Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

Vergelijkbare documenten
Brief aan de leden T.a.v. het college en de raad. 21 maart ECIB/U Lbr. 17/017 (070)

Jaarverslag Informatiebeveiliging en Privacy

Assurancerapport van de onafhankelijke IT-auditor

ECIB/U Lbr. 17/010

Dit voorstel gaat over de implementatie van de BIG, de AVG en de ENSIA en de gevolgen hiervan voor de gemeentelijke organisatie.

In deze raadsinformatiebrief leest u de stand van zaken over de invoering van de AVG en BIG.

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]

ACCORIS. Gemeente Houten ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 7 pagina's Rapportnummer: AAS

ENSIA voor informatieveiligheid

Rapportage informatieveiligheid en privacy gemeente Delfzijl

Informatieveiligheidsbeleid

ENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017

Format presentatie Kick-off

ENSIA voor Informatieveiligheid. Informatie voor Auditors

Proces verantwoorden ENSIA Toelichting en formats voor college en de raad

ENSIA ROL- EN TAAKBESCHRIJVING VAN GEMEENTELIJKE STAKEHOLDERS

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

Youri. CISO BUCH-gemeenten. Even voorstellen. Stuurgroeplid. Lammerts van Bueren. Grip op informatieveiligheid met ENSIA

Handreiking Implementatie Specifiek Suwinetnormenkader

Ver V eniging eniging v an Nede rlandse meenten In deze sessie Wat vooraf ging Waarom vind ik ENSIA belangrijk? ENSIA the basics

HANDREIKING ENSIA VERANTWOORDING VOOR SAMENWERKINGSVERBANDEN

Bijzonderheden jaarrekening FAMO bijeenkomst 15 december 2017

concept besluitenlijst b en w-vergadering

Handleiding ENSIA-tool. voor gemeenten

Welkom bij parallellijn 1 On the Move uur

Openbare besluitenlijst van de vergadering van burgemeester en wethouders d.d. 2 april 2019

Agenda. Peter Greve Strategisch Accountmanager bij UWV Gegevensdiensten

Timeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy.

Gemeente Renswoude ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 14 pagina's Rapportnummer: AAS

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Ondersteuning op de toetsing van Suwinet uit de Collegeverklaring

ENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017

Raadsbrief. Onderwerp Zelfevaluatie Informatieveiligheid Registratienummer Datum 13 maart 2018 Betreft

ENSIA door gemeenten. 31 oktober 2017 Edith van Ruijven

Rapportage Informatiebeveiliging 2017

IT Auditor en ENSIA. Bijdrage Maarten Mennen. 31 oktober 2017

Bijeenkomst gemeenten zelfevaluaties 2016/2017. d.d. 31 januari te Utrecht

De zelfcontrole BAG. Toelichting bij de vragenlijst ENSIA/BAG. Versie 0.6. Datum 19 juli 2017

Verklaring van Toepasselijkheid en Informatiebeveiligingsbeleid

Verantwoordingsrichtlijn GeVS 2019 (versie )

Kwaliteitsmanagement BGT LEF sessie 13 februari Arno de Ruijter, IenM

Rekenkamercommissie Brummen

De zelfcontrole BRO. Algemene toelichting bij de vragenlijst. Versie Datum 14 april 2018 Status. Definitief concept

Wat is ENSIA? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit.

Versie 27 maart 2017: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

Wat is ENSIA? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit.

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

Privacy & online. 9iC9I

Stuurgroep Verantwoordingsstelsel ENSIA

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

Documentnummer: : Eindnotitie implementatie privacy

Informatieveiligheid & Privacy Hardinxveld- Giessendam Duiding ten behoeve van Gemeenteraad

De zelfcontrole BGT. Algemene toelichting bij de vragenlijst (v ) Versie 0.3. Datum 20 juli 2017 Status

Versie 27 maart: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

Conclusies en aanbevelingen bij de Totaalrapportage Informatiebeveiliging GeVS 2017 van de Domeingroep Privacy & Beveiliging

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

Mit VERZONDEN 2 4 ME! Geachte leden van de raad,

Handreiking. Opstellen collegeverklaring ENSIA Versie 2.0. Vereniging van Nederlandse Gemeenten

Gemeente Alphen aan den Rijn

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

ENSIA en Assurance. Ervaringen 2017 als basis voor uitvoering 2018 Drs. Ing. Peter D. Verstege RE RA. 31 oktober 2018

INHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE

ons kenmerk ECIB/U Lbr. 16/046

Jaarverslag informatieveiligheid en privacybescherming gemeente Zaanstad Periode: 2017

ENSIA guidance DigiD-assessments

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Versie 27 maart 2017: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

De zelfcontrole BAG. Toelichting bij de vragenlijst ENSIA/BAG. Versie 1.0

De zelfcontrole BGT. Algemene toelichting bij de vragenlijst. Versie Datum 21 maart 2018 Status. Definitief concept

ENSIA IMPLEMENTATIEPLAN. Format Plan van Aanpak ENSIA

Een Information Security Management System: iedereen moet het, niemand doet het.

Privacybeleid gemeente Wierden

Aantoonbaar in control op informatiebeveiliging

UITTREKSEL en MANAGEMENTRAPPORTAGE

ENSIA assurance rapport DigiD en Suwinet verantwoordingsjaar 2018 Gemeente Leusden

Het verveelvoudigen of openbaar maken van dit werk is, zonder de schriftelijke toestemming van ARANEA ISM, niet toegestaan. 1

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

UITTREKSEL EN MANAGEMENTRAPPORTAGE. Zelfevaluatie BRP van de gemeente Haarlem

Provincievergelijking

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Inleiding. Praktijk. Aan: Gemeenteraad. Van: College van burgemeester en wethouders. Datum: 05/09/17

Gemeente Delft. OnderwerpOnderwerp Bestuurlijke reactie rapport BDO Informatiebeveiliging

STAPPENPLAN VOOR GEMEENTEN BIJ DE VOORBEREIDING OP DE AVG

Zet de stap naar certificering!

Welkom bij parallellijn 1 On the Move uur. Stap 2 van de BIG Hoe kom ik tot een informatiebeveiligingsplan?

Algemeen privacybeleid gemeente Asten 2018

Gegevensbeschermingsbeleid gemeente Beekdaelen

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

KPI rapportage gemeente Steenbergen 2017

UITTREKSEL EN MANAGEMENTRAPPORTAGE. Zelfevaluatie Vragenlijst BRP 2016 van de gemeente Hoogeveen

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Aan welke eisen moet het beveiligingsplan voldoen?

Versie 27 maart: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

No. Onderwerp Besluit Portefeuillehouder 1. Besluitenlijst van de vergadering gehouden op 12 maart 2019, Ongewijzigd vastgesteld.

Tweede Kamer der Staten-Generaal

Voorlichtingsbijeenkomst Veilig gebruik suwinet februari en maart 2014

TOELICHTING OP GAP-ANALYSE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Besluitenlijst College

Transcriptie:

Rapportage Informatiebeveiliging 2017 Gemeente Boekel 16 mei 2018

Inleiding Het college van burgemeester en wethouders van de gemeente Boekel legt over het jaar 2017 verantwoording af over de stand van zaken op het gebied van informatiebeveiliging binnen de gemeentelijke organisatie. Informatiebeveiliging is het middel om informatieveiligheid te bereiken. Het doel hierbij is dat wij een betrouwbare partner zijn voor inwoners, organisaties en ketenpartners. Dit gaat vanaf dit jaar op basis van de Eenduidige Normatiek Single Information Audit (= ENSIA) systematiek. Doelstelling ENSIA heeft tot doel het verantwoordingsproces over informatieveiligheid te professionaliseren door het toezicht te bundelen en aan te sluiten op de gemeentelijke planning & control-cyclus. Hierdoor heeft het gemeentebestuur meer overzicht over de stand van zaken van de informatieveiligheid en kan het hier ook beter op sturen. ENSIA neemt de Baseline Informatiebeveiliging Gemeenten (BIG) als uitgangspunt en maakt gebruik van een daarop ingerichte zelfevaluatie. Hierdoor is er meer overzicht over de informatiebeveiliging van de gemeente en kan het bestuur beter sturen en verantwoording afleggen aan de gemeenteraad en andere belanghebbenden. De Gemeente Boekel heeft hierbij de ambitie om te voldoen aan de BIG als basisnormenkader voor de informatiebeveiligingsmaatregelen. De BIG bevat 133 richtlijnen en 303 maatregelen die voldoen aan internationale normen. Hiermee wordt de beschikbaarheid, vertrouwelijkheid en integriteit (betrouwbaarheid) van informatie binnen de gemeente geborgd. Dit vormt de basis van informatieveiligheid. Scope van de ENSIA verklaring De ENSIA verantwoording voor het jaar 2017 gaat over de implementatie van de BIG, waarbij wordt ingezoomd op de volgende onderdelen: Basis Registratie Personen (BRP); Paspoort Uitvoeringsregeling Nederland (PUN); Digitale Persoonsidentificatie (DigiD); Basisregistratie Grootschalige Topografie (BGT); Basisregistratie Adressen en Gebouwen (BAG); Structuur Uitvoeringsorganisatie Werk en Inkomen (Suwinet). Specifiek voor de onderdelen DigiD en Suwinet is een Assurance verklaring gevraagd van een onafhankelijke en geaccrediteerde IT auditor. Deze IT auditor toetst volgens de landelijke normenkaders voor DigiD en Suwinet over de opzet en het bestaan van beheersmaatregelen. Dit laatste wordt door de verticale toezichthouders Logius, BKWI en de Inspectie SZW vereist. De overige onderdelen bestaan uit een zelfevaluatie, een door de betrokken medewerkers zelf ingevulde digitale vragenlijst. De ENSIA coördinator heeft dit proces intern ambtelijk gecoördineerd. De gemeente Boekel heeft de ENSIA zelfevaluatie en audit afgerond, en de verticale toezichthouders geïnformeerd. Het college van burgemeester en wethouders van de gemeente Boekel legt nu

