Strategisch Gemeentelijk Informatiebeveiligingsbeleid Nederweert 2023-2024 (gebruikersversie)
1. Inleiding
Dit document gaat over hoe de gemeente informatie gaat beveiligen van 2023 tot 2024. Het vervangt een ouder document van 2020 tot 2023, maar sommige delen van dat oude document blijven nog geldig. Het nieuwe beleid is belangrijk voor het beschermen van persoonlijke gegevens en andere informatie binnen de gemeente. Het is gebaseerd op bepaalde regels en principes die zijn opgesteld door organisaties die zich bezighouden met informatiebeveiliging.
Deze gebruikersversie is een verkorte versie van het strategisch gemeentelijk informatiebeveiligingsbeleid 2023-2024 gericht op dat alle betrokkenen op een laagdrempelige wijze inzicht kunnen krijgen in de IB-strategie van gemeente Nederweert. Dit document is daarmee ondersteunend en het gemeentelijk informatiebeveiligingsbeleid 2023-2024 altijd leidend.
2. Wat is informatiebeveiliging
Informatiebeveiliging betekent voor ons dat we grip proberen te houden op de veiligheid van onze informatie (persoonsgegevens en andere informatie). Vaak betekent dit dat we gerichte maatregelen inzetten. Denk bijvoorbeeld aan afspraken voor een extra ingewikkeld wachtwoord of het vergrendelen van je beeldscherm als je je bureau even verlaat. We proberen hierin altijd een balans te vinden tussen dat het veilig is maar ook werkbaar blijft voor iedereen.
We kijken hierbij naar deze punten:
- Beschikbaarheid. Kan je bij de informatie als je die nodig hebt.
- Integriteit. Klopt de informatie of is hiermee geknoeid?
- Vertrouwelijkheid. Informatie is alleen toegankelijk voor degenen die bevoegd zijn het in te zien.
- Controleerbaarheid. Kunnen we bovenstaande controleren en bijsturen.
3. Waar is dit beleidsstuk op gericht?
Het informatiebeveiligingsbeleid van de gemeente geldt voor al onze processen en systemen en informatie gedurende de hele levenscyclus. Het is daarbij niet alleen bedoeld voor ICT, maar ook voor het politieke bestuur, medewerkers, burgers, gasten, bezoekers en externe relaties.
4. Doel
Deze beleidsnota omschrijft de strategie van de gemeente Nederweert voor informatiebeveiliging voor de komende jaren. Elk jaar wordt er een plan gemaakt met concrete maatregelen om deze strategie uit te voeren. Het informatiebeveiligingsbeleid heeft als belangrijkste doel om ervoor te zorgen dat informatie veilig wordt beheerd en gebruikt. Dit beleid heeft verschillende strategische doelen, waaronder het beschermen van bedrijfsmiddelen, het minimaliseren van risico's van menselijk gedrag, het voorkomen van ongeautoriseerde toegang en het waarborgen van veilige informatiesystemen. Andere doelen zijn het adequaat reageren op incidenten, het beschermen van kritieke bedrijfsprocessen en het correct verwerken van persoonsgegevens. Het naleven van dit beleid is ook belangrijk.
5. Belangrijke ontwikkelingen
De volgende ontwikkelingen zijn belangrijk voor het bepalen van de strategie en planning voor informatiebeveiliging van onze gemeente.
- De BIO. Dit zijn verplichte regels hoe een overheidsorganisatie haar informatiebeveiliging moet regelen. Risicomanagement staat hierbij centraal.
- De 10 principes voor informatiebeveiliging. Deze luiden als volgt:
1. Bestuurders bevorderen een veilige cultuur.
2. Informatiebeveiliging is van iedereen.
3. Informatiebeveiliging is risicomanagement.
4. Risicomanagement is onderdeel van de besluitvorming.
5. Informatiebeveiliging behoeft ook aandacht in (keten)samenwerking.
6. Informatiebeveiliging is een proces.
7. Informatiebeveiliging kost geld.
8. Onzekerheid dient te worden ingecalculeerd.
9. Verbetering komt voort uit leren en ervaring.
10. Het bestuur controleert en evalueert. - Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten. Dit geeft een actueel zicht op incidenten en factoren uit het verleden, aangevuld met een verwachting voor het heden en de nabije toekomst.
