TOELICHTING OP GAP-ANALYSE Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
Colofon Naam document Toelichting op GAP-analyse Versienummer 1.0 Versiedatum augustus 2013 Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Copyright 2013 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. KING wordt als bron vermeld; 2. het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door de KING; 4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling. Rechten en vrijwaring KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. In samenwerking met De producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) worden vervaardigd in samenwerking met: 2
Voorwoord De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari 2013. Aanleiding voor de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid 2017. De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. De IBD heeft drie doelen: 1. het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 3. het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het ICT-beveiligingsassessment DigiD is een voorbeeld van zo n project. Hoe realiseert de IBD haar doelen? Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de community van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie in control is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische en Tactische Baseline te ondersteunen, zijn door de IBD in samenwerking met de Taskforce Bestuur en Informatieveiligheid Dienstverlening producten ontwikkeld op operationeel niveau. Dit heeft een productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten. Onderhavig product is onderdeel van het productenportfolio. Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld. Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website van de IBD. De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de regels. Hierbij geldt: - Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI, BAG en PUN, maar ook de archiefwet. - Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). - De gemeente stelt dit normenkader vast, waarbij er ruimte is voor afweging en prioritering op basis van het pas toe of leg uit principe. 3
Leeswijzer Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Doel Het doel van de GAP-analyse is om gemeenten te controleren of en in welke mate de maatregelen uit de tactische variant van de Baseline Informatiebeveiliging voor Nederlandse Gemeenten zijn geïmplementeerd. Hierbij gaat het om gemeenten die het onderzoek uitvoeren of laten uitvoeren. Doelgroep De verantwoordelijke die onderzoekt of en in welke mate de BIG binnen de gemeente is ingevoerd. Relatie met overige producten Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) o Strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten o Tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten Implementatie BIG GAP-analyse Voorbeeld Informatiebeveiligingsbeleid Gemeenten Geheimhoudingsverklaringen Maatregelen tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Geen specifieke maatregel 4
Inhoud 1 Toelichting op GAP-analyse.xlsx 6 2 Opbouw van de spreadsheet GAP-analyse 7 3 Gebruiksaanwijzing spreadsheet GAP-analyse 8 4 Invullen spreadsheet deel 1 (GAP-analyse) 9 5 Invullen spreadsheet deel 2 (Impactanalyse) 10 6 Voortgang en rapportage 11 5
1 Toelichting op GAP-analyse.xlsx Het doel van de GAP-analyse is te controleren of en in welke mate de maatregelen uit de tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten geïmplementeerd zijn bij de gemeente die het onderzoek uitvoert of laat uitvoeren. De GAP-analyse bevat alle maatregelen uit de tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) met daarbij controlevragen. De GAP-analyse is een methode om een vergelijking te maken tussen een bestaande of huidige situatie en de gewenste situatie, de maatregelen uit de baseline. Het is verstandig om de GAP-analyse.xlsx op te slaan onder een andere naam voordat men begint. 6
2 Opbouw van de spreadsheet GAP-analyse De spreadsheet geeft de GAP-analyse weer, die bestaat uit 3 tabbladen, te weten: 1. De vragenlijst : de inhoud van de BIG met vragen. 2. Resultaat : een sheet met grafieken als resultaat van de vragenlijst. 3. Blad1 : ruimte voor eigen aantekeningen 1. De vragenlijst Opbouw GAP-analyse kolommen (tabblad vragenlijst); BIG-nummer Het nummer van het BIG hoofdstuk/paragraaf ; Hoofdgroep Hoofdstuk aanduiding, kan gebruikt worden voor selecteren; Groep Kan gebruikt worden door sorteren; Maatregel De maatregeltekst; Vraag De maatregelvraag. Deel 1 GAP-analyse; Aanwezig Is de maatregel aanwezig binnen de gemeente. Deze kolom bevat keuzes: gedeeltelijk, Ja, Nee, Niet van toepassing en Onbekend; Vindplaats/ Opmerking; 1. Vindplaats - waar is de beschrijving, maatregel gevonden; 2. Opmerking [eigen tekst]; Eigenaar Naam van eigenaar. Deel 2 Impactanalyse; Status wat is de status van de maatregel; Actiehouder wie is aanspreekbaar voor de maatregel, verantwoordelijk voor implementatie; Wanneer gereed planning; Geaccepteerd risico management besluit. 7
3 Gebruiksaanwijzing spreadsheet GAP-analyse De persoon die gaat onderzoeken of en in welke mate aan de BIG wordt voldaan, gaat met de spreadsheet binnen de eigen organisatie vaststellen of een maatregel bestaat of niet. Hiervoor worden de kolommen gebruikt onder het kopje deel 1 (GAP-analyse) van het tabblad vragenlijst. De GAP-analyse tegen de baseline aanhouden is een brede onderzoeksvraag en gaat binnen de gemeente over alle processen en applicaties heen. Bijvoorbeeld maatregel 5.1.1.1.: Als er een informatiebeveiligingsplan gevonden wordt binnen de GBA informatiebeveiliging documentatieset of in de set die gemaakt is voor DigiD, dan is daarmee deels voldaan aan de vraag of er een informatiebeveiligingsplan is. Pas als in het plan de scope is opgenomen alle bedrijfsvoeringsprocessen van de gemeente en de BIG, dan pas kan van een informatiebeveiligingsplan gesproken worden in de zin van de BIG. 8
4 Invullen spreadsheet deel 1 (GAP-analyse) Het uitvoeren van de GAP-analyse hoeft niet lang te duren, het gaat om een Quick scan. De keuzes die gemaakt kunnen worden in de kolom Aanwezig : Ja: De maatregel is aanwezig. Vul ook de vindplaats in, wie de maatregel uitvoert, waar de maatregel is vastgelegd en overige bijzonderheden. Nee: Er is niks gevonden. Gedeeltelijk: De maatregel is gedeeltelijk geïmplementeerd. Niet van toepassing: De maatregel is niet van toepassing. Vul daarbij ook een reden in! Onbekend: Onduidelijk of er iets is dat voldoet. Er moet te lang naar gezocht worden of er liggen nog een aantal onopgeloste vraagstukken. Schermvoorbeeld met keuzes: (deze keuzes kunnen klein uitvallen als de sheet ver wordt uitgezoomd) Als de vragenlijst is afgewerkt, weet de gemeente waar men staat ten opzichte van de tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten. Dit kunt u bekijken door in het tabblad resultaat naar het bovenste figuur Status GAP-analyse gemeente te kijken. Binnen dit tabblad kan men cel B3 tot en met B14 selecteren en door middel van de toetsaanslag ALT-F5 een verversing van de resultaten bewerkstelligen. Het figuur geeft een procentuele score aan ten opzichte van het optimale resultaat. Na het invullen van deel 1 is de GAP-analyse uitgevoerd. 9
5 Invullen spreadsheet deel 2 (Impactanalyse) In de kolommen van deel 2 van het tabblad Vragenlijst kan men de ontbrekende of onbekende maatregelen verder onderzoeken en een managementrapportage maken. Deel 2 van de lijst wordt gebruikt bij de Impactanalyse. De Impactanalyse is een stap in de toewijzing van maatregelen en het gaat erom dat er een reële planning gemaakt wordt. Hier worden de nog niet gevonden maatregelen of de onbekende maatregelen verder verdeeld in de volgende statussen: Deels geïmplementeerd: Geaccepteerd risico: Geïmplementeerd: In overleg: Niet geïmplementeerd: Niet van toepassing: Nog niet onderzocht: Overgedragen: Te implementeren: Een maatregel is deels aanwezig. Een maatregel wordt niet genomen, het risico dat gelopen wordt door het niet nemen wordt geaccepteerd. Een maatregel is volledig geïmplementeerd. Een maatregel is nog in overleg. De maatregel moet nog geïmplementeerd worden. De maatregel is niet van toepassing. De maatregel is nog niet onderzocht. De maatregel is overgedragen (bijvoorbeeld aan een technische beheer organisatie). De maatregel gaat geïmplementeerd worden binnen afzienbare tijd. Schermvoorbeeld met keuzes: De kolommen Actiehouder en Wanneer Gereed kunnen worden voorzien van concrete informatie over wanneer en door wie een maatregel geïmplementeerd is. Het management en beschikbare resources zoals mensen en budget bepalen in sterke mate de snelheid waarmee ontbrekende maatregelen geïmplementeerd kunnen worden. Als deel 2 ingevuld is, kan men in het tabblad Resultaat bij het onderste figuur Status na update en management besluiten zien welke keuzes gemaakt zijn. Binnen dit tabblad kan men cel B30 tot en met B41 selecteren en door middel van de toetsaanslag ALT-F5 een verversing van de resultaten bewerkstelligen. Het figuur geeft een procentuele score aan ten opzichte van het optimale resultaat. 10
6 Voortgang en rapportage Door het rekenblad, bijvoorbeeld iedere maand met een andere naam op te slaan, kan men de voortgang eenvoudig zichtbaar maken. Als er wijzigingen zijn in statussen kunnen deze in de loop van de implementatie van de maatregelen verwerkt worden. De verschillende rekenbladen kunnen samen gebruikt worden voor rapportages aan het management. Het gaat bij het rekenblad om het totale overzicht van alle processen en ondersteunende systemen binnen de gemeente waarover de toets gedaan is. 11
INFORMATIEBEVEILIGINGSDIENST V00R GEMEENTEN (IBD) NASSAULAAN 12 2514 JS DEN HAAG POSTBUS 30435 2500 GK DEN HAAG HELPDESK 070 373 80 11 ALGEMEEN 070 373 80 08 FAX 070 363 56 82 IBD@KINGGEMEENTEN.NL WWW.KINGGEMEENTEN.NL 12