Nota voor burgemeester en wethouders Onderwerp Informatiebeveiligingsbeleid gemeente Deventer 1- Notagegevens Notanummer 2014-001346 Datum 13-08-2014 Programma: 11 Algemene dekkingsmiddelen Portefeuillehouder Weth. Grijsen Besluitenlijst [ ]Akkoordstukken Routing wethouder adjunct directeur d.d. -- Team IM 2- Bestuursorgaan [X]B & W [ ]Raad [ ]Burgemeester College van B & W - Burgemeester - Weth. Hartogh Heys - Weth. Grijsen d.d. 23-09-2014 [X]Openbaar d.d. 11-09-2014 16-09-2014 --- [ ]adj.secr. [X]gem.secr. BIS Openbaar Status 23-09-2014 --- Weth. Kolkman - Weth. Rorink [ ]Besloten d.d. -- par. -17-09-2014 Bijlagen Informatiebeveiligingsbeleid B & W d.d.: 23-09-2014 Besloten wordt: 1 Het beleid voor informatiebeveiliging vast te stellen zoals deze is opgenomen in de bijgevoegde nota informatiebeveiligingsbeleid; de nota en het besluit openbaar te maken. Financiële aspecten: Financiële gevolgen voor de gemeente? Begrotingswijziging Nee Nee Voorstel openbaarmaking conform Wet Openbaarheid Bestuur (Wob) [X] De nota en het besluit openbaar te maken [ ] De nota en het besluit openbaar te maken vergezeld van bijgaand persbericht [ ] De nota en het besluit openbaar te maken nadat [ ] De nota en het besluit openbaar te maken, behalve… [ ] Het besluit openbaar te maken, maar niet de nota, gelet op artikel: [ ] De nota en het besluit niet openbaar te maken, gelet op artikel: Kennisgeving/ Bekendmaking Awb Kennisgeving (publicatie) conform Awb Bekendmaking conform Awb ADVIESRADEN: Nee Nee Moet een van de adviesraden gehoord worden of op de hoogte gesteld? Nee Toelichting Inleiding Informatie is één van de belangrijkste bedrijfsmiddelen van een gemeente. Door interne en externe ontwikkelingen, door ontwikkelingen zoals toenemende digitalisering, netwerkorganisatie, HNW, mondiger burgers neemt het belang van een adequate informatiebeveiliging toe. Er gaat geen week voorbij zonder berichten in de media van geslaagde cyberaanvallen die leiden tot verlies van dienstverlening of vertrouwen. Daarnaast is er een toenemende aandacht vanuit de VNG en de landelijke overheid, wat ook resulteert in steeds meer toezicht en regelgeving. Een goed voorbeeld hiervan is de verplichte jaarlijkse DigiD audit. De gemeente kent geen actueel vastgesteld informatiebeveiligingsbeleid. Met het vaststellen van deze beleidsnota ligt er een basis voor beleid en organisatie op het gebied van informatiebeveiliging. Er worden minimumnormen geborgd en er wordt een beheerstructuur opgezet om beveiliging explicieter deel uit te laten maken van de bedrijfsvoeringprocessen en verantwoordelijkheden. Hiermee wordt een proces gestart om blijvend in control te zijn op het gebied van informatiebeveiliging. Beoogd resultaat Het vaststellen van het informatiebeveiligingsbeleid DOWR. Het document geeft algemene beleidsuitgangspunten over informatiebeveiliging. Deze uitgangspunten hebben een sterk normerend karakter en geven keuzes weer. Het geeft een praktische handreiking waarin een vertaling naar de gemeentelijke organisatie is gemaakt van bestaande wet- en regelgeving en voor de gehele overheid geldende ISO-normen. Met dit document wordt een fundament gelegd; een normenkader waaraan de gemeente moet voldoen. Een aanzienlijk aantal beleidsuitgangspunten wordt nader uitgewerkt en er zijn beveiligingseisen en -maatregelen opgenomen. Het biedt een basisbeveiligingsniveau voor de gehele gemeentelijke organisatie, een gemeentebrede baseline voor alle processen en systemen. Eventuele aanvullende, hogere eisen voor specifieke processen en/of systemen zijn buiten beschouwing gelaten. Onderdeel van dit document is een beheerstructuur voor informatiebeveiliging, waarmee verantwoordelijkheden voor informatiebeveiliging worden belegd en informatiebeveiliging wordt ingebed in de reguliere planning- en controlcyclus binnen de (kwaliteitshandhaving van de) bedrijfsvoeringsprocessen Kader -Het beleid is een uitwerking van een afspraak uit de resolutie “Informatieveiligheid, randvoorwaarde voor de professionele gemeente” van de VNG zoals deze met steun vanuit de DOWR-gemeenten is vastgesteld op de Buitengewone Algemene Ledenvergadering (BALV) op 29 november 2013. -De basis vormt de in opdracht van de VNG ontwikkelde Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG.) -Het beleid sluit aan bij en volgt de indeling van de Code voor informatiebeveiliging (NEN-ISO/IEC 27002:2007). -Informatiebeveiliging is in de I-visie van de DOWR-gemeenten als absolute randvoorwaarde benoemd voor het kunnen realiseren van de vijf thema’s. -Het beleid sluit aan bij de DOWR-trajecten ‘Basis op Orde’ en ‘Harmonisatie en standaardisatie Argumenten voor en tegen Een betrouwbare informatievoorziening is essentieel voor het goed functioneren van de processen bij de gemeente. Informatiebeveiliging is het proces dat deze betrouwbare informatievoorziening borgt. Het opnemen van informatiebeveiliging als normaal kwaliteitscriterium voor een gezonde bedrijfsvoering is tegenwoordig niet langer een keuze; het is bittere noodzaak geworden. Het belang van een goede informatiebeveiliging blijft toenemen, zowel door dreigingen van buiten als door scherper toezicht en regelgeving door de VNG en de landelijke overheid. Bij de DigiD-audit eind 2013 bleek dat de gemeente niet voldeed aan eisen op het gebied van governance op het gebied van informatiebeveiliging. Zonder het in de audit vereiste vastgestelde informatiebeveiligingsbeleid volgt afsluiting van de DigiD-voorziening, en daarmee tot grote problemen omdat een groot deel van de digitale dienstverlening hiervan afhankelijk is. Extern draagvlak (partners) N.V.T. Financiële consequenties geen Aanpak/uitvoering Met het vaststellen van de beleidsnota ligt er een basis voor beleid en organisatie op het gebied van informatiebeveiliging. Het stelt een basisbeveiligingsniveau voor de gehele organisatie, en een beheerstructuur waarmee verantwoordelijkheden voor informatiebeveiliging worden belegd. Het is het begin van een proces, niet het eindpunt, en er zal een aantal vervolgacties gestart worden om verder invulling te geven aan de gestelde normen. Hierbij zal een risicoanalyse (afhankelijkheids- en kwetsbaarheidsanalyse) gemaakt worden; een inschatting van de risico’s die de gemeente loopt. Onderdeel hiervan is aandacht voor situaties waar bepaalde toepassingen, werkomgevingen of specifieke dreigingen een hogere beveiligingsgraad of specialistische maatregelen vereisen bovenop het basisniveau. Vervolgens zal een kosten/batenafweging, het vinden van een balans tussen beveiliging en bedrijfsvoering, resulteren in een verbeterplan met maatregelen en een uitvoeringsplanning met prioritering. Het bereiken van volwassenheid op informatieveiligheid is een geleidelijk proces waarbij de lat steeds een stukje hoger komt te liggen. De baseline informatiebeveiliging wordt jaarlijks bijgesteld aan de hand van actuele ontwikkelingen, de operationele stand van zaken en de uit te voeren baseline toets en risicoanalyses.