Informatiebeveiligingsbeleid, doelstellingen en ambities (ENSIA verantwoording)
De bestuurlijke doelstelling is om te voldoen aan de Baseline Informatiebeveiliging Overheid (BIO) als
basisnormenkader informatiebeveiliging en dat de gemaakte afspraken over de ENSIA verantwoording worden nagekomen. Door vertaald naar bedrijfsvoering is de doelstelling om door
middel van informatiebeveiliging de continuïteit van de gemeentelijke informatie en de
informatievoorziening te kunnen waarborgen. Hierbij kan men op hoofdlijnen denken aan:
- Zorgvuldig omgaan met informatie.
- Betrouwbare en continue dienstverlening.
- Voldoen aan wet- en regelgeving (zoals die geldt voor de BIO en AVG).
Samenvattend beeld en resultaten afgelopen periode
In 2021 stond informatiebeveiliging onder andere in het teken van de nodige beveiligingsmaatregelen
treffen ter uitvoering van BIO-maatregelen, zoals de implementatie van een SIEM/SOC (monitoring en detectie) en het uitvoeren van actieve Vulnerability Management (kwetsbaarhedenmanagement).
De gemeente Nieuwkoop heeft de complete ICT infrastructuur uitbesteed inclusief de daarbij behorende dienstverlengingsprocessen op ICT gebied. Hierdoor heeft bedrijfsvoering meer dan ooit tevoren een regiefunctie op het gebied van ICT. Ook informatiebeveiliging maakt hier onderdeel van uit. Techniche informatiebeveiligingsmaatregelen worden in samenwerking met de dienstenleverancier getroffen, waarbij de regie en de verantwoordelijkheid bij de gemeente Nieuwkoop ligt. Organisatorische maatregelen worden door de gemeente Nieuwkoop zelf uitgevoerd. Zo is er een cloudbeleid en cloud-checklist ontwikkeld en in gebruik genomen om als gemeente steeds meer grip te krijgen op ICT in de cloud.
Daarnaast worden steeds meer toegangsprocedures geanalyseerd en daar waar nodig aanscherpt
met bijvoorbeeld het implementeren van Multi Factor Authenticatie.
Belangrijkste beheersmaatregelen informatiebeveiliging
Een compact overzicht van de belangrijkste maatregelen die bijdragen aan het realiseren van de
informatiebeveiligingsdoelstellingen:
- Informatiebeveiliging uitvoeren op basis van een Information Security Management System
(ISMS) om de gehele PDCA-cyclus op het gebied van informatiebeveiliging op
gestructureerde wijze af te dekken, risicomanagement uit te voeren, overzicht en structuur te
behouden en continue verbetering te bewerkstelligen.
- Continue bewustwording instellen voor de organisatie.
- Organisatorische en technische maatregelen instellen om informatiebeveiliging naar een
hoger volwassenheidsniveau te brengen.
Realisatie doelstellingen informatiebeveiligingsbeleid
Met behulp van de ENSIA verantwoording is er een toets moment voor het behalen van onze
doelstellingen van informatiebeveiliging. Naast de landelijk verplichte audit inzake de
informatiebeveiliging van DigiD en Suwinet is de gehele BIO-normering voor de gemeente Nieuwkoop
door een onafhankelijke IT auditor getoetst op basis van opzet en bestaan. Op deze manier hebben
we een compleet beeld over de stand van zaken rondom informatiebeveiliging en het compliant zijn
met de BIO.
In de publicatie van deze jaarrekening meldt de ENSIA-coördinator dat de gemeente Nieuwkoop over
2021:
- Voldoet aan de wettelijke normen voor Suwinet met betrekking tot de Participatiewet, IOAW en IOAZ.
- Niet voldoet aan de wettelijke normen voor Suwinet met betrekking tot adresonderzoek door Burgerzaken. Suwinet is in gebruik genomen voordat de geldende BIO-normen geïmplementeerd zijn. De gemeente Nieuwkoop gaat een verbeterplan opstellen om alsnog aan de geldende BIO-normen te gaan voldoen voor adresonderzoek door Burgerzaken. Hierbij zal de IT-auditor gaan toetsen of alle maatregelen uit het verbeterplan correct zijn uitgevoerd waardoor er wel voldaan wordt aan alle normen voor Suwinet.
- Voldoet aan de wettelijke normen voor DigiD met betrekking tot de Burgerzaken-applicatie.
- Na kwaliteitscontrole de Basisregistratie Adressen & Gebouwen (BAG) score voldoende is.
- Na kwaliteitscontrole de Basisregistratie Grootschalige Topografie (BGT) score voldoende is.
- Na kwaliteitscontrole de Basisregistratie Ondergrond (BRO) score voldoende is.
- Na kwaliteitscontrole de Waardering Onroerende Zaken (WOZ) score voldoende is