Dinsdag 21 september 2021 vergadert de raadscommissie Ruimte. De vergadering start om 20:00 uur. De vergadering is digitaal, vanwege corona. U kunt de vergadering live volgen via onze livestream.

Strategisch Gemeentelijk Informatiebeveiligingsbeleid Gemeente Noordwijk 2020 - 2023

December 2019

R. van der Zwan (CISO)

1. Inleiding

Deze beleidsnota beschrijft het strategisch informatiebeveiligingsbeleid voor de jaren 2020 tot 2023 en vervangt het in 2016 vastgestelde ‘Informatiebeveiligingsbeleid Noordwijk Noordwijkerhout 2016’.
Deze nota is richtinggevend en kaderstellend en wordt aangevuld met onderwerp-specifieke beleidsdocumenten voor informatiebeveiliging op tactisch niveau en werkinstructies op operationeel niveau.

Met dit ‘Strategisch Gemeentelijk Informatiebeveiligingsbeleid  2020-2023’ zet de gemeente een volgende stap om de beveiliging van persoonsgegevens en andere informatie binnen de gemeente te continueren en door te gaan met de stappen die in de voorgaande jaren gezet zijn. De basis voor dit strategisch beleid is de NEN-ISO/IEC 27002:2017 en de daarvan afgeleide Baseline Informatiebeveiliging Overheid (BIO) zie bijlage A. De principes zijn gebaseerd op de 10 bestuurlijke principes voor informatiebeveiliging zoals uitgewerkt door de VNG, zie bijlage B.

1.1 Leeswijzer

In hoofdstuk 2 wordt de kern van het strategisch beleid uiteengezet. Dit beleid wordt op tactisch niveau aangevuld met onderwerp-specifieke tactische beleidsregels. In het jaarlijks uit te brengen gemeentelijk Informatiebeveiligingsplan (vastgesteld door de directie) worden deze tactische en operationele aspecten van de informatiebeveiliging verder uitgewerkt en geconcretiseerd. Dit wordt gedaan op basis van input van de teamcoaches en de Chief Information Security Officer (CISO), het dreigingsbeeld van de IBD en de uitkomsten van ENSIA. Daarin staan dan ook de acties en planning vermeld, om de praktijk in overeenstemming te brengen met datgene wat in het beleid is geëist. Hoofdstuk 3 beschrijft vervolgens hoe de taken en verantwoordelijkheden in de organisatie belegd zijn.

1.2 Wat is informatiebeveiliging?

Onder informatiebeveiliging wordt verstaan het treffen en onderhouden van een samenhangend pakket van maatregelen om de betrouwbaarheid van de informatievoorziening aantoonbaar te waarborgen. Kernpunten daarbij zijn beschikbaarheid, integriteit (juistheid) en vertrouwelijkheid van persoonsgegevens en andere informatie.
Het informatiebeveiligingsbeleid geldt voor alle processen van de gemeente en borgt daarmee de informatievoorziening gedurende de hele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en   ongeacht   het   karakter   van   de   informatie. Het beperkt   zich   niet alleen tot de ICT en heeft betrekking op het politieke bestuur, alle medewerkers, burgers, gasten, bezoekers en externe relaties.

Informatieveiligheid is geen doel op zich, maar moet de primaire bedrijfsprocessen ondersteunen en de veilige en verantwoorde uitvoering daarvan mogelijk maken. Informatieveiligheid dient dus vanuit het primaire proces gestuurd te worden, daar waar het eigenaarschap van de informatie ligt.

1.3 Visie van de gemeente op het gebied van informatieveiligheid

De gemeente zet structureel in op het verhogen van Informatieveiligheid en verdere professionalisering van de informatieveiligheidsfunctie in de organisatie. Een betrouwbare informatievoorziening is noodzakelijk voor het goed functioneren van de gemeente en de basis voor het beschermen van rechten van burgers en bedrijven. Dit vereist een integrale aanpak, goed opdrachtgeverschap en risicobewustzijn. Ieder organisatieonderdeel en alle medewerkers zijn hierbij betrokken.

