We hebben een CISO (Chief Information Security Officer) aangenomen. Om te toetsen of we ons informatiebeveiligingsplan goed hebben uitgevoerd, hebben we een nieuwe GAP analyse uitgevoerd.
In deze GAP analyse beschrijven we hoever de gemeentelijke informatiebeveiliging (IB) aansluit op de BIG (Baseline Informatiebeveiliging Gemeenten). De belangrijkste conclusies hieruit zijn:
- Ten opzichte van de GAP analyse uit 2015 hebben we veel beveiligingsmaatregelen genomen. Dit was ter bevordering van de fysieke beveiliging, personele beveiliging en informatiebeveiliging.
- De risico’s zijn daarmee duidelijk verkleind;
- De technische toegangsbeveiliging op de informatie voldoet aan de BIG;
Naast de verdere invoering van de BIG hebben we ook een start gemaakt met het ENSIA (Eenduidige Normatiek Security Information Audit) project. De ENSIA stemt de audits op het gebied van informatiebeveiliging beter op elkaar af. Deze hulpmiddelen zijn ontworpen en ter beschikking gesteld door de VNG. Alle gemeenten hebben ingestemd met het gebruik van de ENSIA. De ENSIA geeft informatiebeveiliging en de audits daarop meer structuur. Hiermee gaat de verantwoording op het gebied van IB synchroon lopen met de P&C cyclus van control.
Uit de ENSIA audit blijkt dat de gemeente voldoet aan de beveiligingsnormen voor SUWI en voor de DigiD. Daarnaast is de gemeente ook ‘geslaagd’ voor de BRP audit over 2017.
Conform het horizontale verantwoordingsproces van de ENSIA, wordt u hierover in 2018 ingelicht. Dat zal gebeuren met een collegeverklaring en Assurance rapport.
Awareness: Door de nadruk te leggen op de technische en fysieke beveiliging vanuit de BIG hebben we dit jaar minder tijd gehad om de bewustwording van de medewerkers te vergroten. We hebben echter wel algemene voorlichting gegeven via zeepkistbijeenkomsten en via een blog op het intranet. Hierdoor is de bewustwording gestegen. Dat hebben we ook gemerkt doordat er steeds vaker vragen over informatiebeveiliging komen. Hier zal in de toekomst meer aandacht aan gegeven moeten worden.