Handreiking Informatieveiligheid

Transcriptie

1 E L N C O Z T & A A N andreiking nformatieveiligheid EENT VE VEDEPEN VENDEN VEANDEEN

2 andreiking nformatieveiligheid emeenten hebben massaal ingestemd met de resolutie informatieveiligheid, randvoorwaarde voor de professionele gemeente. Dat betekent, dat u informatieveiligheidsbeleid moet vaststellen en uitvoeren en zorgen dat het in uw organisatie wordt nageleefd! De aseline nformatiebeveiliging emeenten Een normenkader met doelstellingen in domeinen en mogelijke beheersmaatregelen. eeft u al een CO (Chief nformation ecurity Officer) die dit oppakt en hiervoor capaciteit heeft? Alstublieft, deze handreiking is iets voor u! Voldoen aan de aseline nformatiebeveiliging emeenten van de VN én dit op de meest efficiënte wijze invullen met % besparing op de capaciteit van de CO. oe? Leest u deze andreiking nformatieveiligheid! ierin wordt ingegaan op: hoe wij u kunnen ontzorgen informatiebeveiliging en de aseline nformatiebeveiliging emeenten de stappen die gezet moeten worden de keuzes in de aanpak de investering en besparing als u kiest voor ontzorgen. ekenvoorbeeld Voor een gemeente tot. inwoners is al gauw een capaciteit nodig van à dagen in de week voor de CO. et deze andreiking nformatieveiligheid (consultancydagen met gebruik ) is dat à dagen in de week en bespaart u tot % op deze capaciteit.

3 E L N C O Z T & A N D V P Z et slechts enkele dagen consultancy, gebruikmakend van het nformation ecurity anagement ystem () zet u een belangrijke eerste stap naar informatieveiligheid. krijgt een op maat gesneden informatiebeveiligingsplan dat voldoet en blijft voldoen aan de aseline nformatiebeveiliging emeenten (). kunt op efficiënte wijze inzicht krijgen in de door u te nemen maatregelen. maakt vaart! et nformation ecurity anagement ystem () is ontwikkeld en beschikbaar gesteld met circa documenten. et dient als basis voor een adequaat beveiligingsbeheer voor de processen in uw gemeente. et informatiebeveiligingsplan is gemeentebreed en bevat de grote informatiesystemen zoals A/P (incl. eisdocumenten), ociale Zaken inclusief DD/uwinet, elastingen, inanciën, Vastgoed, P&O en de kantoorautomatisering. ontvangt de vertaling van álle doelstellingen in domeinen met beheersmaatregelen naar uw situatie met bijbehorende beleidsregels, procedures, voorschriften, controlelijsten, voorbeelden en rapportages op maat geleverd. ierdoor zet u een belangrijke eerste stap. krijgt een blijvend actueel informatiebeveiligingsplan dat voldoet aan de. een onderhoudsabonnement waardoor onderhoud bij wijziging van landelijke regelgeving is gegarandeerd. hoeft niet steeds de gehele baseline te doorlopen en bij te houden. Jaarlijks wordt bepaald wat van de bij u van toepassing is. et informatie- beveiligingsplan wordt bijgesteld, alsmede alle bijbehorende documenten. aakt u zich zorgen over uw informatieveiligheid? ilt u in korte tijd inzicht in de door u te nemen maatregelen en in welke bij u van toepassing zijn? et zo min mogelijk inzet en kosten zodat u gericht aan de slag kunt met de invoering van de maatregelen? Dat kan! Zo ontzorgen wij u! Onze consultant komt bij u langs. amen neemt u het door en de specifieke situatie van uw gemeente. De maatregelen worden één voor één met u geïnventariseerd. De resultaten worden met u besproken. ziet in één oogopslag welke stappen u nog moet nemen. De adviezen worden aangeleverd zodat elke afdeling met zijn onderdeel aan de slag kan. Jaarlijks wordt het informatiebeveiligingsplan bijgesteld naar uw situatie. De begeleiding door EENT:

