ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases 7. Vragen 1
Partners van SEP 2
ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases 7. Vragen René IJpelaar VIAG-congres, 3 november Een slimme implementatie én 2014 goede borging van de BIG 3
1 2 3 4 5 6 Baseline Informatiebeveiliging Gemeenten Standaard aanpak Slimme aanpak ISMS 2.0 Slim samenwerkende gemeenten BIG: jaarlijks focus aanbrengen Aanpak informatieveiligheid gemeenten Waar begon het ook al weer? 1 november 2013 29 november 2013 VNG & KING Informatie Beveiligings Dienst (IBD) Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente aangenomen 4
Aanpak informatieveiligheid gemeenten Inhoud resolutie: 1. bestuurlijk en ambtelijk borgen 2. de BIG (Baseline Informatiebeveiliging Gemeenten) implementeren 3. transparant zijn over de lokale invulling van informatieveiligheid (in control verklaring) Baseline Informatiebeveiliging Gemeenten (BIG) = BIG! Doel: 1. Gemeenten op een vergelijkbare manier efficiënt laten werken met informatieveiligheid. 2. Gemeenten een hulpmiddel bieden om aan alle eisen op het gebied van van Informatieveiligheid te kunnen voldoen. 3. De auditlast bij gemeenten te verminderen. BIG betekent 39 doelstellingen in 11 domeinen, 133 mogelijke beheersmaatregelen en 303 mogelijke beveiligingsmaatregelen. 4. Gemeenten zijn een aantoonbaar betrouwbare partner. 5
Baseline Informatiebeveiliging Gemeenten 11 domeinen: A.5 Beveiligingsbeleid A.6 Organisatie van de informatiebeveiliging A.7 Beheer van bedrijfsmiddelen A.8 Personele beveiliging A.9 Fysieke beveiliging en beveiliging van de omgeving A.10 Beheer van communicatie- en bedieningsprocessen A.11 Logische toegangsbeveiliging A.12 Verwerving, ontwikkeling en onderhoud van informatiesystemen A.13 Beheer van informatiebeveiligingsincidenten A.14 Beheer van bedrijfscontinuïteit A.15 Naleving A.5 A.6 A.7 A.8 A.9 A.10 A.11 A.12 A.13 A.14 A.15 Domeinen A.11.1 A.11.2 A.11.3 A.11.4 A.11.5 A.11.6 A.11.7 A.11.1.1 A.11.7.1 A.11.7.2 Doelstellingen Beheersmaatregelen 1 2 Baseline Informatiebeveiliging Gemeenten Standaard aanpak 3 4 5 6 Slimme aanpak ISMS 2.0 Slim samenwerkende gemeenten BIG: jaarlijks focus aanbrengen 6
Standaard aanpak Bestaat uit: GAP analyse op diepste niveau (303 beveiligingsmaatregelen), quick wins en daarna impactanalyse Ervaring: nog geen 25% voert impactanalyse uit Waar is de focus? BIG verplicht: jaarlijks risico-afweging, elk jaar opnieuw focus aanbrengen! Implementatie is niet eenmalig! Fasering en planning Vuistregel praktijk: per maatregel 16 uur per betrokken team. 303 maatregelen. Stel: 200 nog te nemen met gemiddeld 2 teams betrokken: 200 * 2 * 16 = 6400 uur Op basis van concrete voorbeelden Advies: Focus aanbrengen door: 1. Slimme aanpak én 2. Gebruik van standaard ISMS. Dat scheelt tijd! 7
1 2 3 4 5 6 Baseline Informatiebeveiliging Gemeenten Standaard aanpak Slimme aanpak ISMS 2.0 Slim samenwerkende gemeenten BIG: jaarlijks focus aanbrengen Ervaring slimme aanpak Bij 50 gemeenten Ervaring slimme aanpak: Gebaseerd op best practice ISO 27001, bij meer dan 50 gemeenten Slimme aanpak: 1. Pas toe of leg uit: Top is verantwoordelijk. Alle bedrijfsprocessen zijn in control Transparant: zeg wat je doet en doe wat je zegt. 2. Een werkende verbetercyclus: Géén eenmalige actie, maar permanente verbetercyclus. 8
Slimme aanpak Bestaat uit: 1. Gezamenlijke commitment en focus binnen één week (!): gap analyse en impactanalyse tegelijk uit te voeren op beheermaatregel niveau (133) 2. Stuurinstrument: Verklaring Van Toepasselijkheid (VVT) 3. Gebruik ISMS 2.0 voor sturing en procedures 4. Jaarlijkse herhaling, focus aanbrengen Voordelen Sneller inzicht met minder inzet mét alle stakeholders betrokken Meer focus op impactanalyse de juiste dingen doen Overzicht stand van zaken tbv management met verbeterplanning en verantwoording Binnen één week meer tijd voor implementatie 9
VVT (in control verklaring) Zorg voor een AO die voldoet en blijft voldoen aan de Baseline Informatiebeveiliging Gemeenten! Inclusief: Dashboard Overzicht stand van zaken Verbeterplanning Management commitment Kern: Verklaring Van Toepasselijkheid 10
ISMS 2.0 Voortgang 11
Dashboard 1 2 3 4 5 6 Baseline Informatiebeveiliging Gemeenten Standaard aanpak Slimme aanpak ISMS 2.0 Slim samenwerkende gemeenten BIG: jaarlijks focus aanbrengen 12
