Informatiebeveiligingsbeleid, doelstellingen en ambities (ENSIA verantwoording)
De bestuurlijke doelstelling is om te voldoen aan de Baseline Informatiebeveiliging Overheid (BIO) als basisnormenkader informatiebeveiliging en dat de gemaakte afspraken over de ENSIA-verantwoording worden nagekomen. Door vertaald naar bedrijfsvoering is de doelstelling om door middel van informatiebeveiliging de continuïteit van de gemeentelijke informatie en de informatievoorziening te kunnen waarborgen.
Hierbij kan men op hoofdlijnen denken aan:
- Zorgvuldig omgaan met informatie.
- Betrouwbare en continue dienstverlening.
- Voldoen aan wet- en regelgeving (zoals die geldt voor de BIO en AVG).
- Beheersen van risico’s (Governance, Risk en Compliance).
Samenvattend beeld en resultaten afgelopen periode
In 2020 stond informatiebeveiliging onder andere in het teken van uitvoering gegeven aan het vernieuwde informatiebeveiligingsbeleid van april 2020 en tevens de nodige beveiligingsmaatregelen treffen ter uitvoering van BIO-maatregelen. De gemeente Nieuwkoop heeft de complete ICT-infrastructuur uitbesteed inclusief de daarbij behorende dienstverlengingsprocessen op ICT gebied. Hierdoor heeft bedrijfsvoering meer dan ooit tevoren een regiefunctie op het gebied van ICT. Ook informatiebeveiliging maakt hier onderdeel van uit. Techniche informatiebeveiligingsmaatregelen worden in samenwerking met de dienstenleverancier getroffen, waarbij de regie en de verantwoordelijkheid bij de gemeente Nieuwkoop ligt. Organisatorische maatregelen worden door de gemeente Nieuwkoop zelf uitgevoerd. Zo is er een cloudbeleid en cloud-checklist ontwikkeld en in gebruik genomen om als gemeente Nieuwkoop steeds meer grip te krijgen op ICT in de cloud. Daarnaast worden steeds meer toegangsprocedures geanalyseerd en daar waar nodig aanscherpt met bijvoorbeeld het implementeren van Multi Factor Authenticatie.
Belangrijkste beheersmaatregelen informatiebeveiliging
Een compact overzicht van de belangrijkste maatregelen die bijdragen aan het realiseren van de informatiebeveiligingsdoelstellingen:
- Informatiebeveiliging uitvoeren op basis van een Information Security Management System (ISMS) om de gehele PDCA-cyclus op het gebied van informatiebeveiliging op gestructureerde wijze af te dekken, risicomanagement uit te voeren, overzicht en structuur te behouden en continue verbetering te bewerkstelligen.
- Continue bewustwording instellen voor de organisatie.
- Organisatorische en technische maatregelen instellen om informatiebeveiliging naar een hoger volwassenheidsniveau te brengen.
Realisatie doelstellingen informatiebeveiligingsbeleid
Met behulp van de ENSIA verantwoording is er een toets moment voor het behalen van onze doelstellingen van informatiebeveiliging. Naast de landelijk verplichte audit inzake de informatiebeveiliging van DigiD en Suwinet is de gehele BIO-normering voor de gemeente Nieuwkoop door een onafhankelijke IT auditor getoetst op basis van opzet en bestaan. Op deze manier hebben we een compleet beeld over de stand van zaken rondom informatiebeveiliging en het compliant zijn met de BIO.
In de publicatie van deze jaarrekening meldt de ENSIA-coördinator dat de gemeente Nieuwkoop over 2020 voldoet aan de wettelijke normen voor Suwinet, vastgesteld door de IT-auditor. Daarnaast voldoet de gemeente Nieuwkoop over 2020 niet aan alle normen voor DigiD, tevens vastgesteld door de IT-auditor. De gemeente Nieuwkoop heeft een verbeterplan opgesteld om op korte termijn te voldoen aan alle normen voor DigiD. Hierbij zal de IT-auditor gaan toetsen of alle maatregelen uit het verbeterplan correct zijn uitgevoerd waardoor er wel voldaan wordt aan alle normen voor DigiD. Bij de kwaliteitscontroles op de Basisregistratie Adressen & Gebouwen (BAG), de Basisregistratie Grootschalige Topografie (BGT) en de Basisregistratie Ondergrond (BRO) zijn de scores voor de BAG en de BGT voldoende gebleken. De score voor de BRO is onvoldoende gebleken. Er is een werkgroep ingesteld om te onderzoeken hoe de gemeente Nieuwkoop er voor kan zorgen dat zij op korte termijn kan voldoen aan haar wettelijke verplichtingen vanuit de BRO.