Informatiebeveiliging
In 2016 is het informatiebeveiligingsbeleid opgesteld aan de hand van de normen die zijn vastgelegd in de Baseline Informatiebeveiliging Gemeenten (kort: BIG). Per 1 januari 2020 wordt de Baseline Informatiebeveiliging Gemeenten vervangen door de Baseline Informatiebeveiliging Overheid (kort: BIO). De aanleiding voor de nieuwe baseline komt voort uit de verandering van de ISO-normering. De huidige baselines van de verschillende overheidslagen worden samengevoegd in 1 baseline zodat gemeenten, provincies, waterschappen en het rijk beter kunnen samenwerken. Het feit dat de BIO een gezamenlijke baseline is, voorkomt verder dat alle overheidslagen voor zichzelf een nieuwe baseline moeten opstellen. De BIO zal gezamenlijk beheerd worden, onder regie van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Een ander groot verschil tussen de BIG en de BIO is dat de BIO meer ruimte geeft voor het treffen van passende maatregelen op basis van risicomanagement.
In 2019 is ter voorbereiding op de komst van de BIO voor de gemeente Hulst nieuw informatiebeveiligingsbeleid vastgesteld. In 2020 zal de nadruk liggen op de implementatie van de normen uit de BIO die er in het kort als volgt uitziet:
- De verantwoordelijke voor het bedrijfsproces voert een baselinetoets uit voor zijn bedrijfsproces (bepalen beveiligingsniveau)
- Vervolgens dient eventueel een diepgaande risico-analyse uitgevoerd te worden bij afwijkende betrouwbaarheidseisen van informatiebeveiliging (beschikbaarheid, integriteit en vertrouwelijkheid) en een DPIA indien deze verplicht is en nog niet eerder uitgevoerd
- Aan de hand van het beveiligingsniveau worden de controls en verplichte maatregelen uit de BIO / ISO gezocht om risico’s adequaat te beheersen; als een control niet van toepassing is moet dit met een onderbouwing worden vastgelegd.
- De verantwoordelijke van het bedrijfsproces krijgt een clustering van controls en maatregelen om te implementeren. Hierover wordt een GAP-analyse uitgevoerd: wat is al geïmplementeerd en wat dient nog geïmplementeerd te worden.
- Te implementeren maatregelen worden geprioriteerd en vastgelegd in een Jaarplan.
Vanuit informatiebeveiliging zal in 2020 het implementatietraject rondom de ICT infrastructuur nauwlettend worden gevolgd en daar waar noodzakelijk zullen afspraken met de leverancier worden gemaakt om beveiligingsmaatregelen te borgen.