René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

Maat: px

Weergave met pagina beginnen:

Download "René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG"

Lennert Pieters
6 jaren geleden
Aantal bezoeken:

1 ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases 7. Vragen 1

2 Partners van SEP 2

3 ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases 7. Vragen René IJpelaar VIAG-congres, 3 november Een slimme implementatie én 2014 goede borging van de BIG 3

1 2 3 4 5 6 Baseline Informatiebeveiliging Gemeenten Standaard

0 Slim samenwerkende gemeenten BIG: jaarlijks focus aanbrengen

1 november 2013 29 november 2013 VNG & KING Informatie

4 Baseline Informatiebeveiliging Gemeenten Standaard aanpak Slimme aanpak ISMS 2.0 Slim samenwerkende gemeenten BIG: jaarlijks focus aanbrengen Aanpak informatieveiligheid gemeenten Waar begon het ook al weer? 1 november november 2013 VNG & KING Informatie Beveiligings Dienst (IBD) Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente aangenomen 4

Aanpak informatieveiligheid gemeenten Inhoud resolutie: 1. bestuurlijk en ambtelijk borgen 2.

transparant zijn over de lokale invulling van informatieveiligheid (in control verklaring) Baseline Informatiebeveiliging

Gemeenten een hulpmiddel bieden om aan alle eisen op het gebied van van Informatieveiligheid te kunnen voldoen. 3.

5 Aanpak informatieveiligheid gemeenten Inhoud resolutie: 1. bestuurlijk en ambtelijk borgen 2. de BIG (Baseline Informatiebeveiliging Gemeenten) implementeren 3. transparant zijn over de lokale invulling van informatieveiligheid (in control verklaring) Baseline Informatiebeveiliging Gemeenten (BIG) = BIG! Doel: 1. Gemeenten op een vergelijkbare manier efficiënt laten werken met informatieveiligheid. 2. Gemeenten een hulpmiddel bieden om aan alle eisen op het gebied van van Informatieveiligheid te kunnen voldoen. 3. De auditlast bij gemeenten te verminderen. BIG betekent 39 doelstellingen in 11 domeinen, 133 mogelijke beheersmaatregelen en 303 mogelijke beveiligingsmaatregelen. 4. Gemeenten zijn een aantoonbaar betrouwbare partner. 5

Baseline Informatiebeveiliging Gemeenten 11 domeinen: A.5 Beveiligingsbeleid A.6 Organisatie van de informatiebeveiliging A.7 Beheer van bedrijfsmiddelen A.8 Personele beveiliging A.

6 Baseline Informatiebeveiliging Gemeenten 11 domeinen: A.5 Beveiligingsbeleid A.6 Organisatie van de informatiebeveiliging A.7 Beheer van bedrijfsmiddelen A.8 Personele beveiliging A.9 Fysieke beveiliging en beveiliging van de omgeving A.10 Beheer van communicatie- en bedieningsprocessen A.11 Logische toegangsbeveiliging A.12 Verwerving, ontwikkeling en onderhoud van informatiesystemen A.13 Beheer van informatiebeveiligingsincidenten A.14 Beheer van bedrijfscontinuïteit A.15 Naleving A.5 A.6 A.7 A.8 A.9 A.10 A.11 A.12 A.13 A.14 A.15 Domeinen A.11.1 A.11.2 A.11.3 A.11.4 A.11.5 A.11.6 A.11.7 A A A Doelstellingen Beheersmaatregelen 1 2 Baseline Informatiebeveiliging Gemeenten Standaard aanpak Slimme aanpak ISMS 2.0 Slim samenwerkende gemeenten BIG: jaarlijks focus aanbrengen 6

Standaard aanpak Bestaat uit: GAP analyse op

wins en daarna impactanalyse Ervaring: nog geen 25%

BIG verplicht: jaarlijks risico-afweging, elk jaar

Stel: 200 nog te nemen met gemiddeld 2 teams

7 Standaard aanpak Bestaat uit: GAP analyse op diepste niveau (303 beveiligingsmaatregelen), quick wins en daarna impactanalyse Ervaring: nog geen 25% voert impactanalyse uit Waar is de focus? BIG verplicht: jaarlijks risico-afweging, elk jaar opnieuw focus aanbrengen! Implementatie is niet eenmalig! Fasering en planning Vuistregel praktijk: per maatregel 16 uur per betrokken team. 303 maatregelen. Stel: 200 nog te nemen met gemiddeld 2 teams betrokken: 200 * 2 * 16 = 6400 uur Op basis van concrete voorbeelden Advies: Focus aanbrengen door: 1. Slimme aanpak én 2. Gebruik van standaard ISMS. Dat scheelt tijd! 7

1 2 3 4 5 6 Baseline Informatiebeveiliging Gemeenten Standaard aanpak Slimme aanpak

0 Slim samenwerkende gemeenten BIG: jaarlijks focus aanbrengen Ervaring slimme aanpak

meer dan 50 gemeenten Slimme aanpak: 1. Pas toe of leg uit: Top is verantwoordelijk.

