Gemeentebrede informatiebeveiliging Informatiebeveiliging wordt voor gemeenten steeds belangrijker. Naast een verplichting naar de burger om de privacy te beschermen zijn er steeds meer wettelijke bepalingen die eisen stellen aan de informatiebeveiliging. Denk hierbij aan de WBP, de wet GBA, de wet SUWI/DKD, DigiD en de wet BAG. Door de ontwikkeling van de GBA en de BAG als basisregistraties en de invoering van de wet SUWI speelt het onderwerp informatiebeveiliging binnen de gemeente een steeds grotere rol. Het onderwerp vormt dan ook een essentieel onderdeel binnen veel gemeentelijke bedrijfsprocessen. Terwijl informatie steeds vaker digitaal wordt opgeslagen en wordt gedeeld met verschillende afnemers, blijft de gemeente als leverancier van de gegevens volledig verantwoordelijk voor het gebruik hiervan. Gemeentebrede aanpak Een gemeentebrede aanpak kan ervoor zorgen dat niet alleen aan alle wet-‐ en regelgeving wordt voldaan, maar dat tevens een solide basis wordt gelegd waardoor de veiligheid van de informatie een onlosmakelijk onderdeel van de gemeentelijke bedrijfsprocessen vormt. Voor een gedegen aanpak is het van belang om rekening te houden met een aantal bedrijfsmatige factoren. In het schema worden de verschillende elementen van informatiebeveiliging en hun onderlinge relatie in beeld gebracht. Organisatie, processen en techniek worden ook wel harde controls genoemd. Hierbij gaat het om beleid, functiebeschrijvingen, procedures en technische maatregelen. Deze aspecten zijn noodzakelijk, maar zorgen er niet altijd voor dat het gewenste niveau van de informatiebeveiliging ook daadwerkelijk wordt bereikt. Wanneer de getroffen maatregelen niet aansluiten bij de personele en culturele aspecten binnen de gemeentelijke organisatie komen de beperkingen van de harde maatregelen spoedig aan het licht. Het is voor een organisatie minstens zo belangrijk om op grond van de personele en culturele aspecten, de zogenaamde zachte controls, acties te ondernemen. Bewustzijn vormt een belangrijk onderdeel van deze zachte controls, maar is zeker niet de enige factor die hierbij van belang is. Gemeentebreed beveiligingsplan Het gemeentebrede beveiligingsplan sluit volledig aan bij de nieuwste richtlijnen voor informatiebeveiliging zoals op genomen in de Baseline Informatiebeveiliging Nederlandse Gemeenten (KING/VNG). De aanpak van BMC bestaat uit een drietal niveaus: 1. Op het hoogste niveau bevindt zich het integraalinformatiebeveiligingsbeleid. Dit is de paraplu voor alle onderliggende gebieden, zoals de GBA, BAG, SUWI en DigiD. Deze paraplu kan eveneens gelden voor vele andere gebieden zoals een DMS en de financiële en personele informatiesystemen. 2. In de tweede laag bevindt zich de risico-‐inventarisatie en het daaruit voortvloeiende stappenplan. Voor deze fase is een speciaal programma beschikbaar waarin -‐ samen met de gemeentelijke organisatie -‐zowel de ‘harde' als de ‘zachte' aspecten ten aanzien van informatiebeveiliging in kaart worden gebracht en verder worden ontwikkeld. Het resultaat van het doorlopen van deze drie niveaus vormt een compleet en concreet overzicht van de gemeentelijke informatiehuishouding, inclusief de kansen, de risico’s en de wettelijke verplichtingen. Wat kan BMC voor u doen? Vanuit een jarenlange ervaring op het gebied van veiligheid van gemeentelijke informatiesystemen kan BMC alle ondersteuning leveren bij informatiebeveiligingsvraagstukken. Van de voorbereiding van de wettelijke audit en zelfevaluatiegebieden, tot de implementatie van de nieuwste beveiligingsrichtlijnen zoals door de VNG aan gemeenten is geadviseerd. Het integreren van informatiebeveiliging in de operationele taken, de P&C-‐cyclus en het rechtmatigheidskader is door gebrek aan capaciteit en kennis vaak een uitdaging. BMC kan u daarbij ondersteunen en zorgt voor een integrale aanpak. Binnen deze beveiligingstrajecten zijn verschillende scenario's mogelijk. BMC kan het volledige traject voor u verzorgen, maar kan ook ondersteuning verlenen bij de verschillende onderdelen in het traject. Naast het volledig overnemen van taken, kunnen wij ook een rol spelen bij het coachen en begeleiden van de specialisten in uw organisatie. juni 2014 3. In de derde laag wordt per deelgebied een concreet operationeel beveiligingsplan opgeleverd, dat voldoet aan alle van toepassing zijnde wettelijke eisen en waarin eveneens de verankering binnen de gemeentelijke organisatie is meegenomen.