De leden van de gemeenteraad van Haarlemmermeer Postbus AG Hoofddorp

Vergelijkbare documenten
Verslag Visitatiecommissie Informatieveiligheid

Verslag Visitatiecommissie Informatieveiligheid

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

Verslag Visitatiecommissie Informatieveiligheid

Verklaring van Toepasselijkheid en Informatiebeveiligingsbeleid

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

Quick scan Informatiebeveiliging gemeente Zoetermeer

ons kenmerk ECIB/U Lbr. 16/046

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

BABVI/U Lbr. 13/057

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Informatiebeveiliging in Súdwest-Fryslân

Ver V eniging eniging v an Nede rlandse meenten In deze sessie Wat vooraf ging Waarom vind ik ENSIA belangrijk? ENSIA the basics

ECIB/U Lbr. 17/010

Brief aan de leden T.a.v. het college en de raad. 17 mei 2017 U Lbr. 17/028 (070) Gezamenlijke gemeentelijke uitvoering

Verslag Visitatiecommissie Informatieveiligheid

In hoeverre is het ICT-beleid bij de gemeenten Bergen op Zoom, Drimmelen, Halderberge en Moerdijk als doeltreffend en doelmatig aan te merken?

Raadsbesluit. Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/ Inleiding

informatiecentrum tel. uw kenmerk bijlage(n) (070) Lbr. 14/086

Verslag Visitatiecommissie Informatieveiligheid

ENSIA voor informatieveiligheid

INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop

De Rotterdam, één van de hoofdgebouwen van de gemeente Rotterdam.

Fractie CDA Jan Zwemer. ons kenmerk. datum

gemeente Bergen op Zoom.

GEMEENTERAAD MENAMERADIEL

o n k Ö A fia* V/ \ ^ * f

Voorstel Informatiebeveiliging beleid Twente

B&W-Aanbiedingsformulier

RAADSCOMMISSIE BEDRIJFSVOERING EN INWONERS

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

Stand van zaken uitvoering aanbevelingen en toezeggingen Rekenkameronderzoek informatievoorziening aan de gemeenteraad over de Wmo en Jeugdhulp

Gemeente Delft. OnderwerpOnderwerp Bestuurlijke reactie rapport BDO Informatiebeveiliging

Portefeuillehouder: M.A.P. Michels Behandelend ambtenaar J. van der Meer, (t.a.v. J. van der Meer)

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

In de bijlage een overzicht van de openstaande aanbevelingen per 1 juni 2017.

ENSIA ROL- EN TAAKBESCHRIJVING VAN GEMEENTELIJKE STAKEHOLDERS

Planning & control cyclus

Aan de commissie: Algemeen bestuur en middelen Datum vergadering: 22 maart 2007 Agendapunt: Aan de Raad. Made, 13 februari 2007

Brief aan de leden T.a.v. het college en de raad. 21 maart ECIB/U Lbr. 17/017 (070)

Rekenkamercommissie Oostzaan

2015; definitief Verslag van bevindingen

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe & Surfibo

Aanbevelingen Rekenkamer Breda in relatie tot nota Verbonden Partijen

Jaarplan 2015 Rekenkamercommissie Woerden

Gemeentelijke regisseurs. Regisseren en de kunst van de verleiding

Privacy & online. 9iC9I

ll~"'~"" ~t=,:r ) h.l..~eterings 1 1 JUNI 2013 De leden van de gemeenteraad van Haarlemmermeer Geachte heer, mevrouw,

Format presentatie Kick-off

Informatiebeveiliging voor gemeenten: een helder stappenplan

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal

Functieprofiel lid Raad van Toezicht

Welkom bij parallellijn 1 On the Move uur

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november Anita van Nieuwenborg

ICT-ontwikkelingen. Gemeentelijke Informatievoorziening op weg naar de Smart city

Privacybeleid gemeente Wierden

De kaders in de kadernota Een onderzoek naar de kadernota van de gemeente Súdwest-Fryslân

INFORMATIEVEILIGHEID een uitdaging van ons allemaal

M E M O. We zien de oplossing niet in grote schaalvergroting naar 1 of 2 gemeenten. We zoeken het in de samenwerking vanuit de inhoud.