- Informatie uit incidenten en inbreuken op de beveiliging.
6. Belangrijkste uitgangspunten
Het informatiebeveiligingsbeleid van de gemeente Nederweert heeft enkele belangrijke uitgangspunten. Het college van B&W is eindverantwoordelijk voor de informatiebeveiliging. Alle informatiebronnen en -systemen hebben een interne eigenaar die verantwoordelijk is voor de bescherming van de informatie. Door periodieke controles en planning wordt de kwaliteit van de informatievoorziening versterkt. Informatiebeveiliging is een continu verbeterproces. De gemeente zorgt voor de benodigde middelen en regels en verantwoordelijkheden worden vastgelegd. Alle medewerkers zijn verplicht zorgvuldig om te gaan met informatie en moeten melding maken bij vermeende inbreuken.
- Het college van B&W is eindverantwoordelijk voor het plan en stelt het strategisch informatiebeveiligingsbeleid vast.
- Het MT (Managementteam) is verantwoordelijk voor het jaarlijks vaststellen van het informatiebeveiligingsplan en het uitvoeren van tactische beleidsregels.
- De CISO ondersteunt de organisatie bij het bewaken en verbeteren van de betrouwbaarheid van de informatievoorziening en rapporteert hierover aan de directie en college van B&W.
- Teamleiders zijn verantwoordelijk voor de uitvoering van informatiebeveiliging in de processen waarvoor zij verantwoordelijk zijn, inclusief het oefenen van informatiebeveiligingsincidenten en bedrijfscontinuïteit.
- Alle medewerkers worden getraind in het gebruik van beveiligingsprocedures en moeten verantwoord omgaan met persoonsgegevens en andere informatie.
- Beveiligingsmaatregelen worden bepaald op basis van risicomanagement en worden besproken tussen de manager en de betrokken medewerkers.
6.1 Monitoring, controle en rapportage over informatieveiligheid
Monitoring betekent dat de gemeente Nederweert continu controleert of de informatieveiligheid goed genoeg is. Als er bedreigingen zijn, zorgt het incidentmanagement ervoor dat alles weer veilig wordt gemaakt en hersteld wordt.
Er zijn drie controlevormen voor informatieveiligheid: operationele controle door het lijnmanagement, voortgangscontrole op decentraal en centraal niveau met behulp van het ISMS en onafhankelijke controle door externe partijen. De CISO kan interne en externe audits uitvoeren om de naleving van intern beleid, wet- en regelgeving voor privacybescherming en informatieveiligheid te controleren.
6.2 Toewijzing van informatie en informatiemiddelen
Alle belangrijke informatie en ICT-bedrijfsmiddelen zijn vastgelegd in een inventaris en toegewezen aan een eigenaar. De eigenaar is verantwoordelijk voor het bepalen van het beveiligingsniveau en het implementeren van beveiligingsmaatregelen op zijn gebied. De implementatie kan worden gedelegeerd aan een beheerder, maar de eigenaar blijft verantwoordelijk. De toewijzingen en mandatering moeten altijd up-to-date zijn.
6.3 Classificatie van informatie en bedrijfsmiddelen
Alle geïdentificeerde informatie en bedrijfsmiddelen dienen te worden geclassificeerd. De classificatie wordt uitgevoerd onder verantwoordelijkheid van de eigenaar van het proces, bedrijfsmiddel of informatie. Aan de classificatie zit een set aan maatregelen die geïmplementeerd moet zijn. Hiervan kan alleen afgeweken worden door het tijdelijk accepteren van het risico. De classificatie wordt elke 4 jaar of bij grote procesveranderingen opnieuw uitgevoerd.
6.4 Informatiebeveiliging in projecten
Een project is een tijdelijke organisatie om een verandering in de organisatie te maken. Projectmanagement is belangrijk in de gemeente. Bij elk project moeten de implicaties van informatieveiligheid worden beoordeeld. Informatieveiligheid moet onderdeel zijn van de projectmanagementmethode en expliciet worden besproken bij het identificeren van risico’s die vervolgens behandeld worden.