Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

Transcriptie

1 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : Behandeld door : J. van der Hulst Doorkiesnummer : Onderwerp : Rapportage informatiebeveiliging Gemeente Bloemendaal Verzonden : Bijlage(n) : Geachte leden van de raad, Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015 De door de accountant aangedragen IT verbeterpunten worden door wethouder Heijink aan de raad voorgelegd in een 3 maandelijkse rapportage en niet zoals nu in de toelichting bij de jaarrekening vermeld staat, bij de najaarsnota. De eerste rapportage wordt in augustus verwacht. Hierbij ontvangt u deze rapportage: Rapportage informatiebeveiliging Gemeente Bloemendaal 1. Inleiding De gemeente Bloemendaal is een overheidsorganisatie die intensief gebruik maakt van digitale middelen voor de dienstverlening, beleid, beheer en bedrijfsvoering. Daarbij functioneert de gemeente niet op een eiland maar is (digitaal) verbonden met andere veelal publieke organisaties. De gemeente is sterk afhankelijk van betrouwbare digitale middelen en heeft tevens een grote verantwoordelijkheid in het beschermen van de toegankelijkheid van informatie zoals persoonsgegevens * * Het is gelet op het vorengaande dan ook vanzelfsprekend dat Informatiebeveiliging specifiek aandacht moet krijgen van het gemeentebestuur en het management. Dit wordt onderstreept

2 -2- door de eisen die gesteld worden door overheidsorganisaties die diensten leveren waarvan de gemeente gebruik wil maken. Deze eisen betreffen zichtbare en formele rapportages over het gevoerde beleid en de geïmplementeerde maatregelen. Ook de accountant stelt het onderwerp informatiebeveiliging expliciet aan de orde en geeft voor een aantal systemen aan in welke mate wordt voldaan aan de eisen. In deze rapportage geven wij een overzicht van de stand van zaken en de aanpak van de gemeente Bloemendaal van de informatiebeveiliging. 2. Informatiebeveiliging in de gemeente Bloemendaal In de afgelopen periode is langs drie lijnen invulling gegeven aan informatiebeveiliging: 1. Beleidsmatig: het college van B&W heeft op 30 sept 2008 een Statuut informatiebeveiliging (Corsa en ) vastgesteld met de uitgangspunten van het informatiebeveiligingsbeleid; 2. Binnen het beheer van systemen (hardware en software) zijn diverse organisatorische en technische maatregelen doorgevoerd die bijdragen aan een goede up to dateinformatiebeveiliging; 3. Uitvoering van audits met betrekking tot specifieke systemen zoals de Basisregistratie Personen (BRP) en burgerzaken, het financiële systeem (FMS) en het systeem voor de omgevingsvergunning (Squit). Deze audits resulteren in rapportages die duidelijk maken in hoeverre aan gestelde eisen wordt voldaan en welke punten aandacht verdienen. Informatiebeveiliging heeft dus zeker aandacht gekregen. Er is daarbij echter niet altijd sprake van een integrale aanpak waarbij op basis van beleidsmatige keuzes systematisch de benodigde maatregelen worden getroffen. Was dat bij redelijk op zichzelf staande systemen acceptabel, nu systemen opgenomen zijn in netwerken en met elkaar verbonden is een meer integrale aanpak noodzakelijk. 3. Landelijke ontwikkelingen De noodzaak om tot een meer uniforme en integrale aanpak te komen van de informatiebeveiliging is ook door de landelijke overheid (Ministerie van Algemene Zaken) en de VNG namens de gemeenten onderkent. Dit heeft geleid tot de oprichting van de Informatie beveiligingsdienst (IBD) 1. Vanuit deze dienst, waarbij onze gemeente officieel is aangesloten, wordt een strategisch en tactisch normenkader -Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)- aangeboden dat als leidraad en toetsingskader moet gaan dienen voor de inrichting van de gemeentelijke informatiebeveiliging. 1 De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari De IBD is er voor alle