4 De benodigde stappen Aan de slag met informatiebeveiliging met de volgende stappen: nventariseren Analyseren en afwegen Vaststellen mplementeren onitoren en controleren. nventariseren Als ambtelijk of bestuurlijk verantwoordelijke wilt u weten hoe het gesteld is met uw informatiebeveiliging. aar staat u als organisatie? eet u wat de risico s zijn en welke risico s u binnen uw organisatie loopt? eeft u de deskundigheid in huis om u dit uit te leggen en te beoordelen? eeft u een Chief nformation ecurity Officer (CO) aangesteld en is deze voldoende opgeleid? ndien u één van deze vragen met nee heeft beantwoord, dan is het verstandig advies in huis te halen. loopt risico!. Vaststellen Nadat de risico s zijn afgewogen en de te nemen maatregelen benoemd, legt u deze verantwoordelijkheid vast in een informatiebeveiligingsplan. n een advies worden de risico s en de te nemen maatregelen voorgelegd aan het bestuur. Tevens wordt op basis van een verklaring van toepasselijkheid bepaald welke maatregelen wel en welke niet (en waarom niet) uit de worden overgenomen. ierdoor zal het bestuur zijn verantwoordelijkheid kunnen nemen.. onitoren en controleren nformatiebeveiliging is steeds risicovoller geworden en vergt een continu proces van aandacht. wilt hier regie over voeren. nformatiebeveiliging speelt door de hele organisatie maar wordt vaak als een lastig onderwerp ervaren. et is een onderwerp dat niet binnen één afdeling kan worden ondergebracht waardoor het risico bestaat dat het van niemand is. eden te meer om dit onderwerp zeker eenmaal per jaar te monitoren en te controleren of uw eigen informatiebeveiliging nog voldoet aan de en de maatregelen nog actueel zijn.. Analyseren en afwegen n de aseline nformatiebeveiliging emeenten () zijn maatregelen opgenomen. eet u in welke mate u hieraan voldoet? De eerste stap die u zet is het zorgvuldig en met de juiste deskundigheid doornemen van al deze maatregelen en per maatregel een afweging maken of u risico loopt en in welke mate deze maatregel door uw gemeente is ingevuld. Niet alle risico s of maatregelen hoeven op u van toepassing te zijn. Onze adviseur voert deze stap uit samen met uw CA/hoofd CT, uw gebouwbeheerder, uw personeelsconsulent en de CO (in spe).. mplementeren van maatregelen Nu alle te nemen maatregelen in beeld zijn, wordt gestart met de implementatie. De functionaris in de gemeente die belast is met de informatiebeveiliging (Chief nformation ecurity Officer) gaat aan de slag met de implementatie van de maatregelen.

5 Zo kiest u uw aanpak eeft u al een CO aangesteld? JA ooi, een belangrijke stap is gezet. eeft deze CO al de meest actuele kennis van de aseline nformatiebeveiliging emeenten in zijn nieuwe takenpakket? NEE Er is nog geen CO aangesteld. Advies: zoekt expertise buitenshuis om u te ondersteunen met het opstellen van een profiel en de inhoudelijke stappen zoals hiervoor genoemd. Zie hiervoor de benodigde stappen. JA heeft een CO met kennis. eeft deze CO voldoende capaciteit beschikbaar om de stappen te doorlopen zoals hiervoor genoemd? NEE heeft nog niet de juiste kennis in huis. Advies: meld uw CO aan voor de opleiding CO bij EENT. JA Prima! kunt aan de slag met de genoemde stappen. gaat het gesprek aan met de CO en vraagt hem de stappen te doorlopen en hierover te rapporteren. NEE heeft niet voldoende capaciteit bij de CO. Advies: ondersteun de CO. Zie hiervoor de benodigde stappen. Top! heeft uw zaken op orde! ij kunnen u ontzorgen!

