Openbaar Onderwerp Verklaring van Toepasselijkheid en Informatiebeveiligingsbeleid Programma Bestuur en Middelen BW-nummer Portefeuillehouder H. Tiemens, B. van Hees, H. Bruls Samenvatting De gemeente Nijmegen hecht groot belang aan informatieveiligheid en wil in navolging van de Resolutie Informatieveiligheid, die unaniem door de ledenraad van de VNG eind 2013 is omarmd, de Baseline Informatiebeveiliging Gemeenten (BIG) volgen en invoeren. Dit gaan we doen door het vaststellen van de uit de BIG voortvloeiende Verklaring van Toepasselijkheid, naast een op de BIG gebaseerd informatiebeleid voor de periode 2015 2018. Directie/afdeling, ambtenaar, telefoonnr. FA20, Esther Zijlstra, 3963 ambtelijk voorstel 3 november 2015 Registratienummer 15.0009668 Ter besluitvorming door het college 1. De bijgevoegde Verklaring van Toepasselijkheid vast te stellen. 2. Het bijgevoegde Informatiebeveiligingsbeleid vast te stellen. 3. Eén informatiebeveiligingsfunctionaris (CISO) voor de gemeente Nijmegen aan te stellen. Deze functionaris vervult tevens de rol van beveiligingsbeheerder BRP, beveiligingsfunctionaris Reisdocumenten c.q. Rijbewijzen en Suwinet security officer. 4. Voorgesteld wordt om de heer R. van Wamel te benoemen als CISO (Chief Information Security Officer), en mevr. E. Zijlstra als plaatsvervangend CISO. 5. Besluiten onder registratie nummer 14.0009951 (Aanstelling Security Officer Suwinet), en 14.0007422 (Controller Informatiebeveiliging ) in te trekken. 6. Brief aan de Raad over de Verklaring van Toepasselijkheid en het Informatiebeveiligingsbeleid vast te stellen. Steller Esther Zijlstra Paraaf akkoord Alleen ter besluitvorming door het College Actief informeren van de Raad Besluit B&W d.d. 17 november 2015 X Conform advies Aanhouden Anders, nl. nummer: 3.17 Bestuursagenda Paraaf akkoord Portefeuillehouder Voorstel Informatiebeveiliging aan het College
1 Probleemstelling Op 29 november 2013 is de Resolutie Informatieveiligheid unaniem aangenomen in de ledenvergadering van de VNG. Daarmee wordt de Baseline Informatiebeveiliging Gemeenten (BIG) geïntroduceerd als normenkader voor gemeenten. De BIG is gebaseerd op de wereldwijde ISO 27001/27002 standaard en Gemeente Nijmegen wil hier aan voldoen. 2 Juridische aspecten De relevante wettelijke beleidskaders voor het voorgestelde informatiebeveiligingsbeleid zijn: Baseline Informatiebeveiliging Gemeenten Wet Basisregistratie Personen (BPR) Wet Basisregistratie Adressen & Gebouwen (BAG) Wet Structuur Uitvoeringsorganisatie Werk & Inkomen (Suwi) Participatiewet Wet Maatschappelijke Ondersteuning (WMO) 2015 Jeugdwet Archiefwet Wet algemene bepalingen Burgerservicenummer Wet Bescherming Persoonsgegevens (WBP) Wet Computercriminaliteit Een aantal van deze wetten worden getoetst door audits. Met het voldoen aan de BIG neemt de auditlast af. 3 Doelstelling Het beoogde doel is eind 2018 geheel voldoen aan de Baseline Informatiebeveiliging Gemeenten. 4 Argumenten In de Verklaring van Toepasselijkheid geeft het college aan wat de situatie is op het gebied van informatiebeveiliging. Welke risico`s geaccepteerd worden en welke worden aangepakt. Dit is de verantwoordelijkheid van het college. Het informatiebeveiligingsbeleid vormt het fundament onder de informatiebeveiliging van de gemeente Nijmegen en maakt het mogelijk maatregelen te nemen. Te beginnen met het benoemen van de CISO door het college, zoals in de strategische uitgangspunten van de BIG wordt geformuleerd. Door het vaststellen van deze documenten door het College van B&W geeft ons College van B&W aan dat het veel belang aan dit onderwerp hecht en worden de hoofdlijnen van het informatiebeveiligingsbeleid vastgesteld. De BIG geldt voor alle bedrijfsprocessen. Daarom zal de CISO tevens de rol van beveiligingsbeheerder BRP, beveiligingsfunctionaris Reisdocumenten c.q. Rijbewijzen en Suwinet security officer vervullen. 5 Financiën Kosten voor het implementatie project en de CISO worden opgevangen binnen het programma Bestuur en Middelen. 6 Participatie en Communicatie Voor dit onderwerp is burgerparticipatie niet van toepassing aangezien het beleid gericht is op de interne ambtelijke organisatie. Communicatie intern: - Het management bevordert de bewustwording rondom informatieveiligheid op basis van het voorliggende beleid door dit bekend te maken, bijvoorbeeld via intranet.
