Informatieveiligheid
Inleiding
Informatieveiligheid is het geheel van maatregelen, procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen de gemeente garanderen. Het doel van informatieveiligheid is de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een (acceptabel) minimum niveau te beperken.
Gemeentelijke Gemeenschappelijke Infrastructuur (GGI)
Gemeenten en andere overheden kunnen via de GGI veiliger en gemakkelijker samenwerken. Onderdeel hiervan is een actieve netwerk monitoring, waarmee het dataverkeer op het eigen bedrijfsnetwerk wordt bewaakt. In 2021 zal deze actieve monitoring bij ons worden uitgerold.
BIO en ENSIA
Gemeenten, Rijk, waterschappen en provincies zijn vanaf 1 januari 2020 overgegaan op één uniform normenkader voor informatiebeveiliging: de Baseline Informatiebeveiliging Overheid (BIO). Voor implementatie van de BIO zijn onder meer een actueel informatiebeveiligingsbeleid, een beveiligingsorganisatie en jaarlijkse actieplan benodigd.
Over de BIO en andere wet- en regelgeving dient jaarlijks verantwoording te worden afgelegd. Om de inspanning en kosten is de verantwoording gebundeld in de Eenduidige Normatiek Single Information Audit (ENSIA) gehanteerd. Met ENSIA sluit de verantwoording aan op de reguliere planning- en controlcyclus van de gemeente. Wij leggen verantwoording af over de informatiebeveiliging door één geaudite Collegeverklaring ENSIA inzake Informatiebeveiliging DigiD en Suwinet op te stellen.
ENSIA structureert ook de verantwoording naar de rijksoverheid, over de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT), Basisregistratie Ondergrond (BRO) en de Structuur uitvoeringsorganisatie Werk en Inkomen (SUWInet). Verantwoording aan de stelselhouders (Binnenlandse Zaken/ Logius en Inspectie SoZaWe) vindt plaats door het beschikbaar stellen van de uitkomsten van de zelfevaluatie en audits.