Gemeente Amersfoort. Solide en actueel. Informatiebeveiligingsbeleid

Transcriptie

1 Gemeente Amersfoort Informatiebeveiligingsbeleid Solide en actueel IT Dienstverlening & Advies 4 oktober 2016

2 Inhoudsopgave 1. Inleiding Informatiebeveiliging... 4 Wat is informatiebeveiliging?... 4 Informatiebeveiliging versus bescherming van persoonsgegevens... 4 Van beleid naar uitvoering Ons ambitieniveau... 6 Doelstellingen Algemene beleidsuitgangspunten Leidende principes... 8 Risicobeheersing... 8 Classificatie van informatie... 8 Toepassing BIG-normenkader Continu verbeteren Organisatie van de informatiebeveiliging Verantwoordelijkheden, taken en rollen Overlegvormen Speerpunten voor deze beleidsperiode Het belang van informatiebeveiliging is duidelijk voor iedereen Informatiebeveiliging is geborgd in de organisatie Voor informatiebeveiliging is een P&C-cyclus ingericht Slot BIJLAGEN Bijlage A: Bevindingen Bijlage B: Interne organisatie, taken en rollen Bijlage C: De BIG op hoofdlijnen Bijlage D: Landelijke Wet- en regelgeving

3 1. Inleiding De samenleving digitaliseert in een hoog tempo. De informatievoorziening en de veiligheidsaspecten krijgen daarmee binnen organisaties een nog belangrijkere positie. Waar een aantal jaren geleden de informatievoorziening vooral als bedrijfsvoering werd gezien is deze inmiddels een levensader geworden. Dit zien we ook in de gemeente Amersfoort, daarbij extra gestimuleerd door impulsen van de landelijke overheid (Basisregistraties, MijnOverheid en de decentralisaties in het Sociaal Domein). Het gebruik van papier wordt steeds minder en de hoeveelheid vastgelegde digitale informatie neemt enorm toe. Steeds meer gegevens van inwoners worden digitaal vastgelegd. Als gevolg van de decentralisaties krijgen we nog meer toegang tot zeer privacy gevoelige informatie. Daarnaast vormen zich nieuwe keten- en regiepartners met de gemeente als centraal schakelpunt van waaruit informatie gedeeld moet worden. De waarde van informatie neemt hand over hand toe. In het bedrijfsleven wordt actief gehandeld in gegevens over het internetgedrag van mensen om zo gericht aanbiedingen te kunnen doen. Ook voor Amersfoort liggen er kansen, binnen wettelijke kaders, om inwoners optimaal te bedienen door het analyseren en combineren van gegevens. Door de waarde toename van informatie komen ook partijen in beeld die vanuit criminele overwegingen belang hebben. Het ongeautoriseerd toegang verschaffen tot informatiesystemen en gegevens zijn ontwikkelingen die de komende jaren verder zullen toenemen. Dit vraagt om passende maatregelen op diep technisch niveau. Inwoners mogen van de gemeente Amersfoort verwachten dat zij zorgvuldig om gaat met persoonlijke gegevens, zowel intern als in de samenwerking met derde partijen. Dit vraagt om een solide beveiliging van die gegevens, informatiesystemen en de ICT. Deze beleidsnota informatiebeveiliging bevat de uitgangspunten en doelstellingen voor de jaren Het beleid bouwt voort op, en actualiseert de in 2012 vastgestelde beleidsnota. Actualisering is o.a. nodig vanwege veranderingen in de dienstverlening, nieuwe (Europese) privacywetgeving, de aanvaarding van de Baseline Informatiebeveiliging Gemeenten (BIG) 1, het toenemend mobiel werken en voortschrijdende inzichten. Informatiebeveiliging staat al jaren op de Amersfoortse agenda. De afgelopen jaren heeft de nadruk gelegen op het doorontwikkelen van de technische beveiliging en het waarborgen van de continuïteit van dienstverlening en bedrijfsvoering. Met als resultaat dat de gemeente Amersfoort op deze onderdelen geen noemenswaardige problemen heeft gekend 2. Daarnaast lag het accent op het voldoen aan de landelijke normen voor DIGID, Basisregistratie Personen en Suwinet. 1 Zie bijlage C voor een globale beschrijving van de onderdelen van de BIG 2 Zie bijlage A voor de bevindingen over het jaar

4 Echter, in het begin van 2016 hebben incidenten in het kader van de bescherming van persoonsgegevens ons gewezen op noodzakelijke extra inspanningen. Amersfoort kan en moet alerter zijn om beveiligingsincidenten zoals datalekken te voorkomen. We moeten zorgdragen voor verdere borging van beveiligingsmaatregelen die we treffen en we moeten nog beter sturen op afspraken met aan de gemeente verbonden partijen. Door in alle geledingen van de organisatie aandacht aan informatiebeveiliging te blijven schenken, kan de gemeente de veilige verwerking van gegevens van burgers en bedrijven beter waarborgen. Deze nota is kaderstellend en wordt in het jaarlijks bij te stellen Informatiebeveiligingsplan uitgewerkt met concrete actiepunten. Met deze nota Informatiebeveiligingsbeleid zet de gemeente de volgende stap in het solide en actueel houden van de beveiliging van de informatievoorziening. 3

5 2. Informatiebeveiliging Wat is informatiebeveiliging? Deze beleidsnota beschrijft de ambities van de gemeente Amersfoort ten aanzien van informatiebeveiliging. Informatiebeveiliging omvat de processen die leiden tot een informatieveilige gemeente. Informatiebeveiliging is de verzamelnaam voor de processen die ingericht worden om de betrouwbaarheid van gemeentelijke processen, de gebruikte informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijk onheil. Dit betreft bijvoorbeeld maatregelen op het gebied van uitwijk voorzieningen, regels en afspraken rond toegang tot systemen, fysieke toegangsbeveiliging, beveiligingsorganisatie, etc. Bij informatiebeveiliging staan de volgende begrippen centraal: beschikbaarheid: het zorgdragen voor het beschikbaar zijn van informatie en informatie verwerkende bedrijfsmiddelen op de juiste tijd en plaats voor de gebruikers; integriteit: het waarborgen van de correctheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking; vertrouwelijkheid: het beschermen van informatie tegen kennisname en mutatie door onbevoegden. Informatie is alleen toegankelijk voor degenen die hiertoe geautoriseerd zijn. Het informatiebeveiligingsbeleid (IB-beleid) geldt voor het gehele proces van informatievoorziening en voor alle informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie. Het beperkt zich niet alleen tot de ICT-organisatie, maar heeft ook betrekking op het politiek bestuur, alle medewerkers en keten- en regiepartners. Het beleid raakt daarnaast ook burgers en bedrijven als zij transacties doen met de gemeente. Informatiebeveiliging versus bescherming van persoonsgegevens Er is nauwe samenhang tussen de bescherming van persoonsgegevens (vaak privacy of privacybescherming genoemd) en informatiebeveiliging. De burger heeft recht op eerbiediging en bescherming van zijn persoonlijke levenssfeer en een zorgvuldige omgang met zijn persoonsgegevens. De regels hiervoor zijn o.a. vastgelegd in de Wet bescherming persoonsgegevens (Wbp) 3. 3 Vanaf 25 mei 2018 moet de gemeente voldoen aan de Europese Algemene Verordening Gegevensbescherming. 4

6 Hierin staat dat de persoonsgegevens die verwerkt worden beveiligd moeten zijn tegen verlies en tegen onrechtmatige verwerking (art.13). We zijn verplicht tot het treffen van passende technische en organisatorische maatregelen ter beveiliging van persoonsgegevens. Dit beleid beschrijft die maatregelen. Het specifieke privacybeleid zal in het najaar van 2016 vorm krijgen in een separate beleidsnotitie. De functionaris gegevensbescherming (ook wel privacyfunctionaris of data protection officer) heeft onder meer als taken het toezien op naleving van privacywetgeving en adviseren over bescherming en borging van een juiste verwerking van persoonsgegevens in werkprocessen conform de wetgeving. De rol en positie van de Functionaris Gegevensbescherming worden in het najaar van 2016 nader onderzocht en uitgewerkt. Van beleid naar uitvoering Dit beleid beschrijft de kaders, uitgangspunten en de belangrijkste speerpunten voor de komende periode. Op dit strategisch niveau worden de organisatiebelangen met de relevante uitgangspunten, zoals beschikbaarheid, integriteit, en vertrouwelijkheid vastgesteld. Tevens worden de belangrijkste taken en verantwoordelijkheden beschreven. Op tactisch en operationeel niveau vertalen we de beleidsuitgangspunten naar een beveiligingsplan en een concreet stelsel van maatregelen. Dit plan wordt ieder jaar geactualiseerd. De maatregelen worden op operationeel gebied verder gedetailleerd in handboeken, processen en procedures. 5

7 3. Ons ambitieniveau Een betrouwbare en veilige informatievoorziening is allereerst de basis voor het beschermen van gegevens en rechten van burgers en bedrijven. Hiermee toont de gemeente zich enerzijds een betrouwbare partij die ingeval van calamiteiten adequaat optreedt. Anderzijds is dit noodzakelijk voor de continuïteit van de dienstverlening aan burgers en bedrijven en van de interne bedrijfsvoering. Tegelijkertijd kan informatiebeveiliging een enabler zijn doordat afnemers weten dat bijvoorbeeld elektronische dienstverlening op verantwoorde wijze plaatsvindt, zoals het ook veilige manieren van werken en innovatieve toepassingen in en met de stad ondersteunt. Dit vereist een integrale aanpak, borging van maatregelen, risicobewustzijn en goed opdrachtgeverschap intern, maar ook richting verbonden partijen en IT leveranciers. Ieder organisatieonderdeel is hierbij betrokken. De komende jaren zet de gemeente Amersfoort in op het verder verhogen van informatiebeveiliging om de betrouwbaarheid van de dienstverlening te blijven garanderen. Naast het periodiek herijken van de reeds ingevoerde technische en organisatorische maatregelen, werken we aan een blijvende cultuurverandering over bewustwording en uitvoering van informatiebeveiliging en gegevensbescherming. Naast een professionele informatiebeveiligingsorganisatie is bewustzijn bij een ieder noodzakelijk. Doelstellingen De gemeente Amersfoort is een solide en betrouwbare partner naar haar inwoners, bedrijven, keten- en regiepartners en derden vanuit haar verantwoordelijkheid voor gegevens en informatie. Daarom is ons doel: dat de gemeente in control is als het gaat om dreigingen, incidenten, wijzigingen, processen en organisatie; dat de dienstverlening ongestoord en betrouwbaar verloopt; dat inwoners, bedrijven en instellingen weten dat hun gegevens veilig zijn bij de gemeente Amersfoort; dat onze medewerkers privacy- en beveiligingsbewust zijn en beschikken over de juiste middelen om hun verantwoordelijkheid voor informatiebeveiliging te dragen; dat gegevens van medewerkers goed zijn beschermd. In control zijn betekent in dit verband dat de gemeente weet welke passende technische en organisatorische beveiligingsmaatregelen genomen moeten worden, welke er al zijn en welke nog moeten worden ingericht. En dat er procedures zijn ingericht ingeval van beveiligingsincidenten. 6

8 4. Algemene beleidsuitgangspunten De volgende algemene beleidsuitgangspunten zijn van toepassing: Het informatiebeveiligingsbeleid van Amersfoort is in lijn met het algemene beleid 4 van de gemeente en de relevante landelijke en Europese wet- en regelgeving 5. Er zijn passende technische en organisatorische maatregelen getroffen om het risico op verlies of onrechtmatige verwerking van persoonsgegevens te minimaliseren (art.13 Wbp). De gemeente Amersfoort conformeert zich aan de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). De BIG is gebaseerd op de Code voor Informatiebeveiliging (NEN/ISO 27002). Informatiebeveiliging en gegevensbescherming zijn een integraal onderdeel van de kwaliteit van de bedrijfsprocessen. Het management ondersteunt actief het verbeteren van de informatiebeveiliging en stelt hiervoor voldoende capaciteit en middelen beschikbaar. Er is een planning en control cyclus ingericht voor de activiteiten op het gebied van informatiebeveiliging. Het IB-beleid wordt vastgesteld door het college van B&W. De Directie herijkt periodiek het Informatiebeveiligingsplan en is verantwoordelijk voor het maken van risicoafwegingen en het treffen van adequate maatregelen. Dit beleid, inclusief landelijke normen en wet en regelgeving, geldt ook voor externe partijen (leveranciers, ketenpartners) waarmee de gemeente samenwerkt (en informatie uitwisselt). De gemeente Amersfoort gaat zorgvuldig om met de privacy van medewerkers. Controle op inbreuk op de informatiebeveiliging door medewerkers (misbruik van informatie of van voorzieningen) vindt plaats binnen de kaders en mogelijkheden van de geldende wet- en regelgeving. Iedereen die toegang heeft tot het besloten gemeentelijke IT-netwerk is verplicht waar nodig gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht en bij vermeende inbreuken hiervan melding te maken. Informatiebeveiliging wordt in samenhang met architectuur vanaf de start van projecten geborgd als kwaliteitscomponent. Hiertoe wordt bij de start van projecten een analyse van beveiligingsrisico s en waar nodig een privacy impact assessment opgesteld. 4 Zoals: personeelsbeleid, integriteitsbeleid, huisvestingsbeleid, informatiebeleid, archiefverordening, besluit informatiebeheer 5 Zie bijlage D voor een opsomming zoals vermeld in de tactische BIG. 7

9 5. Leidende principes Het IB-beleid van de gemeente Amersfoort is gebaseerd op vier leidende principes. Deze vormen de basis en geven de richting voor het informatiebeveiligingsplan. Binnen deze principes zijn ook kaders en uitgangspunten gedefinieerd. Risicobeheersing Het neutraliseren van alle risico s of het voorkomen van alle incidenten is onmogelijk, immers 100% veilig bestaat niet. We voldoen in eerste instantie aan het voorgeschreven basisniveau van beveiliging (conform de BIG, zie hieronder het normenkader) en privacywetgeving. Daarnaast identificeren we informatie en systemen waarvoor aanvullende maatregelen nodig zijn. Hier worden de risico s in kaart gebracht en vinden risicoafwegingen plaats. Bij het selecteren en plannen van maatregelen vindt een prioritering op basis van afgewogen risico s plaats. Door maatregelen te treffen nemen de resterende risico s af. Door echter te veel of te straffe maatregelen te treffen, wordt mogelijk onnodig geld uitgegeven of wordt het dagelijks werk (gebruiksgemak) van medewerkers te veel beperkt. Er wordt gezocht naar een optimum tussen te weinig en te veel beveiliging. Uiteraard blijven we ook bij deze keuzes voldoen aan de relevante wet en regelgeving. Classificatie van informatie Om te kunnen bepalen welke beveiligingsmaatregelen moeten worden getroffen voor processen en informatiesystemen worden beveiligingsclassificaties toegepast. Hierbij is de aard van de informatie in deze processen leidend. Classificatie maakt het vereiste beschermingsniveau zichtbaar en maakt direct duidelijk welke maatregelen nodig zijn 6. Er wordt geclassificeerd op de drie betrouwbaarheidsaspecten van informatie: beschikbaarheid, integriteit (juistheid, volledigheid) en vertrouwelijkheid. 6 De eigenaar van de gegevens (veelal ook de proceseigenaar) bepaalt het vereiste beschermingsniveau (classificatie). Indien sprake is van wettelijke eisen, wordt dit expliciet aangegeven. 8

10 Er zijn drie beschermingsniveaus (laag, midden en hoog) en daarnaast is er nog een niveau geen. Dit niveau geeft aan dat er geen beschermingseisen worden gesteld, bijvoorbeeld omdat informatie openbaar is. Niveau Vertrouwelijkheid Integriteit Beschikbaarheid Geen Laag Midden Hoog Openbaar informatie mag door iedereen worden ingezien (bv: algemene informatie op de externe website van de gemeente Bedrijfsvertrouwelijk informatie is toegankelijk voor alle medewerkers van de organisatie (bv: informatie op het intranet) Vertrouwelijk informatie is alleen toegankelijk voor een beperkte groep gebruikers (bv: persoonsgegevens, financiële gegevens) Geheim informatie is alleen toegankelijk voor direct geadresseerde(n) (bv: zorggegevens en strafrechtelijke informatie) Niet zeker informatie mag worden veranderd (bv: templates en sjablonen) Beschermd het bedrijfsproces staat enkele (integriteits-) fouten toe (bv: rapportages) Hoog het bedrijfsproces staat zeer weinig fouten toe (bv: bedrijfsvoeringinformatie en primaire procesinformatie zoals vergunningen) Absoluut het bedrijfsproces staat geen fouten toe (bv: gemeentelijke informatie op de website) Niet nodig gegevens kunnen zonder gevolgen langere tijd niet beschikbaar zijn (bv: ondersteunende tools als routeplanner) Noodzakelijk informatie mag incidenteel niet beschikbaar zijn (bv: administratieve gegevens) Belangrijk informatie moet vrijwel altijd beschikbaar zijn, continuïteit is belangrijk (bv: primaire proces informatie) Essentieel informatie mag alleen in uitzonderlijke situaties uitvallen, bijvoorbeeld bij calamiteiten (bv: basisregistraties) 9

11 Toepassing BIG-normenkader Gemeenten hebben eind november 2013 gezamenlijk ingestemd met de Resolutie 'Informatiebeveiliging, randvoorwaarde voor de professionele gemeente (VNG) en zijn akkoord gegaan met het normenkader Baseline Informatiebeveiliging Nederlandse Gemeenten (de BIG). De BIG is ontwikkeld door de Informatie Beveiligings Dienst (IBD), een initiatief van VNG en KING. Het BIG-normenkader is opgezet rondom bestaande normen: de NEN/ISO 27002:2007 en de Baseline Informatiebeveiliging Rijksdienst (BIR). De ISO-standaard is vastgesteld voor de Nederlandse Overheid door het Forum Standaardisatie en algemeen aanvaard als de norm voor informatiebeveiliging. 7 De BIG-normen hebben betrekking op: Organisatie van de informatiebeveiliging; Beheer van bedrijfsmiddelen; Beveiligingseisen ten aanzien van personeel; Fysieke beveiliging en beveiliging van de omgeving; Beheer van communicatie- en bedieningsprocessen; Logische toegangsbeveiliging; Verwerving, ontwikkeling en onderhoud van systemen; Beheer van informatiebeveiligingsincidenten; Bedrijfscon nu teit; Naleving van het IB-beleid inclusief de relevante wet- en regelgeving. Toepassing van de BIG leidt tot het vereiste basis beveiligingsniveau. Dit niveau is toereikend voor het gemeentebreed omgaan met vertrouwelijke informatie. Het gaat dan bijvoorbeeld om persoonsvertrouwelijke informatie, commercieel vertrouwelijke informatie of gevoelige informatie in het kader van beleidsvorming. De BIG is niet voor alle informatie en systemen voldoende. Daarom wordt periodiek aan de hand van risico analyses onderzocht voor welke informatie en systemen een hoger beveiligingsniveau moet worden gehanteerd, en welke aanvullende maatregelen hiervoor moeten worden getroffen. Dit zal in ieder geval van toepassing zijn op systemen in het sociaal domein, de basisregistratie personen en de gemeentelijke website. Continu verbeteren Informatiebeveiliging wordt ingericht als een cyclus. Informatiebeveiliging is een continu verbeterproces. Plan, do, check en act vormen samen het managementsysteem van informatiebeveiliging. Deze kwaliteitscyclus is in onderstaande figuur weergegeven en kan met behulp van een Information Security Management System (ISMS) worden beheerd. Met de inzet van een ISMS werkt de gemeente Amersfoort conform de norm NEN/ISO Voor specifieke maatregelen is in de BIG ook gebruik gemaakt van de Wet Bescherming persoonsgegevens (WBP), de Wet Structuur Uitvoeringsorganisatie Werk en Inkomen (de SUWI-wet), de Gemeentelijke Basisadministratie (GBA en de opvolger BRP), de Basisregistratie Adressen en Gebouwen (BAG) en de Wet Paspoortuitvoeringsregeling (PUN). 10

12 Plan: De cyclus start met het IB-beleid, gebaseerd op wet- en regelgeving, landelijke normen zoals de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en best practices, uitgewerkt in regels voor onder meer informatiegebruik, bedrijfscontinuïteit en naleving. Planning geschiedt op jaarlijkse basis en wordt indien nodig tussentijds bijgesteld. De planning op hoofdlijnen is onderdeel van het CIO/IT jaarplan en uitgewerkt in het informatiebeveiligingsplan (IB-plan) van de gemeente. Do: Het beleidskader is de basis voor risicomanagement, uitvoering van (technische maatregelen en bevordering van beveiligingsbewustzijn. Uitvoering geschiedt op dagelijkse basis en maakt integraal onderdeel uit van het werkproces. Check: Controles zijn onderdeel van het werkproces met als doel: waarborgen van de kwaliteit van informatie en ICT, en compliance aan wet- en regelgeving. o Controle: betreft controle buiten het primaire proces door een auditor. Dit heeft het karakter van een steekproef. Jaarlijks worden meerdere van dergelijke onderzoeken uitgevoerd, waarbij de CIO/ICT in principe opdrachtgever is. Bevindingen worden gerapporteerd aan de CIO en de directie. o Self assessments: op initiatief van de CIO zal aan afdelingshoofden de opdracht worden gegeven tot het uitvoeren van een self assessment (ook wel zelf audit genoemd), waarbij risico s en maatregelen worden ge nventariseerd en beoordeeld. Act: De cyclus is rond met de uitvoering van verbeteracties o.b.v. check en externe controle. De cyclus is een continu proces; de bevindingen van controles zijn weer input voor de jaarplanning en beveiligingsplannen. De bevindingen worden in beginsel gerapporteerd aan de directie. Ingrijpende verbeteracties kunnen dan ook ter besluitvorming worden voorgelegd. 11

13 6. Organisatie van de informatiebeveiliging Verantwoordelijkheden, taken en rollen Iedereen die werkt binnen de gemeentelijke organisatie heeft een verantwoordelijkheid op het gebied van informatiebeveiliging. Een volledig overzicht hiervan is opgenomen in bijlage B, hier wordt volstaan met de belangrijkste rollen: College van B&W Stelt IB-beleid vast en controleert uitvoering Directie Eindverantwoordelijk voor uitvoering IB-beleid en interne controle Concern controller Bewaakt en adviseert, in rol van CISO, gevraagd en ongevraagd over informatieveiligheid Functionaris Gegevensbescherming Ziet toe op naleving van privacywetgeving en adviseert over verwerking van persoonsgegevens Afd.manager ITDA Afdelingsmanagers Eindverantwoordelijk voor informatiebeveiliging, uitvoering en bewaking Verantwoordelijk voor gebruik en veiligheid van gegevens Het College van B&W: o Stelt kaders voor informatiebeveiliging (IB) vast, op basis van landelijke en Europese wet- en regelgeving en landelijke normenkaders. De Directie: o o o o Is verantwoordelijk voor de uitvoering van het informatiebeveiligingsbeleid; Stuurt op de risico s; Controleert of de getroffen maatregelen overeenstemmen met de betrouwbaarheidseisen en of deze voldoende bescherming bieden; Evalueert periodiek de beleidskaders en stelt deze waar nodig bij. 12

14 De Concerncontroller: o o o De advies- en bewakingsfunctie op informatiebeveiliging ligt op strategisch niveau bij de concern-controller (CISO-rol); Rapporteert, in samenspraak met afdelingsmanager ITDA, over de implementatie van het beleid en het plan aan de directie; Heeft mandaat om zelf maatregelen uit te zetten. Functionaris Gegevensbescherming 8 o Ziet toe op naleving van privacywetgeving; o Adviseert over bescherming en borging van een juiste verwerking van persoonsgegevens in werkprocessen conform de wetgeving. De afdelingsmanager ITDA (IT Dienstverlening en Advies): o Is verantwoordelijk voor opstellen en implementeren van het beleid en het Informatiebeveiligingsplan; o Draagt zorg voor de beveiliging van de informatievoorziening en implementatie van (technische) beveiligingsmaatregelen die voortvloeien uit risicoanalyses en gegevensclassificaties; o Draagt zorg voor operationele bewaking en monitoring en voor de rapportage daarover; o Geeft (technisch) beveiligingsadvies aan de afdelingsmanagers. De afdelingsmanager: o o o o o Is verantwoordelijk voor de integrale beveiliging van de afdeling; Stelt op basis van een expliciete risicoafweging betrouwbaarheidseisen voor zijn informatiesystemen vast (gegevensclassificatie); Is verantwoordelijk voor de keuze, de implementatie en het uitdragen van de maatregelen die voortvloeien uit de betrouwbaarheidseisen; Stuurt op beveiligingsbewustzijn, bedrijfscontinuïteit en naleving van regels en richtlijnen (gedrag en risicobewustzijn); Rapporteert over de naleving aan wet- en regelgeving en algemeen beleid van de gemeente in de managementrapportages. De afdelingsmanager wordt hierbij geadviseerd en ondersteund door de afdeling IT Dienstverlening en Advies. 8 Kwartiermaker FG is aangesteld en leidt tot een permanente positie binnen de organisatie. 13

15 Overlegvormen Verschillende overlegvormen geven invulling aan het beleid: De Kerngroep Informatiebeveiliging (Structureel overleg) Afstemming van beleid en uitvoering vindt ambtelijk plaats in de Kerngroep Informatiebeveiliging op basis van een jaarlijks werkprogramma (aan de hand van het Informatiebeveiligingsplan) dat wordt vastgesteld door directie en de verantwoordelijke wethouder. De kerngroep wordt samengesteld met vertegenwoordigers uit verschillende afdelingen van de gemeente Amersfoort. De CISO is voorzitter en hij organiseert tenminste eenmaal per kwartaal een overleg met dit gremium. Naast de Concerncontroller zijn de vaste deelnemers: de afdelingsmanager ITDA en de (kwartiermaker) Functionaris Gegevensbescherming. De commissie datalekken (Incidenteel overleg) De tijdelijke Commissie Datalekken komt in actie als door een medewerker en/of een afdelingsmanager melding is gemaakt van een mogelijk datalek. De commissie coördineert de afhandeling van het datalek, zorgt dat de noodzakelijke acties ondernomen worden om het datalek te stoppen, ondersteunt de afdelingsmanager bij de (eventuele) melding aan de Autoriteit Persoonsgegevens en adviseert over technische en organisatorische maatregelen om herhaling te voorkomen. Themateams Voor specifieke zaken die apart aandacht vereisen kunnen themateams worden ingericht. Op dit moment is er een themateam Suwinet. 14

16 7. Speerpunten voor deze beleidsperiode De komende periode zet de gemeente in op drie speerpunten voor doorontwikkeling van de informatiebeveiliging. Deze speerpunten kunnen niet in één keer worden gerealiseerd. De fasering en het tijdspad wordt in het informatiebeveiligingsplan nader uitgewerkt en is mede afhankelijk van beschikbare middelen. Het belang van informatiebeveiliging is duidelijk voor iedereen Mensen zijn de sleutel tot informatiebeveiliging. De meeste incidenten komen niet voort uit gebrekkige techniek, maar vooral door menselijk handelen en een tekortschietende organisatie. Voorbeelden van informatiebeveiligingsmaatregelen zijn: clean desk policy, hoe om te gaan met mobiele apparaten en aanwijzingen voor het gebruik van mail, internet en thuiswerken. Naast dat medewerkers vooraf in kennis worden gesteld van de inhoud van het beleid en de maatregelen, is het van belang dat zij op de hoogte zijn van de mogelijke consequenties van het gebruik van systemen. En ook de consequenties (disciplinaire maatregelen) van het niet gebruiken van verplichte veiligheidsmaatregelen (systemen, procedures) kennen. De komende periode richten we ons qua bewustzijn specifiek op: Cursussen op het gebied van informatiebeveiliging worden ontwikkeld of ingekocht en zijn verplicht voor medewerkers die reeds in dienst zijn en nieuw binnenkomen. Nieuw personeel, al dan niet extern ingehuurd, wordt voorafgaand aan indiensttreding geïnformeerd over hun rol en verantwoordelijkheid op het gebied van informatiebeveiliging. Er worden bewustwordingscampagnes gehouden en er komen handreikingen gericht op bijv. mobiel werken en gebruik van . Het lijnmanagement bevordert en ziet er op toe dat medewerkers (intern en extern) zich houden aan beveiligingsrichtlijnen. In werkoverleggen en functioneringsgesprekken wordt periodiek aandacht geschonken aan informatiebeveiliging. Voor zover relevant worden hierover afspraken gemaakt. 15

17 Implementeren, (en aanscherpen) van het verplicht gebruik van (bestaande) technische hulpmiddelen. Informatiebeveiliging is geborgd in de organisatie Het informatiebeveiligingsbeleid moet geen papieren beleid zijn. Het doel is om in control te zijn op het gebied van informatiebeveiliging. Daarvoor wordt tenminste voldaan aan het basisniveau van informatiebeveiliging zoals dat gedefinieerd wordt door de BIG en door privacywetgeving. Ook worden aanvullende maatregelen ingevoerd. Het informatiebeveiligingsbeleid is en blijft - in lijn met het algemene beleid van de gemeente en de relevante landelijke en Europese wet- en regelgeving. Eind 2017 blijkt uit een onafhankelijke audit dat de gemeente voldoet aan de BIG. Eind 2016 is bepaald welke maatregelen nog niet zijn uitgewerkt en/of nog niet zijn ingevoerd. Er is geïnventariseerd welke processen een verhoogd risico kennen en waarvoor de BIGmaatregelen onvoldoende zijn. Voor deze processen zijn medio 2017 risicoanalyses uitgevoerd en aanvullende maatregelen ingevoerd. Vanaf de start van (ICT-)projecten wordt expliciet aandacht besteed aan informatiebeveiliging, privacy en gegevensbescherming. Er wordt voor ieder project een risicoanalyse uitgevoerd en indien vereist een privacy impact assessment. Er komt extra aandacht voor het gebruik van bijzondere persoonsgegevens en hierop wordt aanvullende monitoring ingericht. We zorgen dat we actueel zijn en blijven op de technische laag van informatiebeveiliging. Er is een verplichte meldingssystematiek in werking om alle informatiebeveiligingsincidenten en datalekken zo snel mogelijk te rapporteren aan de aangewezen contactpersoon. De logische toegang 9 tot de gemeentelijke informatiesystemen wordt herijkt. Het proces van identificatie, autorisatie en bijbehorende maatregelen wordt indien nodig verder aangescherpt. Regiepartners en IT-dienstenleveranciers zijn bekend met het informatiebeveiligingsbeleid van de gemeente Amersfoort en rapporteren hier periodiek over in management- of voortgangsrapportages. De gemeente kan bij hen controles uitvoeren. De gemeente Amersfoort voert zelf-audits uit waarbij risico s, gemaakte afspraken en maatregelen worden geïnventariseerd en beoordeeld. Aanbevelingen die volgen uit de zelfaudits worden zoveel mogelijk direct opgepakt. Om tot een vermindering van de auditlast te komen sluit Amersfoort aan op de ENSIA-systematiek. Amersfoort zal nog nadrukkelijker aanwezig zijn op de community van de Informatiebeveiligingsdienst (IBD). Andere gemeenten kunnen van ons leren en wij van hen. 9 Logische toegangsbeveiliging zorgt ervoor dat onbevoegden geen toegang kunnen krijgen tot gemeentelijke informatiesystemen en de informatie binnen deze gemeentelijke informatiesystemen. 16

18 Voor informatiebeveiliging is een P&C-cyclus ingericht Het informatiebeveiligingsbeleid is uitgewerkt in een jaarlijks te actualiseren informatiebeveiligingsplan. De inrichting van het Information Security Management System 10 (ISMS) wordt verder geoptimaliseerd. De Kerngroep Informatiebeveiliging is in positie en komt periodiek bijeen. Vanuit de kerngroep worden indien nodig specifieke themateams gevormd. Ten behoeve van de begroting wordt tijdig aangegeven welke middelen gewenst zijn voor informatiebeveiliging en welke risico s ontstaan wanneer de middelen niet beschikbaar worden gesteld. De CISO en afdelingsmanager ITDA rapporteren over de stand van zaken, incidenten en verbeterpunten aan de directie. Hierbij wordt ook aandacht besteed aan informatiebeveiliging bij regiepartners en aan de resultaten van landelijke audits op het gebied van (o.a.) Suwinet, DigiD en BRP. Het College en de Gemeenteraad worden jaarlijks geïnformeerd over informatiebeveiliging binnen de instrumenten van de gemeentelijke planning & control cyclus. 10 Het systeem voor het monitoren van activiteiten op het gebied van informatiebeveiliging. De PDCA-cyclus is hierin vormgegeven. 17

19 Slot Dit nieuwe informatiebeveiligingsbeleid zorgt ervoor dat we solide en actueel blijven handelen op het gebied van informatiebeveiliging. We zijn voorbereid op de dreigingen waar we mee te maken hebben en zorgen ervoor dat de burgers en bedrijven er op kunnen vertrouwen dat hun gegevens veilig zijn. Na vaststelling van dit informatiebeveiligingsbeleid zal dit worden uitgewerkt in het nieuwe Informatiebeveiligingsplan , waarbij jaarlijks een evaluatie en eventuele bijstelling plaatsvindt. 18

20 BIJLAGEN 19

21 Bijlage A: Bevindingen 2015 Grootschalige uitval (meer dan 4 uur) van de computer-systemen heeft niet plaatsgevonden. Volledig voldaan aan de normen van de DigiD-audit uitgevoerd door Deloitte, voorjaar Volledig voldaan aan de normen van de inspectie SZW voor een veilig gebruik van suwinetgegevens (najaar 2015). Onze websites, zoals Amersfoort.nl, zijn niet gehackt. De samenwerking met de IBD leverde ook dit jaar veel voordelen op. Meerdere keren zijn de contactpersonen binnen Amersfoort door de IBD geïnformeerd over kwetsbaarheden en bedreigingen. De verplichte uitwijktest voor de BRP en BAG uitgevoerd in Leusden (voorjaar 2015). Bewustwordingsacties rond informatiebeveiliging door gemeentebrede acties. Voorbeeld: hoe herken je phishing-mail. Bezoek visitatiecommissie Informatieveiligheid CITAAT VISITATIECOMMISSIE INFORMATIEVEILIGHEID Suwinet Amersfoort gaat zorgvuldig om met het gebruik van Suwinet gegevens. Dit wordt bewaakt door een werkgroep met medewerkers van de afdeling Werk, Inkomen en Zorg, en de beleidsadviseur informatiebeveiliging. De werkgroep analyseert rapportages van de controlerende instantie (BKWI), participeert in bewustwordingsacties en adviseert en rapporteert aan de afdelingsmanager WIZ. In 2015 zijn alle gemeenten door de Inspectie SZW gecontroleerd op een zorgvuldig gebruik van Suwinetgegevens. Amersfoort, en daarmee ook de gemeente Leusden, voldoet aan de 7 gestelde normen. De commissie heeft het beeld dat de gemeente Amersfoort op een krachtige en innovatieve manier werkt aan informatieveiligheid. Daarbij viel de Commissie specifiek de volgende zaken positief op: Het beeld is dat Amersfoort veel aandacht heeft voor de betrokkenheid van de organisatie bij informatieveiligheid. Dit is terug te zien in de permanente aandacht voor het onderwerp op zowel ambtelijk als bestuurlijk niveau. Amersfoort heeft informatieveiligheid stevig ingebed in de reguliere governance-structuur. Dit waarborgt de sturing vanuit de lijn op het onderwerp. Amersfoort werkt in de ogen van de Commissie op een Incidenten Naast de kleine incidenten (vergeten wachtwoorden) zijn er op aangeven van de IBD preventieve maatregelen doorgevoerd. Daarnaast zijn de volgende ingrijpende incidenten geweest: - Als gevolg van enkele ransomware virus infecties zijn bestanden onbruikbaar geworden. Door interne beveiligingsmaatregelen bleef de schade beperkt tot enkele medewerkers of afdeling/team. Bestaande herstelprocedures zorgden er voor dat er slechts enkele bestanden verloren zijn geraakt zonder verdere gevolgen. - Verkeerd gebruik suwinet-gegevens suwinet (geen doelbinding) 20

22 Bijlage B: Interne organisatie, taken en rollen Taken en rollen Toelichting De raad Controleert de uitvoering van het beleid. De raad wordt door het college geïnformeerd over informatiebeveiliging. College van B&W Eindverantwoordelijk voor informatiebeveiliging. Het vaststellen van het informatiebeveiligingsbeleid. Het informeren van de gemeenteraad. Iedere vier jaar wordt het beleid geactualiseerd; tenzij er noodzaak is dit eerder vast te stellen. Directie Adviseert B&W over vast te stellen beleid. Het vaststellen van de richtlijnen en maatregelen. Het vaststellen van het jaarplan informatiebeveiliging. Leidinggevenden (afdelingsmanager, teammanager) Verantwoordelijk voor de handhaving van de benodigde beveiliging van de gegevens waarvan zij eigenaar zijn. Het beleid actief uitdragen en toezien op naleving. Stimuleren van en toezien op het beveiligingsbewustzijn bij medewerkers. Doen aan risico- en bedrijfscontinuïteit-management in overleg met de CISO. Medewerker/ Gebruiker Iedere medewerker is verplicht gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht. Elke medewerker is voorts verplicht ieder beveiligings-incident direct te melden. Kerngroep Informatiebeveiliging De visie op informatiebeveiliging en het uitdragen daarvan. Het opstellen en uitvoeren van het informatiebeveiligingsbeleid en toezien op de naleving hiervan. Het behandelen van actuele informatiebeveiligingsonderwerpen. Kerngroep (her)start in 2016 CISO (Concern Information Security Officer) Voorzitter van de Kerngroep Informatiebeveiliging. Adviseert de directie gevraagd en ongevraagd op het gebied van informatiebeveiliging. Rapporteert over beveiligingsincidenten en -status aan directie. Is mede opdrachtgever voor het opstellen van richtlijnen, maatregelen en het jaarplan informatiebeveiliging. Bewaking en monitoring van opvolging van aanbevelingen uit audits. Deze rol is belegd bij de concerncontroller. 21

23 Afdelingsmanager ITDA / CIO Is verantwoordelijk voor alle beheeraspecten van informatiebeveiliging, zoals ICT security management, incident- en problem management; Het opstellen van het jaarplan informatiebeveiliging, het bewaken en rapporteren over de voortgang hiervan. Het implementeren van (technische) beveiligingsmaatregelen Is opdrachtnemer van het opstellen van richtlijnen, maatregelen en het jaarplan informatiebeveiliging. Adviseur Informatievoorziening (Security Officer) Adviseren en ondersteunen van de CISO/CIO. Ondersteunen van het lijnmanagement. Het opstellen van richtlijnen en maatregelen. Het toezien op naleving van het beleid. Toezien op de implementatie van de BIG-normen. TISO (Technical Information Security Officer) Het adviseren van de CISO/afdelingsmanager ITDA op de technische aspecten van de informatiebeveiliging. Dagelijks beheer van technische IB-aspecten. Een bijdrage leveren aan het jaarplan IB. Deze verantwoordelijkheid is belegd bij de teammanager R&B van ITDA. Functionaris Gegevensbescherming (ook wel Data Protection Officer genoemd) Toezien op naleving van privacywetgeving. Adviseren over bescherming en borging van een juiste verwerking van persoonsgegevens in werkprocessen conform de wetgeving. Rol en positie van Functionaris Gegevensbescherming wordt in het najaar van 2016 nader onderzocht. Commissie Datalek Themateams Themateam Continuïteit Het afhandelen van datalekken binnen het proces Beheer informatiebeveiligingsincidenten. Themateams vullen de informatiebeveiliging in bij het betreffende thema. Deze werken onder voorzitterschap van de SO. Bij een (grote) calamiteit c.q. ernstige verstoring qua beschikbaarheid van informatiesystemen wordt een kernteam Continuïteit geactiveerd. De werkwijze is vastgelegd in een Continuïteitsplan, dat jaarlijks wordt geactualiseerd. Een goed voorbeeld van een huidig themateam is het team Suwinet. Daarnaast evt. aparte teams voor BRP, BAG, ITaudit, ENSIA (Enkelvoudige Normatiek Single Information Audit), e.d. Bestaat uit de CISO, afdelingsmanager ITDA, relevante experts en afdeling Communicatie Interne controleurs Interne controleurs voeren in opdracht van de CISO audits uit op de informatiebeveiliging. Voor SZ en BZ de controle op de actualiteit van accounts en juistheid van autorisaties. Eén functionaris binnen Burgerzaken is betrokken bij informatiebeveiliging (zelf-audit GBA). Eén functionaris bij Belastingen (voor de audit reisdocumenten). 22

24 Personeelszaken Facilitaire zaken Arbeidsvoorwaardelijke zaken en integriteit Fysieke toegangsbeveiliging Leveranciers, bewerkers en ketenpartners Voldoen aan het informatiebeveiligingsbeleid van de gemeente Amersfoort (Compliance). Zij zijn onder omstandigheden ook verantwoordelijke in de zin van de Wbp. Met hen moeten specifieke afspraken over de melding van datalekken worden gemaakt. 23

25 Bijlage C: De BIG op hoofdlijnen BIG Strategische Baseline De Strategisch Baseline kan gezien worden als de kapstok waaraan de elementen van informatiebeveiliging opgehangen worden. Centraal staan de organisatie en de verantwoording over informatiebeveiliging binnen de gemeente. De Strategische Baseline is een separaat document. BIG Tactische Baseline De Tactische Baseline beschrijft de normen en maatregelen ten behoeve van controle en risicomanagement. De Tactische Baseline beschrijft aan de hand van dezelfde indeling als de internationale beveiligingsnorm ISO/IEC 27002:2007, de controls/maatregelen die als Tactische Baseline gelden voor de gemeenten. De Tactische Baseline omvat onderhavig document. BIG Operationele baseline Om de invoering van de Strategische en Tactische Baseline te ondersteunen, zijn door de Informatie Beveiligingsdienst Gemeenten producten ontwikkeld op operationeel niveau. Deze producten zijn samen met een groot aantal betrokken gemeenten vervaardigd, vertegenwoordigers van deze gemeenten hebben de producten gereviewd. De gemeente Amersfoort baseert haar Informatiebeveiligingsbeleid alsmede het Informatiebeveiligingsplan op basis van deze drie BIG-niveau s. Er wordt zoveel als mogelijk gebruik gemaakt van de producten die door de IBD worden aangereikt. 24

26 Bijlage D: Landelijke Wet- en regelgeving - Wet Bescherming Persoonsregistratie en Vrijstellingsbesluit Wet bescherming persoonsregistratie (incl. meldplicht datalekken) - Wet Openbaarheid van Bestuur - Wet Computercriminaliteit II - Comptabiliteitswet - Archiefwet - Wet Particuliere Beveiligingsorganisaties en Recherchebureaus (WBPR) - Wet Veiligheidsonderzoeken (WVO) - Wet Politiegegevens (WPG) - Ambtenarenwet - Voorschrift Informatiebeveiliging Rijksdienst (VIR:2007) - Voorschrift Informatiebeveiliging Rijksdienst - Bijzondere Informatie (VIRBI:2013) - Beveiligingsvoorschrift Rijksdienst 2013 (BVR 2013) - CAR-UWO - PUN - Algemene Rijksvoorwaarden bij IT-overeenkomsten (ARBIT2014) - Kader Rijkstoegangsbeleid - Uitgangspunten online communicatie rijksambtenaren - Programma van Eisen PKI Overheid - Code voor Informatiebeveiliging (ISO 27001:2005 en ISO 27002:2007) - Telecommunication Infrastructure Standard for Data Centers (TIA-942) - Wet SUWI - Wet op de identificatieplicht - Wet Elektronisch Bestuurlijk Verkeer (WEBV) - Wet GBA en wet BRP - Wet Werk en Bijstand - Registratiewet - Algemene wet bestuursrecht - Richtlijnen van het Nationaal Cyber Security Centrum (NCSC) 25