Aantoonbaar in control op informatiebeveiliging
Agenda
1. Introductie key2control
2. Integrale interne beheersing 3. Informatiebeveiliging
4. Baseline Informatiebeveiliging Gemeenten 5. Demonstratie ISMS Control Framework 6. Afsluiting
INTRODUCTIE
Wij zijn key2control Wij helpen u bij het verhogen van de kwaliteit van uw interne beheersprocessen (GRC); door u instrumenten te bieden waarmee u effectiever, efficiënter en tegen lagere kosten aantoonbaar in control bent op deze beheersprocessen;
waardoor de gewenste kwaliteit van dienstverlening aan uw burgers en bedrijven geborgd is.
Interne beheersing in de praktijk Verzoek om inlichtingen: verwerking persoonsgegevens sociaal domein (april 2015 – verstuurd aan 40 gemeenten in Nederland) •
•
•
“…het College Bescherming Persoonsgegevens stelt een onderzoek in naar de verwerking van persoonsgegevens in uw gemeente…” “… daarbij onderzoekt het CBP ook hoe invulling wordt gegeven aan de plicht om betrokkene te informeren…” “…het CBP verzoekt…om de in bijlage opgenomen vragen…te beantwoorden, van specificaties en documentatie te voorzien en binnen drie weken ….”
Interne beheersing in de praktijk Decentralisaties vormen risico’s voor integriteit (BinnenlandsBestuur, 5 mei 2015) •
“…de vraag is of de ambtenaar zijn werk goed kan doen en of er voldoende controles en checks & balances zijn…”
•
“…voorheen waren vier ogen bij het vergunningenproces, dat mag je in dit domein ook verwachten…”
Interne beheersing in de praktijk VNG-advies informatiebeveiliging Suwinet (VNG, 19 augustus 2015) •De inspectie SZW onderwerpt alle gemeenten nog in 2015 aan een onderzoek naar de informatiebeveiliging van Suwinet. •In de ledenbrief vindt u informatie over de maatregelen die wij u adviseren te nemen om de informatiebeveiliging te verbeteren.
INTEGRALE
INTERNE
BEHEERSING
Integrale interne beheersing Behoorlijk Bestuur
Visie
Management Beleid
Sturing
Mensen
Processen Uitrol Evaluatie Belangen afwegingen
Rekenschap en Transparantie
Systemen
Eisen
Proces Waarborgen
Groeipad Op weg naar integrale interne beheersing
Referenties
Overige Referenties Onze ‘Control Frameworks’ worden ook ingezet door:
I N F O R MATI E B E V E I LI G I N G
Informatiebeveiliging, dat regelt de CISO toch?!
Rol CISO:
De CISO is onafhankelijk in de organisatie gepositioneerd en is verantwoordelijk voor de kwantitatieve en kwalitatieve implementatie en borging van informatiebeveiliging (BIG) in de gemeentelijke organisatie. Hij draagt zorg voor een samenhangend pakket aan maatregelen om de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie binnen een gemeente te waarborgen. De CISO heeft daarvoor mandaat van zijn Bestuur en commitment van zijn collega’s nodig. Informatiebeveiliging is een continu proces. Een structureel budget in mensen en middelen is randvoorwaardelijk.
Informatiebeveiliging
Informatiebeveiliging, dat regelt de CISO toch?!
Informatiebeveiliging, dat regelt de CISO toch?!
Nee, hij stelt de lijnfunctionarissen in staat hun verantwoordelijkheid te nemen!
BASELINE
I N F O R MATI E B E V E I LI G I N G GEMEENTEN
Baseline Informatiebeveiliging Gemeenten
1.
Afgesproken standaard voor Nederlandse gemeenten.
2.
Pas toe of leg uit.
3.
Vereist verbinding tussen mensen, processen en systemen.
4.
Elke organisatie heeft haar eigen verantwoordelijkheid.
5.
Eindverantwoordelijkheid voor informatiebeveiliging ligt bij de ‘lijn’.
6.
Implementatie verspreid over meerdere jaren, onderdeel van integrale interne beheersing.
7.
Verbetercyclus Plan – Do – Check – Act.
ISMS 1e fase - Van beleidsontwikkeling naar implementatieplan
‘Startmotor’
Nulmeting 303 MT Opdracht
Impactanalyse Beveiligingsbeleid
Organisatie van IB
Opstarten
Periodieke voortgang/follow-up
Implementatieplan MT/College mandaat
BIG
Bewustwording
Interactie CISO en lijnverantwoordelijken
Plan
‘Motor’
Do Tactische BIG
Periodieke toetsing
Check Actiepunten operationeel
Act Voortgang
ISMS 2e fase - Borging van de beheersmaatregelen in de organisatie
‘Startmotor’
Nulmeting 303 MT Opdracht
Impactanalyse Beveiligingsbeleid
Organisatie van IB
Opstarten
Periodieke voortgang/follow-up
Implementatieplan MT/College mandaat
BIG
Bewustwording
Interactie CISO en lijnverantwoordelijken
Plan
‘Motor’
Do Tactische BIG
Periodieke toetsing
Check Actiepunten operationeel
Act Voortgang
Samenvattend •
Ondersteuning fase 1: Van nulmeting naar implementatieplan. Inclusief AO en BIG documentatie
•
Ondersteuning fase 2: Borging van het implementatieplan in de organisatie. Beheersmaatregelen en documentatie “op maat”
•
CISO heeft continu inzicht in stand van zaken informatiebeveiligingsproces op elk gewenst niveau en kan de kwaliteit borgen door het ondersteunen van de lijnverantwoordelijken
•
Lijnverantwoordelijken hebben continu inzicht in stand van zaken en ondersteunen daarmee hun medewerkers en processen en borgen daarmee de kwaliteit van het informatiebeveiligingsproces
•
Integratie van fase 1 en fase 2 door inzet van ISMS Control Framework, geen overlappingen
•
CISO heeft continu alle informatie beschikbaar ten behoeve van periodieke rapportage aan stakehouders
•
Diverse deelrapportages “onder de knop”, Suwinet, DigiD, BRP
•
Opbouwen en vasthouden van kennis in de organisatie
•
Voorbereid voor andere relevante beheersprocessen zoals meldplicht datalekken, privacy Jeugdwet, interne controle etc.
•
Fases modulair af te nemen
D E M O N STRATI E ISMS CONTROL FRAMEWORK
Afsluiting ISMS-eisen Informatiebeveiligingsdienst nog even op een rij…
ISAE 3402 type I en II
Afsluiting
“Lean” Procesinnovatie Kennis- en kwaliteitsborging Structurele kostenbesparing Continu inzicht in processen Bijsturing tijdens processen Cultuuromslag
Bedankt voor jullie aandacht!
Van ‘controle’ naar ‘aantoonbaar in control’! Arie Hartog T. 06 - 57 59 92 35 E.
[email protected] www.key2control.nl