Bedrijfsvoering
De gemeenteraad van Bloemendaal
Datum Uw kenmerk Ons kenmerk Behandeld door Doorkiesnummer Onderwerp Verzonden Bijlage(n)
: : : : : : : :
19 augustus 2015 2015056815 J. van der Hulst 023-522 5592 Rapportage informatiebeveiliging Gemeente Bloemendaal
Geachte leden van de raad, Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 De door de accountant aangedragen IT verbeterpunten worden door wethouder Heijink aan de raad voorgelegd in een 3 maandelijkse rapportage en niet zoals nu in de toelichting bij de jaarrekening vermeld staat, bij de najaarsnota. De eerste rapportage wordt in augustus verwacht. Hierbij ontvangt u deze rapportage:
De gemeente Bloemendaal is een overheidsorganisatie die intensief gebruik maakt van digitale middelen voor de dienstverlening, beleid, beheer en bedrijfsvoering. Daarbij functioneert de gemeente niet op een eiland maar is (digitaal) verbonden met andere veelal publieke organisaties. De gemeente is sterk afhankelijk van betrouwbare digitale middelen en heeft tevens een grote verantwoordelijkheid in het beschermen van de toegankelijkheid van informatie zoals persoonsgegevens. Het is gelet op het vorengaande dan ook vanzelfsprekend dat Informatiebeveiliging specifiek aandacht moet krijgen van het gemeentebestuur en het management. Dit wordt onderstreept
2015056815
1. Inleiding
*2015056815*
Rapportage informatiebeveiliging Gemeente Bloemendaal
-2-
door de eisen die gesteld worden door overheidsorganisaties die diensten leveren waarvan de gemeente gebruik wil maken. Deze eisen betreffen zichtbare en formele rapportages over het gevoerde beleid en de geïmplementeerde maatregelen. Ook de accountant stelt het onderwerp informatiebeveiliging expliciet aan de orde en geeft voor een aantal systemen aan in welke mate wordt voldaan aan de eisen. In deze rapportage geven wij een overzicht van de stand van zaken en de aanpak van de gemeente Bloemendaal van de informatiebeveiliging.
2. Informatiebeveiliging in de gemeente Bloemendaal In de afgelopen periode is langs drie lijnen invulling gegeven aan informatiebeveiliging:
1. Beleidsmatig: het college van B&W heeft op 30 sept 2008 een Statuut informatiebeveiliging (Corsa 2008017401 en 2008018335) vastgesteld met de uitgangspunten van het informatiebeveiligingsbeleid; 2. Binnen het beheer van systemen (hardware en software) zijn diverse organisatorische en technische maatregelen doorgevoerd die bijdragen aan een goede –up to dateinformatiebeveiliging; 3. Uitvoering van audits met betrekking tot specifieke systemen zoals de Basisregistratie Personen (BRP) en burgerzaken, het financiële systeem (FMS) en het systeem voor de omgevingsvergunning (Squit). Deze audits resulteren in rapportages die duidelijk maken in hoeverre aan gestelde eisen wordt voldaan en welke punten aandacht verdienen. Informatiebeveiliging heeft dus zeker aandacht gekregen. Er is daarbij echter niet altijd sprake van een integrale aanpak waarbij op basis van beleidsmatige keuzes systematisch de benodigde maatregelen worden getroffen. Was dat bij redelijk op zichzelf staande systemen acceptabel, nu systemen opgenomen zijn in netwerken en met elkaar verbonden is een meer integrale aanpak noodzakelijk.
3. Landelijke ontwikkelingen De noodzaak om tot een meer uniforme en integrale aanpak te komen van de informatiebeveiliging is ook door de landelijke overheid (Ministerie van Algemene Zaken) en de VNG namens de gemeenten onderkent. Dit heeft geleid tot de oprichting van de Informatie beveiligingsdienst (IBD)1. Vanuit deze dienst, waarbij onze gemeente officieel is aangesloten, wordt een strategisch en tactisch normenkader -Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)- aangeboden dat als leidraad en toetsingskader moet gaan dienen voor de inrichting van de gemeentelijke informatiebeveiliging.
1
De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari 2013. De IBD is er voor alle
-3-
Deze dienst levert ook praktische ondersteunende diensten zoals signalering van beveiligingsissues, specifieke hulpmiddelen in verband met bepaalde systemen en een kennisbank.
4. Organisatorische ontwikkelingen De gemeente Bloemendaal en de gemeente Heemstede hebben gekozen voor het ontwikkelen en gezamenlijk beheren van de ICT infrastructuur. Hiertoe is een lichte gemeenschappelijke regeling overeengekomen. Tevens is ter vervanging van de oude zelfstandige ICT infrastructuur van beide gemeenten een nieuwe gezamenlijke infrastructuur gerealiseerd. Deze is opgesteld in de beide gemeentehuizen. De gemeente Heemstede vervult de rol van centrumgemeente en is uitvoerend verantwoordelijk voor het beheer. GRIT is de werknaam voor de organisatorische eenheid belast met dit beheer. Deze ontwikkeling is van belang voor de informatiebeveiliging omdat dit doorwerkt in de toedeling van de verantwoordelijkheden in dit verband:
Beide gemeenten zijn ieder voor zich eindverantwoordelijk voor de informatiebeveiliging; Voor de componenten van de informatievoorziening die geen onderdeel uitmaken van de gemeenschappelijke infrastructuur (met name software) dienen de beide gemeente zelf zorg te dragen voor passende maatregelen in verband met informatiebeveiliging; Het GRIT dient invulling te geven aan de informatiebeveiliging zowel in technische zin (inrichting infrastructuur en monitoringstools) als organisatorisch (toekennen bevoegdheden GRIT medewerkers, wijzigingsprocedures, regelingen in verband met calamiteiten e.d.) 5. Acties 2015-2016 in verband met informatiebeveiliging
In het vorengaande is de stand van zaken en enkele belangrijke landelijke en organisatorische ontwikkelingen weergegeven. In die context dienen nu de activiteiten gedefinieerd te worden die de gemeente moet gaan uitvoeren om te voldoen aan de eisen. Daarbij dient deels tegelijkertijd gewerkt te worden op strategisch, tactisch en operationeel niveau:
1. Herijken en actualiseren van het Statuut informatiebeveiliging en daarbij met name aansluiting te zoeken bij de Baseline Informatiebeveiliging Gemeenten (BIG) 2. Aan de hand van het BIG (tactisch) uitwerken van maatregelen binnen het GRIT en voor de gemeenschappelijke infrastructuur en tevens voor wat betreft de componenten die direct onder verantwoordelijkheid van de gemeente Bloemendaal vallen. 3. Ervoor zorgen dat op korte termijn enkele specifieke maatregelen worden getroffen die nodig zijn om de werking te continueren en/of te voldoen aan audits op korte termijn. Dit betreft de aan het DigiD beveiligingsassessment gerelateerde onderdelen en de in verband met de BRP zelfevaluatie te ondernemen acties2 gemeenten en richt zich op bewustwording en concrete (incident)ondersteuning aangaande informatiebeveiliging. https://www.ibdgemeenten.nl/ 2 http://www.rijksdienstvooridentiteitsgegevens.nl/BRP/Zelfevaluatie_BRP
-4-
Door de uitvoering van deze activiteiten zal ook in voldoende mate worden voldaan aan de in het rapport van de accountant aan de informatiebeveiliging gestelde eisen. Actie Herijken strategisch informatiebeleid aan de hand van BIG Definiëren en implementeren maatregelen
Verantwoordelijk voor uitvoering
Maatregelen i.v.m. DigiD beveiligingsassessment + assessment
BRP zelfaudit en eventuele maatregelen
Team Informatisering Medewerker AO/IC
GRIT (via gemeente Heemstede) Team Informatisering Medewerker AO/IC GRIT Team Informatisering Auditor: Insite Security (Eduard Dusseljee) Team Informatisering Medewerker AO/IC Team Burgerzaken
Periode van uitvoering Q3 2015-Q1 2016 Q3 2015-Q2 2016
Audit in Q3 2015 (voor eind sept), en vervolgens weer in 2016 (jaarlijks) Q3 2015
Vanwege de samenwerking met Heemstede en de verwevenheid van de informatievoorziening van beide gemeenten ligt een gezamenlijk aanpak voor de hand. Hierover worden momenteel afspraken gemaakt.
6. Status specifieke punten uit accountantsrapport Uitkomsten controle en overige informatie 2014 (EY 15 mei 2015) Dit rapport benoemde enkele aandachtspunten; punten waarvan is aangegeven dat niet volledig of onvoldoende aan de te stellen eisen werd voldaan. Hieronder een overzicht van de status. Deze punten komen ook aan de orde bij de hiervoor geschetste aanpak.
Aandachtspunt Gebruikersaccounts worden altijd conform een vast proces aangemaakt, gemuteerd of verwijderd Het aantal gebruikers met hoge rechten is beperkt tot die personen die deze rechten nodig hebben voor het juist uitvoeren van hun functie Het aantal gebruikers met toegang tot de database is beperkt tot die personen die deze rechten nodig hebben voor het juist uitvoeren van hun functie Wachtwoordinstellingen zijn voldoende strikt om misbruik van gebruikersaccounts tegen te gaan
Stand van zaken Aanmaakproces is op orde, wijzigingen en verwijderingen verdient nog aandacht Is afdoende geregeld
Geplande actie Krijgt extra aandacht bij inregelen werkwijze GRIT
Dit is goed geregeld. Wel is er aandacht nodig voor het checken van de log files op eventueel incorrect gebruik Is afdoende geregeld
Krijgt extra aandacht bij inregelen werkwijze GRIT
Doorgevoerde wijzigingen worden gestructureerd en gedocumenteerd getest Voordat wijzigingen in productie worden
Gebeurt voor steeds meer systemen. Is nog niet geïmplementeerd
Bij inregelen werkwijze GRIT kan worden bezien of er hogere eisen moeten worden gesteld. Inzichtelijk maken per pakket of en hoe dit is geregeld Krijgt extra aandacht bij
-5-
Aandachtspunt genomen, wordt een formeel akkoord gegeven. Kritieke gegevens worden tijdig veilig gesteld ineen back up die zonder problemen in terug te plaatsen
Stand van zaken
Geplande actie inregelen werkwijze GRIT
Is geregeld voor alle pakketten. Maar moet nog gedocumenteerd worden
Inzichtelijk maken per pakket of en hoe dit is geregeld en waar nodig aanpassen werkwijze.
Hoogachtend, burgemeester en wethouders van Bloemendaal,
, burgemeester
, secretaris