TOELICHTING OP GAP-ANALYSE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Vergelijkbare documenten
Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

INKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN

RESPONSIBLE DISCLOSURE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

MOBIELE GEGEVENSDRAGERS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

IMPLEMENTATIE BIG. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

TOEGANGSBELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VEILIGE AFVOER VAN ICT- MIDDELEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november Anita van Nieuwenborg

CONTRACTMANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

HARDENING-BELEID VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

ANTI-MALWARE BELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

MODEL VOOR EEN VERWERKERSOVEREENKOMST

Handleiding. Checklist Data Privacy Impact Analyse

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

PATCH MANAGEMENT VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

BABVI/U Lbr. 13/057

GEHEIMHOUDINGSVERKLARINGEN. Een van de producten uit de operationele variant Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

Jaarrapportage gegevensbescherming

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

Jaarrapportage gegevensbescherming

HOE VUL IK DE LEGE FOTO? Verzamelen en actueel houden fotoinformatie

MOBILE DEVICE MANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Een beetje beveiligen kan niet Op weg naar veiliger gemeenten Jaarplan 2015 en toekomst IBD Consulterend Overleg 22 september 2014 Boudien Glashouwer

Responsible Disclosure

Mobiele Gegevensdragers

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

HOE VUL IK DE LEGE ICT-FOTO? Verzamelen en actueel houden fotoinformatie

WACHTWOORDBELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

o n k Ö A fia* V/ \ ^ * f

BACK-UP EN RECOVERY GEMEENTE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Welkom bij parallellijn 1 On the Move uur. Stap 2 van de BIG Hoe kom ik tot een informatiebeveiligingsplan?

ADDENDUM Ondersteuning ICT- Beveiligingsassessment DigiD

AANSLUITEN BIJ DE IBD. Het stappenplan

MODEL CONTINUÏTEITSSTRATEGIE <PERIODE>

VOORBEELD BASELINETOETS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

HANDREIKING PROCES WIJZIGINGSBEHEER

De 10 bestuurlijke principes voor informatiebeveiliging

Aantoonbaar in control op informatiebeveiliging

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

Voorstel Informatiebeveiliging beleid Twente

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

Veilige afvoer van ICT-middelen

ENSIA ROL- EN TAAKBESCHRIJVING VAN GEMEENTELIJKE STAKEHOLDERS

Brief aan de leden T.a.v. het college en de raad. 21 maart ECIB/U Lbr. 17/017 (070)

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Handreiking Implementatie Specifiek Suwinetnormenkader

ADDENDUM INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN. Kwaliteitsinstituut Nederlandse Gemeenten & Leveranciers

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

ADDENDUM INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN. Kwaliteitsinstituut Nederlandse Gemeenten & Leveranciers

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

S. Nicolasen, B. Duindam, K. v.d. Heuvel, D. Wering. Advies: Bijgaande raadsinformatiebrief goedkeuren en naar raad verzenden.

Welkom bij parallellijn 1 On the Move uur

INFORMATION SECURITY MANAGEMENT SYSTEM

HOE VUL IK DE LEGE ICT-FOTO? Verzamelen en actueel houden fotoinformatie

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]

Innovatie in een veranderd risicolandschap

INFORMATION SECURITY MANAGEMENT SYSTEM

Een bestuursmanifest voor informatieveiligheid

STAPPENPLAN VOOR GEMEENTEN BIJ DE VOORBEREIDING OP DE AVG

Veilig gebruik van suwinet. Mariska ten Heuw Wethouder Sociale Zaken

BASELINETOETS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

BIO-Aanpak. Kees Hintzbergen, Senior adviseur IB IBD. Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).

