Voorstel Informatiebeveiliging beleid Twente

Transcriptie

1 Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming) Gevraagd besluit Burgemeester & Wethouders wordt verzocht vast te stellen / te besluiten met betrekking tot het informatiebeveiligingsbeleid dat de gemeente: baat heeft bij uniform informatiebeveiligingsbeleid voor gemeenten waarmee wordt samengewerkt (bijvoorbeeld in het kader van het SSNT; de Baseline Informatiebeveiliging Gemeenten (BIG 1 ) erkent als het basisnormenkader voor het gemeentelijke domein (zoals dat ook is besloten op de ALV van de VNG op 29 november 2013); het Informatiebeveiligingsbeleid 2 ontwikkeld door het IBD (KING) toepast: o waarbij de mogelijkheid van een eigen gemeentelijke beleidsinvulling blijft bestaan op basis van het zogenaamde pas toe of leg uit principe : dat de eventuele aanpassingen wel worden afgestemd met gemeenten waarmee wordt samengewerkt en zo nodig worden toegevoegd in de vorm van een eigen addendum 3 aan het IBD beveiligingsbeleid; o waarbij de mogelijkheid van het opstellen van een eigen planning (tempo van invoering) blijft bestaan; o waarbij de betreffende maatregelen in een apart plan zullen worden uitgewerkt; in 2018 in het kader van het SSNT toetst of het betreffende beleid nog voldoet; met de ondertekening van deze oplegger tevens het Informatiebeveiligingsbeleid van het IBD (King) als ondertekend wordt beschouwd. 1 De BIG bestaat uit de Strategische-, Tactische- en Operationele Baselines. 2 Het Informatiebeveiligingsbeleid is onderdeel van de Operationele Baseline. 3 Zie bijlage 1. 1

2 Aanleiding / Probleemstelling Informatie is één van de belangrijkste bedrijfsmiddelen van een gemeente. Toegankelijke en betrouwbare overheidsinformatie is essentieel voor een gemeente, die zich verantwoordelijk gedraagt, aanspreekbaar en servicegericht is, die transparant en proactief verantwoording aflegt aan burgers en raadsleden en die met minimale middelen maximale resultaten behaalt. De bescherming van waardevolle informatie is hetgeen waar het uiteindelijk om gaat. Hoe waardevoller de informatie is, des te meer maatregelen er getroffen moeten worden. Gemeenten werken op steeds meer terreinen met elkaar samen. Het benoemen van gezamenlijke uitgangspunten en kaders maakt, dat dat samenwerken gemakkelijker wordt. Met dat doel voor ogen hebben gemeenten in het kader van het Atelier Informatiebeveiliging SSNT een onderzoek geïnitieerd naar gemeenschappelijk informatiebeveiligingsbeleid. Dat heeft geleid tot de keuze voor het informatiebeveiligingsbeleid ontwikkeld door IBD / King. In dit beleidsstuk wordt de richting aan gegeven, waar gemeenten qua informatiebeveiliging in de toekomst naar toe willen (de stip op de horizon). Dit beleid richt zich op de volgende doelen: het creëren van besef bij de organisatie hoe met informatiebeveiliging om te gaan (bewustwording); het geven van richting aan de organisatorische verankering van de informatiebeveiliging; het geven houvast aan betrokkenen bij het opstellen en uitvoeren van een jaarlijks afgeleid informatiebeveiligingsplan 4. Aan de individuele gemeenten wordt gevraagd, om aan dit beleid hun goedkeuring te geven. 4 Het beleidsstuk is niet bedoeld als overzicht met te treffen maatregelen. Maatregelen worden dus in een apart plan opgenomen. 2

