Home > Samenwerkingen > Octogram
Informatiebeveiliging als onderdeel van het gemeentelijke informatiebeleid

Contact

Kees van den Tempel

Partner

06-22.695.682

k.van.den.tempel@nativeconsulting.nl

Neem contact met ons op

Informatiebeveiliging als onderdeel van het gemeentelijke informatiebeleid

architectuurpijler informatiebeveiligingEr is de afgelopen jaren veel gezegd en geschreven over de informatiebeveiliging bij gemeenten. Aanleidingen waren incidenten zoals Diginotar en Lektober. Naast deze incidenten neemt de onderlinge uitwisseling van gegevens tussen organisaties toe, bijvoorbeeld door de decentralisaties in het sociaal domein. Hoewel informatieveiligheid door velen belangrijk wordt gevonden, hebben slechts enkele organisaties het echt in het vizier. Informatiebeveiliging komt meestal pas in beeld als het te laat is en zich acute problemen voordoen.
Op welke manier kan de kloof tussen denken en doen worden overbrugd? En als het met bewustwording te maken heeft, pakken we dit top-down of juist bottom-up aan? Moet dit een initiatief zijn vanuit de ICT of juist niet? En, moeten we niet eerst weten hoe we er als organisatie voor staan?

Native Consulting hanteert een praktische aanpak bij het integreren van informatiebeveiliging in het gemeentelijke informatiebeleid. Wij gaan uit van een goede balans tussen ambitie en mogelijkheden van de organisatie. Middels een combinatie van top-down en bottom-up benadering wordt beveiliging een logisch en geïntegreerd onderdeel van de informatievoorziening. Want operationele maatregelen zijn nodig en sturing en coördinatie van informatiebeveiliging evengoed. De laatsten zijn overigens verplicht in de DigiD-audits die gemeenten uiterlijk dit najaar moeten hebben uitgevoerd. Daarbij wordt niet alleen gekeken of de plannen in orde zijn, maar ook of er daadwerkelijk invulling is gegeven aan taken, bevoegdheden en verantwoordelijkheden op het gebied van sturing en coördinatie van de informatiebeveiliging.

Een eerste stap bij het borgen van informatiebeveiliging is het bepalen van de huidige mate van informatiebeveiliging door het uitvoeren van een nulmeting. Daarbij wordt vooruit gekeken: Loopt de organisatie beveiligingsrisico’s en zo ja, welke zijn dit, wat is de kans dat ze optreden, wat is de impact ervan en hoe erg is dat?

Na het bepalen van de risico’s worden de aanwezige beveiligingsmaatregelen getoetst. Hierbij wordt gekeken naar onder meer de organisatie van de informatiebeveiliging en de beveiliging van het gemeentelijke netwerk. Native gebruikt daarbij een toetsingskader gebaseerd op de Baseline informatiebeveiliging Gemeenten (BIG). De BIG zelf is gebaseerd op de standaardnorm NEN-ISO 27002, ‘Code voor informatiebeveiliging’. Andere onderdelen van de nulmeting zijn: bezoek van een mystery guest en het uitvoeren van een netwerkcheck door een gespecialiseerde partij.

Na de nulmeting heeft de organisatie zicht op haar informatiebeveiliging en staat de organisatie voor een volgende keuzemoment: het bepalen van acties. Hierbij worden maatregelen geprioriteerd op basis van de eerder uitgevoerde risicoanalyse.

Uitgangspunten, risico’s en maatregelen kunnen worden geïntegreerd in het informatiebeleid van de organisatie zodat ook deze pijler onder de informatievoorziening goed wordt geborgd. Een apart informatiebeveiligingsbeleid is daarmee niet nodig.

Meer weten over ons aanbod? Lees verder