Vervolgvel 2 - Het management bevordert dat medewerkers (en externe gebruikers van de systemen) zich houden aan beveiligingsrichtlijnen door middel van het afvaardigen van richtlijnen en het houden van toezicht. - In (werk)overleggen wordt periodiek aandacht geschonken aan informatieveiligheid. Communicatie extern: - Externe communicatie is niet noodzakelijk tenzij binnen contractrelaties. 7 Uitvoering en evaluatie Door werkgroepen worden op procesniveau de maatregelen getroffen die nodig zijn om aan het vastgestelde normenkader te voldoen. Dat aan het normenkader voldaan wordt vindt zijn neerslag in de audit resultaten. Door middel van een PDCA cyclus worden minpunten weggewerkt en processen aangepast aan veranderende eisen. Trekker van de verbeteringen is de CISO, die vanuit zijn onafhankelijke rol andere delen van de organisatie moet kunnen aansturen. 8 Risico Het voldoen aan de BIG in 2018 is geen einddoel op zich. De BIG verandert met de veranderingen in informatietechnologie. Dit vereist constante aanpassingen om de veiligheid van de informatie kunnen waarborgen. De continuïteit moet ook na 2018 gewaarborgd zijn in de PDCA cyclus. Bijlage(n): Verklaring van Toepasselijkheid Informatiebeveiligingsbeleid Brief aan de gemeenteraad van Nijmegen
Financiën Concernexperts Aan de gemeenteraad van Nijmegen Korte Nieuwstraat 6 6511 PP Nijmegen Telefoon 14024 Telefax (024) 323 59 92 E-mail gemeente@nijmegen.nl Postbus 9105 6500 HG Nijmegen 17 november 2015 Ons kenmerk FA20/15.001051 Contactpersoon Esther Zijlstra Onderwerp Verklaring van Toepasselijkheid & Informatiebeveiligingsbeleid Geachte leden van de raad, uw brief Doorkiesnummer (024) 3293963 Hierbij informeren wij u over de uitvoering van het informatieveiligheid. Wij willen in navolging van de Resolutie Informatieveiligheid, die unaniem door de ledenraad van de VNG eind 2013 is omarmd, de Baseline Informatiebeveiliging Gemeenten (BIG) volgen en invoeren. Dit zullen we doen door het vaststellen van de uit de BIG voortvloeiende Verklaring van Toepasselijkheid, naast een op de BIG gebaseerd informatiebeleid voor de periode 2015 2018. Wij besluiten tevens één informatiebeveiligingsfunctionaris (CISO) voor de gemeente Nijmegen aan te stellen. Deze functionaris vervult tevens de rol van beveiligingsbeheerder BRP, beveiligingsfunctionaris Reisdocumenten c.q. Rijbewijzen en Suwinet security officer. Deze rol zal vervuld worden door de heer R. van Wamel als CISO (Chief Information Security Officer), en mevr. E. Zijlstra als plaatsvervangend CISO. Als gevolg hier van zullen we de besluiten onder registratie nummer 14.0009951 (Aanstelling Security Officer Suwinet), en 14.0007422 (Controller Informatiebeveiliging ) in trekken. Op 29 november 2013 is de Resolutie Informatieveiligheid unaniem aangenomen in de ledenvergadering van de VNG. Daarmee wordt de Baseline Informatiebeveiliging Gemeenten (BIG) geïntroduceerd als normenkader voor gemeenten. De BIG is gebaseerd op de wereldwijde ISO 27001/27002 standaard en Gemeente Nijmegen wil hier aan voldoen. De relevante wettelijke beleidskaders voor het voorgestelde informatiebeveiligingsbeleid zijn: Baseline Informatiebeveiliging Gemeenten Wet Basisregistratie Personen (BPR) Wet Basisregistratie Adressen & Gebouwen (BAG) Wet Structuur Uitvoeringsorganisatie Werk & Inkomen (Suwi) Participatiewet Wet Maatschappelijke Ondersteuning (WMO) 2015 Jeugdwet Archiefwet Wet algemene bepalingen Burgerservicenummer Wet Bescherming Persoonsgegevens (WBP) www.nijmegen.nl Aan de gemeenteraad van Nijmegen
Gemeente Nijmegen Financiën Concernexperts Vervolgvel 1 Wet Computercriminaliteit Een aantal van deze wetten worden getoetst door audits. Met het voldoen aan de BIG neemt de auditlast af. In de Verklaring van Toepasselijkheid geeft ons college aan wat de situatie is op het gebied van informatiebeveiliging. Welke risico`s geaccepteerd worden en welke worden aangepakt. Dit is de verantwoordelijkheid van ons college zoals wordt aangegeven in de BIG. Het informatiebeveiligingsbeleid vormt het fundament onder de informatiebeveiliging van de gemeente Nijmegen en maakt het mogelijk maatregelen te nemen. Wij vertrouwen erop u hiermede voldoende te hebben geïnformeerd. Hoogachtend, college van Burgemeester en Wethouders van Nijmegen, De Burgemeester, De Gemeentesecretaris, drs. H.M.F. Bruls drs. B. van der Ploeg