6 pecificatie van de aanpak EENT doorloopt met u de eerste stappen: het inventariseren, analyseren en risico s afwegen in samenwerking met een extern expert. ierdoor bent u snel op weg en heeft u inzicht in uw situatie. et abonnement houdt in dat u, na de eerste opzet van het informatiebeveiligingsplan met alle beheersmaatregelen, door middel van een jaarlijkse monitor actueel blijft met de ontwikkelingen op het gebied van informatiebeveiliging en de en uw organisatie veel tijd bespaart. EENT zorgt voor een actueel nformation ecurity anagement ystem () waardoor u zodra uw organisatie daarvoor gereed is voldoet aan de en tevens voor audits verzekerd bent. Daarmee voldoet uw informatiebeveiligingsplan aan de, met de doelstellingen, domeinen en mogelijke beheersmaatregelen. moet als gemeente zelf de beheersmaatregelen invoeren en controleren. EENT kan u hierbij wel ondersteunen. De domeinen A. Organisatie van de informatiebeveiliging A. eheer van bedrijfsmiddelen nclusief de volgende extra s: voldoen aan uwinet richtlijnen voldoen aan eglement ijbewijzen voldoen aan Paspoort itvoeringsregeling Nederland voldoen aan A voorschriften P voldoen aan beveiligingseisen A inspectie voldoen aan eisen DigiD assessment Logius. A. eveiligingsbeleid A. Logische toegangsbeveiliging A. Verwerving, ontwikkeling en onderhoud van informatiesystemen A. Personele beveiliging A. eheer van informatiebeveiligingsincidenten A. ysieke beveiliging en beveiliging van de omgeving A. eheer van communicatie- en bedieningsprocessen A. eheer van bedrijfscontinuïteit A. Naleving Optioneel*: uitvoeren AP analyse D bewustwordingstraject management en college communicatietraject, plan, uitingen inzetten ystery uests uitvoeren penetratie en vulnerability tests uitvoeren Privacy mpactanalyse D uitvoeren zelfevaluatie reisdocumenten uitvoeren zelfevaluatie A/P uitvoeren interne audit monitoring uitvoering beveiligingsmaatregelen interim inzet CO/vervanging opleiding CO. * Onze deskundigen kunnen u ondersteunen op deze aanvullende werkzaamheden. EENT verzorgt CO opleidingen. De opleiding varieert, afhankelijk van de ervaring van de CO, van tot dagen. De kosten zijn e, voor de -daagse en e., voor de -daagse opleiding.

7 erkwijze en expertise EENT en Partners is een netwerkorganisatie van zelfstandige professionals op het gebied van verandermanagement en is er, samen met EENT Opleidingen, voor u! et onderhoud en beheer van het is in handen gelegd van experts die door kennis en ervaring op het terrein van informatiebeveiliging en de primaire processen in gemeentelijke organisaties kunnen zorgdragen voor de beste aansluiting tussen de normen en de praktijk, waardoor informatiebeveiliging aandacht krijgt binnen uw organisatie. ij zijn er klaar voor u te ontzorgen! Er is een team van acht partners uit onze netwerkorganisatie beschikbaar met tientallen jaren ervaring in auditing en security. ngrid van Zeeland Directeur EENT en Partners De expertise in het is opgebouwd door: ené Jpelaar E CE CA ené is expert in auditing en security en heeft tot voor C gewerkt. ij ontwikkelt al jaren informatiesystemen voor beveiligingsplannen, voert DigiD assessments, A inspecties en uwinetaudits uit en is gecertificeerd O lead auditor. er Lütter CA er heeft jaar ervaring als interim adviseur op het gebied van A en auditing. ij is als lead auditor verbonden geweest aan C en DEA en sinds enige jaren als zelfstandig adviseur binnen de lokale overheid werkzaam.

8 EENT Telefoon - ezoekadres Olmenlaan AL Leusden Postadres Postbus AJ Leusden ebsite EENT is een netwerkorganisatie van vakinhoudelijke en veranderkundige professionals. Onze missie is overheidsorganisaties te leren leren. Dit doen wij vanuit egment Opleidingen met vakinhoudelijke cursussen. Vanuit egment en Partners verdiepen wij samen met u de veranderthema s, verbinden deze met uw visie en ondersteunen bij de implementatie. Vragen of meer informatie? Neem contact met ons op via - of advies@segment.nl VE VEDEPEN VENDEN VEANDEEN