HANDREIKING COMMUNICATIEPLAN INFORMATIEBEVEILIGING Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
Colofon Naam document Handreiking communicatieplan informatiebeveiliging Versienummer 1.0 Versiedatum Maart 2015 Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Copyright 2015 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. KING wordt als bron vermeld; 2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. Publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door KING; 4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling. Rechten en vrijwaring KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. Met dank aan De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product. 2
Voorwoord De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari 2013. Aanleiding voor de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid 2017. De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. De IBD heeft drie doelen: 1. Het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. Het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 3. Het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het ICT-Beveiligingsassessment DigiD is een voorbeeld van een dergelijk project. Hoe realiseert de IBD haar doelen? Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de website en community van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie in control is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische en Tactische Baseline te ondersteunen, zijn door de IBD in samenwerking met de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) producten ontwikkeld op operationeel niveau. Dit heeft een productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten. Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld. Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website van de IBD. De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de regels. Hierbij geldt: - Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI, BAG, PUN en WBP, maar ook de archiefwet. - Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). - De gemeente stelt dit normenkader vast, waarbij er ruimte is in de naleving van dat kader voor afweging en prioritering op basis van het pas toe of leg uit principe. 3
Leeswijzer Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Doel Deze handreiking is geschreven om gemeenten hun informatiebeveiliging naar een hoger plan te tillen door de inzet van bewustwording en de daarbij horende communicatie(middelen). Doelgroep Dit document is van belang voor de medewerkers van de afdelingen communicatie, personeelszaken en ICT-beheer. Relatie met overige producten Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Strategische Baseline Informatiebeveiliging Nederlandse Gemeenten Tactische Baseline Informatiebeveiliging Nederlandse Gemeenten Het voorbeeld Informatiebeveiligingsbeleid van de gemeente, hoofdstuk 4 en 8.2 Maatregelen tactische variant Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Maatregel 3.1 Benoem verantwoordelijken Maatregel 6.1.7 Contact met speciale belangengroepen Maatregel 8.2.1 Directieverantwoordelijkheid Maatregel 8.2.2 Bewustwording, opleiding en training ten aanzien van informatiebeveiliging Maatregel 12.6.1 Beheersing van technische kwetsbaarheden Maatregel 13.1.1 Rapportage van informatiebeveiligingsgebeurtenissen Maatregel 13.2.1 Verantwoordelijkheden en procedures Maatregel 14.1.1 Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer 4
Inhoud 1 Inleiding 6 1.1 Raakvlakken 6 1.2 Aanwijzing voor gebruik 6 2 Informatiebeveiligingsbewustzijn 8 2.1 Meten van informatiebeveiligingsbewustzijn 10 2.2 Informatiebeveiligingsbewustzijn bij uitbesteding 12 Bijlage 1: Voorbeeld communicatieplan informatiebeveiliging gemeente <gemeente> 13 Bijlage 2: Voorbeeld enquête informatiebeveiliging 25 Bijlage 3: Definities 34 Bijlage 4: Literatuur/bronnen 36 5
1 Inleiding De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) heeft maatregelen beschreven die te maken hebben met bewustwording, opleiding en training ten aanzien van informatiebeveiliging, zie hiervoor hoofdstuk 4 en paragraaf 8.2 in het voorbeeld gemeentelijk informatie beveiligingsbeleid en paragraaf 8.2 van de BIG. Gemeenten dienen continue aandacht te besteden aan kennisontwikkeling, kennisdeling en kennisvermeerdering op het vlak van informatiebeveiliging om zich hierop professioneel en krachtig neer te zetten. Dit kan worden gestimuleerd door de inzet van specifieke communicatiemiddelen die qua vorm en inhoud maximaal aan deze doelstelling bijdragen. Het is hierbij van belang dat gemeenten de samenwerking blijven zoeken met de Vereniging van Nederlandse Gemeenten (VNG) (op bestuurlijk niveau) en de Informatiebeveiligingsdienst voor gemeenten (IBD) (op tactisch en operationeel niveau) en met overige overheids- en ketenpartners die zich vanuit het onderwerp informatieveiligheid of informatiebeveiliging op de gemeentelijke overheidslaag richten. Naast deze externe gerichtheid, dient het communicatieplan informatiebeveiliging gemeenten als onderdeel van de bewustwordingscampagne ook een interne gerichtheid te adresseren. Dit communicatieplan informatiebeveiliging gemeenten dient de detailuitwerking van de gemeentelijke uitgangspunten met betrekking tot de communicatie over informatiebeveiliging te omvatten. In het kader van een eenduidige boodschap, gerichtheid in de communicatie en om verwarring te voorkomen is het van belang dat de communicatie over informatiebeveiliging binnen de gemeente goed te organiseren en de verantwoordelijkheden op het juiste niveau te beleggen. Dit zodat deze elkaar versterken en niet verzwakken. Beleg de verantwoordelijkheid met betrekking tot het communicatieplan informatiebeveiliging gemeenten als onderdeel van de bewustwordingscampagne bij de afdeling die verantwoordelijk is voor de coördinatie van het algemene gemeentelijk communicatiebeleid en het bewaken van de samenhang en de kwaliteit van verschillende communicatieplannen. De afdeling Personeelszaken is verantwoordelijk voor het functioneren van het personeel, inclusief bewustwording en gedrag. 1.1 Raakvlakken Overige raakvlakken die het communicatieplan informatiebeveiliging en bewustwording met de BIG hebben zijn: Voorbeeld Informatiebeveiligingsbeleid van de gemeente Voorbeeld Incident management en Responsbeleid Bedrijfscontinuïteitsplannen (BCP) / Disaster Recovery Plan (DRP) Gedragsregels gebruiker 1.2 Aanwijzing voor gebruik Deze handreiking is geschreven om aandachtspunten met betrekking tot communicatie en bewustwording op het gebied van informatiebeveiliging aan te reiken, zodat invulling gegeven kan 6
