BABVI/U201300696 Lbr. 13/057



Vergelijkbare documenten
o n k Ö A fia* V/ \ ^ * f

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

informatiecentrum tel. uw kenmerk bijlage(n) (070) Lbr. 14/086

ons kenmerk BB/U

BABVI/U Lbr. 12/015

BABVI/U Lbr. 12/081

i-l ;EP 20i Stuknummer: AI pagina 1 van 1 Inlichten instantie via * 'jaar DER

ons kenmerk ECIB/U Lbr. 16/046

iiiiiiiiiiiiiiiiiiiniiiiiiiiii

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

ECIB/U Lbr. 17/010

ADDENDUM Ondersteuning ICT- Beveiligingsassessment DigiD

Ministerie van BZK Kenmerk Uw kenmerk

ECIB/U Lbr. 15/079

Tweede Kamer der Staten-Generaal

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november Anita van Nieuwenborg

Tjoelker, Nicolien. and. VNG Ledenbrief. Onderwerp: FW: Lbr. 16/046 - Ontwikkelingen informatieveiligiieid

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

ons kenmerk ECSD/U Lbr. 14/091

ons kenmerk ECSD/U Lbr. 14/091

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

Brief aan de leden T.a.v. het college en de raad. 21 maart ECIB/U Lbr. 17/017 (070)

TOELICHTING OP GAP-ANALYSE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Cools, Luuk

Brief aan de leden T.a.v. het college en de raad. 17 mei 2017 U Lbr. 17/028 (070) Gezamenlijke gemeentelijke uitvoering

Brief aan de leden T.a.v. het college en de raad. 5 april 2017 U Lbr. 17/018 (070)

makkelijke en toch veilige toegang

Cools, Luuk

Dit betekent dat u op 25 mei 2018 wettelijk verplicht bent om ten minste aan de volgende zes AVGmaatregelen

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Learn and Share bijeenkomst Informatieveiligheid, Rheden

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

INFORMATIEVEILIGHEID een uitdaging van ons allemaal

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Henk Wesseling

Een beetje beveiligen kan niet Op weg naar veiliger gemeenten Jaarplan 2015 en toekomst IBD Consulterend Overleg 22 september 2014 Boudien Glashouwer

Aantoonbaar in control op informatiebeveiliging

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

ons kenmerk BAWI/U Lbr. 10/120

Rapport. Informatieveiligheid en de Raad Met de hamer op tafel. Enquête over hoe raadsleden denken over het thema Informatieveiligheid

Informatievoorziening voor Raadsleden

STAF/ALG/U Lbr. 13/068

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe Leguit

Informatieveiligheid, randvoorwaarde voor de professionele gemeente

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

ECSD/U Lbr. 16/054

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

BABVI/U Lbr. 12/090

Controlerende taak en Informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe & Surfibo

wei 100 Stuknummer: AI Inlichten instantie via pagina 1 van 2 , J jaar

Innovatie in een veranderd risicolandschap

ons kenmerk BAWI/U Lbr. 12/012

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

ECFE/U Lbr. 15/102

College Tour Informatieveiligheidbeleid. 11 oktober 2013 DEN HAAG

BABVI/U Lbr. 11/073

ADDENDUM INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN. Kwaliteitsinstituut Nederlandse Gemeenten & Leveranciers

Versie Wijzigingen Datum 1.1 VNG Realisatie lay-out

ADDENDUM INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN. Kwaliteitsinstituut Nederlandse Gemeenten & Leveranciers

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

ons kenmerk ECSD/U Lbr. 15/044

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

BAOZW/U Lbr. 11/015

ons kenmerk ECLBR/U Lbr. 14/076

ons kenmerk DIR/EUI/U Lbr. 14/037

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal

ECSD/U Lbr. 16/067

115 NOV BABVI/U Lbr. 13/084

(070) Brief aan de leden T.a.v. het college en de raad. Samenvatting. informatiecentrum tel. ons kenmerk BAOZW/U Lbr.

Voorstel Informatiebeveiliging beleid Twente

raad /com; 4-t2.-i2- vka cf voorste+feaee:

HOE VUL IK DE LEGE FOTO? Verzamelen en actueel houden fotoinformatie

Aan de Voorzitter van de Tweede Kamer der Staten Generaal Postbus EA Den Haag. Datum 9 juli 2014 Versterking en beveiliging DigiD

RESPONSIBLE DISCLOSURE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

THEMABIJEENKOMST INFORMATIEVEILIGHEID. Datum: 02 juli 2013 Plaats: Arnhem VERSLAG. Inleiding: herstel van geschonden vertrouwen Remco van Vliet - VNG

INKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN

ECFD/U Lbr. 14/053. Met deze ledenbrief informeren wij u over de laatste stand van zaken rondom de bewegwijzering in ons land.