2. Strategisch beleid

2.1 Doel

Het doel van deze beleidsnota is het presenteren van het ‘Strategisch Informatiebeveiligingsbeleid voor de jaren 2020 tot 2023’. De uitwerking van dit beleid in concrete maatregelen vindt plaats in het jaarlijks bij te stellen informatiebeveiligingsplan (IBP).

2.2 Ontwikkelingen

De ontwikkelingen die van belang zijn voor de actualisering van het informatiebeveiligingsbeleid zijn de volgende:

2.2.1 De BIO

De BIO (Baseline Informatiebeveiliging Overheid) is het nieuwe normenkader voor de gehele overheid. De werkwijze van deze BIO is meer gericht op risicomanagement dan de oude Baseline Informatiebeveiliging Gemeenten (BIG). Dat wil zeggen dat de teamcoaches moeten werken volgens de aanpak van de ISO 27001 en daarbij is risicomanagement van belang. Dit houdt in, dat men op voorhand keuzes maakt en continu afwegingen maakt of informatie in bestaande en nieuwe processen adequaat beveiligd zijn in termen van beschikbaarheid, integriteit en vertrouwelijkheid.

2.2.2 De 10 principes voor informatiebeveiliging (zie bijlage B)

De 10 principes voor informatiebeveiliging zijn een bestuurlijke aanvulling op het normenkader op de BIO en gaan over de waarden die de bestuurder zichzelf oplegt. Deze principes worden gelijk met de BIO van kracht, zie besluitvorming Informatiebeveiligingsdienst (IBD) en Verenigde Nederlandse Gemeenten (VNG) De principes zijn als volgt:

  1. Bestuurders bevorderen een veilige cultuur.
  2. Informatiebeveiliging is van iedereen.
  3. Informatiebeveiliging is risicomanagement.
  4. Risicomanagement is onderdeel van de besluitvorming.
  5. Informatiebeveiliging behoeft  ook aandacht in  (keten)samenwerking.
  6. Informatiebeveiliging is een proces.
  7. Informatiebeveiliging kost geld.
  8. Onzekerheid dient te worden ingecalculeerd.
  9. Verbetering komt voort uit leren en ervaring.
  10. Het bestuur controleert en evalueert.

De principes gaan vooral over de rol van het bestuur bij het borgen van informatiebeveiliging in de gemeentelijke organisatie. Deze principes ondersteunen de bestuurder bij het uitvoeren van goed risicomanagement. Als er iets verkeerd gaat met betrekking tot het beveiligen van de informatie binnen de gemeentelijke processen, dan kan dit directe gevolgen hebben voor inwoners, ondernemers en partners van de gemeente. Daarmee is het onderwerp informatiebeveiliging nadrukkelijk gewenst op de bestuurstafel.

2.2.3 Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten

Het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten geeft een actueel zicht op incidenten en factoren uit het verleden, aangevuld met een verwachting voor het heden en de nabije toekomst. Dit dreigingsbeeld is daarmee het ideale document om focus aan te brengen in het actualiseren van beleid en plannen voor informatiebeveiliging.

2.2.4 Informatie uit incidenten en inbreuken op de beveiliging

De gemeente kent naast het hierboven genoemde dreigingsbeeld natuurlijk een eigen systeem waarin incidenten worden vastgelegd. Dit systeem geeft ook waardevolle informatie om van te leren en dus zijn incidenten uit het verleden ook nadrukkelijk input bij het actualiseren van het beleid.

2.3 Standaarden informatiebeveiliging

De basis voor de inrichting van het beveiligingsbeleid is NEN-ISO/IEC 27001:2017. De maatregelen worden op basis van best practices bij (lokale) overheden en NEN-ISO/IEC 27002:2017 genomen.
Voor de ondersteuning van gemeenten bij het formuleren en realiseren van hun informatiebeveiligingsbeleid heeft de interbestuurlijke werkgroep Normatiek in 2018 de Baseline Informatiebeveiliging Overheid (BIO) uitgebracht, afgeleid van beide NEN-normen. De Interbestuurlijke werkgroep Normatiek bestaat uit vertegenwoordigers van bijvoorbeeld VNG en de IBD, maar ook waterschappen, provincies en het rijk. Deze BIO bestaat uit een baseline met verschillende niveaus van beveiligen.

2.4 Plaats van het strategisch beleid

Het strategisch beleid wordt gebruikt om de basis te leggen voor de tactische beleidsplannen en daarmee richting te geven aan verdere invulling van informatiebeveiliging op tactisch en operationeel niveau.
Deze nota beschrijft op strategisch niveau het informatiebeveiligingsbeleid. Dit beleid zal worden vertaald in tactische en operationele richtlijnen en maatregelen. De daaruit voortkomende werkzaamheden worden uitgewerkt in het jaarlijks te schrijven ‘Gemeentelijk Informatiebeveiligingsplan’.

2.5 Scope informatiebeveiliging

De scope van dit beleid omvat alle gemeentelijke processen, onderliggende informatiesystemen, informatie en gegevens van de gemeente en externe partijen, het gebruik daarvan door medewerkers en (keten)partners in de meest brede zin van het woord, ongeacht locatie, tijdstip en gebruikte apparatuur.
Dit strategisch gemeentelijke Informatiebeveiligingsbeleid is een algemene basis en dekt tevens aanvullende beveiligingseisen uit wetgeving af zoals voor de:

  • Basisregistratie Personen (BRP),
  • Paspoorten en Nederlandse Identiteitskaarten (PNIK) en
  • Structuur Uitvoeringsorganisatie Werk en Inkomen (SUWI)
  • Paspoortuitvoeringsregeling (PUN)
  • Basisregistratie Adressen en Gebouwen (BAG)
  • Basisregistratie Grootschalige Topografie (BGT)

Voor bepaalde kerntaken gelden op grond van deze en wet- en regelgeving ook nog enkele specifieke (aanvullende) beveiligingseisen (bijvoorbeeld SUWI en gemeentelijke basisregistraties). Deze worden in aanvullende documenten geformuleerd.

2.6 Uitgangspunten

Het bestuur, de directie en de teamcoaches spelen een cruciale rol bij het uitvoeren van dit strategische informatiebeveiligingsbeleid. Zij maken een inschatting van het belang dat de verschillende delen van de informatievoorziening voor de gemeente heeft, de risico’s die de gemeente hiermee loopt en welke van deze risico’s onacceptabel hoog zijn. Zij dragen dit beleid uit naar de organisatie en ondersteunen en bewaken de uitvoering ervan.

Dit beleid is van toepassing op de gehele organisatie, alle processen, organisatieonderdelen, objecten, informatiesystemen en gegevens(verzamelingen). Het informatiebeveiligingsbeleid is in lijn met het algemene beleid van de gemeente en de relevante landelijke en Europese wet- en regelgeving.

2.6.1 Strategische doelen

De strategische doelen van het informatiebeveiligingsbeleid zijn:

  • Het managen van de informatiebeveiliging.
  • Adequate bescherming van bedrijfsmiddelen.
  • Het minimaliseren van risico’s van menselijk gedrag.
  • Het voorkomen van ongeautoriseerde toegang.
  • Het garanderen van correcte en veilige informatievoorzieningen.
  • Het beheersen van de toegang tot informatiesystemen.
  • Het waarborgen van veilige informatiesystemen.
  • Het adequaat reageren op incidenten.
  • Het beschermen van kritieke bedrijfsprocessen.
  • Het beschermen en correct verwerken van persoonsgegevens van burgers en medewerkers.
  • Het waarborgen van de naleving van dit beleid.

2.6.2 Belangrijkste uitgangspunten

De belangrijkste uitgangspunten van het beleid zijn:

  • Alle informatie en informatiesystemen zijn van belang voor de gemeente, bepaalde informatie is van vitaal en kritiek belang. Het college van B en W is eindverantwoordelijke voor de informatiebeveiliging.
  • De uitvoering van de informatiebeveiliging is een verantwoordelijkheid van de directie en teamcoaches. Alle informatiebronnen  en -systemen die gebruikt worden door de gemeente Noordwijk hebben een interne eigenaar die de vertrouwelijkheid  en/of waarde bepaalt van de informatie die ze bevatten. De primaire verantwoordelijkheid voor de bescherming van informatie ligt dan ook bij de eigenaar van de informatie.
  • Door periodieke controle, organisatiebrede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening organisatiebreed benaderd. Het plan wordt periodiek bijgesteld op basis van nieuwe ontwikkelingen, registraties  in het incidentenregister en bestaande risicoanalyses.
  • Informatiebeveiliging is een continu verbeterproces. ‘Plan, do, check en act’ vormen samen het managementsysteem van informatiebeveiliging.
  • De gemeente stelt de benodigde mensen en middelen beschikbaar om haar eigendommen en werkprocessen te kunnen beveiligen volgens de wijze zoals gesteld in dit beleid.
  • Regels en verantwoordelijkheden voor het beveiligingsbeleid dienen te worden vastgelegd en vastgesteld.
  • Iedere medewerker, zowel vast als tijdelijk, intern of extern, is verplicht waar nodig gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht en bij vermeende inbreuken hiervan melding   te maken.

2.6.3 Invulling van de uitgangspunten

Praktisch wordt als volgt invulling gegeven aan de uitgangspunten:

  • Het college van B en W stelt als eindverantwoordelijke het Strategisch Informatiebeveiligingsbeleid vast.
  • De directie stelt jaarlijks het informatiebeveiligingsplan vast.
  • De directie stelt het tactische beleid en de werkinstructies op operationeel niveau vast.
  • De directie is verantwoordelijk voor het (laten) uitwerken en uitvoeren van onderwerp-specifieke tactische beleidsregels die aanvullend zijn op dit strategisch beleid.
  • De Chief Information Security Officer (CISO) ondersteunt vanuit een onafhankelijke positie de organisatie bij het bewaken en verhogen van de betrouwbaarheid van de informatievoorziening en rapporteert hierover rechtstreeks aan de directie, voorafgaand aan de P&C-gesprekken.
  • Tijdens P&C-gesprekken dient er aandacht te zijn voor de informatiebeveiliging n.a.v. de rapportage van de CISO. De onderwerpen, die als risicovol worden gezien, moeten tevens worden opgenomen in de auditplannen.
  • De teamcoaches zijn verantwoordelijk voor de uitvoering van de informatiebeveiliging voor de processen waarvoor zij verantwoordelijk zijn.
  • Hoewel de basiskernregistraties (zoals BRP, PUN, SUWI, BAG, BGT) en toekomstige basisregistraties belangrijk zijn in het kader van informatiebeveiliging, krijgen zij niet meer of minder voorrang dan andere (primaire) processen binnen de gemeente. Het samenspel van alle processen binnen de bedrijfsvoering is belangrijk voor de missie en de visie van de gemeente en het behalen van de doelen die zijn gesteld.
  • Alle medewerkers dienen zich te conformeren aan dit beleid en dragen dat ook uit.
  • Alle medewerkers van de gemeente worden getraind in het gebruik van beveiligingsprocedures.
  • Alle Medewerkers dienen verantwoord om te gaan met persoonsgegevens en andere informatie.
  • Teamcoaches dienen erop toe te zien dat de controle op het verwerken van persoonsgegevens regelmatig wordt uitgevoerd, zodat zij kunnen vaststellen dat alleen rechthebbende ambtenaren de juiste persoonsgegevens ingezien en verwerkt hebben.
  • De beveiligingsmaatregelen worden bepaald op basis van risicomanagement. Teamcoaches voeren quickscans informatiebeveiliging uit op basis van de BIO om deze risico-afwegingen te kunnen maken.

2.6.4 Randvoorwaarden

Belangrijke randvoorwaarden  zijn:

  • De informatiebeveiliging maakt deel uit van afspraken met ketenpartners.
  • Kennis en bewustzijn van informatiebeveiliging en omgaan met persoonsgegevens binnen de organisatie dienen actief bevorderd en geborgd te worden.
  • Jaarlijks wordt een informatiebeveiligingsplan opgesteld onder leiding van de CISO, gebaseerd op:
  • de uitkomsten van de jaarlijkse Eenduidige Normatiek Single Information Audit (ENSIA);
  • het dreigingsbeeld gemeenten van de IBD;
  • De door de afdelingsmanagers ingebrachte onderwerpen voor de informatievoorziening waarvoor zij verantwoordelijk zijn.

