HANDREIKING IMPLEMENTATIE ENSIA

Transcriptie

1 HANDREIKING IMPLEMENTATIE ENSIA (M.U.V. DIGID)

2 Datum 8 november 2017 Versie 3 2

3 INHOUDSOPGAVE 1 GEBRUIK VAN DEZE TOELICHTING INLEIDING TOEGANG EN SAMENWERKING TOEGANG VOOR MEDEGEBRUIKERS GEBRUIK VAN EXCELLIJSTEN STRUCTUUR EN OPBOUW VRAGENLIJSTEN DE VRAGEN MIJLPALEN BEANTWOORDEN EN VERANTWOORDEN EXTERNE PARTNERS BEANTWOORDEN COMPLY OR EXPLAIN SCOREN EN ENSIA AUDIT EINDPRODUCTEN ENSIA MATE VAN DIEPGANG BIJ RAPPORTAGES VERSPREIDING VAN INFORMATIE UIT ENSIA Bijlage 1 Overzicht bruikbare documenten BIJLAGE 2 Documentstructuur

4 1 GEBRUIK VAN DEZE TOELICHTING Horizontaal verantwoording afleggen vraagt om de inzet van de gezamenlijk verantwoordelijken en betrokkenen binnen (en voor een deel buiten) de gemeente: de coördinator kan het niet alleen. In dit document wordt ingegaan op deze organisatie van de horizontale en verticale verantwoording Over informatieveiligheid. Het document geeft inzicht in onderliggende structuur van de tooling, vragenlijsten en de wijze van verantwoording naar de toezichthouders. Ook worden aandachtspunten en tips gegeven hoe de verantwoording in samenhang beantwoord kan worden met de interne (en externe) gemeentelijk betrokkenen. In deze toelichting wordt eveneens een overzicht gegeven van de benodigde documenten en producten die de zelfevaluatie ondersteunen, waaronder een overzicht van bruikbare documenten en een overzicht van een documentstructuur.. Overige hulpmiddelen Naast deze algemene toelichting kunt u gebruikmaken van andere hulpmiddelen. Zoals: De Online Leermodule: De website ENSIA: De website voor de ENSIA-vragenlijst: De veelgestelde vragen: De procesbegeleider ENSIA voor uw gemeente. 4

5 2 INLEIDING Doel ENSIA heeft tot doel het ontwikkelen en implementeren van een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid, dat is gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). ENSIA helpt gemeenten om in één keer slim verantwoording af te leggen over informatieveiligheid. De verantwoordingssystematiek over de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur uitvoeringsorganisatie Werk en Inkomen (SUWInet) is samengevoegd en gestroomlijnd. Uitgangspunt is de horizontale verantwoording aan de gemeenteraad. De horizontale verantwoording vormt de basis voor de verticale verantwoording aan de toezichthouders die een rol hebben in het toezicht op informatieveiligheid. Bij het afleggen van verantwoording wordt het principe van single information single audit toegepast. Voor wie is deze handleiding? Dit document is hoofdzakelijk bedoeld voor de ENSIA-coördinator. 5

6 3 TOEGANG EN SAMENWERKING De ENSIA-coördinatoren hebben voor 1 juli 2017 inloggegevens ontvangen om in te loggen op ENSIA via ENSIA onderscheidt twee soorten toegangsrollen : Coördinator ENSIA: is verantwoordelijk voor het intern organiseren van ENSIA. Dat betekent het tijdig uitzetten en inleveren van de vragenlijsten, het generen van rapportages en het uploaden van verantwoordingsdocumenten. Ook is de coördinator de beheerder van de gebruikers in de tool. Gebruiker: helpt de coördinator bij het invullen van de vragenlijsten en het verzamelen van gegevens. De coördinator ENSIA wijst gebruikers aan en geeft toegang tot de tool. Toegang verlenen aan interne (domein) specialisten ligt voor de hand. Gemeenten die participeren in samenwerkingsverbanden, of taken uitbesteden aan één of meerdere samenwerkingsverbanden, maken zelf afspraken over de manier waarop een samenwerkingsverband antwoorden geeft op de ENSIA-vragenlijst. De coördinator kan ook medewerkers van andere organisaties toegang verlenen tot de tool, bijvoorbeeld medewerkers van een ICT-ondersteuningsorganisatie of een ISD. Naast de toegangsrollen zijn er excellijsten beschikbaar vanuit ENSIA waarmee de beantwoording van de vragen eveneens gefaciliteerd kan worden. De opties worden hieronder toegelicht. 3.1 TOEGANG VOOR MEDEGEBRUIKERS Om overzicht te houden als coördinator is het bij toegangverlening handig om afspraken te maken met medegebruikers over: - De wijze waarop gebruikgemaakt wordt van het veld antwoord. - De wijze waarop gebruikgemaakt wordt van het veld opmerking bij de toelichting. o Verwijzing naar onderliggende evidence of documentatie. o (Project-)locatie voor onderliggende evidence of documentatie. - De wijze waarop gebruikgemaakt wordt van de toelichting die gebruikt wordt voor de REauditor. - De wijze waarop het eindantwoord geformuleerd wordt voor de rapportage. - Benoemen van de eindverantwoordelijke voor het gewogen eindantwoord voor de horizontale verantwoording. Praktische tip: Bespreek de wijze waarop wordt omgegaan met vulling van de ENSIA tool bij de kick-off bijeenkomst, monitor dit gedurende het project en agendeer dit bij projectbesprekingen. 6

7 3.2 GEBRUIK VAN EXCELLIJSTEN In de ENSIA-tool zijn verschillende mogelijkheden om Excel lijsten uit te draaien. De Excellijsten kunnen gebruikt worden voor de volgende doeleinden: 1. Beschikbaar stellen van een set van vragen aan (domein)betrokkenen. 2. Om in te laten vullen door samenwerkingsverband voor hergebruik door meerdere gemeenten. 3. Monitoren voortgang gedurende het project. 4. Importeren in ISMS-systeem (indien van toepassing). Een totaal overzicht van alle vragen (inclusief de subvragen) zijn beschikbaar van de BIG-brede zelfevaluatie, alsook voor de DigiD-zelfevaluatie. Voor een overzicht van de gegeven antwoorden in de tool en beschrijvingen in het veld opmerking is voor elke vragenlijst een export van een compacte versie en een export van een uitgebreide versie beschikbaar Totale vragenlijsten informatiebeveiliging BIG en DigiD De twee totale vragenlijsten bevatten alle vragen, subvragen, mogelijke antwoordcategorieën en toelichting. De twee totaallijsten staan los van de beantwoording ENSIA: de beantwoording van de vragen in ENSIA worden niet opgenomen in deze lijsten. De beide totaalvragenlijsten kunnen gebruikt worden om selecties te maken (met de filter-functionaliteit). De selectie van vragen kan gefilterd worden naar domeinen en afdelingen Suwinet, Audit, BRP, BAG, Facilitair, HRM en Inkoop. Op deze wijze kunnen de vragen aan de juiste betrokkenen ter beschikking worden gesteld. Binnen de projectimplementatie zal afgestemd dienen te worden hoe de antwoorden op de uitgezette vragen in ENSIA verwerkt worden. Praktische tip: Samenwerkingsverband? Stem met gemeentelijke ENSIAcoördinatoren af welke vragen van toepassing zijn voor dienstverlening die is belegd bij het betreffende samenwerkingsverband. Zij zullen elke gemeente voorzien van informatie. Dit kan ook middels een TPM. 7

8 Importeren in ISMS-systeem De totale vragenlijsten Vragenlijst informatiebeveiliging BIG en de Vragenlijst zelfevaluatie DigiD assessment zijn de vragenlijsten die het meest geschikt zijn om te importeren in een ISMSsysteem. Het is op dit moment helaas niet mogelijk om de beantwoording die opgesteld wordt in het ISMS te importeren in ENSIA, dit dient handmatig te gebeuren Exportmogelijkheden gedurende implementatie De exportlijsten (zowel compact als uitgebreid) zijn gelinkt aan de status van invullen van de vragenlijst. In de exportlijsten zijn de antwoorden en de gevulde tekst in het veld opmerking opgenomen. Met deze functionaliteit kunt u gedurende het vullen van de vragenlijst snel een overzicht maken. De compacte lijst toont de vraag met het ingegeven antwoord en de toelichting/opmerking. In de export van de uitgebreide versie is onder andere ook logging opgenomen, zodat is te zien welke persoon als laatste een veld heeft bewerkt. De opmerkingen voor de RE-auditor kunnen in de ENSIA-tool aangegeven worden. Deze zijn niet met één druk op de knop te filteren. Een oplossing is om in de volledige excellijst BIG zelfevaluatie de vragen te filteren die betrekking hebben op de audit (m.b.t. SUWInet). Vervolgens kun je aan de hand van de gefilterde vraagnummers de selectie van antwoorden voor de REauditor uit de compacte of de uitgebreide lijst selecteren. 1. Opmerkingen gaan niet mee in de upload naar de stelselhouders 2. Opmerkingen worden getoond in de export van compacte en uitgebreide excels 3. Opmerkingen voor IT-auditor zijn niet automatisch te filteren. 8

9 4 STRUCTUUR EN OPBOUW VRAGENLIJSTEN In dit hoofdstuk wordt ingegaan op de onderliggende structuur en opbouw van de verschillende vragenlijsten BIG en DigiD. Hierbij wordt een toelichting gegeven op de mijlpaaldata 1 oktober en 31 december In de ENSIA-tool staan in de middenkolom In te vullen gegevens alle vragen gerubriceerd per categorie. Deze zijn gebaseerd op de hoofdstukken uit de Baseline Informatieveiligheid Nederlandse Gemeenten (BIG). Door op de blauwe links te drukken ontvouwen zich de vragen. Per rubriek wordt bijgehouden welk percentage is ingevuld. In de linkerkolom zijn links opgenomen die direct navigeren naar de vragensets van specifieke stelsels als afdelingen. Toewijzing van de vragen kan per BIG-hoofdstuk via de beheermodule van de ENSIA-coördinator aan verantwoordelijke functionarissen. Let wel: een selectie in het linkermenu sluit niet uit dat de vraag betrekking heeft op meerdere stelsels en/of specialisaties. Bij het aanklikken van een vraag ontvouwt ook het veld toelichting. In de toelichting staan de normen uit de BIG genoemd en is een verwijzing naar de verschillende normenkaders opgenomen. Hiernaast is het mogelijk om bij de toelichting een opmerking te plaatsen. Via de optie 'Kies een andere lijst komt u in het keuzemenu voor het invullen van de zelfevaluatie BIG of DigiD en de opties om de verantwoording DigiD en verantwoording Suwinet 2017 te uploaden. 4.1 DE VRAGEN Alle BIG-normen zijn opgenomen in ENSIA en in 261 vragen gevat. De formulering van een control in de BIG is soms breed en omvat meerdere vragen. Voor ENSIA zijn vragen enkelvoudig geformuleerd en wordt een hoofdvraag waar nodig aangevuld met subvragen. Er is een scheiding aangebracht in de verantwoording op basis van de BIG en de DigiD-verantwoording (per aansluiting). De ENSIA-vragenlijst heeft betrekking op de opzet en het bestaan van normen en maatregelen. Er worden geen vragen gesteld over de werking van procedures en maatregelen. De werking zal op termijn wel in worden geplaatst. Voor het taalgebruik bij de vraagstelling is aangesloten bij de vraagstelling zoals deze in de BIG wordt gebruikt BIG & SUWINET & IT-AUDIT (RE) Álle BIG-normen zijn opgenomen in ENSIA. Deze zijn omgezet naar in totaal 261 vragen in de vragenlijst BIG zelfevaluatie inensia. Een aantal vragen is in subvragen uitgesplitst om deze eenduidig te kunnen beantwoorden (ja/nee). Het nieuwe normenkader SUWInet is in zijn geheel ondergebracht in ENSIA (en daarmee binnen de BIG). Vanuit het totale Suwinet normenkader zijn 13 normen relevant voor de IT audit. De 13 auditnormen komen terug in 36 vragen in ENSIA. Zoals eerder aangegeven is voor de formulering van de vragen de BIG als grondlaag gebruikt. De te auditen 36 vragen zijn vanuit de totaalexcelvragenlijst te selecteren. Let wel: ook deze vragen raken aan andere domeinen en specialisaties en dienen gemeentebreed beantwoord te worden BRP/PUN Per 1 oktober 2017 is de nieuwe Paspoortuitvoeringsregeling van kracht gegaan. Voor 2017 gold nog dat de 86 informatiebeveiligingsvragen voor 1 oktober beantwoord dienden te worden. Alle 9

10 gemeenten hebben deze vragen via ENSIA tijdig beantwoord. In 2017 is de selectie van de 86 ENSIA-antwoorden automatisch doorgezet naar het ministerie van BZK. De uitkomsten van de vragen over informatieveiligheid ENSIA zijn door RvIG in de Kwaliteitsmonitor samengevoegd, zodat een compleet beeld geschetst wordt van de beveiliging en de processen in de managementrapportages en uittreksels. Voor 2018 geldt voor alle domeinen in het ENSIAverantwoordingsstelsel de inleverdatum van 31 december BAG/BGT Voor de verantwoording BAG/BGT zijn in de BIG zelfevaluatie drie vragen opgenomen. De vragen die opgenomen zijn hebben betrekking op informatiebeveiliging en worden gedeeld met meerdere domeinen. De drie vragen in ENSIA dienen gemeente breed ofwel horizontaal beantwoord te worden. De vragen die (ook) betrekking hebben op de BAG/BGT zijn een relatief lichte toetsing. De vragen hebben geen betrekking op personen en gaan gaan over back-up en continuïteitsplannen (uitwijk). Per 2 oktober zijn twee domeinspecifieke vragenlijsten (voor BAG en voor BGT) opgenomen. De domeinspecifieke vragenlijsten zijn opgesteld door gemeenten in samenwerking met het ministerie van I&M en VNG. Zie ook: I&M heeft BAG medewerkers g d om hen over de vragenlijst en bijbehorende documentatie te informeren. De zelfevaluatie BAG/BGT in ENSIA vervangt de inspectie. De vragelijst kent voor 2017 geen verplichting. De antwoorden kunnen gebruikt worden voor de horizontale verantwoording. Maakt u gebruik van de zelfevaluatie, rond deze dan ook af voor 31 december DigiD Voor de beantwoording van de DigiD-vragen is een separate handreiking beschikbaar. Deze kunt u vinden op de website kinggemeenten.nl/ensia. 4.2 MIJLPALEN Met betrekking tot de doorlooptijd voor beantwoording van de vragen zijn twee mijlpalen belangrijk: 1 oktober en 31 december Op 1 oktober 2017 is het relevante deel van de antwoorden op de informatiebeveiligingsvragen die (ook) betrekking hebben op de BRP/PUN automatisch verzonden naar het ministerie van BZK. Deze datum gold omdat op dat moment wetgeving nog niet in werking was getreden. Let wel: de antwoorden van deze 1 oktober -vragen hebben niet alleen betrekking op BRP/PUN. Deze vragen dienen gemeentebreed beantwoord te worden, de basis is de BIG. Na de automatische verzending op 1 oktober naar het ministerie van BZK is de vragenlijst weer opengesteld. De antwoorden kunnen richting de mijlpaal van 31 december nog worden aangepast. De uitvoering van verbeteringen voor informatiebeveiliging is immers een continu proces! Gemeenten zijn verplicht om alle vragen in te vullen en uiterlijk 31 december 2017 in te leveren met ENSIA. Hierna volgt het verantwoordingsproces om uiterlijk 1 mei 2018 alle gegevens te uploaden naar de horizontale toezichthouders, waarna uiterlijk 1 juli 2018 het jaarverslag van de 10

11 gemeente (inclusief de paragraaf over informatieveiligheid) wordt verzonden naar het Ministerie van BZK. 11

12 5 BEANTWOORDEN EN VERANTWOORDEN ENSIA geeft vanuit de horizontale verantwoording een beeld van de status rondom informatiebeveiliging. In ENSIA zijn, met als grondlaag de BIG, de stelsels van BRP, PUN, BAG, BGT, en SUWInet opgenomen. Ook voedt ENSIA de twee verticale en wettelijk verplichte verantwoordingen: Suwinet en DigiD. In dit hoofdstuk worden handreikingen gegeven die ondersteunen bij het inhoudelijk en organisatorisch proces van de beantwoording van de vragen. En vanuit de antwoorden op de vragen uit ENSIA vervolgens de verantwoording te organiseren. 5.1 EXTERNE PARTNERS De gemeente is en blijft verantwoordelijk, ook als de uitvoering van taken is uitbesteed en/of gemandateerd. De organisatie is dan afhankelijk van (externe) platforms of samenwerkingsverbanden voor wat betreft de informatiebeveiliging. Zorg ervoor dat hiervoor concrete maatregelen worden opgenomen in de contracten en overeenkomsten. Ook in de SLA. Bijvoorbeeld het maandelijks rapporteren van gegevensuitwisseling, gegevensverwerking, beveiligingsincidenten, etc. De gemeente spreekt met dienstverleners (afhankelijk van hoe de dienstverlening is vormgegeven) af hoe zij de informatie ontvangt die relevant is voor de ENSIAzelfevaluatie en verantwoording. Voor meer informatie is een handreiking samenwerkingsverbanden beschikbaar op kinggemeenten.nl/ensia. 5.2 BEANTWOORDEN Afgelopen jaren zijn dezelfde vragen vanuit verschillende invalshoeken c.q. domeinen ingevuld voor de verantwoording op de verschillende stelsels. Door harmonisatie van het normenkader zijn nu normen op meerdere stelsels van toepassing. Dit betekent dat alle afdelingen en/of samenwerkingspartners moeten voldoen aan de normen, procedures en maatregelen van de BIG. Aan de hand van ENSIA wordt dit gemeentebreed getoetst. Door de normen, procedures en het toepassen van maatregelen onderling te bespreken, vast te leggen en te verantwoorden, wordt invulling gegeven aan een gemeentebrede en horizontale wijze van verantwoorden. In de praktijk kan dit betekenen dat een norm in het ene domein anders is uitgewerkt dan in het andere domein. Het is aan de gemeente om in onderling overleg te bepalen wat het gemeenschappelijke antwoord is. De online leeromgeving biedt met de praktijkopdracht continu verbeteren een handreiking voor de aanpak. De ENSIA-coördinatoren hebben hiervoor inloggegevens ontvangen. 5.3 COMPLY OR EXPLAIN Alle vragen kunnen worden beantwoord met ja of nee door middel van bullets of ticketboxen (aan en/of uit vinken). Antwoorden die van toepassing zijn op een audit (DigiD en Suwinet) kunnen getoetst worden om de assurance op de collegeverklaring te onderbouwen en worden verzonden naar de verticale toezichthouders. De overige antwoorden uit ENSIA worden hiervoor niet gebruikt. In ENSIA wordt uitgegaan vanuit het principe comply or explain bij de onderbouwing van de antwoorden. Dit wil zeggen dat in principe aan het uitgangspunt wordt voldaan. Indien de gemeente niet aan het uitgangspunt voldoet, dan geeft de gemeente toelichting waarom een 12

13 procedure of maatregel niet wordt gevolgd en op welke wijze de gemeente wel invulling geeft aan de betreffende norm of vereiste. De onderbouwing wordt ondersteund met benodigde documentatie. In de toelichting bij de vragen is telkens de relevante documentatie benoemd. In bijlage 1 van dit document is een overzicht opgenomen van de benodigde documentatie behorende bij de vragen. Het op een gestructureerde wijze van verzamelen, ordenen en archiveren van documenten is relevant voor : 1. De beschikbaarheid van documentatie voor eigen oordeelsvorming. 2. Het (efficiënt) kunnen beantwoorden van aanvullende vragen vanuit eigen organisatie. 3. De ondersteuning van het auditproces voor verkrijgen van assurance op de collegeverklaring Het is mogelijk om in de ENSIA-tool verwijzingen (met links) op te nemen in het opmerkingenveld. Dit is geen verplichting. Het verdient aanbeveling om binnen het implementatieproject een heldere structuur voor documentatie op te zetten die voor betrokkenen transparant en toegankelijk is. Een voorbeeld van een documentstructuur is opgenomen in bijlage SCOREN EN ENSIA Het beantwoorden van de ENSIA zelfevaluatie leidt niet tot een score. Er wordt hoogstens wel of niet voldaan aan de BIG normen. De uitkomsten zijn een indicatie van het voldoen aan de normen. Je kunt niet 100% scoren. Dat is niet reëel. Het gaat erom dat je als gemeente continu aan de slag bent met verbeterplannen voor de informatieveiligheid Scoren met BRP/PUN In de aanloop naar de implementatie zijn veel vragen gesteld over hoe omgegaan wordt met de score voor de BRP/PUN. Eerder kon de score direct afgeleid worden vanuit de verantwoording in de kwaliteitsmonitor. Nu de informatiebeveiligingsvragen zijn overgeheveld naar ENSIA én deze vragen ook geharmoniseerd zijn met andere stelsels is vanuit de verantwoording geen direct rapportcijfer meer af te leiden. Dit is in lijn met het ENSIA-gedachtengoed waarbij de gemeenteraad het controlerend orgaan is en informatiebeveiliging een proces is van continu verbeteren. RvIG heeft in 2017 de antwoorden uit ENSIA overgenomen en opgenomen in de kwaliteitsmonitor. Op basis van deze antwoorden kent RvIG een score toe aan de managementrapportages die gedraaid kunnen worden uit de kwaliteitsmonitor. Dit is een proces dat buiten ENSIA is vormgegeven. Voor vragen over deze puntentoekenning kunt u terecht bij RvIG Scoren met BAG en BGT In 2018 wordt de zelfevaluatie BAG en BGT formeel ingevoerd. Met ingang van de nieuwe wetgeving gaat de domeinspecifieke zelfcontrole of evaluatie de huidige inspectie vervangen. Per 2 oktober 2017 zijn de domeinspecifieke vragenlijsten voor deze twee stelsels beschikbaar gesteld in ENSIA. De antwoorden op de vragen kunt u eveneens gebruiken voor de horizontale verantwoording. Na beantwoording van de vragen in de specifieke vragenlijsten kunt u een rapportage downloaden (zie site Ministerie I&M voor model-verantwoordingsrapportage) en 13

14 aanvullen. Hierna laat u deze rapporten vaststellen door het college van B&W. Hierna wordt deze aangeboden aan de gemeenteraad. De vastgestelde verantwoordingsrapportage kunt u vervolgens uiterlijk 1 mei 2018 in ENSIA uploaden voor de verantwoording aan I&M. Voor 2017 betreft dit nog geen verplichting. Heeft u inhoudelijke vragen over puntentellingen, het proces van verantwoording en de vragenlijsten, dan kunt u contact opnemen met: baginspecties@minienm.nl of Alex van de Ven onder

15 6 AUDIT Met de invoering van ENSIA is het mogelijk om op één moment (31 december van elk jaar) een gemeente breed (horizontaal) beeld over haar informatiebeveiliging op te stellen. Dit betreft een zelfevaluatie. Met de paragraaf informatieveiligheid legt het college van B&W aan haar eigen controlerend orgaan, de gemeenteraad, verantwoording af over informatieveiligheid. De collegeverklaring wordt gebruikt ter ondersteuning van de verticale verantwoording. Het object van onderzoek is daarmee niet langer het normenkader van DigiD (noch SUWInet), maar de collegeverklaring (die betrekking heeft op informatieveiligheid voor Suwinet (selectie vragen) en DigiD). De rol van de auditor is nu om vast te stellen of deze collegeverklaring een waarheidsgetrouw beeld geeft (verlenen van assurance). De diepgang van de audit wordt door de auditer bepaald aan hand van een risicoanalyse op de opgestelde collegeverklaring. De auditor bepaalt op basis van een risico analyse welke werkzaamheden nodig zijn om tot zijn oordeel te komen en assurance (bevestigen dat iets waar is) te verlenen. Er is geen sprake (meer) van directe auditing op DigiD. In de formats die beschikbaar zijn, is deze lijn van verantwoording duidelijk terug te vinden. In de collegeverklaring verklaart het college van B&W of de gemeente op 31 december 2017 in opzet (inrichting en beschrijving) en bestaan (implementatie) te voldoen aan de beheersingsmaatregelen die nodig zijn voor de informatieveiligheid (in 2017 over Suwinet en DigiD). 15

16 7 EINDPRODUCTEN ENSIA Het project ENSIA heeft na afronding minimaal de volgende producten opgeleverd binnen de gemeente: - 100% gevulde vragenlijst in ENSIA-tool: o ENSIA-zelfevaluatie - Informatiebeveiliging BIG o ENSIA-zelfevaluatie DigiD assessment 2017 (indien van toepassing). - Rapportage met toelichting volgens het principe comply or explain. Dit document levert input voor de collegeverklaring en de paragraaf Informatieveiligheid in het jaarverslag. De rapportage gebruikt u voor het opstellen van de zelfevaluatie en levert input voor het verbeterplan. - Verantwoordingsdocumenten DigiD 2017 (indien van toepassing): o Rapportage DigiD met: Gevulde Bijlage B (object van onderzoek). Gevulde Bijlage C (evaluatie op normniveau). o TPM( s). o Collegeverklaring + bijlage DigiD - Verantwoordingsdocumenten Suwinet 2017: o Assurancerapport RE-Auditor. o Collegeverklaring + bijlage SUWI (nog te ontwikkelen). - Vastgestelde paragraaf verantwoording informatieveiligheid ten behoeve van jaarverslag. In het format plan van aanpak is een meer gedetailleerde opsomming van projectactiviteiten en producten per fase opgenomen. 7.1 MATE VAN DIEPGANG BIJ RAPPORTAGES Het is vanzelfsprekend dat voor de verschillende niveaus van verslaglegging kritisch gekeken wordt wie toegang heeft tot de informatie over de (informatie)beveiliging. De zelfevaluatie en de op te stellen rapportage heeft de meeste diepgang en detail. Naarmate de informatie een meer openbaar karakter krijgt zal de mate van inzicht in de informatiebeveiliging en op welke wijze deze georganiseerd is, minder expliciet beschreven zijn. Er is een FAQ beschikbaar in welke mate de gemeente ook in het kader van de WOB geacht wordt informatie vrij te geven Horizontale verantwoording De hieronder genoemde producten/documenten ondersteunen de horizontale verantwoording. Paragraaf Informatiebeveiliging In de paragraaf informatiebeveiliging wordt verslaglegging gedaan van het kwalitatieve niveau van informatiebeveiliging. De paragraaf informatiebeveiliging maakt onderdeel uit van bedrijfsvoering en wordt verantwoord aan de gemeenteraad. Op deze wijze komt de horizontale verantwoording tot stand omdat de gemeenteraad in staat wordt gesteld om te sturen op het kwaliteitsniveau van de informatieveiligheid. 16

17 Aanvullende rapportage informatieveiligheid De gemeente kan kiezen om een separate rapportage op het gebied van informatiebeveiliging op te stellen en op deze wijze de raad, aanvullend op de paragraaf bedrijfsvoering in het jaarverslag, te informeren. In deze rapportage is er meer ruimte voor onderbouwing, nuances of uitwerking. Deze transparantie stelt de gemeenteraad in staat om gerichter te sturen op het niveau van informatiebeveiliging en/of de benodigde maatregelen. Ook houdt een separate rapportage het vraagstuk informatiebeveiliging buiten de financiële verantwoording van de jaarrekening. Jaarplan(nen) De ENSIA-vragenlijst wordt ieder jaar door de gemeente ingevuld. Hieruit valt op te maken wat de status is van het beveiligingsniveau van de gemeente. Aan de hand van de uitkomsten kan een gemeente een jaarplan opstellen voor de verbetering van het beveiligingsniveau voor het komende jaar. Hierdoor zijn gemeenten in staat om te werken aan een continu proces van verbeteringen op het gebied van informatieveiligheid (PDCA cyclus). Het verdient aanbeveling om dit niet te beperken tot de CISO of de aan informatieveiligheid gerelateerde functionarissen. Een werkgroep informatiebeveiliging, waaraan ook proces- en/of domeineigenaren deelnemen, verdient de voorkeur. Hierdoor wordt informatieveiligheid een integraal en gedragen thema binnen de gemeente Verticale verantwoording Naast de relevante antwoorden welke uit ENSIA worden aangeleverd aan de verticale toezichthouders, wordende volgende documenten aanvullend geupload ter onderbouwing van de verticale verantwoording: Collegeverklaring In de Collegeverklaring verklaart het college van B&W aan de gemeenteraad dat de gemeente voldoet, en in welke mate, aan de normen en maatregelen van de BIG betrekking hebbende op de antwoorden uit ENSIA voor bestaande DigiD aansluitingen en de IT audit gerelateerde SUWI vragen. Assurancerapport In het Assurancerapport verklaart een auditor dat de desbetreffende gemeente de vragenlijst van ENSIA naar eer en geweten heeft ingevuld. En dat de collegeverklaring een betrouwbaar beeld geeft van de werkelijkheid voor wat betreft de antwoorden op de DigiD vragen en de IT audit gerelateerde SUWInet vragen uit ENSIA. Rapportages DigiD Na inleveren van de DigiD zelfevaluatie kunt u de DigiD rapportage met bijlage B en bijlage C downladen en aanvullen. Hierna kunt u deze uploaden met de Collegeverklaring, de assuranceverklaring en de afgegeven TPM s van uw leverancier(s). Rapportages BAG en BGT De format rapportages BAG en BGT zijn beschikbaar via de site Vanuit ENSIA kunt u een rapport downloaden. Alleen de gegevens vanuit de zelfcontrole worden opgenomen in de rapportages. De (dit jaar 3) vragen over informatieveiligheid worden niet 17

18 opgenomen in deze te genereren rapportage. Deze formats kunt u aanvullen en laten vaststellen. De vastgestelde rapportage kunt u voor 1 mei voor I&M uploaden via ENSIA. In het onderstaande overzicht zijn de benodigde documenten opgenomen die u upload voor de verticale verantwoording: Documenten DigiD SUWInet BAG BGT 1 Collegeverklaring X X Bijlage bij Collegeverkaring betreffende SUWInet (in ontwikkeling) X 1 Assurancerapport X X Rapportage DigiD, inclusief Bijlage B (object van onderzoek) en Bijlage X C (evaluatie op normniveau) TPM( s) (indien van toepassing) X Rapportage BAG Rapportage BGT X X 18

19 8 VERSPREIDING VAN INFORMATIE UIT ENSIA Na het het inleveren van de antwoorden op de vragenlijsten (middels de button inleveren in ENSIA op 31 december), wordt de informatie automatisch naar de betreffende toezichthouders gestuurd. De toezichthouder krijgen alleen de antwoorden op de vragen (ruwe data) die voor hem/haar van toepassing is. Met het uploaden van de benodigde documenten (waaronder collegeverklaring en assurance rapport) voor 1 mei 2018 is de verantwoording voor de verticale toezichthouders compleet. In onderstaande tabel wordt het volgende overzicht gegeven: - Wie is toezichthouder? - Wat krijgt de toezichthouder? - Wat is het inlevermoment? - Op welk moment krijgt de toezichthouder dit? - Hoe lever je in? - Hoe wordt de stelselhouder geïnformeerd? - Welke acties moet de stelselhouder uitvoeren? Alle antwoorden op de vragenlijsten en verantwoordingsdocumentatie wordt opgeleverd via de tooling. Wat gebeurt er nog in het verantwoordingsproces naast de tooling? 1. BRP/PUN: opleverdatum in 2017 voor 1 oktober. De gegevens uit ENSIA zijn samengevoegd met de inhoudelijke gegevens uit de kwaliteitsmonitor om hierna de management rapportages te kunnen genereren. Zie 2. DigiD: als na uploaden van de documenten blijkt dat de gemeente voldoet aan de normen, dan is het verantwoordingsproces afgerond. Als de gemeente niet voldoet, dan verloopt het verbeterproces en de communicatie over dit proces buiten de tooling om (zie handreiking DigiD en ENSIA), direct via Logius. Krijgen alleen signaal als alle vragen zijn beantwoord op uterlijk SUWInet: BKWI informeert het Ministerie SZW over de resultaten van de verantwoording uit ENSIA. 4. BAG/BGT: het Ministerie van I&M ontvangt de geuploade rapportages. 19

20 Wat Inlevermoment Hoe inleveren Informeren stelselhouder BRP - Ruwe data Vóór 1 okt Inleveren vragenlijst via tooling PUN - Ruwe data Vóór 1 okt Inleveren vragenlijst via tooling Na inlevering wordt de ruwe data rapportage klaargezet door ICTU en TOTTA. Dan volgt actieve attendering richting de toezichthouder. Na inlevering wordt de ruwe data rapportage klaargezet door ICTU en TOTTA. Dan volgt actieve attendering richting de toezichthouder. Actie stelselhouder Na inleveren geconsolideerde vragenlijst vóór of op 30 september uur staat de ruwe data rapportage klaar op 1 oktober. (Ivm zondagdatum is dit in 2017 op 2 oktober). Vanaf dit moment staat de info permanent ter beschikking van RvIG en kan er op geacteerd worden. Na 1 oktober kan de vragenlijst weer open worden gesteld voor horizontale verantwoording per 31 december. Na inleveren geconsolideerde vragenlijst vóór of op 30 september uur staat de ruwe data rapportage klaar op 1 oktober. (Ivm zondagdatum is dit in 2017 op 2 oktober). Vanaf dit moment staat de info permanent ter beschikking van RvIG en kan er op geacteerd worden. Na 1 oktober kan de vragenlijst weer open worden gesteld voor horizontale verantwoording per 31 december. Opmerking De gegevens van gemeenten die op of na 1 oktober worden aangeleverd aanleveren worden niet meer geupload richting RvIG. De gegevens van gemeenten die op of na 1 oktober worden aangeleverd aanleveren worden niet meer geupload richting RvIG. 20

21 Wat Inlevermoment Hoe inleveren Informeren stelselhouder DigiD - Assurance rapport - Collegeverklaring - Bijlage bij de Collegeverklaring voor DigiD (ingevulde formats Bijlage B + C) - TPM's Suwinet - Ruwe data (vragen en antwoorden zelfevaluatie) - Inleveren vragenlijst DigID Assessment en TPM's vóór of op 31 december - Inleveren totale pakket inclusief Assurance rapport tussen 1 januari en 1 mei Tussen 1 januari en 1 mei Inleveren Collegeverklaring, Assurance rapport, Bijlage bij de Collegeverklaring voor DigiD (Bijlage B + C), TPM's (uploaden documenten via de tooling) Inleveren vragenlijst via tooling vervolgens haalt BKWI dataexport op via tooling Actieve attendering vindt plaats na éénmalig inleveren volledige pakket: - Collegeverklaring - Assurancerapport - Bijlage bij de collegeverklaring voor DigiD (Bijlage B+C) - TPM's Actieve attendering op moment ruwe data rapportage gereed Actie stelselhouder Inleveren geconsolideerde vragenlijst vóór of op 31 december uur. Deze vragenlijst vormt input voor: - Inleveren getekende Collegeverklaring, Bijlage bij de collegeverklaring voor DigiD (Bijlage B+C), Assurancerapport en TPM's in de periode ingaand op 1 januari en eindigend vóór of op 30 april uur. Vanaf dat moment staat de info permanent ter beschikking van Logius en kan er op geacteerd worden. Na inleveren van de vragenlijst vóór of op 31 december uur kan BKWI de ruwe dataexport ophalen. Opmerking Logius wil de informatie betreffende Digid in één keer ontvangen, het is niet zinvol om eerder bestanden te uploaden dan op het moment dat alle documenten compleet zijn. - Logius heeft aangegeven dat gemeenten de bevestigingsmail van het inleveren van de documentatie goed moeten bewaren (bewijs). SZW gaat ervan uit dat de zelfevaluatie conform het afgesproken tijdpad per 31 december is ingevuld om in jan-april de Collegeverklaring op te stellen en de IT-audit uit te voeren. BKWI wil de informatie betreffende Suwinet in één keer ontvangen. (tegelijk met Assurancerapport, Collegeverklaring en Bijlage Suwi bij de Collegeverklaring). 21

22 Suwinet Wat Inlevermoment Hoe inleveren Informeren stelselhouder - Assurancerapport - Collegeverklaring - Bijlage Suwi bij de Collegeverklaring Tussen 1 januari en 1 mei Inleveren Assurancerapport, Collegeverklaring en Bijlage Suwi bij de Collegeverklaring via tooling (uploaden documenten) Actieve attendering vindt plaats na éénmalig inleveren volledige pakket: - Assurancerapport - Collegeverklaring - Bijlage Suwi bij de Collegeverklaring Actie stelselhouder Na inleveren van het getekende Assurancerapport én de Collegeverklaring en de Bijlage Suwi bij de Collegeverklaring in de periode ingaand op 1 januari en eindigend vóór of op 30 april uur staat de info permanent ter beschikking van BKWI en kan er op geacteerd worden Opmerking BKWI wil de informatie betreffende Suwinet in één keer ontvangen, het is niet zinvol om eerder bestanden te uploaden dan op het moment dat alle documenten compleet zijn. BAG - Ruwe data informatieveiligheidsvragen Uiterlijk op 31 december Inleveren vragenlijst via tooling BKWI kan de uitkomsten van de analyse van de ruwe data gebruiken om nader in te gaan op afwijkingen die worden gemeld in de Collegeverklaring, de Bijlage bij de Collegeverklaring en het Assurancerapport. Na inleveren geconsolideerde BIG vragenlijst vóór of op 31 december uur staat de ruwe data rapportage over de voor IenM relevante informatieveiligheidsvragen ter beschikking van IenM. (Ivm zondagdatum is dit in 2018 uiterlijk op 2 januari). De informatieveiligheidsvra gen worden niet opgenomen in de domeinspecifieke bestuursrapportage. IenM ontvangt de informatieveiligheidsvra gen als ruwe data. (Momenteel voor 3 informatieveiligheidsvra gen - voor BAG en BGT dezelfde vragen) 22

23 BAG BAG Wat Inlevermoment Hoe inleveren Informeren stelselhouder - Ruwe data domeinspecifieke vragen (vragen en antwoorden zelfevaluatie) - Bestuursrapportage BAG Uiterlijk op 31 december Tussen 1 januari en 1 mei Inleveren vragenlijst via tooling Inleveren rapportage inzake BAG inclusief uitdraai BAG vragen en antwoorden als bijlage bij de Bestuursrapportage BAG via tooling (uploaden document) Actieve attendering op moment ruwe data rapportage ingeleverd Actieve attendering op moment van inleveren van de Bestuursrapportage BAG Actie stelselhouder Na inleveren geconsolideerde vragenlijst vóór of op 31 december uur staat de ruwe data rapportage ter beschikking van IenM. (Ivm zondagdatum is dit in 2018 uiterlijk op 2 januari). Na inleveren bestuursrapportage in de periode ingaand 1 januari en eindigend vóór of op 30 april uur staat de info permanent ter beschikking van IenM en kan er op geacteerd worden. Opmerking IenM zal nog met ICTU afstemmen op welke wijze de ruwe data (vragen en antwoorden) het beste kunnen worden aangeleverd. De BAG bestuursrapportage is gebaseerd op de domeinspecifieke vragenlijst. De BAG vragen en antwoorden worden als bijlage bij de bestuursrapportage toegevoegd. Wanneer de vragenlijst compleet ingevuld is geu pload naar de centrale ENSIAdatabase, stelt het systeem een conceptbestuursrapportage aan de gemeente beschikbaar. De rapportage dient te worden aangevuld met bestuurlijke verantwoordingsgegeve ns van het college van B&W. Nadat het college de verantwoordingsrapport age heeft vastgesteld, 23

24 Wat Inlevermoment Hoe inleveren Informeren stelselhouder Actie stelselhouder Opmerking legt het deze voor aan de gemeenteraad. De verantwoordingsrapport age dient uiterlijk 1 mei 2018 geu pload te worden naar de centrale ENSIA-database voor de verticale verantwoording naar de toezichthouder IenM (de minister van IenM). - het voorleggen aan de raad is een zaak voor de gemeente. BGT - Ruwe data informatieveiligheidsvra gen Uiterlijk op 31 december Inleveren vragenlijst via tooling Actieve attendering op moment inleveren / definitief maken vragenlijst Na inleveren geconsolideerde BIG vragenlijst vóór of op 31 december uur staat de ruwe data rapportage over de voor IenM relevante informatieveiligheidsvragen ter beschikking van IenM. (Ivm zondagdatum is dit in 2018 uiterlijk op 2 januari). De informatieveiligheidsvra gen worden niet opgenomen in de domeinspecifieke bestuursrapportage. IenM ontvangt de informatieveiligheidsvra gen als ruwe data. (Momenteel voor 3 informatieveiligheidsvra gen - voor BAG en BGT dezelfde vragen) 24

25 BGT Wat Inlevermoment Hoe inleveren Informeren stelselhouder - Ruwe data domeinspecifieke vragen Uiterlijk op 31 december Inleveren vragenlijst via tooling Actieve attendering op moment inleveren / definitief maken vragenlijst Actie stelselhouder Na inleveren geconsolideerde vragenlijst vóór of op 31 december uur staat de ruwe data rapportage ter beschikking van IenM. (Ivm zondagdatum is dit in 2018 uiterlijk op 2 januari). Opmerking IenM zal nog met ICTU afstemmen op welke wijze de ruwe data (vragen en antwoorden) het beste kunnen worden aangeleverd. BGT - Bestuursrapportage BGT Tussen 1 januari en 1 mei Inleveren rapportage inzake BGT inclusief uitdraai BGT vragen en antwoorden als bijlage bij de Bestuursrapportage BGT via tooling (uploaden document) Actieve attendering op moment van inleveren van de Bestuursrapportage BGT Na inleveren bestuursrapportage in de periode ingaand op 1 januari en eindigend vóór of op 30 april uur staat de info permanent ter beschikking van IenM en kan er op geacteerd worden. De BGT rapportage is gebaseerd op de domeinspecifieke vragenlijst. De ingeleverde BGT vragen en antwoorden worden als bijlage bij de bestuursrapportage toegevoegd. Wanneer de vragenlijst compleet ingevuld is en geu pload naar de centrale ENSIAdatabase, stelt het systeem een conceptbestuursrapportage aan de gemeente danwel niet-gemeentelijke bronhouder beschikbaar. De rapportage dient te worden aangevuld met bestuurlijke verantwoordingsgegeve ns van het college van B&W, of in geval van niet-gemeentelijke 25

26 Wat Inlevermoment Hoe inleveren Informeren stelselhouder Actie stelselhouder Opmerking bronhouders het dagelijks bestuur. Nadat het college de bestuursrapportage heeft vastgesteld legt het deze voor aan de gemeenteraad. [Bij de niet-gemeentelijke bronhouder legt het dagelijks bestuur de bestuursrapportage voor aan het algemeen bestuur- n.v.t. voor gemeenten]. De bestuursrapportage dient uiterlijk 1 mei 2018 geu pload te worden naar de centrale ENSIA-database voor de verticale verantwoording naar de toezichthouder IenM (de minister van IenM). - het voorleggen van de bestuursrapportage aan de raad is een zaak voor de gemeente. [- het voorleggen van de bestuursrapportage aan het algemeen bestuur van de nietgemeentelijke bronhouder is een zaak voor de nietgemeentelijke bronhouder] 26

27 Bijlage 1 Overzicht bruikbare documenten In deze bijlage is een overzicht op genomen van alle documentatie die bruikbaar is of kan zijn bij het invullen van de vragenlijst. Het gaat hierbij om documenten die de gemeenten zelf heeft ontwikkeld. De gebruikte titels van de documenten kunnen dus afwijken van de titels die de gemeente zelf heeft gebruikt. Vraag nr Documentnaam i Een informatiebeveiligingsplan (implementatieplan) met daarin de korte en lange termijn doelen en planningen voor het implementeren van de (ontbrekende) informatiebeveiligingsmaatregelen. i Verslagen van vergaderingen waarin de planning aan de orde gekomen is. i Een spreadsheet met maatregelen, hun statussen, de verantwoordelijken voor de maatregelen, de verwachte planning van implementatie, managementbesluiten over planning of comply. i / Bewijs van de afspraken over informatiebeveiliging al dan niet in relatie tot i / samenwerkingsverbanden en of leveranciers, bijvoorbeeld de instellingsbeschikking in de i / vorm een ICV (In Control Verklaring) of een TPM (of SAS, SAE verklaring). i / i i / Een actueel informatiebeveiligingsbeleid, bij voorkeur jonger dan drie jaar. Bij voorkeur is i gebruikgemaakt van het voorbeeld informatiebeveiligingsbeleid van de IBD met een eigen invulling/aanvulling op de lokale situatie. i Aantoonbare passages over de respectievelijke speciale gemeentelijke voorzieningen in het gemeentelijk informatiebeveiligingsbeleid. i Oprichtings- dan wel instellingsbeschikkingen van Gemeenschappelijke Regelingen met daarin specifiek aandacht voor informatiebeleid. Voor Gemeenschappelijke Regelingen die openbare lichamen zijn: bewerkersovereenkomsten. i Verslagen van vergaderingen van het college waarin het onderwerp informatiebeveiliging aan de orde gekomen is. i Een actueel informatiebeveiligingsplan, een sanctiebeleid, de aanwezigheid van een crisisteam en een ingericht incidentmanagementproces. i / Functie- en taakomschrijvingen als uitwerking van eisen voor relevante rollen en functies i / (daar waar het informatiebeveiliging betreft). Ook voor externe medewerkers. i i Autorisatieproces nieuwe IT-voorzieningen. i / Getekende geheimhoudingsverklaringen in personeelsdossiers/voor externe partijen. i i / Calamiteitenprocedures, incidentmanagement en responsebeleid, noodplannen, Business i / Continuity Management inclusief onderliggend kader, calamiteitenplan met aandacht voor i / informatiebeveiliging. i / i i Aansluitdocumenten stap 1 en 2 van de IBD. 27

28 Vraag nr Documentnaam i / Auditverslagen en (gespreks-)verslagen van de beoordeling van het i / informatiebeveiligingsbeleid, controleverslagen, selfassessmentrapporten, auditverslagen, i / controleplan. i i Stukken van raadsvergaderingen waar informatiebeveiliging op de agenda staat. i / Benodigde documentatiebehandelplan, classificatieverslagen, registratie van i / gegevensverzamelingen, markeringen op kopieën en ingevulde dataclassificatie verslagen. i i Inkoopdossiers / inkoopcontracten. i Per uitbesteding waarbij persoonsgegevens worden verwerkt een bewerkersovereenkomst. i PIA's i Incidentregistratie, relevante passages in bewerkersovereenkomsten en leveringsovereenkomsten, SLA's, voor alle uitbesteedde processen/systemen. I / Contract, SLA, bewerkersovereenkomst, verslagen met gesprekken met leveranciers, i / overeenkomst informatie-uitwisseling in relatie tot samenwerking met derden. i / i / i / i / i / i / i / i / i / i i / Een gevulde CMDB (configuratie management database), procedure controle systeem en i ICT-gebruik gericht op compliancy. i Jaarplannen en begrotingen en gebruikersautorisatiebeheer waaruit lijnverantwoordelijkheid over informatie- en ICT-middelen blijkt. i Huisregels en regels gebruik IT-voorzieningen, inclusief telewerkbeleid indien toegestaan. i Verslagen van classificatie onderzoeken/analyses. i Verwerkingsprocedures voor beveiligd verwerken, opslag, transmissie, declassificatie en vernietiging. Overeenkomsten met derde partijen waarin wordt uitgelegd hoe classificatielabels moeten worden uitgelegd. i Actuele personeelsdossiers, VOG's aanwezig in dossiers. i Algemene voorwaarden of huisregels bij indiensttreding, ondertekend in P-dossier. i Controlevragen aan personeel, verslagen van functioneringsgesprekken en werkbesprekingen. i Format / planning POP-gesprek, inkoop training bewustwording (informatiebeveiliging een terugkerend onderwerp in gesprekken met personeel) i Er is disciplinair beleid en een proces beschreven dat recht doet aan het onderwerp, conform CAR/UWO. i Procedure wijzigen/beëindigen dienstverband. i (Fysiek) toegangsbeveiligingsbeleid. 28

29 Vraag nr Documentnaam i Bezoekersverslagen, autorisatiematrixen, toegangscontrolelogging van pasjes en andere middelen en verslagen van de controle daarop met betrekking tot fysieke toegangsbeveiliging. i / Ontwerpen van kantoren, ruimten en faciliteiten met betrekking tot fysieke beveiliging van i gebouwen inclusief procedures. i Verzekeringsbeleid waarin maatregelen staan, ontwerpen van gebouwen en ruimtes waarin deze maatregelen uitgewerkt zijn. i Voorschriften voor het werken in beveiligde ruimten. i Vastlegging van fysieke controle van apparatuur en controle of in de bouw en plaatsingsvoorschriften gebruikgemaakt is van geldende standaarden. i Procedures en maatregelen stroomuitval (noodstroom, UPS, aggregaten), jaarlijkse testverslagen. i Specificaties van gebouwbekabelingen, gedocumenteerde patchlijst. i Onderhoudscontracten, onderhoudsvoorschriften van IT-apparatuur. i / Thuiswerkbeleid, telewerkbeleid, inrichting werkplek/mobiele devices, encryptiebeleid, i gedragscodes. i Procedure veilig verwijderen van gevoelige bedrijfsinformatie. i Procedure omgang ICT-middelen. i / Bedieningsprocedures systeembeheer, netwerkbeheer, applicatiebeheer, opstart i handleidingen, afsluit handleidingen, back-up en restore procedures, gebruikershandleidingen. i / Beheerprocedures voor hardenen van infrastructuur en servers, configuratie verslagen van i servers en platformen. i / Procedure wijzigingsbeheer, verslagen wijzigingsbeheer vergaderingen inclusief i / besturingssystemen. i / i / i i Beleidsnotitie, functiebeschrijvingen van de in de vraag genoemde functies/rollen. i Organisatiebeschrijving, bedieningsprocedures, ICT-landschap met betrekking tot applicatieontwikkeling. i Informatieplan en capaciteitsplan. i Architectuurprincipes, bij systemen moet een testdossier aanwezig zijn (testplannen, testverslagen, acceptatieverslagen). i / Antivirusbeleid en procedures. i i Systeembeheer documentatie, beleid, testverslagen. i Back-upprocedures, back-upverslagen. i / Netwerkbeveiligingsplan, netwerkplan, beleid, controleverslagen, ingericht proces i netwerkbeheer, rapportages. i / Procedure gebruik, beheer en afvoer van verwijderbare media, zoals harddisks, mobiele i / devices, usb-sticks, cd-roms inclusief procedure voor veilig verwijderen van informatie en i procedure omgang gevoelige media. 29

30 Vraag nr Documentnaam i / Beheer procedures voor systeemdocumentatie, beheerprocedures webservers en i / inrichtingsdocumentatie, procedure controle systeemklokken. i / i i Procedure/aanwijzing/protocol uitwisseling van vertrouwelijke informatie. i Beleid en procedures voor koppeling van bedrijfssystemen. i / Cryptografiebeleid en -procedures, netwerkplan, infrastructuurplan, cryptografie en i / sleutelbeheerplan, netwerkbeheerbeleid en netwerkbeheerplan i / i / i / i / i i / Loggingprocedure met aandacht voor bescherming en autorisatie op logging. i i Vastlegging van handelingen die niet in het systeem gelogd worden, bijvoorbeeld s, verslagen van vergaderingen, wijzigingsvoorstellen. i Controleverslagen van de controle van het gebruik van belangrijke persoonsgegevensverzamelingen. i / Toegangsbeleid, notulen waarin toegangsbeleid is goedgekeurd door management, flyers, i / nieuwsbrieven of s waaruit blijkt dat de gebruikers op de hoogte zijn van de i goedgekeurde toegangsbeleid, informatie waarin is beoordeeld dat de bedrijfseisen en beveiligingseisen voor toegang zijn meegenomen in het beleid, ook voor gebruikers in een gemeenschappelijk netwerk. i Procedurebeschrijvingen die beschikbaar zijn voor registreren en afmelden van gebruikers voor enkele informatiesystemen of -diensten, procedurebeschrijving voor de registratie van gebruikers en beheerders, informatie waaruit blijkt dat de organisatie gebruiker-id s conform de procedures heeft toegekend. i Beleid of procesbeschrijving voor het beheer van speciale bevoegdheden, functie- of rolbeschrijvingen van de beheerders van speciale bevoegdheden. i / Procedurebeschrijving van de beheerste wachtwoordtoewijzing, informatie waaruit blijkt dat i de organisatie conform het beleid heeft uitgevoerd, verslagen van de controle op de toegangsrechten per proceseigenaar/systeemeigenaar met een focus op basisregistraties, Suwinet en DigiD. i / Gespreksverslag beheerder, brief of mail met uitleg gewenst gebruik. i i / Huisregels veilig gebruik van computers en mobiele apparatuur, beleid waarin aandacht is i voor het gebruik van mobiele apparatuur, een ingericht en beheerd mobiel device management systeem, gebruikersvoorwaarden mobiele systemen. i / Clear desk - en clear screen -beleid, s, flyers, of nieuwsbrief waaruit blijkt dat de i organisatie met de eindgebruikers heeft gecommuniceerd over: elke dag dossiers opbergen bij vertrek naar huis en pc vergrendelen bij verlaten van werkplek. i Vastgesteld toegangsbeleid met daarin de te onderscheiden toegangspaden en toegangsmethode(n) per type gebruiker, materiaal waaruit blijkt dat beleid is gecommuniceerd, registratie van aanvragen en toekenningen. 30

31 Vraag nr Documentnaam i Beleid en procedurebeschrijving voor scheiding van netwerken, informatie waaruit blijkt dat de organisatie conform het beleid of procedure heeft gehanteerd. i Beleid voor beveiligde inlogprocedures. Schermprint vanuit een besturingssysteem waaruit blijkt dat de toegang beheerst wordt door een beveiligde inlogprocedure. i / Een beschrijving van het gebruik van authenticatiemiddelen. i i Uitdraaien van systemen zoals bijvoorbeeld de beleidsregels voor sterke wachtwoorden uit de AD en andere relevante systemen. i Procedures gebruik hulpprogrammatuur. i Benodigde documentatie ICT-beleid en procedure beëindigen inactieve sessies. i Beleid waarin bedrijfseisen en beveiligingsmaatregelen voor nieuwe informatiesystemen of uitbreiding van bestaande informatiesystemen zijn beschreven, het vaste programma van eisen t.a.v. beveiliging, informatie waaruit blijkt dat de organisatie conform het vaste programma werkt. i / Testverslagen van applicaties, pentestrapportages, verslagen van codereviews, pentest en i / security jaarplanning en pentest- en securityverslagen. i / i / i / i / i i Informatie waaruit blijkt dat de gemeente zich heeft geconformeerd aan Gemma en aan Stuf. i Procedurebeschrijvingen voor de opslag van broncode, applicatiebeheerprocedures. i Beleid content scanning, beheerdocumentatie en controledocumentatie met betrekking tot netwerkscanning. i / Beleid voor technische kwetsbaarheden, verslagen van vulnerability scans en pentesten, i patchmanagement procedure, patchmanagement proces, actuele vulnerability scan rapporten. i / Procedurebeschrijving voor het melden en registreren van incidenten op een afdeling of in i / een bepaald bedrijfsproces met betrekking tot informatiebeveiliging. i i / Een beschreven organisatiestructuur en geaccordeerde mandatenregeling of RASCI-schema i waaruit de TVB's van de betrokken medewerkers blijken. Eigen waarneming dat de rapportage beveiligingsincidenten bestaat met daarin opgenomen de evaluatie van deze incidenten. Een beleid- of procedurebeschrijving voor het verzamelen van bewijsmateriaal. i Uitgevoerde BIA's. i Testverslagen van uitwijk- en calamiteittesten. i Data-opslagbeleid. i Privacybeleid. i Beveiligingsmaatregelen voor hulpmiddelen voor systeemaudits. 31

32 BIJLAGE 2 Documentstructuur Documentstructuur ENSIA Versie 1.0, 16 oktober 2017 Aanleiding Met de invoering van ENSIA wordt de verantwoording van gemeenten met betrekking tot de informatieveiligheid via één verantwoordingsstelsel (vragenlijst) geïnventariseerd en verantwoord. Om de verantwoording te onderbouwen is een (elektronische) documentstructuur om documenten met betrekking tot de specifieke normen in op te slaan en te bewaren van belang. Op deze wijze kan de gemeente al dan niet in samenwerking met de auditor op een efficiënte en eenvoudige wijze documenten raadplegen. Deze documentstructuur heeft betrekking op de vragenlijst ENSIA zelfevaluatie Informatiebeveiliging BIG Inleiding In deze bijlage wordt een voorstel gedaan voor een structuur voor het opslaan en bewaren van documenten. De vragenlijst bevat vragen over informatieveiligheid gebaseerd op de BIG. De documentstructuur volgt de structuur van de vragenlijst en kan worden gebruikt voor zowel de horizontale verantwoording aan de raad als de verticale verantwoording aan het Rijk (BRP en PUN, SUWInet en BAG en BGT). Doelgroep Het gebruik van een documentstructuur is hoofdzakelijk van toepassing voor gemeenten die niet beschikken over een ISMS. Dergelijke systemen beschikken over functionaliteiten om bestanden, registraties en/of documenten te bewaren en te onderhouden. Het voorstel van een documentstructuur kan worden toegepast als mappenstructuur welke kan worden ingericht via de Verkenner, een informatie- of zaaksysteem, een willekeurige database of omgeving. Ook Sharepoint behoort tot de mogelijkheden. Echter, links naar documenten of bijlagen vergen dan wel veel beheer. Het is aan de gemeente zelf om te bepalen tot in hoeverre de documentstructuur wordt toegepast en op welke manier deze wordt ingericht. De ordening van deze documentstructuur is afgestemd met NOREA, de brancheorganisatie van REauditors. Uitgangspunten Bij het opstellen van de documentstructuur is rekening gehouden met deugdelijke verantwoording vanuit de volgende uitgangspunten: Een transparante, overzichtelijke en heldere structuur van mappen en thema s Een duidelijke link met de ENSIA-vragenlijst voor snel kunnen raadplegen Een structuur dat overeenkomt met de hoofdstukken van de BIG en ENSIA-vragenlijst Zoveel mogelijk voorkomen van meervoudige opslag van documenten en bestanden Een structuur waarbij thema s makkelijk herkenbaar en vindbaar zijn om te raadplegen. De documentstructuur is hoofdzakelijk van toepassing op het structureren van documenten op het gebied van: Het project ENSIA: de invoering en coördinatie van ENSIA (2017); De ENSIA vragen met betrekking tot de gemeente brede informatieveiligheid; 32

33 Achterliggende gedachte De documentstructuur is gebaseerd op de thema s en hoofdstukken van de BIG. De BIG-thema s en hoofdstukken staan centraal. De normen van de diverse verantwoordingsstelsels (BRP, PUN, BAG, BGT en Suwinet) hebben op het gebied van informatieveiligheid betrekking op hoofdstukken en thema s van de BIG. Een vraag kan betrekking hebben op meerdere normenkaders. Dit is bij een groot deel van de vragen van de BIG van toepassing. Het opslaan en bewaren van bijlagen per stelsel zou tot veel meervoudige opslag leiden. Over het verantwoordingsjaar 2017 vindt voor DigiD en Suwinet een audit plaats. Zoals hierboven aangegeven maken de vragen relevant voor Suwinet onderdeel uit van de ENSIA-vragenlijst. In onderhavige documentstructuur wordt uitgegaan van het opslaan, beheren en bewaren van documenten met betrekking tot de BIG-hoofdstukken en thema s. De DigiD-zelfevaluatie is een separate vragenlijst binnen ENSIA. Ter ondersteuning van de uitvoering is de handreiking DigiD- zelfevaluatie beschikbaar. Hierin is een voorstel opgenomen voor de documentstructuur voor de DigiD-zelfevaluatie. Deze is vindbaar op de online leeromgeving en via Het staat u vrij om binnen de aangereikte mappenstructuur een extra verdieping te maken door bijvoorbeeld mappen per norm aan te maken. Aanpak Een groot deel van de gemeenten beschikt over een (geautomatiseerd) ISMS waarin de vragen, antwoorden en onderbouwing wordt vastgelegd. Wanneer u niet beschikt over een dergelijk systeem is het raadzaam om een informatiesysteem of zaaksysteem te hanteren voor het goed bewaren en archiveren van de documenten. Dit bevordert ook de toegankelijkheid alsmede eventuele verwijzingen tussen mappen en /of documenten. In het kader van de efficiency van de audit werkzaamheden adviseren wij deze documentenstructuur toe te passen. Dit omdat onderbouwing, bewijslast (evidence) en herleidbaarheid (fact finding) belangrijke elementen zijn in een efficiënt audit proces. 33

34 Documentstructuur Hoofd mappenstructuur ENSIA 2017 (deels gebaseerd op BIG indeling) 1. Project invoering ENSIA 2. Communicatie & Correspondentie 3. H3 Implementatie van de Tactische Baseline 4. H4 Samenwerkingsverbanden 5. H5 Beveiligingsbeleid 6. H6 Organisatie van de informatiebeveiliging 7. H7 Beheer van bedrijfsmiddelen 8. H8 Personele beveiliging 9. H9 Fysieke beveiliging en beveiliging van de omgeving 10. H10 Beheer van Communicatie- en Bedieningsprocessen 11. H11 Toegangsbeveiliging 12. H12 Verwerving, ontwikkeling en onderhoud van Informatiesystemen 13. H13 Beheer van Informatiebeveiligingsincidenten 14. H14 Bedrijfscontinuïteitsbeheer 15. H15 Naleving 16. Overige 17. Historie (oude documenten) Sub mappenstructuur Per submap staat een korte toelichting voor de documenten die in de betreffende map worden bewaard. 1. Project invoering ENSIA 1. Algemene presentatie 2. Plan van Aanpak 3. Planning & Organisatie 4. Handleidingen 5. Voortgang & Coördinatie In map 1. worden de documenten opgeslagen die betrekking op de invoering van ENSIA. Hierin worden presentaties, plannen van aanpak en voortgangsverslagen opgeslagen. Dit hoeft geen eenmalige map te zijn. De coördinatie van activiteiten kunnen in 2018 wederom in deze map opgeslagen worden. Tip: Neem in de folder op niveau 0 een verwijzing op naar het kalenderjaar waarop de documenten betrekking hebben; 2017 voor dit jaar. 2. Communicatie & Correspondentie 1. Mailings Coördinator ENSIA 2. Interne Memo s en/of Besluitvorming 3. Correspondentie met afdelingen 4. Communicatie met auditor 5. Collegeverklaring en Paragraaf IB 6. Correspondentie met College en Raad 34

35 In map 2. wordt de informatie-uitwisseling in de vorm van brieven, voorstellen, mails, memo s, etc. bewaard. Communicatie met afdelingen als financiën (F&C), informatiemanagement (I&A), personeelszaken (HRM), burgerzaken, sociaal domein, ruimtelijk domein, etc. worden hier opgeslagen in de vorm van acties, afspraken of verslagen. 3. H3 Implementatie van de Tactische Baseline 1. Benoem verantwoordelijkheden In map 3. worden de documenten met betrekking tot de implementatie van de tactische baseline opgenomen. 4. H4 Samenwerkingsverbanden 1. Risicobeoordeling en risicoafweging In map 4. worden de documenten met betrekking tot de samenwerkingsverbanden opgenomen. 5. H5 Beveiligingsbeleid 1. Informatiebeveiligingsbeleid In map 5. worden de documenten met betrekking tot het beveiligingsbeleid opgenomen. 6. H6 Organisatie van de informatiebeveiliging 1. Interne organisatie 2. Externe organisatie In map 6. worden de documenten met betrekking tot de organisatie van de informatiebeveiliging opgenomen. 7. H7 Beheer van bedrijfsmiddelen 1. Beheer van bedrijfsmiddelen 2. Classificatie van informatie In map 7. worden de documenten met betrekking tot het beheer van bedrijfsmiddelen opgenomen. 8. H8 Personele beveiliging 1. Voorafgaand aan het dienstverband 2. Tijdens het dienstverband 3. Beëindiging of wijziging van het dienstverband In map 8. worden de documenten met betrekking tot personele beveiliging opgenomen. 9. H9 Fysieke beveiliging en beveiliging van de omgeving 1. Beveiligde ruimten 2. Beveiliging van apparatuur In map 9. worden de documenten met betrekking tot de fysieke beveiliging en beveiliging van de omgeving opgenomen. 10. H10 Beheer van Communicatie- en Bedieningsprocessen 1. Bedieningsprocedures en verantwoordelijkheden 2. Exploitatie door een derde partij 3. Systeemplanning en acceptatie 4. Bescherming tegen virussen en mobile code 35

36 5. Back-up 6. Beheer van netwerkbeveiliging 7. Behandeling van media 8. Uitwisseling van informatie 9. Diensten voor e-commerce 10. Controle In map 10. worden de documenten met betrekking tot het beheer van communicatie en bedieningsprocessen opgenomen. 11. H11 Toegangsbeveiliging 1. Toegangsbeleid 2. Beheer van toegangsrechten van gebruikers 3. Verantwoordelijkheden van gebruikers 4. Toegangsbeheersing voor netwerken 5. Toegangsbeveiliging voor besturingssystemen 6. Toegangsbeheersing voor toepassingen en informatie 7. Draagbare computer en telewerken In map 11. worden de documenten met betrekking tot toegangsbeveiliging opgenomen. 12. H12 Verwerving, ontwikkeling en onderhoud van Informatiesystemen 1. Beveiligingseisen voor informatiesystemen 2. Correcte verwerking in toepassingen 3. Cryptografische beheersmaatregelen 4. Beveiliging van systeembestanden 5. Beveiliging bij ontwikkelings- en ondersteuningsprocessen 6. Beheer van technische kwetsbaarheden In map 12. worden de documenten met betrekking tot de verwerving, ontwikkeling en onderhoud van informatiesystemen opgenomen. 13. H13 Beheer van Informatiebeveiligingsincidenten 1. Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken 2. Beheer van informatiebeveiligingsincidenten en verbeteringen In map 13. worden de documenten met betrekking tot het beheer van informatiebeveiligingsincidenten opgenomen. 14. H14 Bedrijfscontinuïteitsbeheer 1. Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer In map 14. worden de documenten met betrekking tot het bedrijfscontinuïteitsbeheer opgenomen. 15. H15 Naleving 1. Naleving van wettelijk voorschriften 2. Naleving van beveiligingsbeleid en normen en technische naleving 3. Overwegingen bij audits van informatiesystemen In map 15. worden de documenten met betrekking tot naleving opgenomen. 16. Overige 1. 36

37 In map 16. worden de documenten met betrekking tot overige onderwerpen opgenomen. 17. Historie (oude documenten) 1. Oude versies 2. Prullenbak In map 17. worden de oude documenten opgenomen. Zoals oude versies of te vernietigen bestanden. Uitwerking submappenstructuur in detail De uitwerking binnen de submappen kunnen mappen zijn maar ook documenten. Zoals verwoord in voorgaande hoofdstukken staat het u vrij om mappen binnen de submappen aanmaken die betrekking hebben op specifieke thema s of normen (voorbeeld DigiD met een map per norm). Submap 1. Project invoering ENSIA 1. Algemene presentatie i. Kick-off presentatie Werkgroep ENSIA ii. Presentatie voor College en de Raad 2. Plan van Aanpak i. Plan van Aanpak invoering ENSIA 3. Planning & Organisatie i. Planning invoering ii. Organisatie samenwerkingsverbanden iii. Interne organisatie 4. Handleidingen i. Downloads handleidingen ii. Links naar webpagina s (ook toezichthouders) iii. Links naar normenkaders e.d. 5. Voortgang & Coördinatie i. Actielijst (woe doet wat?) ii. Activiteiten (uitzetten vragen aan wie?) iii. Voortgangsoverzichten of rapportages iv. Afronding, Decharge en Evaluatie (eind 2018) Submap 2. Communicatie & Correspondentie 1. Mailings Coördinator ENSIA i. Ontvangen en verstuurde mails 2. Interne Memo s en/of Besluitvorming i. Opgestelde Memo s en/of Besluitvormingsvoorstellen 3. Correspondentie met afdelingen i. Correspondentie met Financiën ii. Correspondentie met Informatiemanagement (I&A) iii. Correspondentie met Personeel (HRM) iv. Correspondentie met Burgerzaken v. Correspondentie met Sociaal Domein vi. Correspondentie met Ruimte Domein vii. Correspondentie met Informatiemanagement (I&A) 37

38 viii. Correspondentie met ICT (leverancier X en/of Y) ix. Correspondentie met samenwerkingsverband A x. Correspondentie met samenwerkingsverband B 4. Communicatie met Auditor i. Selectie en gunning Auditor ii. Opdrachtomschrijving en bevestiging Auditor iii. Overeenkomst en Factuur Auditor iv. Urenverantwoording van Auditor v. Assurancerapport 5. Collegeverklaring en Paragraaf IB, i. Collegeverklaring ii. Paragraaf IB voor College en Raad 6. Correspondentie met College en Raad i. Correspondentie voor Collegevergadering a. Agenda, Notulen, Besluit ii. Correspondentie voor (cie.) Raad a. Agenda, Notulen, Besluit Submap 3. H3 Implementatie van de Tactische Baseline 1. Benoem verantwoordelijkheden i. Implementatieplan ii. Rapportage iii. ISMS Submap 4. H4 Samenwerkingsverbanden 1. Risicobeoordeling en risicoafweging i. Overeenkomsten (GR, Centrum, overig) ii. Gemeenschappelijke normen iii. Verantwoordingsrapportages Submap 5. H5 Beveiligingsbeleid 1. Informatiebeveiligingsbeleid i. Informatiebeveiligingsbeleid a. Algemeen (BIG) a. SUWI (IT audit) b. Burgerzaken ii. Informatiebeveiligingsplan a. Algemeen (BIG) a. SUWI (IT audit) b. Burgerzaken iii. iv. Vaststelling, Besluit of beoordeling (<3 jaar/datum) a. BIG a. SUWI (IT audit) b. Burgerzaken 38

39 Submap 6. H6 Organisatie van de informatiebeveiliging 1. Interne organisatie i. Doelstellingen ambtelijke en bestuurlijke organisatie ii. Gespreksverslagen voortgang iii. Voortgangsrapportages iv. Registratie verantwoordelijkheden v. Goedkeuringsproces ICT vi. Geheimhoudingsovereenkomst vii. Contacten met instanties en groepen 2. Externe organisatie i. Externe partijen ii. Risicoanalyse iii. Bewerkersovereenkomsten iv. Wettelijke grondslagen/doelbinding v. Controlerapporten vi. Contracten en Overeenkomsten Submap 7. H7 Beheer van bedrijfsmiddelen 1. Beheer van bedrijfsmiddelen i. Beleid en procedures ii. Registratie bedrijfsmiddelen iii. Regels gebruik bedrijfsmiddelen 2. Classificatie van informatie i. Classificatierichtlijnen ii. Procedure classificatie Submap 8. H8 Personele beveiliging 1. Voorafgaand aan het dienstverband i. Procedure ii. Screening iii. VOG iv. Kennisname IB beleid 2. Tijdens het dienstverband i. Directieverantwoordelijkheid, bevorderen belang ii. Bewustwording, opleiding en training iii. Disciplinaire maatregelen (sancties) 3. Beëindiging of wijziging van het dienstverband i. Uit dienst procedure ii. Intrekken toegangsrechten Submap 39

40 9. H9 Fysieke beveiliging en beveiliging van de omgeving 1. Beveiligde ruimten i. Fysieke beveiliging ii. Toegangsbeveiliging iii. Verzekering iv. Publiek toegankelijke ruimtes 2. Beveiliging van apparatuur i. Bescherming apparatuur ii. Nutsvoorzieningen iii. Kabels iv. Onderhoud apparatuur v. Verwijderen of hergebruiken bedrijfseigendommen Submap 10. H10 Beheer van Communicatie- en Bedieningsprocessen 1. Bedieningsprocedures en verantwoordelijkheden i. Bedieningsprocedures ii. Wijzigingsbeheer iii. Functiescheiding iv. Gescheiden omgevingen 2. Exploitatie door een derde partij i. Dienstverlening door een derde (SLA) 3. Systeemplanning en acceptatie i. Capaciteitsbeheer (rapportages/monitoring) ii. Systeemacceptatie (testprocedure) 4. Bescherming tegen virussen en mobile code i. Maatregelen/Monitoring antivirus en mobile code 5. Back-up i. Back-up beleid 6. Beheer van netwerkbeveiliging i. Maatregelen en monitoring beveiliging netwerken 7. Behandeling van media i. Procedures en maatregelen informatie op dragers ii. Procedures verwijderen van data en dragers iii. Procedures behandeling van informatie iv. Beveiliging systeemdocumentatie 8. Uitwisseling van informatie i. Beleid en procedures ii. Instructie medewerkers iii. Overeenkomsten uitwisseling iv. Transport fysieke media v. Elektronische berichtenuitwisseling vi. Procedures bedrijfsinformatie (KA) 9. Diensten voor e-commerce i. Maatregelen online transacties ii. Modificatie openbare informatie 40

41 10. Controle i. Logging systeemhandelingen ii. Controle systeemgebruik iii. Bescherming logbestanden Submap 11. H11 Toegangsbeveiliging 1. Toegangsbeleid i. Toegangsbeleid 2. Beheer van toegangsrechten van gebruikers i. Procedure registratie gebruikers ii. Beheer gebruikerswachtwoorden iii. Beoordeling toegangsrechten gebruikers 3. Verantwoordelijkheden van gebruikers i. Wachtwoord policy ii. Onbeheerde gebruikersapparatuur iii. Clear desk en clear screen beleid 4. Toegangsbeheersing voor netwerken i. Netwerkdiensten ii. Externe verbindingen iii. Identificatie apparatuur iv. Bescherming poorten v. Scheiding van netwerken vi. Beheersmaatregelen 5. Toegangsbeveiliging voor besturingssystemen i. Inlogprocedure ii. Gebruikersidentificatie en authenticatie iii. Wachtwoordbeheer iv. Time-out van sessies v. Beperking van verbindingstijd 6. Toegangsbeheersing voor toepassingen en informatie i. Beperkingen op systemen met risicovolle informatie 7. Draagbare computer en telewerken i. Beveiligingsmaatregelen ii. Beleid of procedures telewerken Submap 12. H12 Verwerving, ontwikkeling en onderhoud van Informatiesystemen 1. Beveiligingseisen voor informatiesystemen i. Eisen aan nieuwe systemen 2. Correcte verwerking in toepassingen i. Validatie van invoer (BRP) ii. Beheersing interne gegevensverwerking iii. Maatregelen integriteit berichten iv. Validatie uitvoergegevens 3. Cryptografische beheersmaatregelen i. Cryptografische beheermaatregelen 41

42 ii. Sleutelbeheer 4. Beveiliging van systeembestanden i. Beheersen wijzigen programmatuur ii. Bescherming testdata iii. Toegangscode voor broncode programmatuur 5. Beveiliging bij ontwikkelings- en ondersteuningsprocessen i. Procedure wijzigingsbeheer ii. Testen op besturingssystemen iii. Scannen netwerkverkeer iv. Optioneel: uitbesteding programmatuur 6. Beheer van technische kwetsbaarheden i. Maatregelen technische kwetsbaarheden Submap 13. H13 Beheer van Informatiebeveiligingsincidenten 1. Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken i. Procedure incidentmanagement ii. Rapportages zwakke plekken IB 2. Beheer van informatiebeveiligingsincidenten en verbeteringen i. Procedure incidentmanagement ii. Leren van (PDCA-cyclus) Submap 14. H14 Bedrijfscontinuïteitsbeheer 1. Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer i. Calamiteitenplan of Bedrijfscontinuïteitsplan ii. Risicobeoordeling (BIA) iii. Beleid en richtlijnen iv. Testen, onderhoud en herbeoordelen Submap 15. H15 Naleving 1. Naleving van wettelijk voorschriften i. Identificatie toepasselijke wetgeving ii. Intellectuele eigendomsrechten (IPR) iii. Bescherming documenten, gegevens en geheimhouding 2. Naleving van beveiligingsbeleid en normen en technische naleving i. Voortgangsrapportages en controles ii. Controle op technische naleving iii. TPM-verklaring (indien van toepassing) 3. Overwegingen bij audits van informatiesystemen i. Planning audits en beheersmaatregelen ii. Bescherming bij audits van informatiesystemen Submap 16. Overige 1. 42

43 Submap 17. Historie (oude documenten) 1. Versiebeheer (oude versies) 2. Prullenbak (voor terugzetten) 43

44 2500 GK DEN HAAG T F INFO@KINGGEMEENTEN.NL 44