Informatiebeveiliging
Per 1 januari 2020 wordt de Baseline Informatiebeveiliging Gemeenten vervangen door de Baseline Informatiebeveiliging Overheid (kort: BIO). De aanleiding voor de nieuwe baseline komt voort uit de verandering van de ISO-normering. De normering is een verplichte standaard voor de publieke sector en werkt volgens het comply or explain principe. Dit betekent dat de overheid deze norm toepast tenzij er expliciet geformuleerde redenen zijn om dat niet te doen. De scope van de BIO bestaat uit de bedrijfsvoeringsprocessen van de ambtelijke organisatie. Gemeente Hulst bepaalt op basis van een risicoafweging de reikwijdte van de verantwoording over de gemeentelijke processen.
Ter voorbereiding op de komst van de BIO is in 2019 voor gemeente Hulst nieuw informatiebeveiligingsbeleid vastgesteld. In 2020 is de nadruk gelegd op de implementatie van de normen uit de BIO. Deze lijn zal in 2021 doorgetrokken worden. Dit ziet er als volgt uit:
- De verantwoordelijke voor het bedrijfsproces voert een baselinetoets uit voor zijn bedrijfsproces (bepalen beveiligingsniveau).
- Vervolgens dient eventueel een diepgaande risico-analyse uitgevoerd te worden bij afwijkende betrouwbaarheidseisen van informatiebeveiliging (beschikbaarheid, integriteit en vertrouwelijkheid) en een DPIA indien deze verplicht is en nog niet eerder uitgevoerd.
- Aan de hand van het beveiligingsniveau worden de controls en verplichte maatregelen uit de BIO / ISO gezocht om risico’s adequaat te beheersen; als een control niet van toepassing is moet dit met een onderbouwing worden vastgelegd.
- De verantwoordelijke van het bedrijfsproces krijgt een clustering van controls en maatregelen om te implementeren. Hierover wordt een GAP-analyse uitgevoerd: wat is al geïmplementeerd en wat dient nog geïmplementeerd te worden.
- Te implementeren maatregelen worden geprioriteerd en vastgelegd in een Jaarplan.
- Uitgevoerde baselinetoetsen worden ieder jaar herzien en de voortgang wordt gemonitord.
Naast de verdere implementatie van de BIO heeft ook het implementatietraject rondom de ICT infrastructuur invloed op informatiebeveiliging. Na de afronding van de projectfase eind 2020, zullen tactische informatiebeveiligingsprocedures en beleidsstukken in 2021 worden geactualiseerd.