verantwoording af over informatiebeveiliging aan de gemeenteraad door middel van deze rapportage informatiebeveiliging. Legenda: In Control Voldoende Onvoldoende Het onderdeel is in control Wellicht zijn er minimale verbeterpunten Het onderdeel is globaal op orde (net) in control Er zijn een aantal verbeterpunten Het onderdeel is nog niet in control Er zijn veel verbeterpunten

Verantwoording per onderdeel ENSIA Onderstaande tabel geeft per (ENSIA) onderdeel een korte toelichting, bevindingen en de stand van zaken weer. Domein Onderdeel Basis Registratie Personen (BRP); Paspoort Uitvoeringsregelin g Nederland (PUN); Digitale Persoonsidentifica tie (DigiD); Basisregistratie Grootschalige Topografie (BGT); Basisregistratie Adressen en Gebouwen (BAG); Structuur Uitvoeringsorganis atie Werk en Inkomen (Suwinet); Bevindingen & verbeteracties De zelfevaluatie BRP over het jaar 2017 is afgerond met een resultaat van ruim 99% voor de inhoudelijke toetsing en 96,4% voor de toetsing van de processen. Eindresultaat is het oordeel goed. De zelfevaluatie PUN over het jaar 2017 is afgerond met een resultaat van 97,4%. Eindresultaat is het oordeel goed. Het onderzoek van de externe IT auditor over DigiD geeft aan dat de gemeente Boekel voldoende beheersmaatregelen heeft doorgevoerd. Bij één beheersmaatregel wordt slechts gedeeltelijk voldaan aan het gestelde normenkader. De belangrijkste aanbeveling is om het daarvoor opgestelde verbeterplan uit te voeren. In de Collegeverklaring en het Assurance rapport van de auditor (bijlage ter inzage) staan alle bevindingen en aanbevelingen. De zelfevaluatie BGT over het jaar 2017 is afgerond met een score van 30 van maximaal 150. De gemeente Boekel heeft gekozen om te voldoen aan de minimale verplichtingen. De organisatie maakt in 2018 grote stappen ten aanzien van de verbeterpunten uit de verantwoordingsrapportage. De volledige BGT rapportage is beschikbaar als bijlage ter inzage. De zelfevaluatie BAG over het jaar 2017 is afgerond met een score van 160 van maximaal 200. Hiermee zit de gemeente Boekel boven de landelijk gewenste norm van 150. Verbeterpunten zijn het beschrijven van werkprocessen, sneller verwerken van mutaties (actualiteit) en het verbeteren van de datakwaliteit binnen de BAG. De volledige BAG rapportage is beschikbaar als bijlage ter inzage. Het onderzoek van de externe IT auditor over Suwinet geeft aan dat de gemeente Boekel de beheersingsmaatregelen voor Suwinet goed op orde heeft. In de Collegeverklaring en het Assurance rapport van de auditor (bijlage ter inzage) staan alle bevindingen en aanbevelingen. Status

De verantwoording over de ENSIA onderdelen laat zien dat de gemeente Boekel grotendeels in control is over de verschillende ENSIA onderdelen, ondanks dat dit slechts het eerste ENSIA jaar is. Daarnaast is inzichtelijk geworden waar de belangrijkste verbeterpunten zijn. Wat betreft de BGT heeft de gemeente Boekel BGT Fase 1, de transitiefase, op 15 augustus 2016 succesvol afgerond. Die dag werd de gemeente Boekel aangesloten op de Landelijke Voorziening BGT. In BGT Fase 2 (1 juli 2017 tot en met 31 december 2019) moeten een aantal verbeterslagen op de BGT-data plaatsvinden en moet het verplichte gebruik van BGT zijn beslag krijgen. Ten gevolge van personele wisselingen bij onze gemeente kon de BGT-draad eigenlijk pas begin 2018 weer goed worden opgepakt. De betrokken ambtenaren laten zich momenteel bijstaan door een externe expert. De applicatietechniek is inmiddels zo ingericht dat we zelfstandig BGT-correcties kunnen uitvoeren. Bewustwording van het belang van de BGT in onze organisatie is een belangrijk aandachtspunt. Ten opzichte van andere gemeenten in het land loopt de gemeente Boekel momenteel achter voor wat betreft de realisering van de doelstellingen BGT Fase 2. Er is nog anderhalf jaar de tijd om bij te komen. Belangrijkste activiteiten in 2017 In 2017 lag de focus op het implementeren van ENSIA, dat dit jaar voor het eerst werd gebruikt. Daarnaast is het informatiebeveiligingsplan 2017-2018 opgesteld, waarmee informatiebeveiligingsmaatregelen vanuit de BIG op basis van prioriteit worden geïmplementeerd via het Information Security Management System (ISMS). De inzet is niet het bereiken van 100% informatieveiligheid; dat is een illusie. Wel wordt bewust met risico s omgegaan om incidenten, zoals datalekken, te voorkomen. De belangrijkste maatregelen die de gemeente in 2017 heeft genomen zijn het implementeren van veilig e-mailen, het verbeteren van de beveiliging van de website, het vaststellen van een privacybeleid voor het sociaal domein en het organiseren van bewustwordingsactiviteiten binnen de organisatie. Verder is de gemeente doorgegaan met de voorbereidingen op de nieuwe Algemene Verordening Gegevensbescherming (AVG). De AVG volgt in 2018 de Wet bescherming persoonsgegevens op. Door de privacywet na te leven neemt de vertrouwelijkheid van informatie toe, waarmee ook de informatieveiligheid toeneemt. Activiteiten in de komende periode Bewustwordingsactiviteiten blijven een belangrijk onderdeel uitmaken van informatiebeveiliging. Daarnaast worden ook nieuwe technische maatregelen genomen. Enkele belangrijke maatregelen zijn dat de gemeente over gaat op het vernieuwde internet protocol om aan moderne veiligheidsstandaarden te voldoen en wordt datalogging ingericht om de beheersing van informatiestromen te vergroten. In samenwerking met de rijksoverheid worden beveiligde communicatiekanalen naar burgers, bedrijven en overheden ingevoerd. Bedrijfscontinuïteitsbeheer zorgt ervoor dat onderbrekingen van bedrijfsactiviteiten worden tegengegaan en dat kritische bedrijfsprocessen worden beschermd tegen de gevolgen van onderbrekingen. De gemeente Boekel gaat dit beheer verbeteren. Kritische bedrijfsprocessen worden in beeld gebracht, naar beheersmaatregelen vertaald en ingebed in de bestaande werkprocessen.

Ten slotte blijft de gemeente zich jaarlijks verantwoorden naar de gemeenteraad en externe toezichthouders op het gebied van informatiebeveiliging met ENSIA. De ENSIA verantwoording sluit daarom ook volgend jaar weer aan bij de planning & control-cyclus van de gemeente. Voor 31 december 2018 wordt de zelfevaluatie uitgevoerd. Daarna vindt voor 1 mei 2019 de verticale verantwoording plaats naar externe toezichthouders en legt het college voor 15 juli 2019 verantwoording af over informatiebeveiliging aan de gemeenteraad.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback