Aantoonbaar in control op informatiebeveiliging

Transcriptie

1 Aantoonbaar in control op informatiebeveiliging

2 Agenda 1. Introductie key2control 2. Integrale interne beheersing 3. Informatiebeveiliging 4. Baseline Informatiebeveiliging Gemeenten 5. Demonstratie ISMS Control Framework 6. Afsluiting

3 I N T R O D U C T I E

4 Wij zijn key2control Wij helpen u bij het verhogen van de kwaliteit van uw interne beheersprocessen (GRC); door u instrumenten te bieden waarmee u effectiever, efficiënter en tegen lagere kosten aantoonbaar in control bent op deze beheersprocessen; waardoor de gewenste kwaliteit van dienstverlening aan uw burgers en bedrijven geborgd is.

5 Interne beheersing in de praktijk Verzoek om inlichtingen: verwerking persoonsgegevens sociaal domein (april 2015 verstuurd aan 40 gemeenten in Nederland) het College Bescherming Persoonsgegevens stelt een onderzoek in naar de verwerking van persoonsgegevens in uw gemeente daarbij onderzoekt het CBP ook hoe invulling wordt gegeven aan de plicht om betrokkene te informeren het CBP verzoekt om de in bijlage opgenomen vragen te beantwoorden, van specificaties en documentatie te voorzien en binnen drie weken.

6 Interne beheersing in de praktijk Decentralisaties vormen risico s voor integriteit (BinnenlandsBestuur, 5 mei 2015) de vraag is of de ambtenaar zijn werk goed kan doen en of er voldoende controles en checks & balances zijn voorheen waren vier ogen bij het vergunningenproces, dat mag je in dit domein ook verwachten

7 Interne beheersing in de praktijk VNG-advies informatiebeveiliging Suwinet (VNG, 19 augustus 2015) De inspectie SZW onderwerpt alle gemeenten nog in 2015 aan een onderzoek naar de informatiebeveiliging van Suwinet. In de ledenbrief vindt u informatie over de maatregelen die wij u adviseren te nemen om de informatiebeveiliging te verbeteren.

8 I N T E G R A L E I N T E R N E B E H E E R S I N G

9 Integrale interne beheersing Behoorlijk Bestuur Visie Management Sturing Beleid Mensen Processen Evaluatie Uitrol Belangen afwegingen Systemen Eisen Rekenschap en Transparantie Proces Waarborgen

10 Groeipad Op weg naar integrale interne beheersing

11 Referenties

12 Overige Referenties Onze Control Frameworks worden ook ingezet door:

13 I N F O R M A T I E B E V E I L I G I N G

14 Informatiebeveiliging, dat regelt de CISO toch?! Rol CISO: De CISO is onafhankelijk in de organisatie gepositioneerd en is verantwoordelijk voor de kwantitatieve en kwalitatieve implementatie en borging van informatiebeveiliging (BIG) in de gemeentelijke organisatie. Hij draagt zorg voor een samenhangend pakket aan maatregelen om de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie binnen een gemeente te waarborgen. De CISO heeft daarvoor mandaat van zijn Bestuur en commitment van zijn collega s nodig. Informatiebeveiliging is een continu proces. Een structureel budget in mensen en middelen is randvoorwaardelijk.

15 Informatiebeveiliging Informatiebeveiliging, dat regelt de CISO toch?!

16 Informatiebeveiliging, dat regelt de CISO toch?! Nee, hij stelt de lijnfunctionarissen in staat hun verantwoordelijkheid te nemen!

17 B A S E L I N E I N F O R M A T I E B E V E I L I G I N G G E M E E N T E N

18 Baseline Informatiebeveiliging Gemeenten 1. Afgesproken standaard voor Nederlandse gemeenten. 2. Pas toe of leg uit. 3. Vereist verbinding tussen mensen, processen en systemen. 4. Elke organisatie heeft haar eigen verantwoordelijkheid. 5. Eindverantwoordelijkheid voor informatiebeveiliging ligt bij de lijn. 6. Implementatie verspreid over meerdere jaren, onderdeel van integrale interne beheersing. 7. Verbetercyclus Plan Do Check Act.

19 ISMS 1 e fase - Van beleidsontwikkeling naar implementatieplan MT Opdracht Beveiligingsbeleid Organisatie van IB Opstarten BIG Nulmeting 303 Impactanalyse Startmotor Implementatieplan MT/College mandaat Periodieke voortgang/follow-up Interactie CISO en lijnverantwoordelijken Bewustwording Plan Do Motor Tactische BIG Periodieke toetsing Check Actiepunten operationeel Voortgang Act

20 ISMS 2 e fase - Borging van de beheersmaatregelen in de organisatie MT Opdracht Beveiligingsbeleid Organisatie van IB Opstarten BIG Nulmeting 303 Impactanalyse Startmotor Implementatieplan MT/College mandaat Periodieke voortgang/follow-up Interactie CISO en lijnverantwoordelijken Bewustwording Plan Do Motor Tactische BIG Periodieke toetsing Check Actiepunten operationeel Voortgang Act

21 Samenvattend Ondersteuning fase 1: Van nulmeting naar implementatieplan. Inclusief AO en BIG documentatie Ondersteuning fase 2: Borging van het implementatieplan in de organisatie. Beheersmaatregelen en documentatie op maat CISO heeft continu inzicht in stand van zaken informatiebeveiligingsproces op elk gewenst niveau en kan de kwaliteit borgen door het ondersteunen van de lijnverantwoordelijken Lijnverantwoordelijken hebben continu inzicht in stand van zaken en ondersteunen daarmee hun medewerkers en processen en borgen daarmee de kwaliteit van het informatiebeveiligingsproces Integratie van fase 1 en fase 2 door inzet van ISMS Control Framework, geen overlappingen CISO heeft continu alle informatie beschikbaar ten behoeve van periodieke rapportage aan stakehouders Diverse deelrapportages onder de knop, Suwinet, DigiD, BRP Opbouwen en vasthouden van kennis in de organisatie Voorbereid voor andere relevante beheersprocessen zoals meldplicht datalekken, privacy Jeugdwet, interne controle etc. Fases modulair af te nemen

22 D E M O N S T R A T I E I S M S C O N T R O L F R A M E W O R K

23 Afsluiting ISMS-eisen Informatiebeveiligingsdienst nog even op een rij ISAE 3402 type I en II

24 Afsluiting Lean Procesinnovatie Kennis- en kwaliteitsborging Structurele kostenbesparing Continu inzicht in processen Bijsturing tijdens processen Cultuuromslag

25 Bedankt voor jullie aandacht!

26 Van controle naar aantoonbaar in control! Arie Hartog T E.