3 Toelichting Ten aanzien van de informatiebeveiliging heeft het Atelier Informatiebeveiliging SSNT tijdens haar vergadering op donderdag 23 januari 2014 haar keuze laten vallen op het informatiebeveiligingsbeleid van het IBD (King). Deze keuze is in lijn met de landelijke ontwikkelingen. Landelijke ontwikkelingen Tijdens de Algemene Ledenvergadering van de VNG op vrijdag 29 november 2013 is met betrekking tot de informatiebeveiliging het volgende besluit genomen 5 ( citaat ): Verder hebben nagenoeg alle leden ingestemd met de resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente. Daarmee ligt bij het VNG-bestuur de opdracht, bij het Rijk en de gemeentelijke ketenpartners te bewerkstelligen dat zij de Baseline Informatiebeveiliging Gemeenten (BIG) erkennen als basisnormenkader voor het gemeentelijke domein; dat gemeenten voldoende tijd krijgen voor een gefaseerde en gedifferentieerde implementatie van informatieveiligheid die gebaseerd is op de lokale prioriteiten en investeringsmogelijkheden en dat de audit- en monitorlast wordt beperkt door hergebruik en stroomlijning van bestaande instrumenten en toepassing van het principe single information, single audit. Bij gemeenten zelf ligt de opdracht, de BIG in het collegeprogramma te verankeren en informatiebeveiliging en informatieveiligheid op alle bestuurlijke en organisatorische niveaus te borgen in de planning- en controlcyclus. De hiervoor aangehaalde Baseline Informatiebeveiliging Gemeenten (BIG) bestaat uit een strategische, tactische en operationele variant. In het kader van de operationele variant is informatiebeveiligingsbeleid ontwikkeld door het IBD (KING). Gemeenten kunnen dit beleid toepassen op basis van het pas toe of leg uit principe. Dat biedt gemeenten de vrijheid om een eigen draai aan dit beleid te geven. Hiermee beschikken gemeenten over een goed alternatief voor eigen informatiebeveiligingsbeleid. Zoals uit het vorige citaat blijkt, wordt beoogd om de BIG te erkennen als basisnormenkader voor het gemeentelijke domein. Gemeenten hebben de opdracht gekregen om de BIG in het collegeprogramma te verankeren en de informatiebeveiliging en informatieveiligheid op alle bestuurlijke en organisatorische niveaus te borgen in de reguliere planning- en controlcyclus. Daarmee wordt een belangrijke stap gezet op het pad van gemeentelijke en landelijke 5 Zie voor meer informatie: 3

4 uniformiteit ten aanzien van dit onderwerp. Een stap die in het kader van de samenwerking (en uitwisseling van gegevens in ketens) steeds belangrijker wordt. In het informatiebeveiligingsbeleid komen de volgende onderwerpen aan de orde: uitgangspunten van IB; organisatie van de IB; beheer van bedrijfsmiddelen; beveiliging van personeel; fysieke beveiliging en beveiliging van de omgeving; beveiliging van apparatuur en informatie; logische toegangsbeveiliging; beveiligingsincidenten; bedrijfscontinuïteit; naleving. In het voorgestelde informatiebeveiligingsbeleid is de keuze gemaakt om het door de IBD geformuleerde normenkader zo veel mogelijk te volgen. Dit normenkader is niet voor niets de resultante van een gedegen traject, waarin internationale standaarden en best practises in afstemming met diverse gemeenten zijn omgezet in modelbeleid. Juridisch kader Algemene juridische kaders wordt gevormd door de AWB, Gemeentewet, WBP, wet SUWI en wet GBA. Financieel kader (incl. fiscale aspecten) Voor het informatiebeveiligingsbeleid is geen direct relevant financieel kader aan de orde. Na het vaststellen van een overzicht met te treffen maatregelen in een beveiligingsplan, is het mogelijk dat daarin acties worden voorgesteld, die wel een financiële impact hebben. Personeelskader In het informatiebeveiligingsbeleid is de organisatie van de informatiebeveiliging beschreven. Hierin worden rollen onderkend die niet vanzelfsprekend te herleiden zijn naar functiebenamingen binnen onze organisatie. Om de verantwoordelijkheden goed te beleggen, is het nodig om deze rollen aan functies en functionarissen te koppelen. 4

5 Risico s Het invoeren van een informatiebeveiligingsbeleid is een maatregel die juist gericht is op het reduceren van risico s. De introductie ervan levert geen nieuwe risico s op. Communicatie Intern Na besluitvorming zal op intranet aandacht worden geschonken aan het feit dat het IB-beleid is vastgesteld. Ook wordt aangegeven dat in het komend jaar een IB-plan wordt opgesteld, waaruit specifieke acties op dit vlak zullen volgen. In de communicatie wordt verder ingegaan op de organisatie van IB en op de procedure hoe te handelen bij IBincidenten (zie bijlage). Bijlagen: Informatiebeveiligingsbeleid (apart bestand zie link ( oorbeeld%20informatiebeveiliging%20ibd); Addendum informatiebeveiligingsbeleid. 5