worden aan de gemeentelijke informatiebeveiligingsbeleidsregels. Deze handreiking is geen volledige procesbeschrijving en bevat geen compleet uitgewerkt communicatieplan informatiebeveiliging en bewustwordingsprogramma. Echter het bevat wel voldoende informatie en handvatten om goede (beleids)keuzes te maken met betrekking tot het opstellen en uitvoeren hiervan. De gemeentelijke informatiebeveiligingsbeleidsregels met betrekking tot bewustwording en gedrag zijn onder andere: 1 De afdelingen binnen de gemeente (in vragende rol) zijn verantwoordelijk voor de integrale beveiliging van hun organisatieonderdelen. De clusterdirectie stuurt op beveiligingsbewustzijn, bedrijfscontinuïteit en naleving van regels en richtlijnen (gedrag en risicobewustzijn). Alle medewerkers (en voor zover van toepassing externe gebruikers van onze systemen) dienen training te krijgen in procedures die binnen de gemeente of afdeling gelden voor informatiebeveiliging. Deze training dient regelmatig te worden herhaald om het beveiligingsbewustzijn op peil te houden. De gemeente/ de directie/ de afdeling bevordert algehele communicatie en bewustwording rondom informatiebeveiliging. Het lijnmanagement bevordert dat medewerkers (en externe gebruikers van onze systemen) zich houden aan beveiligingsrichtlijnen. Afspraken hierover worden vastgelegd in het managementcontract. In werkoverleggen wordt periodiek aandacht geschonken aan informatiebeveiliging. Voor zover relevant worden hierover afspraken vastgelegd in planningsgesprekken. 1 Zie ook het Voorbeeld Informatiebeveiligingsbeleid gemeenten : https://www.ibdgemeenten.nl/wpcontent/uploads/2014/04/13-0919-voorbeeld-informatiebeveiligingsbeleid-gemeenten-1.0.pdf 7
2 Informatiebeveiligingsbewustzijn Bewustwording is van essentieel belang wanneer het gaat om informatiebeveiliging. Een gemeente kan nog zo veel technische maatregelen nemen, wanneer medewerkers er niet naar handelen hebben deze maatregelen uiteindelijk aanzienlijk minder effect. De gebruiker ziet niet altijd het belang in van informatiebeveiliging. Zo worden wachtwoorden vergeten of op een Post-it onder het toetsenbord geplakt, computers en/of laptops onbeheerd achtergelaten en bezoekers niet begeleid door het pand. Bewustwording heeft als doel om alle gemeentelijke medewerkers bewust te maken van de informatiebeveiligingsrisico s die de gemeente loopt en ook van de wijze waarop zij zich hiertegen kunnen beschermen. Om vast te stellen welke bewustwordingsactiviteiten ontplooid dienen te worden bij een gemeente dient het huidige en gewenste kennis- en bewustzijnsniveau bepaald te worden. Het belangrijkste doel is uiteindelijk het veranderen van het gedrag van medewerkers als gevolg van het verhogen van het kennisniveau en de mate van bewustwording. Om dit te verwezenlijken is inzicht in welk gedrag (on)gewenst is en welke kennis noodzakelijk is, onmisbaar. Verandering in houding en gedrag Het bereiken van gedragsverandering bij medewerkers is vaak een lastige aangelegenheid. Uit onderzoek blijkt dat het gedrag niet vanzelf in de gewenste richting verandert als je zorgt voor meer kennis en een positieve houding bij mensen. Om gedrag te veranderen moet je je ook echt op gedrag richten. Dit blijkt onder andere uit de studie Gedragsverandering via campagnes 2. Hierin komt naar voren dat de campagnes van de rijksoverheid succesvol zijn in het bereiken van kennisoverdracht. Veranderingen in houding en gedrag blijken moeilijker te realiseren en voornamelijk de effecten op gedrag zijn in het algemeen beperkt. In het eindrapport worden handvatten gegeven hoe de effectiviteit vergroot kan worden. Bewustwordingsprogramma Het bepalen van het huidige kennis- en bewustzijnsniveau kan op diverse manieren. Onder andere het inzetten van een mystery guest, vraaggesprekken met medewerkers en vragenlijsten 3, leveren inzicht op met betrekking tot informatiebeveiligingsbewustzijn (zie ook paragraaf 3.1 Meten van informatiebeveiligingsbewustzijn ). Inzicht verkrijgen in het huidige kennisniveau en de mate van beveiligingsbewustzijn van gemeentelijke medewerkers is noodzakelijk. Op basis van dit inzicht en de gestelde doelen met betrekking tot het gewenste gedrag, kan een specifieke aanpak voor een bewustwordingsprogramma worden bepaald. Om het informatiebeveiligingsbewustzijn en de kennis op het gebied van informatiebeveiliging te vergroten, om zo de gewenste gedragsverandering te bereiken, is het uitvoeren van een bewustwordingsprogramma noodzakelijk. Het opstellen van een bewustwordingsprogramma bestaat in hoofdlijnen uit de volgende stappen: 2 Literatuuronderzoek Gedragsverandering via campagnes (18 mei 2011) in opdracht van Dienst Publiek en Communicatie, Ministerie van Algemene Zaken. Den Haag (http://www.rijksoverheid.nl/onderwerpen/overheidscommunicatie/documenten-enpublicaties/brochures/2011/05/18/gedragsverandering-via-campagnes.html). Het doel van deze studie was om te onderzoeken hoe de effectiviteit van campagnes vergroot kunnen worden door meer gericht te sturen op gedrag. 3 In bijlage 2 van dit document vindt u een voorbeeld enquêteformulier informatiebeveiliging. 8
