Implementatie gemeentebrede Informatieveiligheid

Om de risico’s van het lekken van persoonsgegevens, foutieve betalingen en de uitbraak van virussen te verkleinen heeft BMC een aanpak ontwikkeld om continue verbetering van de informatiehuishouding te bewerkstelligen.

Deze aanpak sluit volledig aan op de Baseline Informatiebeveiliging Gemeenten (BIG) en daarmee wordt de gemeente klaargestoomd voor ENSIA. Hiervoor moet allereerst de basis op orde gemaakt worden. Wij maken  deze basis op orde door het doorlopen van vier fasen.

FASE 1 – Strategisch: Invulling Informatieveiligheidsbeleid

In fase 1 wordt de top van de piramide, het informatieveiligheidsbeleid, ingevuld. Dit informatieveiligheidsbeleid bevat de gemeentebrede uitgangspunten ten aanzien van de veiligheid van informatie en dekt alle onderliggende deelgebieden af. De onderliggende deelgebieden hebben betrekking op alle gemeentelijke informatieprocessen.

Enkele voorbeelden van deze zeer brede beleidsscope: het sociaal domein, de audit- en zelfevaluatiegebieden ENSIA, DigiD, SUWI, BAG, BRP en Waardedocumenten, de ICT-beheerprocessen, de financiële systemen, maar eveneens de uitgangspunten voor de aanschaf van nieuwe ICT-systemen, de samenwerking met leveranciers, de inrichting van de informatiebeveiligingsorganisatie en de uitgangspunten hoe te handelen in geval van ICTcalamiteiten. Daarnaast wordt in dit document de governance vastgelegd.

Het onderdeel ‘governance’ bevat de structuur, de rollen en de verantwoordelijkheden om informatieveiligheid daadwerkelijk binnen de organisatie te laten werken en te borgen.

FASE 2 – Tactisch: Organisatiebrede risicoanalyse

In fase 2 wordt de middenlaag van de piramide ingevuld. Hierin vindt een organisatiebrede risicoanalyse plaats. Eenvoudig gezegd vindt er een toetsing plaats van de verschillen tussen het vastgestelde informatieveiligheidsbeleid (opgesteld in fase 1) en de situatie in de praktijk.

De verschillen tussen beleid en praktijk worden op risico getoetst en vastgelegd in de informatieveiligheidsanalyse. Deze analyse geeft een breed overzicht van alle verschillen tussen beleid en praktijk, inclusief een weging van de risico’s. Er ontstaat in deze fase een ‘foto’ van de huidige informatieveiligheidssituatie binnen de gemeente.

FASE 3 – Tactisch: Verbeterplan

In fase 3 wordt uit de gemeentebrede informatieveiligheidsanalyse (opgesteld in fase 2) een zeer compact actieplan gemaakt, waarin alleen de verbeteracties staan vermeld waaraan de gemeente de komende jaarschijf prioriteit gaat geven. De prioritering van verbeteracties (uit fase 2) vormt in deze fase het sleutelbegrip.

In dit compacte plan staan alleen die verbeteracties waarvan de gemeente aangeeft deze belangrijk te vinden, aan te kunnen en te kunnen waarmaken. Dit compacte actieplan is zodanig opgezet dat de gemeente zelf resultaatgericht aan de slag kan met informatieveiligheid, inclusief coördineren, monitoren van de voortgang en rapporteren.

FASE 4 – Operationeel: Verbeteracties implementeren

In fase 4 wordt het daadwerkelijke operationele werk verricht. De gemeente start met het uitvoeren van de verbeteracties uit het plan van aanpak. Daarnaast worden samen met BMC alle wettelijke audit- en zelfevaluatiegebieden praktisch met elkaar verbonden. Het beleid voor alle wettelijke deelgebieden is reeds opgenomen in één gemeentebreed informatieveiligheidsbeleid (fase 1). Nu volgen ook de praktische deelplannen, de rapportages en de procedures. Alle generieke onderdelen worden gebundeld, zodat er overzicht en samenhang ontstaat en alle losse documenten verdwijnen.

Investering

De implementatie van informatieveiligheid is afhankelijk van de volwassenheid van uw organisatie met betrekking tot informatieveiligheid en derhalve maatwerk. Al vanaf € 4.745,- kunnen wij u helpen om de basis op orde te maken en gemeentebrede informatieveiligheid te implementeren binnen uw organisatie.

Meer informatie

Voor meer informatie of een vrijblijvende afspraak kunt u contact opnemen met adviseur Martijn van Engelen, via telefoonnummer (033) 496 52 00 of per e-mail naar martijn.van.engelen@bmc.nl. U kunt ook gebruik maken van onderstaand contactformulier.