3 -3- Deze dienst levert ook praktische ondersteunende diensten zoals signalering van beveiligingsissues, specifieke hulpmiddelen in verband met bepaalde systemen en een kennisbank. 4. Organisatorische ontwikkelingen De gemeente Bloemendaal en de gemeente Heemstede hebben gekozen voor het ontwikkelen en gezamenlijk beheren van de ICT infrastructuur. Hiertoe is een lichte gemeenschappelijke regeling overeengekomen. Tevens is ter vervanging van de oude zelfstandige ICT infrastructuur van beide gemeenten een nieuwe gezamenlijke infrastructuur gerealiseerd. Deze is opgesteld in de beide gemeentehuizen. De gemeente Heemstede vervult de rol van centrumgemeente en is uitvoerend verantwoordelijk voor het beheer. GRIT is de werknaam voor de organisatorische eenheid belast met dit beheer. Deze ontwikkeling is van belang voor de informatiebeveiliging omdat dit doorwerkt in de toedeling van de verantwoordelijkheden in dit verband: Beide gemeenten zijn ieder voor zich eindverantwoordelijk voor de informatiebeveiliging; Voor de componenten van de informatievoorziening die geen onderdeel uitmaken van de gemeenschappelijke infrastructuur (met name software) dienen de beide gemeente zelf zorg te dragen voor passende maatregelen in verband met informatiebeveiliging; Het GRIT dient invulling te geven aan de informatiebeveiliging zowel in technische zin (inrichting infrastructuur en monitoringstools) als organisatorisch (toekennen bevoegdheden GRIT medewerkers, wijzigingsprocedures, regelingen in verband met calamiteiten e.d.) 5. Acties in verband met informatiebeveiliging In het vorengaande is de stand van zaken en enkele belangrijke landelijke en organisatorische ontwikkelingen weergegeven. In die context dienen nu de activiteiten gedefinieerd te worden die de gemeente moet gaan uitvoeren om te voldoen aan de eisen. Daarbij dient deels tegelijkertijd gewerkt te worden op strategisch, tactisch en operationeel niveau: 1. Herijken en actualiseren van het Statuut informatiebeveiliging en daarbij met name aansluiting te zoeken bij de Baseline Informatiebeveiliging Gemeenten (BIG) 2. Aan de hand van het BIG (tactisch) uitwerken van maatregelen binnen het GRIT en voor de gemeenschappelijke infrastructuur en tevens voor wat betreft de componenten die direct onder verantwoordelijkheid van de gemeente Bloemendaal vallen. 3. Ervoor zorgen dat op korte termijn enkele specifieke maatregelen worden getroffen die nodig zijn om de werking te continueren en/of te voldoen aan audits op korte termijn. Dit betreft de aan het DigiD beveiligingsassessment gerelateerde onderdelen en de in verband met de BRP zelfevaluatie te ondernemen acties 2 gemeenten en richt zich op bewustwording en concrete (incident)ondersteuning aangaande informatiebeveiliging

4 -4- Door de uitvoering van deze activiteiten zal ook in voldoende mate worden voldaan aan de in het rapport van de accountant aan de informatiebeveiliging gestelde eisen. Actie Verantwoordelijk voor uitvoering Periode van uitvoering Herijken strategisch informatiebeleid aan Team Informatisering Q Q de hand van BIG Definiëren en implementeren GRIT (via gemeente Heemstede) Q Q maatregelen Team Informatisering Maatregelen i.v.m. DigiD GRIT Audit in Q (voor beveiligingsassessment + assessment Team Informatisering eind sept), en vervolgens Auditor: Insite Security (Eduard Dusseljee) weer in 2016 (jaarlijks) BRP zelfaudit en eventuele maatregelen Team Informatisering Q Team Burgerzaken Vanwege de samenwerking met Heemstede en de verwevenheid van de informatievoorziening van beide gemeenten ligt een gezamenlijk aanpak voor de hand. Hierover worden momenteel afspraken gemaakt. 6. Status specifieke punten uit accountantsrapport Uitkomsten controle en overige informatie 2014 (EY 15 mei 2015) Dit rapport benoemde enkele aandachtspunten; punten waarvan is aangegeven dat niet volledig of onvoldoende aan de te stellen eisen werd voldaan. Hieronder een overzicht van de status. Deze punten komen ook aan de orde bij de hiervoor geschetste aanpak. Aandachtspunt Stand van zaken Geplande actie Gebruikersaccounts worden altijd conform een vast proces aangemaakt, gemuteerd of verwijderd Het aantal gebruikers met hoge rechten is beperkt tot die personen die deze rechten nodig hebben voor het juist uitvoeren van hun functie Het aantal gebruikers met toegang tot de database is beperkt tot die personen die deze rechten nodig hebben voor het juist uitvoeren van hun functie Wachtwoordinstellingen zijn voldoende strikt om misbruik van gebruikersaccounts tegen te gaan Doorgevoerde wijzigingen worden gestructureerd en gedocumenteerd getest Aanmaakproces is op orde, wijzigingen en verwijderingen verdient nog aandacht Is afdoende geregeld Dit is goed geregeld. Wel is er aandacht nodig voor het checken van de log files op eventueel incorrect gebruik Is afdoende geregeld Gebeurt voor steeds meer systemen. Krijgt extra aandacht bij Krijgt extra aandacht bij Bij kan worden bezien of er hogere eisen moeten worden gesteld. Inzichtelijk maken per pakket of en hoe dit is geregeld Voordat wijzigingen in productie worden Is nog niet geïmplementeerd Krijgt extra aandacht bij

5 -5- Aandachtspunt Stand van zaken Geplande actie genomen, wordt een formeel akkoord gegeven. Kritieke gegevens worden tijdig veilig gesteld ineen back up die zonder problemen in terug te plaatsen Is geregeld voor alle pakketten. Maar moet nog gedocumenteerd worden Inzichtelijk maken per pakket of en hoe dit is geregeld en waar nodig aanpassen werkwijze. Hoogachtend, burgemeester en wethouders van Bloemendaal,, burgemeester, secretaris