BABVI/U Lbr. 09/118

Handleiding uitvoering ICT-beveiligingsassessment

ons kenmerk BAOZW/U Lbr. 13/064

Hoe gaat u dit gemeentelijke varkentje wassen? Aansluiten bij de IBD Anita van Nieuwenborg

ECFE/U Lbr. 16/019

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

ons kenmerk BAOZW/U Lbr. 12/003

jaar Vereniging van Nederlandse Gemeenten

Datalekken (en privacy!)

MODEL VOOR EEN VERWERKERSOVEREENKOMST

Informatiebeveiligingsdienst Aansluiten, waarom eigenlijk Assen, 6 Maart Anita van Nieuwenborg

FLO/U Lbr. 12/057

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

Introductiefilmpje Informatieveiligheid bestuurders

BAOZW/U Lbr. 09/039

ENSIA voor informatieveiligheid

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

HOE VUL IK DE LEGE ICT-FOTO? Verzamelen en actueel houden fotoinformatie

uw kenmerk ons kenmerfe ECLBR/U Lbr. 16/058

Transcriptie:

Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatiebeveiliging uw kenmerk ons kenmerk BABVI/U201300696 Lbr. 13/057 bijlage(n) datum 6 juni 2013 Samenvatting In september en oktober 2012 hebben wij u via ledenbrieven geïnformeerd over informatiebeveiliging in brede zin en, in aanloop naar de BALV van 12 oktober 2012, de Informatiebeveiligingsdienst voor gemeenten (kenmerken: BAVI/U201201301 en BAVI/U201201379). Met deze ledenbrief willen wij u informeren over de actuele stand van zaken rondom de Informatiebeveiligingsdienst voor gemeenten (IBD), de ondersteuningsaanpak voor gemeenten aangaande het ICT-Beveiligingsassessment DigiD en de eerste invulling van verplichtende zelfregulering voor het gemeentelijke domein. De VNG roept gemeenten voorts op om werk te maken van informatiebeveiliging door: - de gemeentelijke organisatie voor te bereiden op het volledige aanbod van en samenwerking met de Informatiebeveiligingsdienst (IBD); - aan de hand van de Baseline Informatiebeveiliging Nederlandse Gemeenten de informatiebeveiliging binnen de gemeente op orde te brengen; - het verplichte ICT-Beveiligingsassessment DigiD, voor zover nog niet gestart, nog voor de zomer te starten en uiterlijk eind 2013 in te dienen waarmee de gemeente afsluiting van DigiD door de minister kan voorkomen.

Aan de leden informatiecentrum tel. (070) 373 8393 betreft Informatiebeveiliging uw kenmerk ons kenmerk BABVI/U201300696 Lbr. 13/057 bijlage(n) Datum 6 juni 2013 Geacht college en gemeenteraad, In september en oktober 2012 hebben wij u via ledenbrieven geïnformeerd over informatiebeveiliging in brede zin en, in aanloop naar de BALV van 12 oktober 2012, de Informatiebeveiligingsdienst voor gemeenten (kenmerken: BAVI/U201201301 en BAVI/U201201379). Met deze ledenbrief willen wij u informeren over de actuele stand van zaken rondom de Informatiebeveiligingsdienst voor gemeenten (IBD), de ondersteuningsaanpak voor gemeenten aangaande het ICT-Beveiligingsassessment DigiD en de eerste invulling van verplichtende zelfregulering voor het gemeentelijke domein. De VNG roept gemeenten voorts op om werk te maken van informatiebeveiliging door: - de gemeentelijke organisatie voor te bereiden op het volledige aanbod van en samenwerking met de Informatiebeveiligingsdienst (IBD); - aan de hand van de Baseline Informatiebeveiliging Nederlandse Gemeenten de informatiebeveiliging binnen de gemeente op orde te brengen; het verplichte ICT-Beveiligingsassessment DigiD, voor zover nog niet gestart, nog voor de zomer te starten en uiterlijk eind 2013 in te dienen waarmee de gemeente afsluiting van DigiD door de minister kan voorkomen.

Informatiebeveiligingsdienst voor gemeenten Burgers en bedrijven moeten kunnen vertrouwen op de dienstverlening van de gemeente als de meest nabije overheid. Nu meer en meer dienstverlening en processen langs digitale weg plaatsvinden, en ICT daarmee wezenlijk onderdeel is van de vitale infrastructuur, is informatiebeveiliging van steeds groter belang. DigiNotar, Lektober, het Dorifel/Citadel incident en recent de DDoS-aanvallen op websites laten zien dat dienstverlenende organisaties, dus ook gemeenten, uitermate kwetsbaar zijn als het gaat om digitale dienstverlening. Continuïteit van dienstverlening, de bescherming van (persoonsgegevens van) burgers en het betrouwbaarheidsimago van gemeenten zijn in het geding. Daarom hebben gemeenten tijdens de BALV van 12 oktober 2012 ingestemd met de propositie voor de Informatiebeveiligingsdienst voor gemeenten (IBD) zoals deze door VNG en KING was voorgesteld. Voor de IBD is jaarlijks 2 miljoen beschikbaar gesteld middels een uitname uit het gemeentefonds. Eind 2012 heeft de IBD een kwartiermakersfase doorlopen en sinds 1 januari 2013 is de IBD operationeel. Onder meer met een helpdesk waar alle gemeenten incidenten op het vlak van informatiebeveiliging kunnen melden en ondersteuning krijgen bij de oplossing ervan. De IBD verricht deze werkzaamheden in nauwe samenwerking met onder meer het Nationaal Cyber Security Centrum (NCSC) en leveranciers. De doelstelling van de IBD is echter breder dan coördineren van het oplossen van informatiebeveiligingsincidenten, de IBD richt zich in de kern op het vergroten van de weerbaarheid van gemeenten op het gebied van informatiebeveiliging. De IBD zal daarom kennisdeling initiëren en stimuleren en verder worden ingericht met activiteiten gericht op bewustwording en preventie, detectie en coördinatie van incidenten. Tevens zal de IBD gemeenten gerichte expertise en generieke, projectmatige ondersteuning bieden. Vanuit deze ondersteuning is inmiddels een eerste product opgeleverd: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Deze Baseline, die samen met gemeenten is opgesteld, is een directe afgeleide van de Baseline Informatiebeveiliging Rijksdienst (BIR) en biedt de gemeente handvatten om de ISO-normen voor informatiebeveiliging stapsgewijs te implementeren. Zowel op strategisch als op tactisch niveau. De BIG is voor gemeenten te downloaden via de website van KING (https://new.kinggemeenten.nl/informatiebeveiliging). Tot 2015 zal de dienstverlening van de IBD zich fasegewijs ontwikkelen tot een volwaardige positie in 2015. Hierbij is een stapsgewijze opschaling in het aanbod naar steeds meer gemeenten randvoorwaardelijk voor het op lange termijn succesvol inrichten van deze IBD-dienstverlening. Het vergt bovendien een actieve houding van de gemeente om basisinformatie op ICT-vlak te delen met de IBD en de organisatie zodanig in te richten dat ze het volledige aanbod van de IBD kan gebruiken. De IBD informeert gemeenten hierover binnenkort met concrete details. ICT beveiligingsassessments DigiD In 2012 heeft toenmalig minister Spies van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) de maatregel aangekondigd dat alle gemeenten jaarlijks een ICT- onderwerp Informatiebeveiliging datum <datum> 02/05

Beveiligingsassessment DigiD moeten uitvoeren. Dit om de veiligheid van koppelingen met DigiD, hét digitale authenticatiemiddel voor de overheid en dienstverleners met een publieke taak, te borgen. En zo het vertrouwen van burgers in het digitaal regelen van hun zaken bij gemeenten via DigiD te behouden. De gemeente is in alle gevallen zelf verantwoordelijk voor het inleveren van de auditrapportage bij Logius, de beheerder van DigiD. Ook indien de gemeente taken als bijvoorbeeld hosting heeft uitbesteed aan een leverancier, of gebruikt maakt van een SaaS oplossing, ligt de verantwoordelijkheid voor het afronden en indienen van de rapportage bij de gemeente. De minister heeft het recht een organisatie die het assessment niet heeft uitgevoerd óf het assessment onvoldoende heeft doorstaan, van DigiD af te sluiten In opdracht van de VNG en gefinancierd door BZK ondersteunt KING/IBD gemeenten bij de ICT Beveiligingsassessments DigiD. De VNG heeft onlangs, in overleg met het ministerie van BZK, bereikt dat deze ondersteuning tot eind 2013 wordt verlengd. In veel gevallen zijn gemeenten, in meer of mindere mate, afhankelijk van leveranciers. Vanuit het ondersteuningsproject worden de leveranciers daarom benaderd en gestimuleerd om aan de gestelde eisen te voldoen, en dit te delen met gemeenten. De samenwerkingsconvenanten die KING met de leveranciers heeft zijn hierop uitgebreid met een addendum voor het ICT- Beveiligingsassessment DigiD welke inmiddels door dertien leveranciers is ondertekend. Daarnaast wordt vanuit het ondersteuningsproject een vijftal koploper-gemeenten begeleid om nog voor de zomer het assessment te doorlopen en een audit-rapportage in te dienen. De ervaringen van deze gemeenten, en de wijze van afhandeling van de ingediende rapportages door de minister, zal vanuit het ondersteuningsprogramma met de overige gemeenten worden gedeeld. Uit de eerder uitgevoerde impactanalyse, en de ervaringen van gemeenten blijkt dat, om de gestelde deadline van eind 2013 te halen, het van belang is om nog voor de zomer gestart te zijn. Vanuit de voortgangsinformatie van het ondersteuningsprogramma blijkt dat de meeste gemeenten inmiddels zijn gestart met het assessment. Er zijn echter ook gemeenten die nog niet zijn gestart. De VNG wijst gemeenten op het risico van afsluiting en wil hierbij tevens het belang van tijdig starten met (de voorbereidingen op) het assessment benadrukken. Voor uw gemeente, voor het imago van het gemeentelijke domein en natuurlijk voor het DigiD-stelsel zelf. Voor eventuele vragen over de IBD, de BIG of het ICT-Beveiligingsassessment DigiD kan contact worden opgenomen met de helpdesk van de Informatiebeveiligingsdienst voor gemeenten: 070-373 8011 of via het e-mailadres IBD@kinggemeenten.nl. onderwerp Informatiebeveiliging datum <datum> 03/05

Verplichtende zelfregulering Gemeenten zijn verantwoordelijk voor het op orde hebben van de informatiebeveiliging binnen de eigen gemeente. Dit zullen en mogen burgers en bedrijven, maar ook de ketenpartners, van de gemeente verwachten. Niet voor niets namen gemeenten daarom in 2012 het initiatief voor de oprichting van de IBD. De gemeente moet scherp zijn op de potentiële risico s die het loopt en daarop adequate (preventieve) maatregelen nemen. De Informatiebeveiligingsdienst voor gemeenten zal gemeenten hierbij, middels de eerder genoemde activiteiten, ondersteunen. In alle gevallen vanuit het perspectief van de eigen verantwoordelijkheid. De Onderzoeksraad Voor Veiligheid heeft, naar aanleiding van DigiNotar, onder andere geconstateerd dat informatiebeveiliging de bestuurlijke tafel te weinig bereikt. Op 13 februari heeft de Bestuurlijke Regiegroep Dienstverlening en e-overheid, een interbestuurlijk overleg waar de VNG aan deelneemt, besloten tot instelling van de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID). Deze taskforce, gefinancierd door het ministerie van BZK, zal alle overheidslagen de komende twee jaar ondersteunen bij zelfregulering van informatiebeveiliging. Indien zelfregulering niet voldoende van de grond komt, dan volgt mogelijk wetgeving. Gemeenten werken, middels VNG en de IBD, samen met de Taskforce BID om te komen tot deze verplichtende zelfregulering voor het gemeentelijke domein. Uitgangspunt hierbij is dat wordt aangesloten op de initiatieven die gemeenten individueel en als collectief al in gang hebben gezet. Voor de uitwerking van verplichtende zelfregulering zijn in maart drie bijeenkomsten georganiseerd: zowel met bestuurders, top-managers en informatiebeveiligers als een interbestuurlijke bijeenkomst waar ervaringen met en door andere bestuurslagen werden gedeeld. De VNG ziet de volgende lijn met betrekking tot zelfregulering voor het gemeentelijke domein, deze lijn wordt de komende tijd nader uitgewerkt. 1. Een gemeenschappelijk normenkader moet als basis dienen. Bepaald moet worden of de eerder genoemde Baseline Informatiebeveiliging Nederlandse Gemeenten dit gemeenschappelijke normenkader kan worden. 2. Lokaal moet informatiebeveiligingsbeleid worden vastgesteld. Met gebruik van het gemeenschappelijke normenkader maakt de gemeente een afweging en prioritering, onderbouwd vanuit een eigen nul-meting. 3. Borging moet plaats vinden door zelfregulering vorm te geven middels een interne cyclus, door transparantie, collegiale toetsing en een vorm van extern toezicht. Een groot deel van de aandacht rondom de opdracht tot zelfregulering moet echter worden gevestigd op het vlak van communicatie en bewustwording. Hier zal de Taskforce BID dan ook prioriteit van maken middels bijeenkomsten bij bestaande gremia, opleidingen en borgingsmechanismen. De Taskforce kent op dit onderdeel een relatie met de IBD die ook bewustwording stimuleert: IBD is hierbij met name operationeel gericht, de Taskforce BID bestuurlijk. In nauwe afstemming wordt geborgd dat de activiteiten elkaar versterken. onderwerp Informatiebeveiliging datum <datum> 04/05

Een laatste belangrijke opbrengst vanuit de bijeenkomsten in maart is de oproep om toe te werken naar het verlagen van de auditlast voor gemeenten. De mogelijkheden hiertoe worden door VNG, KING/IBD en de Taskforce BID op interbestuurlijk niveau nader verkend. Hoogachtend, Vereniging van Nederlandse Gemeenten J. Kriens Voorzitter directieraad Deze ledenbrief staat ook op www.vng.nl onder brieven. onderwerp Informatiebeveiliging datum <datum> 05/05

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback