incidenten. Concerncontrol voert de periodieke controle uit op de juiste naleving, de werking, de effectiviteit en de kwaliteit van de maatregelen.

Vanuit juridische zaken is een privacyfunctionaris belast met de implicaties die voortvloeien uit de Wbp ofwel op de bescherming van de privacy en persoonsgegevens binnen de gemeente Velsen.

Het inrichten van een systeem voor informatiebeveiliging (Information Security Management System of ISMS) begint met beleid. Dit wordt vertaald naar een informatiebeveiligingsplan met maatregelen om de juiste bescherming van de informatievoorziening tot stand te brengen. De maatregelen worden geprioriteerd en voor uitvoering ingepland. De effectiviteit van de maatregelen wordt vervolgens door controles bepaald. Zo nodig wordt de effectiviteit verbeterd door maatregelen aan te passen. In de loop van de tijd is het misschien nodig om nieuwe maatregelen te treffen als gevolg van ontwikkelingen. De cyclus die hierdoor ontstaat wordt Plan, Do, Check, Act-cyclus (PDCA-cyclus) genoemd.

Het beleid van de gemeente Velsen is gebaseerd op de Baseline Informatiebeveiliging voor Gemeenten (BIG) en deze bestaat uit 2 delen, te weten een strategisch en tactisch deel. De BIG is opgesteld door de informatiebeveiligingsdienst (IBD, onderdeel van KING, opgericht in 2012) en in 2013 vastgesteld door de VNG. Dit naar aanleiding van een aantal ernstige incidenten die zich vanaf 2011 bij de gemeentelijke overheid hebben voorgedaan.

De Strategische Baseline kan gezien worden als een ’kapstok’ waaraan de elementen van informatiebeveiliging opgehangen worden. Centraal staan de organisatie en de verantwoording over informatiebeveiliging binnen de gemeente. Dit deel vinden we terug in het ISMS dat vanuit een PDCA-cyclus grip houdt op het proces.

De Tactische Baseline beschrijft de normen en maatregelen ten behoeve van

controle en risicomanagement. De Tactische Baseline beschrijft aan de hand van

dezelfde indeling als de internationale beveiligingsnorm ISO/IEC 27002:2007, de

controls/maatregelen die als baseline gelden voor de gemeenten. Het is feitelijk het toetsingskader waaraan inhoudelijk moet worden voldaan.

De Tactische Baseline hanteert de volgende indeling:

  • ·

    Beveiligingsbeleid

  • ·

    Organisatie van informatiebeveiliging

  • ·

    Beheer van bedrijfsmiddelen: registratie, voorzien van eigenaar en helderheid verantwoordelijkheid voor beveiliging, gegevensclassificatie.

  • ·

    Beveiliging van personeel: bepalen geschiktheid bij indiensttreding, ontwikkelen risicobewustzijn, ordelijke uitdiensttreding/wijziging van functie.

  • ·

    Fysieke beveiliging: beveiliging van de toegang tot het gebouw en beveiligen specifieke ruimten (serverruimtes, archieven, et cetera).

  • ·

    Beheer van communicatie- en bedieningsprocessen: beveiliging van het beheer en gebruik van ICT-voorzieningen.

  • ·

    Toegangsbeveiliging: beveiliging van de toegang tot informatiesystemen (zoals het inloggen op het gemeentelijke netwerk).

  • ·

    Verwerving, ontwikkeling en onderhoud van informatiesystemen: beveiligingsmaatregelen bij aanschaf en onderhouden van informatiesystemen (besturingssystemen, infrastructuur, bedrijfstoepassingen en gebruikerstoepassingen).

  • ·

    Beheer van incidenten: formele procedure voor het signaleren, analyseren en registreren van beveiligingsincidenten. Tevens crisisbeheersing bij het optreden van ernstige incidenten.

  • ·

    Bedrijfscontinuïteit: tegengaan onderbreking van bedrijfsactiviteiten bij het optreden van grote calamiteiten of rampen waarbij de informatievoorziening betrokken is.

  • ·

    Naleving: voldoen aan wettelijke bepalingen en overige regelgeving.

Niet alle bedrijfsprocessen van de gemeente Velsen zijn van hetzelfde gewicht. Het is goed om de meest kritische processen te benoemen. Voor deze processen dient te worden bepaald of de BIG voldoende bescherming biedt en welke aanvullende maatregelen er eventueel nodig zijn.

De kritische processen van de gemeente Velsen zijn:

  • ·

    Basisregistraties

  • ·

    Belastingen

  • ·

    Dienstverlening Burgerzaken

  • ·

    Dienstverlening Sociaal Domein

  • ·

    Financiële administratie

  • ·

    Openbare orde en veiligheid

  • ·

    Vergunningverlening

Medewerkers van de gemeente Velsen hebben informatie nodig om hun werk te kunnen doen. Een deel van de informatie heeft een sterk vertrouwelijk karakter en mag niet door alle medewerkers worden geraadpleegd. Aan de andere kant is het wel nodig dat de informatievoorziening volledig aansluit bij de taken die de medewerker verricht. Softwareapplicaties die primair gericht zijn op het raadplegen van informatie maken het mogelijk om informatie op maat te ontsluiten.

Informatiebeveiligingsbeleid Gemeente Velsen 2016