ECIB/U Lbr. 17/010

Inkoopvoorwaarden en informatiebeveiligingseisen

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

informatiecentrum tel. uw kenmerk bijlage(n) (070) Lbr. 14/086

Handreiking. Standaard Verwerkersovereenkomst Gemeenten

Bureau Forum Standaardisatie. Overzicht reacties consultatieronde DANE Bijlagen: - Reactie KING - Reactie ministerie van BZK. Forum Standaardisatie

Regiobijeenkomst Aansluiten bij de IBD 2014

Regiobijeenkomsten Aansluiten bij de IBD December 2013

Datalekken (en privacy!)

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

VRAGENLIJST PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

MODEL CONTINUÏTEITSPLAN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

HANDREIKING IB-FUNCTIEPROFIEL CHIEF INFORMATION SECURITY OFFICER (CISO)

Workshop Kwaliteitsmonitor

13 februari 2011, versie 1.0. Onderzoeksresultaten e-overheid bij gemeenten stand van zaken ondersteuningsbehoefte

ENSIA voor informatieveiligheid

SAMENHANG BEHEERPROCESSEN EN INFORMATIEBEVEILIGING

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

26 maart 2015 Jule Hintzbergen, IBD. De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en ENSIA

Introductie aanpak BIO

INFORMATIEVEILIGHEID een uitdaging van ons allemaal

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

Rapport. Informatieveiligheid en de Raad Met de hamer op tafel. Enquête over hoe raadsleden denken over het thema Informatieveiligheid

Handreiking. Opstellen collegeverklaring ENSIA Versie 2.0. Vereniging van Nederlandse Gemeenten

HANDREIKING COMMUNICATIEPLAN INFORMATIEBEVEILIGING

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD

Verwerkersovereenkomst uitvoering <naam hoofdovereenkomst>

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Aansluiten bij de IBD. Het stappenplan

Verklaring van Toepasselijkheid en Informatiebeveiligingsbeleid

Transcriptie:

TOELICHTING OP GAP-ANALYSE Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Colofon Naam document Toelichting op GAP-analyse Versienummer 1.0 Versiedatum augustus 2013 Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Copyright 2013 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. KING wordt als bron vermeld; 2. het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door de KING; 4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling. Rechten en vrijwaring KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. In samenwerking met De producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) worden vervaardigd in samenwerking met: 2

Voorwoord De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari 2013. Aanleiding voor de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid 2017. De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. De IBD heeft drie doelen: 1. het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 3. het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het ICT-beveiligingsassessment DigiD is een voorbeeld van zo n project. Hoe realiseert de IBD haar doelen? Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de community van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie in control is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische en Tactische Baseline te ondersteunen, zijn door de IBD in samenwerking met de Taskforce Bestuur en Informatieveiligheid Dienstverlening producten ontwikkeld op operationeel niveau. Dit heeft een productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten. Onderhavig product is onderdeel van het productenportfolio. Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld. Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website van de IBD. De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de regels. Hierbij geldt: - Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI, BAG en PUN, maar ook de archiefwet. - Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). - De gemeente stelt dit normenkader vast, waarbij er ruimte is voor afweging en prioritering op basis van het pas toe of leg uit principe. 3

Leeswijzer Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Doel Het doel van de GAP-analyse is om gemeenten te controleren of en in welke mate de maatregelen uit de tactische variant van de Baseline Informatiebeveiliging voor Nederlandse Gemeenten zijn geïmplementeerd. Hierbij gaat het om gemeenten die het onderzoek uitvoeren of laten uitvoeren. Doelgroep De verantwoordelijke die onderzoekt of en in welke mate de BIG binnen de gemeente is ingevoerd. Relatie met overige producten Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) o Strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten o Tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten Implementatie BIG GAP-analyse Voorbeeld Informatiebeveiligingsbeleid Gemeenten Geheimhoudingsverklaringen Maatregelen tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Geen specifieke maatregel 4