8 Baseline Informatiebeveiliging Gemeenten Standaard aanpak Slimme aanpak ISMS 2.0 Slim samenwerkende gemeenten BIG: jaarlijks focus aanbrengen Ervaring slimme aanpak Bij 50 gemeenten Ervaring slimme aanpak: Gebaseerd op best practice ISO 27001, bij meer dan 50 gemeenten Slimme aanpak: 1. Pas toe of leg uit: Top is verantwoordelijk. Alle bedrijfsprocessen zijn in control Transparant: zeg wat je doet en doe wat je zegt. 2. Een werkende verbetercyclus: Géén eenmalige actie, maar permanente verbetercyclus. 8

): gap analyse en impactanalyse tegelijk uit te voeren op

Stuurinstrument: Verklaring Van Toepasselijkheid (VVT) 3.

Jaarlijkse herhaling, focus aanbrengen Voordelen Sneller inzicht met

9 Slimme aanpak Bestaat uit: 1. Gezamenlijke commitment en focus binnen één week (!): gap analyse en impactanalyse tegelijk uit te voeren op beheermaatregel niveau (133) 2. Stuurinstrument: Verklaring Van Toepasselijkheid (VVT) 3. Gebruik ISMS 2.0 voor sturing en procedures 4. Jaarlijkse herhaling, focus aanbrengen Voordelen Sneller inzicht met minder inzet mét alle stakeholders betrokken Meer focus op impactanalyse de juiste dingen doen Overzicht stand van zaken tbv management met verbeterplanning en verantwoording Binnen één week meer tijd voor implementatie 9

Inclusief: Dashboard Overzicht stand van zaken

10 VVT (in control verklaring) Zorg voor een AO die voldoet en blijft voldoen aan de Baseline Informatiebeveiliging Gemeenten! Inclusief: Dashboard Overzicht stand van zaken Verbeterplanning Management commitment Kern: Verklaring Van Toepasselijkheid 10

11 ISMS 2.0 Voortgang 11

Dashboard 1 2 3 4 5 6 Baseline Informatiebeveiliging Gemeenten Standaard aanpak

12 Dashboard Baseline Informatiebeveiliging Gemeenten Standaard aanpak Slimme aanpak ISMS 2.0 Slim samenwerkende gemeenten BIG: jaarlijks focus aanbrengen 12

13 Gebruikers Maatregelen 13

14 Beheer- én beveiligingsmaatregelen Voortgang 14

15 Controles en notificaties Van toepassing? Dan bijbehorende documenten gekoppeld aan maatregel 15

16 Documenten Eigen documenten 16

17 In control verklaring Collegeverklaring (bestuur, management, visitatiecommissie, ENSIA) Voortgangbespreking Risico-afweging Downloaden Verklaring Van Toepasselijkheid 17

18 Export VVT + documenten We staan klaar voor de ENSIA! 18

19 Pilot importfunctie ENSIA-tool Export: vragenlijst + collegeverklaring ISMS 2.0 Compleet, integraal én goede basis voor de single audit 19

1 2 3 4 5 6 Baseline Informatiebeveiliging

20 Baseline Informatiebeveiliging Gemeenten Standaard aanpak Slimme aanpak ISMS 2.0 Slim samenwerkende gemeenten BIG: jaarlijks focus aanbrengen ISMS 2.0 Organisatiestructuren 4 basisvarianten van een ISMS-structuur SO SO SO SO SO O OO OO OO OO OO OO 20

21 Slim samenwerkende gemeenten Overzichten gezamenlijk en individueel Samenwerkende organisatie gekoppeld 21

Baseline Informatiebeveiliging Gemeenten 2 Standaard aanpak 3 Slimme

22 Slim samenwerkende gemeenten G G S S G G G Ieder eigen verantwoordelijkheid en toch gezamenlijk overzicht en inzicht S 1 Baseline Informatiebeveiliging Gemeenten 2 Standaard aanpak 3 Slimme aanpak 4 ISMS Slim samenwerkende gemeenten 6 BIG: jaarlijks focus aanbrengen 22