Gebruikers Maatregelen 13
Beheer- én beveiligingsmaatregelen Voortgang 14
Controles en notificaties Van toepassing? Dan bijbehorende documenten gekoppeld aan maatregel 15
Documenten Eigen documenten 16
In control verklaring Collegeverklaring (bestuur, management, visitatiecommissie, ENSIA) Voortgangbespreking Risico-afweging Downloaden Verklaring Van Toepasselijkheid 17
Export VVT + documenten We staan klaar voor de ENSIA! 18
Pilot importfunctie ENSIA-tool Export: vragenlijst + collegeverklaring ISMS 2.0 Compleet, integraal én goede basis voor de single audit 19
1 2 3 4 5 6 Baseline Informatiebeveiliging Gemeenten Standaard aanpak Slimme aanpak ISMS 2.0 Slim samenwerkende gemeenten BIG: jaarlijks focus aanbrengen ISMS 2.0 Organisatiestructuren 4 basisvarianten van een ISMS-structuur SO SO SO SO SO O OO OO OO OO OO OO 20
Slim samenwerkende gemeenten Overzichten gezamenlijk en individueel Samenwerkende organisatie gekoppeld 21
Slim samenwerkende gemeenten G G S S G G G Ieder eigen verantwoordelijkheid en toch gezamenlijk overzicht en inzicht S 1 Baseline Informatiebeveiliging Gemeenten 2 Standaard aanpak 3 Slimme aanpak 4 ISMS 2.0 5 Slim samenwerkende gemeenten 6 BIG: jaarlijks focus aanbrengen 22
Jaarlijks focus aanbrengen Demingcirkel Monitoren, controleren en focus aanbrengen Implementeren met behulp van ISMS Inventariseren ISMS 2.0 Maatregelen doornemen en invoeren in ISMS 2.0 met VVT Vaststellen in VVT en beveiligingsplan Klanten ISMS, o.a.: 23
ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Vragen ISMS 2.0 Beveiliging SSL certificaat EV (Extended Validatie) SSL-certificaat met groene adresbalk en bedrijfsnaam zichtbaar diverse testen VPS bij TransIP.nl Amsterdam hoge beveiliging 100% CO 2 neutraal, groene stroom certificering ISO 9001 ISO 27001 ISO 14001 backup 48 24
ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases 7. Vragen ISMS 3.0 nieuwe functies die (zeker) in 3.0 komen Interface Gebruikersinterface meer conform standaard en consistent Outlook menustructuur inklapbare menu s kruimelpad mijn account menu uitbreiding dashboard grafische vormgeving met domeinfilters doorklikmogelijkheden uitbreiding rapportages 50 25
ISMS 3.0 Interface 51 ISMS 3.0 Interface 52 26
ISMS 3.1 nieuwe functies in 3.1 SEPtember / begin 2018 3 stappen gebruikers / adviseurs gebruikersgroep gebruikersenquête 53 ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases 7. Vragen 27
Inhoudelijk Content aanpassingen Content Per januari 69 gewijzigde documenten Tussentijds gerealiseerde aanpassingen Nieuwe al gerealiseerde content Op speciaal verzoek van Burgerzaken, begin juni 2017 Juli 2017 55 5.1.2 Informatiebeveiligingsbeleid Inhoudelijk Content aanpassingen Per januari 69 gewijzigde documenten Tussentijds gerealiseerde aanpassingen 5.1.2 Informatiebeveiligingsbeleid 8.2.1.1 Eed of gelofte 13.1.1 Procedure melden van incidenten 13.1.1.2 Werkinstructie melden datalekken 13.1.1.3 Informatiebulletin meldplicht datalekken ISMS-Verklaring van Toepasselijkheid template 6.2.1.1 Bijlage inkoopvoorwaarden vanuit BIG 56 28
5.1.2 Informatiebeveiligingsbeleid Inhoudelijk Content aanpassingen Nieuwe al gerealiseerde content Speciale versie voor belastingkantoren 8.2.1.6 Flyer omgaan met informatie voor medewerkers 8.2.1.7 Flyer omgaan met informatie voor beheerders 8.2.1.8 Flyer omgaan met informatie voor informatieverwerkers 8.2.1.9 Flyer omgaan met informatie voor leidinggevenden 57 5.1.2 Informatiebeveiligingsbeleid Inhoudelijk Content aanpassingen Op speciaal verzoek van Burgerzaken, begin juni 2017 15.3.1.1 Cross reference vragenlijst BRP met vindplaats ISMS8.2.1.6 Flyer omgaan met informatie voor medewerkers 15.3.1.5 Cross reference vragenlijst PNIK met vindplaats ISMS 58 29
5.1.2 Informatiebeveiligingsbeleid Inhoudelijk Content aanpassingen Juli 2017 15.3.1.2 Cross reference vragenlijst Suwinet met vindplaats ISMS uit Ensia tool Overige aanpassingen i.v.m. Suwinet Collegeverklaring Informatiebeveiliging (ENSIA) 8.1.1.11 Functiebeschrijving Beveiligingsfunctionaris Waardedocumenten. 8.1.1.12 Functiebeschrijving Beveiligingsbeheerder BRP Mobile devicemanagement Aanpassingen i.v.m. nieuwe DigiD assessment 59 ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases 7. Vragen 30
Vragen? 31