Inhoud 1 Toelichting op GAP-analyse.xlsx 6 2 Opbouw van de spreadsheet GAP-analyse 7 3 Gebruiksaanwijzing spreadsheet GAP-analyse 8 4 Invullen spreadsheet deel 1 (GAP-analyse) 9 5 Invullen spreadsheet deel 2 (Impactanalyse) 10 6 Voortgang en rapportage 11 5

1 Toelichting op GAP-analyse.xlsx Het doel van de GAP-analyse is te controleren of en in welke mate de maatregelen uit de tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten geïmplementeerd zijn bij de gemeente die het onderzoek uitvoert of laat uitvoeren. De GAP-analyse bevat alle maatregelen uit de tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) met daarbij controlevragen. De GAP-analyse is een methode om een vergelijking te maken tussen een bestaande of huidige situatie en de gewenste situatie, de maatregelen uit de baseline. Het is verstandig om de GAP-analyse.xlsx op te slaan onder een andere naam voordat men begint. 6

2 Opbouw van de spreadsheet GAP-analyse De spreadsheet geeft de GAP-analyse weer, die bestaat uit 3 tabbladen, te weten: 1. De vragenlijst : de inhoud van de BIG met vragen. 2. Resultaat : een sheet met grafieken als resultaat van de vragenlijst. 3. Blad1 : ruimte voor eigen aantekeningen 1. De vragenlijst Opbouw GAP-analyse kolommen (tabblad vragenlijst); BIG-nummer Het nummer van het BIG hoofdstuk/paragraaf ; Hoofdgroep Hoofdstuk aanduiding, kan gebruikt worden voor selecteren; Groep Kan gebruikt worden door sorteren; Maatregel De maatregeltekst; Vraag De maatregelvraag. Deel 1 GAP-analyse; Aanwezig Is de maatregel aanwezig binnen de gemeente. Deze kolom bevat keuzes: gedeeltelijk, Ja, Nee, Niet van toepassing en Onbekend; Vindplaats/ Opmerking; 1. Vindplaats - waar is de beschrijving, maatregel gevonden; 2. Opmerking [eigen tekst]; Eigenaar Naam van eigenaar. Deel 2 Impactanalyse; Status wat is de status van de maatregel; Actiehouder wie is aanspreekbaar voor de maatregel, verantwoordelijk voor implementatie; Wanneer gereed planning; Geaccepteerd risico management besluit. 7

3 Gebruiksaanwijzing spreadsheet GAP-analyse De persoon die gaat onderzoeken of en in welke mate aan de BIG wordt voldaan, gaat met de spreadsheet binnen de eigen organisatie vaststellen of een maatregel bestaat of niet. Hiervoor worden de kolommen gebruikt onder het kopje deel 1 (GAP-analyse) van het tabblad vragenlijst. De GAP-analyse tegen de baseline aanhouden is een brede onderzoeksvraag en gaat binnen de gemeente over alle processen en applicaties heen. Bijvoorbeeld maatregel 5.1.1.1.: Als er een informatiebeveiligingsplan gevonden wordt binnen de GBA informatiebeveiliging documentatieset of in de set die gemaakt is voor DigiD, dan is daarmee deels voldaan aan de vraag of er een informatiebeveiligingsplan is. Pas als in het plan de scope is opgenomen alle bedrijfsvoeringsprocessen van de gemeente en de BIG, dan pas kan van een informatiebeveiligingsplan gesproken worden in de zin van de BIG. 8