23 Jaarlijks focus aanbrengen Demingcirkel Monitoren, controleren en focus aanbrengen Implementeren met behulp van ISMS Inventariseren ISMS 2.0 Maatregelen doornemen en invoeren in ISMS 2.0 met VVT Vaststellen in VVT en beveiligingsplan Klanten ISMS, o.a.: 23

24 ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Vragen ISMS 2.0 Beveiliging SSL certificaat EV (Extended Validatie) SSL-certificaat met groene adresbalk en bedrijfsnaam zichtbaar diverse testen VPS bij TransIP.nl Amsterdam hoge beveiliging 100% CO 2 neutraal, groene stroom certificering ISO 9001 ISO ISO backup 48 24

Contentreleases 7. Vragen ISMS 3.0 nieuwe functies die (zeker) in 3.

25 ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases 7. Vragen ISMS 3.0 nieuwe functies die (zeker) in 3.0 komen Interface Gebruikersinterface meer conform standaard en consistent Outlook menustructuur inklapbare menu s kruimelpad mijn account menu uitbreiding dashboard grafische vormgeving met domeinfilters doorklikmogelijkheden uitbreiding rapportages 50 25

26 ISMS 3.0 Interface 51 ISMS 3.0 Interface 52 26

27 ISMS 3.1 nieuwe functies in 3.1 SEPtember / begin stappen gebruikers / adviseurs gebruikersgroep gebruikersenquête 53 ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases 7. Vragen 27

Inhoudelijk Content aanpassingen Content Per januari 69 gewijzigde documenten Tussentijds gerealiseerde aanpassingen Nieuwe al gerealiseerde content Op speciaal verzoek van Burgerzaken, begin juni

28 Inhoudelijk Content aanpassingen Content Per januari 69 gewijzigde documenten Tussentijds gerealiseerde aanpassingen Nieuwe al gerealiseerde content Op speciaal verzoek van Burgerzaken, begin juni 2017 Juli Informatiebeveiligingsbeleid Inhoudelijk Content aanpassingen Per januari 69 gewijzigde documenten Tussentijds gerealiseerde aanpassingen Informatiebeveiligingsbeleid Eed of gelofte Procedure melden van incidenten Werkinstructie melden datalekken Informatiebulletin meldplicht datalekken ISMS-Verklaring van Toepasselijkheid template Bijlage inkoopvoorwaarden vanuit BIG 56 28

5.1.2 Informatiebeveiligingsbeleid Inhoudelijk Content aanpassingen Nieuwe al gerealiseerde content Speciale versie voor belastingkantoren 8.2.1.6 Flyer omgaan met informatie voor medewerkers 8.

1.2 Informatiebeveiligingsbeleid Inhoudelijk Content aanpassingen Op speciaal verzoek van Burgerzaken, begin juni 2017 15.3.1.1 Cross reference vragenlijst BRP met vindplaats ISMS8.

29 5.1.2 Informatiebeveiligingsbeleid Inhoudelijk Content aanpassingen Nieuwe al gerealiseerde content Speciale versie voor belastingkantoren Flyer omgaan met informatie voor medewerkers Flyer omgaan met informatie voor beheerders Flyer omgaan met informatie voor informatieverwerkers Flyer omgaan met informatie voor leidinggevenden Informatiebeveiligingsbeleid Inhoudelijk Content aanpassingen Op speciaal verzoek van Burgerzaken, begin juni Cross reference vragenlijst BRP met vindplaats ISMS Flyer omgaan met informatie voor medewerkers Cross reference vragenlijst PNIK met vindplaats ISMS 58 29

30 5.1.2 Informatiebeveiligingsbeleid Inhoudelijk Content aanpassingen Juli Cross reference vragenlijst Suwinet met vindplaats ISMS uit Ensia tool Overige aanpassingen i.v.m. Suwinet Collegeverklaring Informatiebeveiliging (ENSIA) Functiebeschrijving Beveiligingsfunctionaris Waardedocumenten Functiebeschrijving Beveiligingsbeheerder BRP Mobile devicemanagement Aanpassingen i.v.m. nieuwe DigiD assessment 59 ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases 7. Vragen 30

31 Vragen? 31

Vergelijkbare documenten

Gemeente Alphen aan den Rijn

Gemeente Alphen aan den Rijn Informatiebeveiligingsbeleid (t.b.v. ICT Forum Lokale Overheid) Van een Informatiebeveiligingsbeleid naar de dagelijkse praktijk Maart 2016, afdeling I&A Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid