Informatiebeveiligingsbeleid, doelstellingen en ambities (ENSIA verantwoording)
De bestuurlijke doelstelling is om te voldoen aan de Baseline Informatiebeveiliging Overheid (BIO) als basisnormenkader informatiebeveiliging en dat de gemaakte afspraken over de ENSIA verantwoording worden nagekomen. Door vertaald naar bedrijfsvoering is de doelstelling om door middel van informatiebeveiliging de continuïteit van de gemeentelijke informatie en de informatievoorziening te kunnen waarborgen. Hierbij kan men op hoofdlijnen denken aan:
- Zorgvuldig omgaan met informatie.
- Betrouwbare en continue dienstverlening.
- Voldoen aan wet- en regelgeving (zoals die geldt voor de Baseline Informatiebeveiliging Overheid en de Algemene Verordening Gegevensbescherming).
Samenvattend beeld en resultaten afgelopen periode
In 2022 stond informatiebeveiliging onder andere in het teken van het treffen van de nodige bewustwordingsacties ter uitvoering van BIO-maatregelen, zoals het beschikbaar stellen van een e-learningplatform over informatiebeveiliging en privacy aan de gehele organisatie en het uitvoeren van periodieke phishing-testen onder alle medewerkers.
De gemeente Nieuwkoop heeft de complete ICT infrastructuur uitbesteed inclusief de daarbij behorende dienstverlengingsprocessen op ICT gebied. Hierdoor heeft afdeling Bedrijfsvoering meer dan ooit tevoren een regiefunctie op het gebied van ICT. Ook informatiebeveiliging maakt hier onderdeel van uit. Techniche informatiebeveiligingsmaatregelen worden in samenwerking met de ICT dienstenleverancier getroffen, waarbij de regie en de verantwoordelijkheid bij de gemeente Nieuwkoop ligt. Organisatorische maatregelen worden door de gemeente Nieuwkoop zelf uitgevoerd. Zo wordt gebruik gemaakt van cloudbeleid en een cloud-checklist om als gemeente steeds meer grip te krijgen op ICT in de cloud. Daarnaast worden steeds meer toegangsprocedures geanalyseerd en daar waar nodig aanscherpt met bijvoorbeeld het implementeren van Multi Factor Authenticatie.
Belangrijkste beheersmaatregelen informatiebeveiliging
Een compact overzicht van de belangrijkste maatregelen die bijdragen aan het realiseren van de informatiebeveiligingsdoelstellingen:
- Informatiebeveiliging uitvoeren op basis van een Information Security Management System (ISMS) om de gehele PDCA-cyclus op het gebied van informatiebeveiliging op gestructureerde wijze af te dekken, risicomanagement uit te voeren, overzicht en structuur te behouden en continue verbetering te bewerkstelligen.
- Continue bewustwording uitvoeren voor de hele organisatie.
- Organisatorische en technische maatregelen treffen om informatiebeveiliging naar een hoger volwassenheidsniveau te brengen.
Realisatie doelstellingen informatiebeveiligingsbeleid
Met behulp van de ENSIA verantwoording is er een toetsmoment voor het behalen van onze
doelstellingen van informatiebeveiliging. Naast de landelijk verplichte audit inzake de
informatiebeveiliging van DigiD en Suwinet worden ook belangrijke onderdelen uit de BIO voor de gemeente Nieuwkoop door een onafhankelijke IT auditor getoetst op basis van opzet en bestaan. Op deze manier hebben we een zo goed mogelijk beeld over de stand van zaken rondom informatiebeveiliging en het compliant zijn met de BIO.
In de publicatie van deze jaarrekening meldt de ENSIA-coördinator dat de gemeente Nieuwkoop over 2022:
- Voldoet aan de wettelijke normen voor Suwinet met betrekking tot de Participatiewet, IOAW en IOAZ.
- Niet voldoet aan de wettelijke normen voor Suwinet met betrekking tot adresonderzoek door Burgerzaken. Suwinet is in gebruik genomen voordat de geldende BIO-normen geïmplementeerd zijn. De gemeente Nieuwkoop gaat een verbeterplan opstellen om alsnog aan de geldende BIO-normen te gaan voldoen voor adresonderzoek door Burgerzaken. Hierbij zal de IT-auditor gaan toetsen of alle maatregelen uit het verbeterplan correct zijn uitgevoerd waardoor er wel voldaan wordt aan alle normen voor Suwinet.
- Niet voldoet aan alle wettelijke normen voor DigiD met betrekking tot de Burgerzaken-applicatie. Een heraudit is nodig voor norm U/TV.01.
- Niet voldoet aan alle wettelijke normen voor DigiD met betrekking tot het zaaksysteem. Een heraudit is nodig voor normen U/TV.01 en U/NW.06.
- Na kwaliteitscontrole de Basisregistratie Adressen & Gebouwen (BAG) score onvoldoende is.
- Na kwaliteitscontrole de Basisregistratie Grootschalige Topografie (BGT) score onvoldoende is.
- Na kwaliteitscontrole de Basisregistratie Ondergrond (BRO) score onvoldoende is.
- Na kwaliteitscontrole de Waardering Onroerende Zaken (WOZ) score voldoende is.