Figuur 1 Stappenplan opstellen van een bewustwordingsprogramma Stap 1 Het opstellen van een plan van aanpak (communicatieplan informatiebeveiliging) De eerste stap is het opstellen van een plan van aanpak (communicatieplan informatiebeveiliging). In dit plan wordt onder andere de communicatiedoelstelling, -strategie, -doelgroepen, middelen en de activiteitenplanning beschreven met betrekking tot het verhogen van het bewustzijn op informatiebeveiligingsvlak. Zie bijlage 1 voor een voorbeeld communicatieplan informatiebeveiliging. Stap 2 - Verzamelen informatie bewustwordingsprogramma De volgende stap is het verzamelen van materiaal die u kunt gebruiken bij het op- en samenstellen van de communicatiemiddelen. Hierbij kan gebruik worden gemaakt van het gemeentelijke informatiebeveiligingsbeleid, de gedragscodes en de personeelshandboeken. Ook uit externe bronnen, zoals publicaties van de IBD 4 en de Campagne ibewustzijn Overheid 5, kunt u inspiratie halen. Stap 3 - Uitwerken communicatiemiddelen Met behulp van de in de vorige stap verzamelde informatie kunnen de verschillende communicatiemiddelen worden uitgewerkt. Stap 4 - Uitvoeren communicatieplan informatiebeveiliging Gedurende deze stap worden de communicatieactiviteiten die in het communicatieplan informatiebeveiliging zijn beschreven conform planning uitgevoerd. Hou ruimte in de planning met het feit dat er onverwachte gebeurtenissen kunnen plaatsvinden, waarover de gemeente moet worden geïnformeerd. Stap 5 - Evaluatie bewustwordingsprogramma Uiteindelijk dient het bewustwordingsprogramma regelmatig geëvalueerd te worden, om vast te stellen of de beoogde doelen zijn bereikt (gedragsverandering). Als dit niet het geval is, dan is het noodzakelijk om het bewustwordingsprogramma bij te stellen. 4 Zie https://www.ibdgemeenten.nl/ 5 Zie https://www.ibewustzijnoverheid.nl/ 9
Verantwoordelijkheden De verantwoordelijkheid voor werving, selectie en algemene zaken rond het functioneren van personeel ligt bij de afdeling personeelszaken. Dit is inclusief bewustwording en gedrag. De directie en de verschillende afdelingen zijn verantwoordelijk voor het bevorderen van de algehele communicatie en bewustwording rondom informatiebeveiliging. Het lijnmanagement speelt bij de uitvoering hiervan een belangrijke rol en dient te bevorderen dat gemeenteambtenaren, ingehuurd personeel en (waar van toepassing) externe gebruikers van interne systemen: Algemene beveiligingsaspecten toepassen in hun gedrag en handelingen, in overeenstemming met het vastgestelde beleid. Zich houden aan beveiligingsrichtlijnen. Om dit te borgen dienen hierover afspraken te worden vastgelegd in het managementcontract. Activiteiten uit de Tactische Baseline Informatiebeveiliging Nederlandse Gemeenten die een relatie met bewustwording en gedrag hebben zijn, onder andere: Zorgen dat alle gemeentemedewerkers, voor zover van toepassing, ingehuurd personeel en externe gebruikers: o zich bewust zijn van bedreigingen en gevaren voor informatiebeveiliging, van hun verantwoordelijkheid en aansprakelijkheid, en dat ze zijn toegerust om het beveiligingsbeleid van de organisatie in hun dagelijkse werkzaamheden te ondersteunen en het risico van een menselijke fout te verminderen. o op de hoogte zijn van de procedures voor het melden (rapporteren) van gebeurtenissen en escalatie. o regelmatig attent worden gemaakt op het beveiligingsbeleid en de beveiligingsprocedures van de gemeente, voor zover relevant voor hun functie. o geschikte trainingen en regelmatige bijscholing krijgen met betrekking tot beleid en procedures van de gemeente, voor zover relevant voor hun functie. o training krijgen in procedures die binnen de gemeente of afdeling gelden voor informatiebeveiliging. Deze training dient regelmatig te worden herhaald om het beveiligingsbewustzijn op peil te houden. Zorgen dat in werkoverleggen periodiek aandacht wordt geschonken aan informatiebeveiliging. Zorgen dat tijdens functionerings- en beoordelingsgesprekken het onderwerp informatiebeveiliging wordt besproken. Dit geldt in het bijzonder voor gemeentemedewerkers die risicovolle functies bekleden. Calamiteitenplannen gebruiken in de jaarlijkse bewustwording-, training en testactiviteiten. Maatregelen treffen voor detectie, preventie en herstellen, om gemeentelijke ICT-infrastructuur te beschermen tegen virussen. Tevens behoren er geschikte procedures te worden ingevoerd om het bewustzijn van de gebruikers te vergroten. 2.1 Meten van informatiebeveiligingsbewustzijn De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) stelt dat bewustzijn in een aantal gevallen een randvoorwaarde is. Het is dan ook zinvol om het informatiebeveiligingsbewustzijn van de gemeentelijke medewerkers te meten en op deze manier vast te stellen of aan deze randvoorwaarde is voldaan. Als eerste dient de gemeente te bepalen wàt ze precies wil meten. Als dat bekend is, kan de gemeente kijken hoe dat te meten. Tot slot: wat te doen met de uitkomsten? Het doel waarvoor 10
de gemeente de uitkomsten wil gebruiken, stelt eisen aan (de bruikbaarheid van) datgene dat moet worden gemeten. Informatiebeveiligingsbewustzijn is een bepalende en belangrijke factor in de bijdrage die een gemeentelijke medewerker levert aan het niveau van informatiebeveiliging van de gemeente. Daarom is de noodzaak tot inzicht in hoe het zit met het informatiebeveiligingsbewustzijn binnen de gemeente van belang. Een andere reden om een bewustzijnsmeting uit te voeren is om de aandachtspunten van een bewustwordingsprogramma te bepalen. Het heeft geen zin om tijd en aandacht te besteden aan zaken die al op orde zijn. Uitgangspunten bij de meetmethode zijn onder meer: Het resultaat dient niet (te sterk) afhankelijk te zijn van de persoon die de meting uitvoert. De meting dient met een zelfde nauwkeurigheid op latere tijdstippen te kunnen worden herhaald, zodat met een zekere betrouwbaarheid verbetering (of verslechtering) valt vast te stellen. De meting dient toepasbaar en uitvoerbaar te zijn. Observatie en het inzetten van een mystery guest, vraaggesprekken met medewerkers en vragenlijsten, leveren inzicht op met betrekking tot het informatiebeveiligingsbewustzijn. Naast de hoeveelheid aan informatie die deze meetmethoden opleveren, kleven er ook nadelen aan. Het grootste nadeel van vragenlijsten is de (voorbereidings)tijd