De leden van de gemeenteraad van Haarlemmermeer Postbus AG Hoofddorp

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

Onderwerp van het voorstel Onderzoek jaarrekening 2002 van de Gemeentelijke Rekenkamer Nijmegen

Bestuurlijke reactie 'Verduurzaming warmtevoorziening met warmtenetten'

ENSIA voor Informatieveiligheid. Informatie voor Auditors

Raadsvoorstel

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

Informatieprotocol. Gemeenschappelijke regelingen gemeente Heumen

> RETOURADRES Postbus 1992, 6201 BZ Maastricht BEZOEKADRES Mosae Forum DW Maastricht Aan de dames en heren, leden van de gemeenteraad

Steller :J. Verbeek Telefoonnummer ; Afdeling : Advies en Control - PC j.verbeek@hoorn.nl

Jaarplan periode januari juni

Voorlopig advies van Wmo Adviesraad inzake Beleidsplan Wmo

Zaaknr.: Par. coördinator: Par. afdelingshfd: Par. PH : Documentnr.: Van afdeling: PenO. Opgesteld door: A. Franken. Datum: 23 december 2015

Motie Ondersteuning Standaardisatie Uitvoeringsprocessen. voor BALV 17 november 2014

Aantoonbaar in control op informatiebeveiliging

Realisatie. Indienersbrochure DE PILOTSTARTER. Platform voor pilots over de vernieuwing van gemeentelijke informatievoorziening

Voorstel onderdeel A Instellen College van Dienstverleningszaken en statutenwijziging

KOERSNOTITIE OIRSCHOT

Ons kenmerk C100/ Aantal bijlagen 1

Provincievergelijking

Welkom bij parallellijn 1 On the Move uur. Stap 1 van de BIG Valkuilen en beren op de weg, hoe gaat u hiermee om als CISO?

STAPPENPLAN VOOR GEMEENTEN BIJ DE VOORBEREIDING OP DE AVG

Adviesraad Wmo Arnhem Jaarplan 2017

RKC Medemblik Opmeer. Notitie onderzoeksopzet

De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances?

DATUM ONS KENMERK BEHANDELD DOOR 22 januari B.J. van Oosten - Bronsgeest

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe Leguit

Goed mkb-bestuur en de rol van de accountant

Doel van de rol Iedere Compliance Officer heeft als doel het beheersen van de risico s die BKR loopt in haar strategische en operationele processen.

Tjoelker, Nicolien. and. VNG Ledenbrief. Onderwerp: FW: Lbr. 16/046 - Ontwikkelingen informatieveiligiieid

Profielschets. Manager Financiën. Omnivera GWZ. ERLY the consulting company Datum: februari 2016 Opdrachtgever: Omnivera GWZ

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Henk Wesseling

Rapport. Informatieveiligheid en de Raad Met de hamer op tafel. Enquête over hoe raadsleden denken over het thema Informatieveiligheid

Hervormingen in het lokaal re-integratiebeleid. Plan van aanpak quick scan

Beleidsmedewerker Onderwijs

SURFshare. Shared application services & expertise. Edwin van der Zalm directeur SURFshare

IT voor Controllers Mark Vermeer, CIO

VAN AMBITIE NAAR UITVOERING - INRICHTING EN BESTURING I&A DELFLAND. 31 augustus 2013

De zelfcontrole BRO. Algemene toelichting bij de vragenlijst. Versie Datum 14 april 2018 Status. Definitief concept

Transcriptie:

gemeente Haarlemmermeer De leden van de gemeenteraad van Haarlemmermeer Postbus 250 2130 AG Hoofddorp Bezoekadres: Raadhuisplein 1 Hoofddorp Telefoon 0900 1852 Telefax 023 563 95 50 Cluster Contactpersoon Doorkiesnummer Uw brief Ons kenmerk Bijlage(n) Onderwerp Facility Management mevrouw Judith Unk 023 567 4896 1511283 Verslag Visitatiecommissie Informatieveiligheid Verslag Visitatiecommissie Informatieveiligheid Hoofddorp ie FEB2016 Geachte heer, mevrouw, Zoals toegezegd in onze bestuurlijk reactie bij het rapport "Bewustwording als Sleutel" van de Rekenkamercommissie ontvangt u hierbij het vastgestelde verslag van het bezoek van de Visitatiecommissie Informatieveiligheid van de VNG. De VNG stemde tijdens een Algemene Ledenvergadering in met de Resolutie "Informatieveiligheid, randvoorwaarde voor een professionele gemeente". In lijn met de resolutie stelde de VNG een tijdelijke Visitatiecommissie Informatieveiligheid in. De commissie adviseert gemeenten op bestuurlijk niveau over informatieveiligheid. Het belangrijkste doel van de commissie is de aandacht van gemeenten voor informatieveiligheid vast te houden. Hoogachtend, 72 FSC MIX Papier van verantwoorde herkomst FSCC104336