2.6.5 Vaststelling en geldigheid

Dit Strategisch Informatiebeveiligingsbeleid wordt vastgesteld door het bestuur (college van B en W) en is geldig tot 1 januari 2023. Indien nodig zal dit beleid eerder worden herzien.

3. Organisatie, taken & verantwoordelijkheden

In dit hoofdstuk wordt uiteengezet welke taken en verantwoordelijkheden met betrekking tot informatiebeveiliging op welke plaats belegd zijn binnen de organisatie.

De teamcoach is verantwoordelijk voor de eigen processen. De CISO ondersteunt, adviseert, coördineert en bewaakt of de teamcoaches hun verantwoordelijkheden ook daadwerkelijk nemen. Middels interne en extern audits wordt een objectief oordeel gevormd met mogelijkheden tot verbetering.

3.1 Aansturing: directie

De directie zorgt dat alle processen en systemen en de daarbij behorende middelen altijd onder de verantwoordelijkheid vallen van een teamcoach.

De directie draagt zorg voor het uitwerken van tactische informatiebeveiligingsbeleidsonderwerpen en laat zich hierin bijstaan door de CISO van de gemeente.
Het onderwerp informatiebeveiliging wordt in de gemeente Noordwijk gezien als een integraal onderdeel van risicomanagement.

3.2 Uitvoering: teamcoaches

Informatiebeveiliging valt onder de verantwoordelijkheid van alle teamcoaches. Om deze verantwoordelijkheid  waar te maken dienen zij goed ondersteund te worden. Deze verantwoordelijkheid kunnen zij niet delegeren, uitvoerende werkzaamheden wel. Teamcoaches rapporteren aan de CISO over de door hen tactisch en operationeel uitgevoerde informatiebeveiligingsactiviteiten. Afstemming met de teams over de inhoudelijke aanpak vindt plaats door periodiek overleg het onderwerp Informatiebeveiliging. Voorbereiding en coördinatie van het overleg ligt bij de CISO.

Taken van de teamcoaches in het kader van informatiebeveiliging zijn:

  • Het uitvoeren van quickscans informatiebeveiliging.
  • Het leveren van input voor wijzigingen op maatregelen en procedures.
  • Het binnen het eigen team uitdragen van het beveiligingsbeleid en de daaraan gerelateerde procedures.
  • Het vroegtijdig signaleren van de voornaamste bedreigingen waaraan de bedrijfsinformatie is blootgesteld.
  • Bespreking van beveiligingsincidenten en de consequenties die dit moet hebben voor beleid en maatregelen.

3.3 Controle en verantwoording

Dit Strategisch Beleid is een verantwoordelijkheid van het gemeentebestuur. De bestuurders en directie van de gemeente Noordwijk zullen volgens de 10 principes voor informatiebeveiliging richting en sturing geven aan het onderwerp informatiebeveiliging.

3.3.1 ENSIA

De gemeente verantwoordt zich over informatiebeveiliging middels de ENSIA-systematiek. De ENSIA-coördinator (CISO) zorgt ervoor dat de informatie die nodig is voor het beantwoorden van vragen binnen ENSIA wordt opgehaald bij de verantwoordelijke teamcoaches. De teamcoaches leveren alle informatie die nodig is voor het invullen van de jaarlijkse ENSIA-vragenlijsten.
De verantwoording over de informatiebeveiliging komt in het jaarverslag tot uitdrukking op basis van de collegeverklaring Informatiebeveiliging. Met deze verklaring geeft het college van B en W aan in hoeverre de gemeente voldoet aan de afspraken die gemaakt zijn voor de ENSIA-verantwoording Informatiebeveiliging. Ook worden de eventuele verbetermaatregelen vermeld die de gemeente gaat treffen. De ingevulde zelfevaluatievragenlijst vormt de basis voor het opstellen van de collegeverklaring aan de raad.

Middels deze verantwoording worden het bestuur van de gemeente Noordwijk en de raad geïnformeerd. De betrokkenheid van het bestuur is essentieel, en laat zien dat de gemeente Noordwijk informatiebeveiliging serieus neemt en het een onderdeel laat zijn van de ambitie om informatie van haar inwoners adequaat te beschermen.