Informatiebeveiliging

Deze bouwsteen bestaat uit de volgende zaken:
1. Informatiebeveiliging en privacy

INFORMATIEBEVEILIGING EN PRIVACY
Verantwoordelijk
Gemeentelijke bestuurders zijn verantwoordelijk voor de informatiebeveiliging en gegevensbescherming binnen de gemeentelijke organisatie. Beveiliging van gegevens en systemen is een zaak van organisatie, procedures, werkprocessen en in de laatste plaats techniek. Het gaat om de mens, de manier waarop deze werkt en het gereedschap waarmee het werk verricht wordt (bron: VNG).

Het in 2020 geactualiseerde informatiebeveiligingsbeleid wordt aangevuld met een plan van aanpak met de nog te nemen maatregelen voor 2021. 

Bewustwording
De veiligheid die we met de technische middelen kunnen bereiken is echter begrensd en wordt als vanouds ondersteund met passende beheerprocessen en procedures. Daarnaast speelt juist de menselijke factor (het menselijk gedrag) een doorslaggevende rol in het daadwerkelijk realiseren van de veiligheid van informatie in de praktijk.

Bewustwording is voor Informatiebeveiliging en Gegevensbescherming daarom essentieel. We maken medewerkers bewust van de risico’s van het werken met informatie en we maken risicomanagement onderdeel van de besluitvorming.

In 2020 heeft de Baseline Informatiebeveiliging Overheid (BIO) de Baseline Informatiebeveiliging Gemeente (BIG) vervangen. We werken niet meer aan het invoeren van een standaard set van BIG-maatregelen, maar kiezen op basis van een risicoafweging de passende maatregelen (volgens de BIO). De Data Protection Impact Assessments (DPIA) als instrument voor het in beeld brengen van privacy risico's helpen ons hierbij.

Inrichting risicomanagement
Risicomanagement is een cyclisch, iteratief en terugkerend proces, want: dreigingen veranderen, doelstellingen veranderen, de omgeving verandert en wetgeving verandert. Door risicomanagement cyclisch in te richten anticiperen en sturen we op veranderingen.

Ons Information Security Management System (ISMS) richten we hierop in en breiden we uit met Privacy. Met het uitvoeren van een penetratietest gaan we na hoe goed onze gemeentelijke informatiesystemen en gegevens beschermd zijn tegen aanvallen. We willen de basis op orde houden. Het geeft ons een diepgaand en compleet overzicht van het beveiligingsniveau van onze manier van werken en de gemeentelijke ICT-infrastructuur.