Informatiebeveiliging

IB-beleid, doelstellingen en ambities
In de bijzondere algemene ledenvergadering (BALV) van de Vereniging van Nederlandse gemeenten (VNG) op 29 november 2013 is de resolutie ’Informatieveiligheid, randvoorwaarde voor de professionele gemeente” aangenomen. Hiermee hebben alle gemeenten zich geconformeerd aan het invoeren van informatiebeveiligingsbeleid op basis van de baseline informatiebeveiliging Nederlandse gemeenten (BIG).

De bestuurlijke doelstelling is om te voldoen aan de BIG als basisnormenkader en dat de gemaakte afspraken over de ENSIA-verantwoording na worden gekomen. Door vertaald naar de bedrijfsvoering is de doelstelling om door middel van informatiebeveiliging de continuïteit van de gemeentelijke informatie en de informatievoorziening te kunnen waarborgen. Hierbij kan men op hoofdlijnen denken aan:
•Zorgvuldig omgaan met informatie.
• betrouwbare en continue dienstverlening.
• voldoen aan wet- en regelgeving (zoals die voor privacy).
• beheersen van risico’s (Governance, Risk en Compliance).

Samenvattend beeld en resultaten afgelopen periode
In de afgelopen periode is het beleid voor informatiebeveiliging vastgesteld en is een aanzet gemaakt voor de benodigde informatiebeveiligingsorganisatie. Het laatste kwartaal 2017 is gestart met het oppakken van drie en veertig (43) quick-wins uit het informatiebeveiligingsplan. Hiervan zijn er zes en twintig (26) volledig doorgevoerd, elf (11) zijn nog in verwerking en zeven (7) punten worden in het AVG traject meegenomen.

Disclaimer
Het is een illusie dat 100% veiligheid behaald kan worden.

Belangrijkste beheersmaatregelen IB
Een compact overzicht van de belangrijkste maatregelen die bijdragen aan het realiseren van de IB-doelstellingen:
• Organisatie, TBV’s en awareness.
• Organisatorische en technische maatregelen.
• Information Security Management System (ISMS) / PDCA.

Realisatie doelstellingen IB-beleid
Met behulp van de ENSIA zelfevaluatie hebben we een toets moment voor het behalen van onze doelstellingen. Naast de landelijk verplichte audit inzake de informatiebeveiliging van DigiD en Suwinet is de gehele BIG- normering voor de gemeente Gorinchem door een onafhankelijke IT auditor op basis van een ISAE 3000 Type 1 getoetst op opzet en bestaan. Dit om een compleet beeld over de stand van zaken rondom informatiebeveiliging en de invoering van de BIG te kunnen geven.

Incidenten
In het jaar 2017 hebben er vier datalekken plaatsgevonden bij de gemeente Gorinchem, welke binnen de wettelijke termijn van 72 uur gemeld zijn bij de Autoriteit Persoonsgegevens. Daarnaast zijn alle betrokken aangeschreven en is de gelekte data, voor zover mogelijk van het internet verwijderd. Daarnaast hebben er gedurende het jaar 2017 dertien ICT-beveiligingsincidenten plaats gevonden, waardoor in drie gevallen de continuïteit van de dienstverlening aan onze klanten tijdelijk niet beschikbaar was. Alle ICT-beveiligingsincidenten zijn het zij door een configuratie instelling, herstel actie en/of een update in overleg met betrokken leverancier opgelost.