en de vele keuzes die hierbij gemaakt dienen te worden bij het opstellen van de vragenlijst (zie bijlage 2 voor een voorbeeld enquêteformulier informatiebeveiliging). Denk hierbij aan: In welke vorm moeten de vragen worden gesteld? Meerkeuze, open vragen, et cetera. In welke vorm wordt de vragen lijst aangeboden? Op papier of online via het intranet. Namens wie wordt de uitnodiging verstuurd? De burgemeester, wethouder met informatiebeveiliging in zijn portefeuille, het college van Burgemeester en Wethouders (college van B&W) of de Chief Information Security Officer (CISO). Net als bij de vragenlijsten, is de inspanning die vraaggesprekken met medewerkers vergen het nadeel. Naast de tijd die je kwijt bent voor het voeren van de gesprekken vergt het uitwerken van de gesprekken ook een behoorlijke (tijds)inspanning. Het nadeel van een mystery guest is dat het resultaat in enige mate afhankelijk is van de kwaliteiten van de tester, de mystery guest. Een voorbeeld van een meetinstrument voor het informatiebeveiligingsbewustzijn is de quickscan Security Awareness in uw organisatie. 6 Met deze quickscan wordt een eerste indruk van het informatiebeveiligingsbewustzijn bij de medewerkers in uw gemeente gegeven. Heeft uw gemeente een bewustwordingsprogramma en voldoet dit? En indien een dergelijk bewustwordingsprogramma er nog niet is, loopt u dan geen onnodig risico? De quickscan laat zien waar verbetering mogelijk is. 6 www.nctv.nl/images/quickscan%20sat_tcm126-443949.pdf 11
2.2 Informatiebeveiligingsbewustzijn bij uitbesteding Informatiebeveiligingsbewustzijn is onmisbaar voor iedere organisatie, ook bij uitbestedingen. 7 Echter bij een uitbesteding heeft het informatiebeveiligingsbewustzijn een aantal extra dimensies. Zo dient de gemeente de dienstverlenende onderneming of toeleverancier bij het aangaan van een overeenkomst, naast een groot aantal andere aan beveiliging gerelateerde zaken, in korte tijd op de hoogte te stellen van het informatiebeveiligingsbewustzijn binnen de gemeente. Omdat er sprake is van twee verschillende organisaties kan er sprake zijn van een verschil in kennis en inzicht tussen de twee organisaties. Een manier om bij het aangaan van een overeenkomst 8 het informatiebeveiligingsbewustzijn van een dienstverlenende onderneming of toeleverancier te testen, is het vragen van een 'pas toe of leg uit' verklaring met betrekking tot het informatiebeveiligingsbeleid van de gemeente. Hierbij dient de dienstverlenende onderneming of toeleverancier aan te geven in welke mate aan het informatiebeveiligingsbeleid van de gemeente kan worden voldaan en dient zij uitleg te geven over wanneer hiervan afgeweken wordt. Hierbij dient bij de beoordeling niet alleen gekeken te worden naar de hoeveelheid groene vlakjes ( pas toe ) maar is het interessanter om te kijken naar de argumenten die bij non-compliance ( leg uit ) gegeven worden. 7 Zie hiervoor ook het operationele product Uitbesteding ICT-diensten en inhuur van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 8 Zie hiervoor ook het operationele product Bewerkersovereenkomst en inkoopvoorwaarden en informatiebeveiligingseisen van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 12
Bijlage 1: Voorbeeld communicatieplan informatiebeveiliging gemeente <gemeente> 1. Inleiding Informatiebeveiliging is mensenwerk. Management en medewerkers dienen zich bewust te zijn van de risico s die samenhangen met de omgang met vertrouwelijke gegevens en van de noodzaak van informatiebeveiliging. Hiervoor zijn communicatieactiviteiten ontwikkeld, die in dit communicatieplan informatiebeveiliging gemeente <gemeente> gestructureerd zijn vastgelegd. Er wordt onderscheid gemaakt in communicatiestrategie, -doelstellingen, -bouwstenen, -doelgroepen, -kernboodschappen, -activiteiten en -middelen. 1.1 Aanleiding Voor gemeenten is door de Informatiebeveiligingsdienst voor gemeenten (IBD) de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) opgesteld. Deze baseline geeft aan dat communicatie over informatiebeveiliging van groot belang is voor een succesvolle implementatie van informatiebeveiliging. Om tot een succesvolle implementatie van de BIG te komen, worden hiertoe in dit communicatieplan informatiebeveiliging activiteiten voorgesteld. Dit communicatieplan informatiebeveiliging is bedoeld voor iedere gemeentelijke medewerker binnen de gemeente <gemeente>. Met als doel om alle gemeentelijke medewerkers bewust te maken van de informatiebeveiligingsrisico s die de gemeente <gemeente> loopt, de samenhang met het gebruik van computers en netwerken en van de noodzaak van beveiliging van informatie. Hiermee wordt beoogd om informatiebeveiliging bij zoveel mogelijk gemeentelijke medewerkers tot een punt van blijvende aandacht te maken. Er kunnen voor de gemeente meerdere redenen zijn om te werken aan het verhogen van het kennis- en bewustzijnsniveau van de medewerkers. Hieronder volgen enkele voorbeelden: Een streven naar kwaliteitsverbetering Door het verhogen van het besef van de waarde van informatie voor de gemeente <gemeente> houden gemeentelijke medewerkers zich beter aan procedures op dit gebied, waardoor het aantal fouten wordt verkleind. Het verkrijgen/behouden van een betrouwbaar imago Voor de gemeente <gemeente> is vertrouwen één van de basisprincipes. Hierdoor is het van groot belang dat de gemeente <gemeente> betrouwbaar overkomt. Informatiebeveiligingsincidenten hebben een negatief effect op de betrouwbaarheid van de gemeente. Door een verhoging van het beveiligingsbewustzijn neemt het aantal informatiebeveiligingsincidenten af. Het versterken van de zwakste schakel Hoewel er veel technische mogelijkheden zijn om informatie te beveiligen, blijft de mens de zwakste schakel in de keten. Technische maatregelen zijn zinloos als het beveiligingsbewustzijn bij de gemeentelijke medewerkers ontbreekt. Naast het versterken van de zwakste schakel, zou natuurlijk ook gekeken kunnen worden of de mens nog wel onderdeel van de keten dient uit te maken. Is het beoogde resultaat te behalen zonder tussenkomst van de mens? Bijvoorbeeld door het aanpassen van processen, procedures en/of informatiesystemen. 13
Een aantal randvoorwaarden dienen te zijn ingevuld om een effectieve en efficiënte invulling te kunnen geven op de vraag: Hoe kan het kennis- en bewustzijnsniveau van de medewerkers blijvend gestimuleerd, verhoogd en gestuurd worden op het gebied van informatiebeveiliging? Deze randvoorwaarden zijn: Commitment van de directie en het management De cruciale voorwaarde voor een succesvolle uitvoering van een bewustwordingsprogramma binnen de gemeente <gemeente> is commitment. Zonder dat aan deze voorwaarde wordt voldaan is de slagingskans van een dergelijk programma beperkt. Geen eenmalige exercitie Bewustwording van gemeentelijke medewerkers binnen de gemeente <gemeente> is geen eenmalige zaak. Het is noodzakelijk dat er continu gestimuleerd, gestuurd en gemeten wordt. Zo wordt er constant aandacht besteed aan de ontwikkeling van het kennis- en bewustzijnsniveau. Hierbij is het wel van belang om vooraf het gewenste en het huidige kennis-, bewustzijnsniveau en gedrag in kaart te brengen. Tot slot dient het bewustwordingsprogramma ook aan te sluiten bij de organisatiecultuur van de gemeente <gemeente>. 2. Communicatieaspecten In dit hoofdstuk wordt het kader van het communicatieplan informatiebeveiliging geformuleerd. Welke doelen willen we bereiken met dit communicatieplan informatiebeveiliging ((beoogde) verbetering), welke bouwstenen worden hierbij ingezet en wat zijn de gehanteerde uitgangspunten en randvoorwaarden. 2.1 Doelen Met betrekking tot de communicatie over informatiebeveiliging wordt onderscheid gemaakt naar kennis, houding en gedrag. 2.1.1 Kennis over informatiebeveiliging Het doel is dat gemeentelijke medewerkers op de hoogte zijn van de voor hen geldende taken, regels en hulpmiddelen voor informatiebeveiliging. Voor het management geldt de doelstelling dat de beleidsstukken met betrekking tot informatiebeveiliging bij hen bekend zijn. 2.1.2 Houding en gedrag met betrekking tot informatiebeveiliging Het uitgangspunt is dat het management en de gemeentelijke medewerkers van de gemeente <gemeente> zich onvoldoende bewust zijn van de risico's die samenhangen met het gebruik van computers en netwerken en van de noodzaak van informatiebeveiliging. Dit bewustzijn varieert natuurlijk binnen de verschillende afdelingen en onder individuele gemeentelijke medewerkers. Verder vertonen niet alle gemeentelijke medewerkers het gewenste gedrag voor informatiebeveiliging. De communicatieactiviteiten dienen ertoe bij te dragen dat de individuele gemeentelijke medewerkers een positieve houding hebben ten aanzien van informatiebeveiliging en dit ook vertalen in het gewenste gedrag. Concreet betekent dit bijvoorbeeld dat: Werkplekken niet onbeheerd worden achtergelaten. Wachtwoorden geheim worden gehouden. Individuele wachtwoorden en persoonlijke accounts niet worden gedeeld. Vertrouwelijke gegevens niet onbeveiligd via e-mail worden verzonden. 14
Dossiers van gemeentelijke medewerkers en burgers vertrouwelijk worden behandeld. Geen vertrouwelijke informatie wordt verstrekt via de telefoon. Aanvallen zoals, phishing, spam en hoaxes worden herkend. Voor het management wordt beoogd dat de communicatieactiviteiten ertoe bijdragen dat deze groep een positieve houding heeft ten aanzien van informatiebeveiliging. Zo fungeren zij als voorbeeldfunctie voor de gemeentelijke medewerkers, spreken zij gemeentelijke medewerkers aan op ongewenst gedrag en steunen zij de betrokkenen in de activiteiten voor de verbetering van informatiebeveiliging binnen de gemeente <gemeente>. 2.2 De communicatiebouwstenen Om kennis, houding en gedrag van de betrokken doelgroepen maximaal positief te stimuleren, leert ervaring dat het zinvol is om bij de communicatieaanpak rekening te houden met enerzijds het communiceren van feiten en anderzijds de vertaalslag te maken naar de concrete werksituatie en belevingswereld van de collega s. Het is uiteraard belangrijk dat de toon en de vorm van de communicatie naar de verschillende doelgroepen vanuit een herkenbare gemeentelijke-huisstijl gebeurt. Dit vergroot de consistentie, de herkenbaarheid en acceptatie onder de doelgroepen en zorgt mede voor het basis-vertrouwen wat noodzakelijk is om een betrouwbare (kennis)partner te kunnen zijn. 2.3 Uitgangspunten Bij de uitvoering van dit communicatieplan informatiebeveiliging worden de volgende uitgangspunten gehanteerd: Om het beoogde effect te bereiken wordt een combinatie van communicatiemiddelen ingezet. Bij de communicatie wordt zoveel mogelijk gebruik gemaakt van zowel bestaande in- als externe kanalen en middelen (<personeelsblad>, intranet, werkoverleg, campagne ibewustzijn Overheid, et cetera). Om de herkenbaarheid van de boodschap voor informatiebeveiliging te vergroten wordt bij alle communicatieactiviteiten de volgende adagium/slogan gehanteerd: <adagium/slogan >. De communicatie over informatiebeveiliging wordt doelgroepgericht ingezet (zie hoofdstuk 4 voor de te onderscheiden doelgroepen). Het effect van de communicatieactiviteiten wordt gemeten door een steekproefsgewijze controle op de aanwezigheid van het gewenste kennis- en bewustzijnsniveau en gedrag. Bijvoorbeeld door het afnemen van interviews of het laten invullen van vragenlijsten. 2.4 Randvoorwaarden Voor een succesvolle uitvoering van dit communicatieplan informatiebeveiliging gelden de volgende randvoorwaarden: Er dient voldoende commitment bij het management te zijn voor de uitvoering van de voorgestelde communicatieactiviteiten. Deels is het verkrijgen van commitment voor informatiebeveiliging natuurlijk een doelstelling van de communicatie over informatiebeveiliging. Middelen die gemeentelijke medewerkers dienen in te zetten om het gewenste gedrag te kunnen vertonen, dienen beschikbaar en bekend te zijn. Voorbeelden van deze middelen zijn beveiligingsmiddelen voor veilig e-mailen via internet, screensaver op de werkplek, afsluitbare kasten, et cetera. Met betrekking tot de voorgestelde communicatieactiviteiten geldt dat het geheel meer is dan de som der delen. Dit houdt in dat het niet uitvoeren van bepaalde communicatieactiviteiten de 15
gehele communicatiestrategie ontkracht, waardoor de realisatie van de beoogde doelstellingen in gevaar komt. Er dienen voldoende mensen en middelen ter beschikking te worden gesteld (zie paragraaf 8.2 Financiën). 3. De communicatiedoelgroepen Omdat bewustzijn op informatiebeveiligingsvlak pas succesvol is als binnen de gemeente <gemeente> van hoog tot laag, in evenwicht, aandacht is voor zowel de techniek- als voor de menskant. 3.1 De primaire communicatiedoelgroepen Met betrekking tot communicatie over informatiebeveiliging worden de volgende primaire communicatiedoelgroepen onderscheiden: 1. Burgemeester, college van burgemeester en wethouders (B&W), de gemeenteraad, de verantwoordelijk wethouder informatiebeveiliging, gemeentesecretaris en het management 2. De gemeentelijke medewerkers 3. Specifieke medewerkers, zoals: Nieuwe medewerkers Archiefbeheerders ICT-medewerkers, bijvoorbeeld projectleiders, applicatiebeheerders en systeembeheerders. 3.2 De secundaire communicatiedoelgroepen Met betrekking tot communicatie over informatiebeveiliging worden de volgende secundaire communicatiedoelgroepen onderscheiden: 1. Burgers 2. Leveranciers en partners van leveranciers, bijvoorbeeld hosting-, audit-, pentestpartijen en adviseurs. 3. Media, bijvoorbeeld journalisten. 4. Communicatiedoelstelling De doelstelling kan als volgt geformuleerd worden: Het optimaal informeren, involveren en inspireren van de eigen gemeentelijke medewerkers aangaande het onderwerp informatiebeveiliging. Dit wordt gedaan zodat: De verantwoordelijkheid en taken van de informatiebeveiligingsorganisatie duidelijk zijn. Het belang van het onderwerp informatiebeveiliging en de voorbeeldfunctie van de gemeentelijke medewerkers hierin, duidelijk zijn en actief uitgedragen worden. Om de communicatiedoelstelling te ondersteunen wordt gebruik gemaakt van het adagium/slogan: <adagium/slogan >. Bijvoorbeeld De gemeentelijke ketting is zo sterk als de zwakste schakel. Daar waar relevant voor de gemeentelijke communicatie wordt meegelift op de communicatiemiddelen en -momenten van de IBD, (keten)partners en leveranciers. Denk hierbij aan de IBD-website en community, campagne ibewustzijn Overheid, nieuwsbrieven, congressen en andere relevante bijeenkomsten en middelen. 16
4.1 Kernboodschappen Alle communicatie-initiatieven van de gemeente met betrekking tot informatiebeveiliging worden opgehangen aan een aantal kernboodschappen. Het adagium/slogan, <adagium/slogan > wordt bij alle communicatieactiviteiten gebruikt als terugkerend thema. Hieronder worden de kernboodschappen weergegeven voor de verschillende communicatiedoelgroepen. Deze zijn: 1. Burgemeester, College van Burgemeester en Wethouders (B&W), de gemeenteraad, de verantwoordelijk wethouder Informatiebeveiliging, gemeentesecretaris en het management. o Informatiebeveiliging is een onderdeel van integraal management. o Iedere leidinggevende heeft een voorbeeldfunctie. o Iedere leidinggevende dient toezicht te houden op de eigen medewerkers. 2. Gemeentelijke medewerkers. o Beveiliging van (vertrouwelijke) informatie is belangrijk. o Beschikbaarheid van informatie is belangrijk. o Het is belangrijk dat informatie juist en volledig aanwezig is. o Goede informatiebeveiliging is een voorwaarde voor een goede dienstverlening. o Iedere medewerker heeft een eigen verantwoordelijkheid met betrekking tot informatiebeveiliging. 3. Specifieke medewerkers. o Bij de specifieke werkzaamheden horen ook taken voor informatiebeveiliging. Dit vereist zorgvuldigheid, scholing en bijzondere aandacht. 5. Communicatiestrategie De communicatiestrategie onderliggend aan dit communicatieplan informatiebeveiliging geeft in hoofdlijnen aan langs welke weg we de communicatiedoelen, zoals in hoofdstuk 2 beschreven, willen bereiken. In feite vormt de communicatiestrategie de verantwoording voor dit communicatieplan informatiebeveiliging. Hierbij dienen op verschillende fronten keuzes te worden gemaakt: Benader je de doelgroepen proactief, actief of passief? Hoe is de toon van de communicatie (zakelijk of persoonlijk, informeel of formeel)? Wat is de aard van de in te zetten communicatiemiddelen (mondeling, schriftelijk of een combinatie van beide)? Op welke wijze ga je de doelgroepen benaderen (massaal, groepsgewijs, individueel)? Met wie wordt er samengewerkt? Welke prioriteiten worden gesteld? De communicatiestrategie bestaat uit: Het gelijktijdig inzetten van verschillende communicatiemiddelen, omdat de verschillende doelgroepen hierdoor de boodschap beter oppikken. Het zoveel mogelijk betrekken van de verschillende doelgroepen bij het veranderingsproces, omdat daarmee meer draagvlak en bewustwording wordt gecreëerd voor informatiebeveiliging. Het zoveel mogelijk meeliften op de communicatiemiddelen en -momenten van andere organisaties, zoals de IBD, campagne ibewustzijn Overheid, (keten)partners en leveranciers. Op deze manier worden de doelgroepen vanuit verschillende invalshoeken geïnformeerd en kunnen tevens de kosten voor de gemeente worden beperkt. 17
6. Communicatiemiddelen Binnen de gemeente <gemeente> worden veel verschillende media als informatiebronnen gebruikt. Echter, het is niet de bedoeling deze allemaal in te zetten om de boodschap van informatiebeveiliging over te dragen. De hierna beschreven communicatiemiddelen (kunnen) worden ingezet om de verschillende doelgroepen te bereiken. Uiteraard hangt het inzetten van de hieronder beschreven communicatiemiddelen onder andere af van de grote van de gemeente en het beschikbare budget. Intern: Intranet Dit medium is voor alle doelgroepen van dit communicatieplan informatiebeveiliging toegankelijk en is daardoor goed inzetbaar. Gekeken moet worden hoe bij andere communicatieactiviteiten de aandacht op het onderdeel informatiebeveiliging van het intranet kan worden gevestigd (<personeelsblad>, nieuwsbrief, et cetera). Op de intranetpagina s van de gemeente <gemeente> worden regelmatig (bijvoorbeeld maandelijks) updates geplaatst van onderwerpen over informatiebeveiliging. Met als doel dat de gemeentelijke medewerkers op de hoogte blijven van waar de organisatie op het gebied van informatiebeveiliging mee bezig is. Naast algemene achtergrondinformatie over informatiebeveiliging is het van belang dat het intranet is voorzien van informatie die: Het grootste gedeelte van de vragen van medewerkers afvangt. De mogelijkheid biedt tot actieve berichtgeving in geval van incidenten. (Digitale) nieuwsbrief informatiebeveiliging Via afzonderlijke (digitale) nieuwsbrieven wordt op verschillende momenten aandacht besteed aan informatiebeveiliging, met onder andere aandacht voor: Een concreet onderwerp of case op informatiebeveiligingsvlak. Concrete tips en instructies. Informatiebeveiliging op de gemeentelijke werkvloer: een interview of artikel over de dagelijkse uitdagingen als het gaat om informatiebeveiliging. Afhankelijk van de beschikbaarheid van (actuele) onderwerpen drie à vier per jaar. Presentaties Het geven van presentaties is een praktische methode die ingezet kan worden om informatie over te brengen tijdens bijeenkomsten en/of afdelingsoverleggen. Deze kan worden afgestemd op de verschillende doelgroepen. 9 Training Volgens het train-de-trainer -principe worden specifieke medewerkers voorgelicht over het nut en de noodzaak van informatie en worden ze getraind in het gebruiken van de aanwezige communicatiemiddelen. Deze getrainde medewerkers kunnen dan tijdens het afdelingsoverleg de standaard presentatie verzorgen. Bijvoorbeeld de train-de-trainer Informatieveiligheid: Van ja zeggen naar ja doen! 10 E-learning 9 Zie hiervoor ook het operationele product (presentatie) Bewustwording Informatieveiligheid bij gemeenten van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 10 http://www.vngacademie.nl/e-learning/train--de--trainer-informatieveiligheid-van- %E2%80%98ja%E2%80%99-zeggen-naar-%E2%80%98ja%E2%80%99doen!.aspx 18
E-learning is een methode die gebruikt kan worden om informatie via een digitale module over te brengen, om de kennis te meten en de aanwezige houding, vaardigheden en gedrag te beïnvloeden. Bijvoorbeeld de e-learning module Bewust en veilig omgaan met (digitale) informatie! 11 Workshops Tijdens denk-en-doe-sessies van maximaal twee tot vier uur kan er beter ingespeeld worden op de impact van je eigen rol, het eigen handelen en het handelen van anderen op gebied van de informatieveiligheid. Bijvoorbeeld de interactieve workshops ibewustzijn die via de VNG Academie worden aangeboden. 12 <Personeelsblad> In het <personeelsblad> wordt op verschillende momenten iets over informatiebeveiliging geplaatst. Dit geschiedt natuurlijk in overleg met de redactie en alleen wanneer er ook werkelijk iets is te melden over informatiebeveiliging. Posters Door op verschillende plaatsen binnen de organisatie posters op te hangen worden de medewerkers gewezen op (de noodzaak van) informatiebeveiliging. Dit is weer een middel om alle gemeentemedewerkers te bereiken. Bij het bepalen van de inhoud van de posters wordt aandacht besteed aan het feit dat deze informatie ook zichtbaar wordt voor bezoekers. Er moet namelijk niet de indruk worden gewekt dat burgergegevens bij de gemeente niet in goede handen zijn. Bijvoorbeeld de posters van de campagne ibewustzijn Overheid. 13 Animatiefilmpjes Soms is het kijken naar situaties die niet aan werk gerelateerd zijn datgene dat noodzakelijk is om te beseffen welke handelingen beveiligingsbewust, of juist niet beveiligingsbewust zijn. Bijvoorbeeld de (vier) animatiefilmpjes van de campagne ibewustzijn Overheid. 14 Folders Via folders kunnen gemeentelijke medewerkers (gemakkelijk) kennis met het onderwerp informatiebeveiliging en wat beveiligingsbewustzijn inhoudt en het belang van een goed beveiligingsbewustzijn. Bijvoorbeeld de folders van de campagne ibewustzijn Overheid. 15 Werkoverleg Het werkoverleg is een effectief middel om gewenst gedrag met betrekking tot informatiebeveiliging bespreekbaar te maken. Om informatiebeveiliging hier goed onder de aandacht te brengen, wordt hiervoor een kant-en-klaar pakket (presentatie, werkvorm, et cetera) samengesteld. 11 http://www.vngacademie.nl/e-learning/ibewustzijn-overheid-.aspx 12 Zie voor meer informatie http://www.vngacademie.nl/e-learning/interactieve-workshops-ibewustzijn.aspx 13 https://www.ibewustzijnoverheid.nl/aanbod/posters/ 14 https://www.ibewustzijnoverheid.nl/aanbod/animatiefilmpjes/ 15 https://www.ibewustzijnoverheid.nl/aanbod/folder/ 19
Mystery guest In een real-life situatie wordt uw beveiliging aan een test onderworpen. Een mystery guest is een social engineer 16. Vaak is de toegang tot het gebouw beveiligd, maar kan de mystery guest door een list, toeval of door uitbuiting van psychologische technieken toch toegang tot het gebouw verschaffen. Eenmaal binnen in de beveiligde omgeving probeert de mystery guest vertrouwelijke informatie te bemachtigen en kijkt hij of hij andere schade kan aanrichten. Introductie nieuwe medewerkers Een introductiemap met informatie over informatiebeveiliging wordt aan nieuwe gemeentelijke medewerkers (intern en extern, stagiairs, et cetera) uitgereikt. 17 Dit wordt geborgd in de opzet van de introductie voor nieuwe medewerkers. Daarnaast wordt, indien mogelijk, de nieuwe medewerker in een persoonlijk gesprek door de manager op de hoogte gesteld van de regels voor informatiebeveiliging binnen de gemeente. Raadpleeg externe bronnen, zoals: https://www.ibewustzijnoverheid.nl/ ibewustzijn staat voor informatiebewustzijn. Met de campagne ibewustzijn Overheid wil de overheid haar medewerkers zoveel mogelijk ondersteunen en stimuleren in het ontwikkelen van het bewustzijn betreffende informatieveiligheid. De campagne is voor alle medewerkers van de provincies, waterschappen en gemeenten. https://veiliginternetten.nl/ Veiliginternetten.nl is een gezamenlijk initiatief van het ministerie van Economische Zaken, het ministerie van Veiligheid en Justitie / Nationaal Cybersecurity Centrum (NCSC) en ECP Platform voor de Informatiesamenleving en het bedrijfsleven. Op veiliginternetten.nl kunnen mensen tips, trucs en praktische stap voor stap uitleg vinden over wat zij kunnen doen en laten om veilig te internetten. Deze site is bedoeld voor iedereen met vragen over veilig gebruik van internet. https://www.digivaardigdigiveilig.nl/ Het kunnen omgaan met digitale toepassingen en het beschikken over een veilige digitale omgeving zijn cruciaal. Overheid, bedrijfsleven en maatschappelijke organisaties slaan hiervoor de handen ineen binnen dit publiek-private programma. http://cyberawareness.nctv.nl/ Om je bewust te maken van de digitale sporen die je achterlaat, hoe kwaadwillenden daarvan gebruikmaken en hoe je veiliger kunt handelen, hebben de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het NCSC een Cyber Security Awarenessprogramma ontwikkeld: 'Je bent zichtbaarder dan je denkt'. Het programma bestaat uit een film van ongeveer 15 minuten, factsheets en een e-learning module van ongeveer 30 minuten. Extern: Social Media Om de burgers te informeren wordt er gebruik gemaakt van de gemeentelijke social media kanalen zoals Twitter en Facebook: <gemeente>-ib-twitter o Vanuit dit <gemeente>-ib-twitter-account wordt getwitterd naar gemeentevolgers over het onderwerp informatiebeveiliging. Het kan natuurlijk ook zo zijn dat 16 Een social engineer probeert gebruikersgegevens te krijgen door zich bijvoorbeeld voor te doen als helpdeskmedewerker. Er wordt dus gewoon om wachtwoord en gebruikersgegevens gevraagd en vaak gekoppeld aan een probleem dat moet worden opgelost. 17 Dit kan uiteraard ook een verwijzing zijn naar de intranetpagina s die deze informatie bevatten. 20
de tweets met betrekking tot informatiebeveiliging getwitterd worden via het algemene <gemeente>-twitter-account. o Tweets, relevant om kenbaar te maken aan de volgers van de gemeente worden geretweet. Dit houdt in dat tweets van partijen die de gemeente volgt, in de gaten gehouden dienen te worden. o Tweets worden getweet met gebruik van een #(hashtag) bij woorden gerelateerd aan de gemeente. Bijvoorbeeld: informatieveiligheid, informatiebeveiliging, <gemeente>, ontwikkelingen et cetera. Dit met als doel, wanneer een twitteraar zoekt op deze woorden, de tweets van de gemeente ook naar boven komen. <gemeente>-facebook pagina o De gemeente <gemeente> heeft een eigen pagina op Facebook om, laagdrempelig, nog meer inwoners van de <gemeente> aan te spreken. Op deze pagina staat nieuws voor mensen die wat met de gemeente <gemeente> hebben. Het is mogelijk om te reageren op berichten of zelf informatie te plaatsen. Iedereen, ook zonder Facebook-account, kan de pagina, foto's en reacties bekijken. Wel is er een aantal spelregels: berichten met reclame-uitingen worden verwijderd. Ook berichten die beledigend zijn, bedreigingen of (links naar) illegale zaken bevatten worden verwijderd. o Op deze gemeentelijke Facebook-pagina wordt ook voor de inwoners relevante informatie met betrekking tot informatiebeveiliging en privacy geplaatst. Desgewenst kunnen ook specifieke communicatiemiddelen worden ingezet afhankelijk van nut en noodzaak op dat moment. Uiteraard wordt hier dan een specifiek plan van aanpak voor vervaardigd. 6.1 Doelgroepen-middelenmatrix Nadat de communicatiemiddelen zijn vastgesteld, kan de doelgroepen-middelenmatrix worden ingevuld (zie tabel 1). Dit is een schematische weergave, waarbij de communicatiedoelgroepen tegen de communicatiemiddelen worden uitgezet. De doelgroepen-middelenmatrix geeft overzichtelijk weer welke communicatiedoelgroepen je met welke communicatiemiddelen wilt bereiken. 21
Communicatiemiddelen Communicatiedoelgroepen Burgemeester, college van B&W, gemeenteraad, verantwoordelijk wethouder informatiebeveiliging, gemeentesecretaris en het management Gemeentelijke medewerkers Specifieke medewerkers Burgers Leveranciers en partners van leveranciers Media Informatiebeveiliging op intranet (Digitale) nieuwsbrief informatiebeveiliging Presentaties Training E-learning Workshops Informatiebeveiliging in <personeelsblad> Posters Animatiefilmpjes Folders Informatiebeveiliging in werkoverleg Inzet van mystery guest Introductie nieuwe medewerkers Tabel 1 Doelgroepen-middelenmatrix. 22
7. Activiteitenplanning In (het) onderstaande overzicht(en) worden de communicatieactiviteiten vermeld, die ten behoeve van de informatiebeveiliging worden uitgevoerd. Hierbij is ook aangegeven wanneer deze activiteiten worden uitgevoerd en wie hierbij betrokken zijn. Er worden hier twee voorbeelden (tabel 2 en 3) van de activiteitenplanning weergegeven. Bij overzicht 1 zijn de communicatiemiddelen het uitgangspunt en bij overzicht 2 is dat de communicatiedoelgroep. Communicatiemiddel Informatiebeveiliging op intranet (Digitale) nieuwsbrief informatiebeveiliging Presentaties Training E-learning Workshops Informatiebeveiliging in <personeelsblad> Posters Animatiefilmpjes Folders Informatiebeveiliging in werkoverleg Inzet van mystery guest Introductie nieuwe medewerkers Tabel 2 Overzicht 1 activiteitenplanning. Communicatiedoelgroep Vul hier in welke communicatiedoelgroep wordt benaderd. Verantwoordelijk Datum Vul hier in wie Vul hier in op verantwoordelijk is welke datum of voor deze in welke periode communicatieactiviteit (dat hoeft tieactiviteit de communica- niet degene te zijn plaatsvindt. die de activiteit uitvoert). Communicatiedoelgroep Vul hier in welke communicatiedoelgroep wordt benaderd. Communicatieboodschap/-doel Vul hier in wat je via deze communicatieactiviteit wil bereiken. Communicatiemiddel Vul hier in op welke wijze de communicatieboodschap wordt overgebracht. Datum en tijdstip Vul hier in op welke datum of in welke periode de communicatieactiviteit plaats vindt. Verantwoordelijk Vul hier in wie verantwoordelijk is voor deze communicatieactiviteit (dat hoeft niet degene te zijn die de activiteit uitvoert). Opmerking Tabel 3 Overzicht 2 activiteitenplanning. 23