4 Invullen spreadsheet deel 1 (GAP-analyse) Het uitvoeren van de GAP-analyse hoeft niet lang te duren, het gaat om een Quick scan. De keuzes die gemaakt kunnen worden in de kolom Aanwezig : Ja: De maatregel is aanwezig. Vul ook de vindplaats in, wie de maatregel uitvoert, waar de maatregel is vastgelegd en overige bijzonderheden. Nee: Er is niks gevonden. Gedeeltelijk: De maatregel is gedeeltelijk geïmplementeerd. Niet van toepassing: De maatregel is niet van toepassing. Vul daarbij ook een reden in! Onbekend: Onduidelijk of er iets is dat voldoet. Er moet te lang naar gezocht worden of er liggen nog een aantal onopgeloste vraagstukken. Schermvoorbeeld met keuzes: (deze keuzes kunnen klein uitvallen als de sheet ver wordt uitgezoomd) Als de vragenlijst is afgewerkt, weet de gemeente waar men staat ten opzichte van de tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten. Dit kunt u bekijken door in het tabblad resultaat naar het bovenste figuur Status GAP-analyse gemeente te kijken. Binnen dit tabblad kan men cel B3 tot en met B14 selecteren en door middel van de toetsaanslag ALT-F5 een verversing van de resultaten bewerkstelligen. Het figuur geeft een procentuele score aan ten opzichte van het optimale resultaat. Na het invullen van deel 1 is de GAP-analyse uitgevoerd. 9

5 Invullen spreadsheet deel 2 (Impactanalyse) In de kolommen van deel 2 van het tabblad Vragenlijst kan men de ontbrekende of onbekende maatregelen verder onderzoeken en een managementrapportage maken. Deel 2 van de lijst wordt gebruikt bij de Impactanalyse. De Impactanalyse is een stap in de toewijzing van maatregelen en het gaat erom dat er een reële planning gemaakt wordt. Hier worden de nog niet gevonden maatregelen of de onbekende maatregelen verder verdeeld in de volgende statussen: Deels geïmplementeerd: Geaccepteerd risico: Geïmplementeerd: In overleg: Niet geïmplementeerd: Niet van toepassing: Nog niet onderzocht: Overgedragen: Te implementeren: Een maatregel is deels aanwezig. Een maatregel wordt niet genomen, het risico dat gelopen wordt door het niet nemen wordt geaccepteerd. Een maatregel is volledig geïmplementeerd. Een maatregel is nog in overleg. De maatregel moet nog geïmplementeerd worden. De maatregel is niet van toepassing. De maatregel is nog niet onderzocht. De maatregel is overgedragen (bijvoorbeeld aan een technische beheer organisatie). De maatregel gaat geïmplementeerd worden binnen afzienbare tijd. Schermvoorbeeld met keuzes: De kolommen Actiehouder en Wanneer Gereed kunnen worden voorzien van concrete informatie over wanneer en door wie een maatregel geïmplementeerd is. Het management en beschikbare resources zoals mensen en budget bepalen in sterke mate de snelheid waarmee ontbrekende maatregelen geïmplementeerd kunnen worden. Als deel 2 ingevuld is, kan men in het tabblad Resultaat bij het onderste figuur Status na update en management besluiten zien welke keuzes gemaakt zijn. Binnen dit tabblad kan men cel B30 tot en met B41 selecteren en door middel van de toetsaanslag ALT-F5 een verversing van de resultaten bewerkstelligen. Het figuur geeft een procentuele score aan ten opzichte van het optimale resultaat. 10

6 Voortgang en rapportage Door het rekenblad, bijvoorbeeld iedere maand met een andere naam op te slaan, kan men de voortgang eenvoudig zichtbaar maken. Als er wijzigingen zijn in statussen kunnen deze in de loop van de implementatie van de maatregelen verwerkt worden. De verschillende rekenbladen kunnen samen gebruikt worden voor rapportages aan het management. Het gaat bij het rekenblad om het totale overzicht van alle processen en ondersteunende systemen binnen de gemeente waarover de toets gedaan is. 11

INFORMATIEBEVEILIGINGSDIENST V00R GEMEENTEN (IBD) NASSAULAAN 12 2514 JS DEN HAAG POSTBUS 30435 2500 GK DEN HAAG HELPDESK 070 373 80 11 ALGEMEEN 070 373 80 08 FAX 070 363 56 82 IBD@KINGGEMEENTEN.NL WWW.KINGGEMEENTEN.NL 12

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback