De bedrijfsvoering wordt vanaf 1 januari 2014 door de GR BAR-organisatie uitgevoerd. Voor een toelichting op de bedrijfsvoering verwijzen wij u naar de jaarstukken 2022 van de GR BAR-organisatie(link).
Onderdeel van de paragraaf bedrijfsvoering is de rapportage over informatieveiligheid:
Informatieveiligheid
1. Inleiding/aanleiding:
a) VNG resolute "Informatieveiligheid, randvoorwaarde voor de professionele gemeente"
Met de VNG resolute "Informatieveiligheid, randvoorwaarde voor de professionele gemeente" van 2013hebben de gemeenten afgesproken de Baseline Informatieveiligheid Gemeenten (BIG) te implementeren. De BIG is de kern van de verantwoording over informatieveiligheid aan de gemeenteraad. De horizontale verantwoording bestaat uit de zelfevaluatie, en IT-audit, en verklaring van het college van burgemeester en wethouders en een passage over informatieveiligheid in het jaarverslag.
Van BIG naar BIO
Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De BIO vervangt de bestaande baselines informatieveiligheid voor Gemeenten, Rijk, Waterschappen en Provincies. Van BIG, BIR, BIR2017, IBI en BIWA naar BIO. Hiermee ontstaat één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid, gebaseerd op de internationaal erkende en actuele ISO normatiek.
b) Verantwoordingsverplichting ENSIA
Om aan te tonen dat de gemeente Barendrecht werkt in overeenstemming met de geldende wet- en regelgeving, interne regels en gedragscodes worden gemeenten sinds 2017 jaarlijks onderworpen aan de ENSIA (Eenduidige Normatiek Single Information) audit. Deze ENSIA-audit bestaat uit een zelfevaluatie over de mate waarin de gemeente voldoet aan de afspraken in de BIO, en horizontale verantwoording aan de gemeenteraad en een verticale verantwoording aan de landelijke toezichthouders zoals LOGIUS (DigiD) en het ministerie (inspectie) van Sociale Zaken en Werkgelegenheid (Suwinet).
2. IB-beleid, doelstellingen en afspraken
Gemeenten beschikken over uiterst gevoelige informatie van burgers en hebben zowel de wettelijke als morele plicht om daar zorgvuldig mee om te gaan. Het college van burgemeesters en wethouders van de gemeente Barendrecht draagt als eigenaar van gemeentelijke informatieprocessen en (informatie)systemen de politieke verantwoordelijkheid voor en passend niveau van informatieveiligheid en privacybescherming. 100%-veilig bestaat niet. Risico's worden doelbewust en proactief geaccepteerd en beheerst. Het college van burgemeester en wethouders van de gemeente Barendrecht stelt, op basis van landelijke en Europese wet- en regelgeving en landelijke normenkaders zoals de BIO, de kaders ten aanzien van informatieveiligheid en privacybescherming voor de gemeente vast. De belangrijkste gemeentelijke informatiebeveiligingsdoelstellingen zijn:
• Het zorgvuldig omgaan met informatie en deze gegevens beschermen ten onrechtmatige toegang en/ of misbruik en/of manipulatie.
• Het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van deze (persoons)gegevens en de continuïteit van de dienstverlening van de gemeente Barendrecht.
• Het voldoen aan wet- en regelgeving.
• Het beheersen van risico's.
Het informatiebeveiligingsbeleid van de gemeente Barendrecht bevat de kaders voor het treffen en onderhouden van en samenhangend pakket van maatregelen teneinde de betrouwbaarheid (beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid) van de informatievoorziening te waarborgen.
Het informatiebeveiligingsbeleid van de gemeente Barendrecht is gebaseerd op de Baseline Informatiebeveiliging Overheid (BIO).
3. Algemeen beeld en resultaten afgelopen periode
Informatieveiligheid reikt veel verder dan het implementeren van technische informatie-beveiligingsmaatregelen. Het is namelijk een groot misverstand om te denken dat informatieveiligheid iets technisch is.
4. Beheersmaatregelen IB
Hieronder wordt een overzicht gegeven van de belangrijkste beheersmaatregelen die bijdragen aan het realiseren van de IB-doelstellingen van de gemeente Barendrecht:
a) Creëren van Opzet op de BIO-normering en op delen het Bestaan;
b) Verbeterplan BMC (o.a. beschikbaar stellen van structureel budget en opzetten en inrichten van een team Informatieveiligheid en Privacy (I&P);
c) Het creëren van bewustzijn binnen de organisatie door regelmatig op intranet te communiceren over informatieveiligheid;
d) In 2022 hebben de CPO, ISO en Privacy Officer meerdere verwerkingsovereenkomsten beoordeeld/ opgesteld, inclusief het voeren van de gesprekken met leveranciers en externe partijen hierover.
e) Het adviseren bij en het opstellen van het pakket van eisen rondom informatieveiligheid en privacybescherming bij inkoop trajecten;
f) Wet Politie Gegevens (WPG)-audit;
g) Verbeterplan opgesteld naar aanleiding van audit Suwinet;
h) Bewustwordingsprogramma 2023;
i) Beleid Incidentmanagement vastgesteld;
j) Beleid op Logging en Monitoring vastgesteld;
k) Beleid Logische Toegangsbeveiliging vastgesteld;
l) Authenticatiebeleid vastgesteld;
m) Wijzigingsbeleid (Changemanagement) vastgesteld;
n) Op technisch gebied veel maatregelen genomen;
o) 8 puntenplan van het Nationaal Cyber Security Centrum (NCSC);
p) IT Audit Deloitte op Key2Financien.
5. Realisatie doelstellingen IB-beleid (effectiviteit beheersmaatregelen en risico's)
Hieronder wordt en overzicht gegeven van de belangrijkste IB-doelstellingen die zijn gerealiseerd:
a) De Baseline Informatiebeveiliging Overheid (BIO) is in 2022 verder geïmplementeerd binnen de gemeente Barendrecht, op gebied van de Opzet.
b) Het beoordelen en afhandelen van datalekmeldingen en informatiebeveiligingsincidenten (inclusief de vertrouwelijke cyberdreigingen overeenkomstig het Traffic Light Protocol (TLP4) afkomstig van de informatiebeveiligingsdienst voor gemeenten" (IBD).
c) Het adviseren van het (lijn)management/proceseigenaren over de implementatie van informatiebeveiligings- en privacybeschermende beheersmaatregelen voor hun verantwoordelijkheidsgebieden.
d) De ISO/Coördinator ENSIA heeft samen met de domeindeskundige medewerkers van de verschillende afdelingen (ICT, HRM, Backoffice, Sociaal Domein, informatiemanagement) over het jaar 2022 de zelfevaluatie ENSIA uitgevoerd.
6. Incidenten(afhandeling)
Cybercriminaliteit heeft de laatste jaren en grote vlucht genomen en geen enkele overheidsorganisatie ontkomt aan pogingen van onbevoegden o informatie buit te maken of om de bedrijfsvoering te verstoren. Cybercriminaliteit is inmiddels "big business" en een serieus verdienmodel voor criminelen. Daarmee is een permanente wedloop ontstaan tussen het implementeren en in stand houden van informatiebeveiligingsmaatregelen en de innovatie in het hacken van organisaties. Ook gemeenten worden hiervan het slachtoffer en staan bloot aan deze cyberdreigingen. We ervaren binnen de gemeente Barendrecht een toename van het aantal cybercrime dreigingen/aanvallen. Helaas betreft het voorkomen van onrechtmatige toegang (door cyberaanvallen/hacking/fraude/ondermijnende activiteiten) tot onze gegevens en het treffen van passende beveiligingsmaatregelen en bewegend doel, waardoor we nooit "klaar" zijn. De dreigingen, kwetsbaarheden en technische mogelijkheden veranderen namelijk constant.
7. Doorkijk prioriteiten voor 2023 informatieveiligheid
Hieronder wordt een overzicht gegeven van de belangrijkste IB-doelstelling voor 2023. Voor informatieveiligheid zijn de prioriteiten:
• Ontvlechting BAR-organisatie: op 150 applicaties inzet en capaciteit leveren vanuit Informatiebeveiliging en Privacy;
• Bewustwordingsprogramma 2023 uit te voeren acties (o.a. Cyber barometer);
• Implementatie Multi-Factor Authenticatie (MFA) en Mobile Device Management (MDM);
• NIS2 (Netwerk- en informatiesystemen/Europese Wetgeving);
• Maken Cyberplan Digitaal 2023-2025);
• Nieuwe BIO 2.0 Implementeren en de ENSIA-gevolgen en Audit;
• Ondersteunen werkgroepen ‘Nieuwe organisaties 2024’op het gebied van I&P;
• Borgen van I&P in ‘Nieuwe Organisaties 2024’;
• Wet Digitale Overheid (WDO) en verplichtingen op Audit informatiebeveiliging organisatiebreed;
• De uitvoering van de ENSIA-cyclus voor de verantwoording over het jaar 2023.