Vereniging von Nederlindte Gemeenten Verslag Visitatiecommissie Informatieveiligheid Gemeente Haarlemmermeer Tijd en datum 13.00-14.30, 9 december 2015 Aanwezig Gemeente Haarlemmermeer Tom Hoorn, wethouder, zorg, welzijn, wonen o.a. ICT Carel Brugman, gemeentesecretaris Marielle Visbeen, directeur bedrijfsvoering, lid MT Remco van den Berg, security officer informatiebeveiliging (a.i.) Aanwezig Visitatiecommissie Informatieveiligheid Frans Backhuijs (voorzitter) Maarten Ruys EricWarners (secretaris) De Commissie informatieveiligheid dankt de gemeente Haarlemmermeer hartelijk voor haar gastvrijheid. De Commissie heeft een open gesprek kunnen voeren, wat zij zeer heeft gewaardeerd. Ze denkt een goed beeld te hebben gekregen van de wijze waarop de gemeente Haarlemmermeer werkt aan informatieveiligheid en wat de grootste uitdagingen zijn. De Commissie heeft het beeld dat de gemeente Haarlemmermeer de urgentie van werken aan informatieveiligheid scherp voor ogen heeft. Daarbij viel de Commissie specifiek de volgende zaken positief op: De gemeente Haarlemmermeer is vol ambitie waar het gaat om het digitaliseren van de dienstverlening. Er bestaat bij het College, de Raad en de ambtelijke organisatie geen discussie over informatieveiligheid als voorwaarde om deze ambities waar te kunnen maken Tegelijkertijd heeft de gemeente Haarlemmermeer ook een realistische kijk op haar mogelijkheden op de korte termijn. De afgelopen periode heeft de gemeente een inhaalslag gemaakt op het vlak van informatievoorziening. Door kennis naar binnen te halen en als eerste de basis van haar informatievoorziening op orde te brengen. De Commissie acht dit een verstandige aanpak. In de gemeente Haarlemmermeer lopen al diverse initiatieven op het vlak van informatievoorzieningen, vanuit verschillende perspectieven. Zo is de Rekenkamer bezig met een onderzoek naar informatieveiligheid, is het op topambtelijk en bestuurlijk niveau een aandachtspunt in de strategie en is men op operationeel niveau samen aan het zoeken naar concrete verbetermogelijkheden op de korte termijn. 1

(yik) Vereniging v«n Nedeiltndie Gemeenten In dit verslag beschrijven we achtereenvolgens ons verkregen beeld, een aantal aanbevelingen voor het handelingsperspectief van de gemeente voor de komende periode en enkele slotnoties. Het beeld van de commissie is gecategoriseerd in vijf onderdelen: 1. Digitalisering algemeen; 2. Gerichtheid; 3. Verankering; 4. Extern leren en 5. Werking. Handelingsperspectief De aanbevelingen van de Commissie zijn er voornamelijk op gericht de wijze waarop Haarlemmermeer aan informatieveiligheid werkt verder te ondersteunen. Op basis van de huidige situatie, zoals hierna beschreven, heeft de Commissie de volgende acties geformuleerd als inhoudelijk perspectief. Werk aan een toekomstgericht frame voor informatieveiligheid Het beeld van de Commissie is dat in Haarlemmermeer zowel op bestuurlijk als ambtelijk niveau aandacht is voor het onderwerp informatieveiligheid als onderdeel van de l-strategie. Om de aandacht voor het onderwerp ook op langere termijn vast te houden doet de Commissie de suggestie om informatieveiligheid te verbinden met de aantrekkelijke ambitie om op een innovatieve manier te werken aan digitalisering. Ontwikkelingen als datagestuurd werken, Big Data, privacy en Smart Cities zijn toekomstgerichte onderwerpen die aansprekend zijn én aanknopingspunten bieden voor het gesprek over informatieveiligheid. Concrete suggesties zijn om kennissessies te beleggen over informatieveiligheid van de toekomst, kennisexpedities te organiseren naar bedrijven waar informatieveiligheid een cruciaal onderwerp is of hierover jaarlijks op bestuurlijk niveau kennis over uit te wisselen met andere gemeenten. Verstevig de formele positionering van informatieveiligheid in de organisatie De gemeente Haarlemmermeer heeft een basis die mogelijkheden biedt om de formele positionering van informatieveiligheid verder te verstevigen. Verdere versteviging kan concreet door de positie van de CISO te versterken. De Commissie adviseert om de CISO direct onder aansturing van de CIO te laten vallen in de organisatie. Daarnaast is het advies om conform de Baseline Informatieveiligheid Gemeenten te werken met een directe rapportagelijn van CISO naar gemeentesecretaris. Verdere versteviging is mogelijk door in bestaande gremia met een meer strategisch perspectief het onderwerp informatieveiligheid structureel aan de orde te stellen: denk aan het staf-overleg ICT, het MT en de ClO-Board. Dit ter aanvulling op de overleggen waar het wel een vast gespreksonderwerp is (denk aan; informatiebeveiligingscommissie). In gemeenten waar informatieveiligheid al op strategisch niveau structureel besproken wordt, varieert de frequentie tussen de 4-6 keer per jaar. Het spreekt voor zich dat Haarlemmermeer zelf op zoek zal moeten naar een frequentie die goed past bij haar ambities en werkstijl. Van plannen naar systematische uitvoering Gemeente Haarlemmermeer heeft de basisstructuren en haar beleid goed op orde. Het beeld van de Commissie is dat in de Haarlemmermeer vooral stappen zijn te maken door de aandacht te richten op de uitvoering. De uitvoeringsfase vraagt om een systematische implementatie van het beleid. 2

Vereniging v*n NederUncHe Gemeenten Het advies van de Commissie is om hier een jaarlijks integraal informatieveiligheidsplan voor op te stellen, op basis van een risicoanalyse (zie voor voorbeelden en kennissessies hierover www.ibdqemeenten.nl). Om daadwerkelijk de stap naar uitvoering te kunnen maken geldt natuurlijk als randvoorwaarde dat bij het formuleren van de jaarlijkse doelen ook bezien wordt in hoeverre voldoende capaciteit, kennis en energie beschikbaar zijn in de organisatie om uitvoering te geven aan het plan. Vergroot de kennis door inspiratie te halen uit externe netwerken De Commissie doet de suggestie kennis en inspiratie te halen bij andere gemeenten en uit de landelijke netwerken van de VNG. Denk aan deelname aan IBD-communities en landelijke netwerken zoals VIAG. In eerdere aanbevelingen is al genoemd dat juist waar het gaat om het ontwikkelen van een systematische werkwijze om van beleid tot actie te komen bij de IBD inspiratie en kennis te halen is (zie www.ibdqemeenten.nl) Besteed gericht aandacht aan informatieveiligheid in de samenwerkingsverbanden Haarlemmermeer is actief in diverse samenwerkingsverbanden. In veel van de samenwerkingsverbanden is privacy reeds een onderwerp op de agenda. De Commissie doet de suggestie om op bestuurlijk niveau ook informatieveiligheid periodiek te agenderen. Informatieveiligheid in de samenwerkingsverbanden is en blijft immers ook bij het onderbrengen van taken in een samenwerkingsverband de bestuurlijke verantwoordelijkheid van de deelnemende organisaties. Werk met een veranderprogramma Haarlemmermeer heeft de ambitie om een stap voorwaarts te zetten waar het gaat om informatieveiligheid. Hiervoor lopen al diverse initiatieven en is extra capaciteit beschikbaar.. Bovenstaande aanbevelingen kunnen verder richting geven aan de ontwikkeling. De realisatie van de ambitie kan verder versterkt worden door de uitvoering van de activiteiten vorm te geven als veranderprogramma. Zo'n intensivering van het lopende programma zou kunnen bestaan uit een aanpassing van de huidige actie naar wat de gemeente zinvol vindt en een vertaling in een aantal concrete doelen. Het realiseren hiervan kan tot inzet ven specifieke afspraken gemaakt worden tussen portefeuillehouder en gemeentesecretaris, programmaverantwoordelijken en van de verantwoording tegenover College en Raad. Het vereist betrokkenheid en sturing van bestuur en de ambtelijk top om een dergelijk programma succesvol te maken. 1. Digitalisering algemeen (context) Gemeente Haarlemmermeer werkt aan het 'Huis van de Haarlemmermeer'. Dit is de titel voor een strategie die vorm geeft aan een nieuw soort overheid. Een overheid die naast de burgers staat én naast bedrijven en andere instellingen. De strategie is een vertaling van diverse maatschappelijke en bestuurskundige stromingen naar het (toekomstig) handelen van de gemeente. De strategie kent drie pijlers. Naast de pijler (1) gedrag, houding en competenties van medewerkers en de pijler (2) huisvesting is (3) ICT ondersteuning een kernonderdeel van de Haarlemmermeerse strategie. Veiligheid is een subthema dat hierbij speelt als onderdeel van de ontwikkelingen, met name in het kader van tijd- en plaatsonafhankelijk werken. 3

Cv Vrrrmging v«n Ned«rl*ndtf C*m»*njf n Op de korte termijn hebben de acties volgend uit de strategie zich vooral gericht op het op orde brengen van de basis van de ICT-voorzieningen. Er is extra ingezet op de weerbaarheid en bruikbaarheid van de ICT-voorzieningen, onder andere door het contractmanagement en de applicatieportefeuille op orde te brengen. Ook is geïnvesteerd in het vergroten van de kennis en expertise binnen de ICT-organisatie. Actueel vraagstuk is daarbij het sourcingsvraagstuk, waarbij de huidige ICT-organisatie meer en meer een regierol zal gaan vervullen. Informatieveiligheid is op projectniveau geborgd doordat het in alle lopende projecten een onderwerp is. 2. Besef van het belang van werken aan informatieveiligheid (gerichtheid) Zowel bestuurlijk als ambtelijk heeft het onderwerp de aandacht. De ontwikkeling van de l-strategie en het lopende Rekenkameronderzoek hebben hieraan een belangrijke impuls gegeven. Men beseft zich dat de gerichtheid op informatieveiligheid niet vanzelfsprekend wordt vastgehouden; het vergt inspanningen om de gerichtheid op alle niveaus stap voor stap verder te ontwikkelen. Portefeuillehouder College Raad Gemeentesecretaris CIO/CISO Lijnmanagement Organisatiebreed Figuur 1: mate van bestuurlijke en ambtelijke gerichtheid De portefeuillehouder onderkent het belang van informatieveiligheid als voorwaarde voor het kunnen realiseren van de strategie 'huis van de Haarlemmermeer' en meer specifiek de l-strategie. Het beeld is dat een intrinsieke motivatie bestaat om informatieveiligheid op orde te brengen en te houden. In het College wordt ook het belang van informatieveiligheid gevoeld door andere Collegeleden, met name bij degenen die betrokken zijn bij de decentralisaties in het sociaal domein. De betrokkenheid van de Collegeleden blijkt onder meer uit de discussie over informatieveiligheid als onderdeel van de l-strategie. Informatieveiligheid is een actueel thema in de Raad. De veranderingen in het sociaal domein en incidenten zoals Diginotar en Lektober hebben daarbij gewerkt als katalysator. Daarnaast zijn in de Raad diverse personen uit de ICT-sector actief. De betrokkenheid en kennis van de Raad blijkt uit diverse vragen die worden gesteld over het onderwerp. Daarnaast loopt momenteel een 4

Vrtrmqnq VJrl HrótrIjnclir Gemttntf n Rekenkameronderzoek naar informatieveiligheid. Het onderzoek is op eigen initiatief van de Rekenkamer gestart, maar kent in het algemeen wel een basis in actuele behoeften van de Raad. Op ambtelijk niveau heeft informatieveiligheid ook de aandacht. Dit blijkt onder meer uit de opdracht van het MT op basis van het huidige beleidsplan een campagneplan laat uitwerken. Met name de CIO/CISO zijn doordrongen van het belang van informatieveiligheid en het handelen dat het vraagt in technische en organisatorische zin, maar ook in termen van houding en gedrag. Organisatiebreed neemt de aandacht stap voor stap toe, maar ontbreekt het vaak aan kennis en handelingsperspectief om hier ook naar te handelen. In de realisatie van de strategie gaat extra aandacht uit naar kennis en gedrag van medewerkers waar het gaat om informatieveiligheid. 3. Formele positionering in bestuur, organisatie en in P&C cyclus (verankering) De gemeente Haarlemmermeer heeft een goede basis om de formele positionering van informatieveiligheid verder te verstevigen. Alle cruciale functies zijn ingevuld en er zijn diverse gremia op strategisch, tactisch en operationeel niveau waar informatieveiligheid structureel een plek kan krijgen. Daarnaast is de suggestie van de Commissie om in de komende periode extra aandacht uit te laten gaan naar het omzetten van beleid tot jaarlijkse acties en het verstevigen van de positie van de CISO binnen de organisatie. 100 80 60 40 i Governance i Beleid en plannen Planning & Control i Verantwoording 20 Verankering Figuur 2: mate van bestuurlijke en ambtelijke verankering Haarlemmermeer heeft haar governance-structuur als volgt invulling gegeven: De wethouder ICT is bestuurlijk verantwoordelijk voor informatieveiligheid in de organisatie. De gemeentesecretaris is eindverantwoordelijk voor het functioneren van de ambtelijke organisatie en daarmee ook voor informatieveiligheid. De directeur bedrijfsvoering is verantwoordelijk voor centrale ondersteuning van de domeinen op alle bedrijfsvoeringsonderdelen (PIOFACH). Hier hoort ook de 5

Vereniging van Nederljndie Gemeenten verantwoordelijkheid voor de informatievoorziening binnen de gemeente bij. De directeur bedrijfsvoering is lid van het MT. Ook is zij de CIO binnen de organisatie. De CISO is verantwoordelijk voor het ontwikkelen van het beleid en de coördinatie van informatieveiligheid binnen de organisatie. De CISO is onderdeel van de ICT-organisatie (Info Plus). De CISO rapporteert rechtstreeks aan de CIO. Clustermanagers zijn verantwoordelijk voor de houding en het gedrag van de medewerkers van de gemeente Haarlemmermeer. Om de werking van de governance-structuur te versterken zijn in de gemeente diverse gremia waarin het onderwerp informatieveiligheid besproken kan worden: In overleggen tussen de gemeentesecretaris en de wethouder dan wel staf-overleggen komt informatieveiligheid vooral ter sprake als onderdeel van de te realiseren strategie. In het MT bestaande uit de gemeentesecretaris en de directeuren van de vijf domeinen en bedrijfsvoering. In de ClO-Board: het coördinerend overleg tussen clustermanagers uit de vijf domeinen, de CIO en één ander MT-lid. Informatiebeveiligingsadviescommissie (BAC): een informeel overleg tussen alle medewerkers die betrokken zijn bij en/of interesse hebben in informatieveiligheid. Het overleg is gericht op kennisdeling. Icontrol: een tactisch overleg tussen Corporate Controle en Info-plus om samen de belangrijkste lessen uit audits en onderzoeken te halen. De gemeente Haarlemmermeer heeft informatieveiligheidsbeleid opgesteld. Dat is vastgesteld door het College. Op onderdelen werkt de gemeente aan een actieplan, denk aan het awarenessactieplan. Er zijn echter geen integrale actieplannen (op basis van een risicoanalyse) die concreet richting geven aan de uitvoering voor een bepaalde periode. Controles op informatieveiligheid bestaan uit de verschillende verplichte audits en zelf-evaluaties. Daarnaast controleert de externe accountant ook op informatieveiligheid. In het Icontrol overleg worden de resultaten van de verschillende audits en tests samengebracht om acties uit te destilleren. Het College besluit over het beleid. MT stelt eventuele actieplannen vast. Waar wenselijk informeert het MT de portefeuillehouder over informatieveiligheid. Hier liggen geen nadere afspraken aan ten grondslag. Er zijn afspraken over het systematisch informeren van de Raad over informatieveiligheid. In het jaarverslag staat een paragraaf opgenomen over privacy. De ambitie is om deze paragraaf te verbreden naar informatieveiligheid. 4. Extern leren In de formele samenwerking lijkt informatieveiligheid zowel op bestuurlijk als ambtelijk niveau nog beperkt op de agenda te staan. Bestuurlijk participeert Haarlemmermeer in enkele landelijke netwerken waar informatieveiligheid met enige frequentie ter sprake komt. Op ambtelijk niveau 6

Vrrcmging v«n Ned* rlindir Gemeenten participeert men voorzichtiger in deze netwerken, maar is men wel gemotiveerd om hieraan een actieve bijdrage te leveren. 100 80 60 40 20 i Formele samenwerkingen i Ambtelijke participatie (in)formele netwerken Bestuurlijke participatie (in)formele netwerken Externe netwerken Gemeente Haarlemmermeer neemt deel aan diverse formele samenwerkingsverbanden. In veel van deze samenwerkingsverbanden is informatieveiligheid nog niet expliciet aan de orde. Privacy is daarbij wel vaak al een onderwerp op de bestuurlijke en ambtelijke agenda. Haarlemmermeer is aangesloten bij de IBD en heeft contacten met het NCSC. Op ambtelijk niveau participeert men actief in het VIAG-netwerk Op bestuurlijk niveau is men actief in netwerken waar informatieveiligheid op de agenda staat zoals de Commissie Dienstverlening en Informatiebeleid (Marjolein Steffens, wethouder) en de Commissie Bestuur en Veiligheid (Theo Weterings, burgemeester). 5. Daadwerkelijk leren, daadwerkelijk beleid uitvoeren (werking) In de praktijk heeft informatieveiligheid de aandacht in diverse overleggen, maar bestaan nog geen concrete gedachten over de doelen en resultaten waarop men wil sturen. Dit neemt niet weg dat er diverse initiatieven reeds lopen op het vlak van informatieveiligheid. De ambitie van de gemeente Haarlemmermeer is om in de komende periode het tot uitvoering brengen van het beleid verder te systematiseren. 7

Vereniging v*n Nederl*ndie Gemeenten 100 80 60 40 i Sturing geven i Uitvoering geven / Maatregelen treffen Leren in de organisatie 20 i Verantwoording afleggen Werking Figuur 3: mate van werking van de verankering en het leren In de praktijk is het beeld dat de governance-structuur als volgt werkt: Informatieveiligheid komt in het gesprek tussen MT/gemeentesecretaris en de wethouder met name ter sprake als facet van de te realiseren strategie. In het MT is informatieveiligheid een aandachtspunt. Als daar een concrete aanleiding is komt het onderwerp ter tafel, bijvoorbeeld rondom de awareness-campagne. In de ClO-board is informatieveiligheid tevens een bespreekonderwerp. Het onderwerp komt ter tafel als daar een aanleiding voor is. In de informatiebeveiligingscommissie is informatieveiligheid vanzelfsprekend ook het hoofdonderwerp. Er is een vaste frequentie bekend waarmee dit overleg bij elkaar komt. In het MT heeft informatieveiligheid wel de aandacht, maar zijn nog geen concrete gedachten gevormd over het doel en de resultaten waarop men proactief wil sturen. Sturing vindt vooral plaats op concrete initiatieven zoals het vormgeven van de awareness-campagne. In de Haarlemmermeer lopende diverse initiatieven op het vlak van informatieveiligheid. Zo wordt informatieveiligheid meegenomen in diverse projecten. In de afgelopen periode heeft men een capaciteitstekort gehad op het vlak van informatieveiligheid, waardoor de vertaling van beleid naar acties niet zo krachtig is verlopen als men ambieert. De ambitie is om in de komende periode meer aandacht te laten uitgaan naar (de systematisering van) de uitvoering. De controles op informatieveiligheid bestaan uit diverse verplichte audits en evaluaties, aangevuld met een controle door de accountant. Lessen uit de controles worden in het Icontrol-overleg geanalyseerd en vertaald naar aanpassingen in de processen. Verantwoording aan de Raad vindt nu vooral plaats door het beantwoorden van Raadsvragen. 8

Vereniging v«n Nederltndte Gemeenten Daarnaast loopt momenteel een Rekenkameronderzoek naar informatieveiligheid in de gemeente. Er vindt via het jaarverslag systematisch verantwoording plaats over privacy. De ambitie is om dit verder te verrijken met verantwoording over informatieveiligheid in brede zin. 6. Tot slot Gemeente Haarlemmermeer heeft ons waardevolle suggesties meegegeven die we ter harte nemen: De l-bewustzijncampagne is nuttig voor verschillende lagen binnen de organisatie. De aansluiting op de gemeentelijke praktijk kan sterker dan nu het geval is, waarbij het helpt om direct aan te sluiten bij de dilemma's waarmee gemeenten van doen hebben. De verschillende auditkaders lijken soms met elkaar in conflict te zijn. Het streven om deze kader op elkaar af te stemmen en om te vormen naar één kader wordt gesteund door de Haarlemmermeer. Men vervult graag een actieve rol in de ambtelijke werkgroep ENSIA. 9

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback