IMPLEMENTATIE BIG
Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
Colofon Naam document Implementatie BIG Versienummer 1.0 Versiedatum augustus 2013 Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Copyright © 2013 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. KING wordt als bron vermeld; 2. het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door de KING; 4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling. Rechten en vrijwaring KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. Met dank aan De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product. In samenwerking met De producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) worden vervaardigd in samenwerking met :
2
Voorwoord De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari 2013. Aanleiding voor de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid 2017. De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. De IBD heeft drie doelen: 1.
het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging.
2.
het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging.
3.
het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het ICT-beveiligingsassessment DigiD is een voorbeeld van zo’n project.
Hoe realiseert de IBD haar doelen? Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de community van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie ‘in control’ is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische en Tactische Baseline te ondersteunen, zijn door de IBD in samenwerking met de Taskforce Bestuur en Informatieveiligheid Dienstverlening producten ontwikkeld op operationeel niveau. Dit heeft een productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten. Onderhavig product is onderdeel van het productenportfolio. Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld. Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website van de IBD. De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de regels. Hierbij geldt: -
Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI, BAG en PUN, maar ook de archiefwet.
-
Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).
-
De gemeente stelt dit normenkader vast, waarbij er ruimte is voor afweging en prioritering op basis van het ‘pas toe of leg uit’ principe.
3
Leeswijzer Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Doel Het doel van de ‘Implementatie BIG’ is om binnen de gemeente te toetsen of en in welke mate de gemeente voldoet aan de maatregelen uit de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Doelgroep Het management van de gemeente en de verantwoordelijke, die onderzoekt of en in welke mate de BIG binnen de gemeente is ingevoerd. Relatie met overige producten
Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) o
Strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten
o
Tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten
GAP-analyse
Toelichting op GAP-analyse
Voorbeeld Informatiebeveiligingsbeleid Gemeenten
Geheimhoudingsverklaringen
Rubricering beleid gemeenten
Risicoanalyses gemeenten
Maatregelen tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Geen specifieke maatregel
4
Inhoud 1
2
3
Introductie
6
1.1 1.2
6 6
Inleiding Uitgangspunten
Achtergrondinformatie
7
2.1 2.2
8 9
De rol van het management Verschil in perceptie
Implementatie
11
3.1 3.2 3.3 3.4 3.5 3.6 3.7
11 11 11 12 13 14 15
Stap 1: Management commitment Stap 2: Benoem verantwoordelijken Stap 3: Voer een GAP-analyse uit Stap 4: Benoem Quick Wins Stap 5: De Impactanalyse Stap 6: Goedkeuring van het management Stap 7: Maak een Informatiebeveiligingsplan
5
1
Introductie
1.1 Inleiding Met alleen een Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) is het werk nog niet af. De volgende stap is het implementeren van de BIG. Dit document geeft een handreiking over hoe dit kan worden aangepakt. De BIG staat niet op zichzelf, maar is een samenhangende set van maatregelen die in overeenstemming gebracht is met andere initiatieven zoals de Baseline Informatiebeveiliging voor het Rijk (BIR). Daarnaast zijn er initiatieven bij onder andere de waterschappen en provincies, die in lijn met de BIG lopen. Alle varianten van de Baseline Informatiebeveiliging Nederlandse Gemeenten hebben gemeen dat ze gebaseerd zijn op de ISO 27001 en 27002. Deze normen gelden als verplichte open standaard voor de overheid en staan op de ‘pas toe of leg uit’-lijst van het Forum Standaardisatie. Het implementeren van de BIG kan het beste in een aantal stappen gebeuren. Iedere stap is afhankelijk van de voorgaande stap en is belangrijk voor de volgende stap. Iedere stap heeft een bepaald doel en het resultaat is een gecontroleerde invoering van de BIG met een verankering binnen de organisatie. De implementatie van de BIG is niet binnen één jaar afgerond. Afhankelijk van de uitkomsten van de GAP-analyse en de prioritering kan het zijn dat sommige maatregelen pas na een aantal jaren geïmplementeerd zijn. In het implementatieplan (het Informatiebeveiligingsplan voor gemeenten) wordt dit allemaal vastgelegd.
1.2 Uitgangspunten De BIG geldt als dé minimale set van maatregelen, die gemeente breed ingevoerd moeten worden. Ongeacht het proces of het systeem, de BIG geldt voor alle bedrijfsvoeringsprocessen van de gemeente. Deze aanpak is handig, omdat een uitsplitsing naar verschillende organisatieonderdelen dan wel sub-processen er toch voor zorgt dat ongeveer dezelfde lijst aan maatregelen geïmplementeerd gaat worden. Sommige maatregelen werken van zichzelf organisatiebreed, sommige gelden voor iedereen en sommige werken efficiënter en effectiever als ze centraal opgepakt worden. De voordelen van een ’Implementatie BIG’ zijn:
Er hoeft niet voor ieder proces of systeem een risicoanalyse uitgevoerd te worden;
Bij een ’Implementatie BIG’ sluiten gemeenten onderling, maar ook overheid breed, beter bij elkaar aan. De keten is zo sterk als de zwakste schakel;
Alle gemeenten hanteren en gebruiken dezelfde norm;
Alle gemeenten kunnen onderling informatie uitwisselen, die betrekking heeft op deze BIG, zoals beleid, proces en procedure beschrijvingen over onderwerpen op gebied van informatiebeveiliging;
De BIG ondersteunt gemeenten en maakt het gemeenten gemakkelijker om bewust veilig te zijn. Incidenten zijn niet te voorkomen, 100% veilig bestaat niet, maar door juist gebruik van de BIG kan voorkomen worden dat een incident meer impact krijgt dan nodig is.
6
Na het toetsen of de BIG maatregelen gemeentebreed bestaan en de implementatie van ontbrekende maatregelen is gestart, is het zinvol om te toetsen of er systemen zijn die meer maatregelen nodig hebben door middel van het document “rubricering beleid”. Indien hier uit blijkt dat meer maatregelen nodig zijn moet vervolgens gestart worden met het uitvoeren van een aanvullende risico analyse. Bij deze risico analyse heeft het management een cruciale rol. Dit wordt hier verder niet behandeld.
7
2
Achtergrondinformatie
In de tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten hoofdstuk 3 zijn de stappen beschreven voor de implementatie van de BIG. Voordat begonnen kan worden met deze stappen volgt in dit hoofdstuk nog enige achtergrondinformatie.
2.1
De rol van het bestuur en het management
Het bestuur en management speelt een cruciale rol bij het uitvoeren van het informatiebeveiligingsbeleid. Zo maakt het management een inschatting van het belang dat de verschillende delen van de informatievoorziening voor de gemeente hebben, de risico’s die de gemeente hiermee loopt en welke van deze risico’s onacceptabel hoog zijn. Op basis hiervan zet het management het beleid voor informatiebeveiliging op, draagt dit uit naar de organisatie en ondersteunt en bewaakt de uitvoering ervan. Het management moet informatiebeveiliging zien als een integraal onderdeel van de bedrijfsvoering, specifiek gericht op het beheersen van de risico’s ten aanzien van de processen, de informatiesystemen en de onderliggende ICT-infrastructuur. Evenals andere onderdelen binnen bedrijfsvoering heeft informatiebeveiliging structurele aandacht van het management nodig. Het management en daarnaast ook de informatiemanager zal voldoende kennis en inzicht op het gebied van informatiebeveiliging moeten hebben om de juiste keuzes te kunnen maken. Het management kan weliswaar allerlei werk op het gebied van informatiebeveiliging delegeren of uitbesteden, maar de eindverantwoordelijkheid voor informatiebeveiliging en het maken van de primaire keuzes ligt bij het management. Het management is ook verantwoordelijk voor het aanwijzen van de medewerkers, die een rol krijgen bij de informatiebeveiliging en het toewijzen van de daarbij behorende taken, verantwoordelijkheden en bevoegdheden. Met het toewijzen van taken, bevoegdheden en voldoende tijd en middelen, wordt een begin gemaakt met de invulling van informatiebeveiliging. Bovendien moeten de betreffende medewerkers kunnen rekenen op voldoende steun van het management en moet er aandacht worden besteed aan de rapportages over beveiligingsincidenten en de behaalde resultaten 1. Vanzelfsprekend dienen incidenten dan ook te worden gemeten en moet duidelijk zijn hoe moet worden gehandeld als zij zich voordoen. Snel en in beslotenheid handelen is dan cruciaal, anders zijn sporen al uitgewist. Bij het toewijzen van taken, verantwoordelijkheden en bevoegdheden spelen twee aspecten een rol: 1. het eigenaarschap van processen en informatiesystemen en; 2. de beveiligingstaken. Het eigenaarschap van processen en informatiesystemen ligt in het algemeen bij lijnmanagers. Een lijnmanager is eigenaar van de processen en systemen binnen zijn organisatieonderdeel. De lijnmanager moet er onder meer voor zorgen dat zijn processen en informatiesystemen voldoende beveiligd zijn. De taken die hiervoor uitgevoerd moeten worden kan de manager delegeren of uitbesteden. Het is ook goed mogelijk om de informatiebeveiliging naar een hoger niveau te tillen door het uitvoeren van een apart project, waarbij aandacht moet zijn voor inbedding in de organisatie, projecten zijn immers eindig.
1
Beveiligingsincidenten worden uitgelegd in het document ‘incident management en response beleid’ 8
De belangrijkste beveiligingsfunctie ligt bij het management. Het management is uiteindelijk verantwoordelijk voor de centrale coördinatie en aansturing van de informatiebeveiliging. Belangrijk is dus dat het management kennis neemt van in elk geval de strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Binnen het managementteam is in het algemeen één persoon de portefeuillehouder voor informatiebeveiliging. De overige beveiligingstaken komen grotendeels terecht bij verschillende beveiligingsfuncties. De belangrijkste hiervan zijn: • De informatiebeveiligingsfunctionaris; • De stuurgroep informatiebeveiliging; • De informatiebeveiligingsauditor; • Het projectteam informatiebeveiliging.
2.2 Verschil in perceptie Bij het opstarten van de Implementatie BIG en het informeren van de directie hierover is het goed te bedenken dat er een verschil in perceptie is. De BIG is geschreven op een best practice beveiligingscurve gebaseerd op de BIR en de ISO. Bij beveiligen is er altijd een spanningsveld tussen: ‘hoeveel functionaliteit wil ik overhouden’, ‘hoeveel wil ik beveiligen’, ‘welk restrisico ben ik bereid te lopen’ en ‘hoeveel mag het kosten’? Dit verschil in perceptie is goed beschreven in een artikel van Marcel Spruit: http://www.marcelspruit.nl/papers/bewust_veilig.pdf
Daarnaast is het goed te beseffen dat er op het gebied van informatiebeveiliging een driehoek te herkennen is: (lijn)managers, beveiligers en gebruikers. De meeste aandacht wordt besteed aan de gebruikers, maar uit onderzoek is gebleken dat zij vaak niet de veroorzaker zijn van de grootste bedreigingen. Juist het spanningsveld tussen (lijn)managers en beveiligers levert een veel groter risico op. Managers zien bijvoorbeeld grote mogelijkheden om de bedrijfsvoering efficiënter te maken door toepassing van het BYOD principe en de ICT-kosten te beheersen door het inzetten 9
van Cloud-oplossingen. Maar het realiseren van deze doelstelling introduceert nieuwe beveiligingsrisico's die eveneens adequaat geadresseerd moeten worden.
10
3
Implementatie
De voorgestelde volgorde in dit hoofdstuk is gebaseerd op de volgorde uit hoofdstuk 3 van de tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). De daar benoemde stappen worden in deze beschrijving van de aanpak aangevuld met een aantal extra stappen die belangrijk zijn voor een soepele implementatie van de BIG. De volgende stappen zijn onderkend: 1. Management Commitment 2. Benoem verantwoordelijken 3. Voor een GAP-analyse uit 4. Benoem Quick Wins 5. De Impactanalyse 6. Goedkeuring van het management
3.1 Stap 1: Management commitment Het implementeren van een BIG vraagt om commitment en besluitvorming van het bestuur en management. Zij moeten bewust besluiten om de BIG als norm voor het basisbeveiligingsniveau van de gemeente te omarmen op basis van een eigen risicoafweging. Het invoeren van een BIG kan het beste projectmatig worden aangepakt en er zijn middelen nodig in de vorm van tijd en geld. Als informatiebeveiliging nog niet belegd is of de verantwoordelijkheden onduidelijk zijn moet dit als eerste worden gerealiseerd door het management van de gemeente. Daarnaast zal het bestuur en management het besluit moeten nemen de BIG te implementeren. Dit document bevat, samen met de strategische variant Baseline Informatiebeveiliging Nederlandse Gemeenten, voldoende uitleg over waarom je de BIG zou moeten gebruiken als basisbeveiligingsniveau voor informatiebeveiliging.
3.2 Stap 2: Benoem verantwoordelijken Een BIG bestaat uit maatregelen die aan verschillende groepen mensen kan worden toegewezen. Zo zijn er maatregelen voor de afdeling P&O, voor systeembeheer of bijvoorbeeld de facilitaire dienst. Daarnaast zijn maatregelen op te splitsen in procedurele maatregelen, beleid, technische (ICT) maatregelen en fysieke bouwkundige maatregelen. Maatregelen hangen met elkaar samen. Zo worden technische maatregelen soms genomen om organisatorische maatregelen uitvoerbaar te maken of af te dwingen. Zie voor een nadere uitleg hoofdstuk 3.1 van de tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).
3.3 Stap 3: Voer een GAP-analyse uit Bij de GAP-analyse wordt eerst gekeken naar wat er al is versus wat er volgens de BIG zou moeten zijn. De uitkomst van de GAP-analyse is een lijst met maatregelen die ontbreken en die
11
geïmplementeerd moeten gaan worden. De GAP-analyse wordt ondersteund met een spreadsheet (GAP-analyse.xlsx) waarin alle maatregelen staan uit de tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) met daarbij een te beantwoorden vraag. Er kan worden aangegeven of een maatregel wel, niet of gedeeltelijk genomen is. Er kan voorts een vindplaats, waar de maatregel aangetroffen is als het om een document of policy gaat, of opmerking geplaatst worden. Iedere maatregel moet een eigenaar hebben en ook dit kan worden ingevuld. In het status veld kan worden ingevuld of een maatregel een geaccepteerd risico is. Opsteller : Datum : gemeentenaam: BIG Nummer Hoofdgroep
5.1.1.1
Groep
5. Beveiligingsbeleid Beleidsdocumenten voor informatiebeveiliging
Maatregel
Vraag
[A] Er is een beleid voor informatiebeveiliging door het College van Burgemeester en Wethouders vastgesteld, gepubliceerd en beoordeeld op basis van inzicht in risico’s, kritische bedrijfsprocessen en toewijzing van verantwoordelijkheden en prioriteiten.
Is er een door de organisatie vastgesteld en gepubliceerd informatiebeveiligingsbeleid op basis van de BIG en zijn daarin verantwoordelijkheden op basis van de baseline benoemd?
Vervolg: DEEL 1 (GAP-Analyse) Aanwezig
DEEL 2 (IMPACT-Analyse)
Vindplaats / opmerking Eigenaar
onbekend
Status
Actiehouder
Wanneer gereed?
Geaccepteerd risico?
Nog niet onderzocht
De uitkomst van de GAP-analyse is een lijst met maatregelen, die genomen zijn of nog genomen moeten worden. In de Excel-spreadsheet kan men in één oogopslag zien hoe het staat met het totaal van de maatregelen per hoofdstuk van de tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Het diagram in dit tabblad kan gebruikt worden om de voortgang zichtbaar te maken voor het management. Een maatregel hoeft in deze fase nog geen eigenaar te hebben. Als een maatregel reeds genomen is of gedeeltelijk aanwezig is, dan zou er een eigenaar moeten zijn. Het is belangrijk dat er niet gezocht wordt naar een eigenaar in de zin van GBA of BAG of DigiD. Deze eigenaren houden zich alleen bezig met een maatregel specifiek voor hun onderdeel (b.v. burgerzaken of de DigiDkoppeling) en niet gemeentebreed aangaande informatiebeveiliging. De BIG geldt gemeentebreed.
3.4 Stap 4: Benoem Quick Wins De Quick Wins zijn maatregelen die met relatief weinig inspanning veel effect hebben. Quick Wins bestaan voor het overgrote deel uit procedurele maatregelen, maar ook uit maatregelen die een gemeente (snel) veel opleveren. Zo zijn er maatregelen die ervoor zorgen dat een gemeente sneller meldingen ontvangt van mogelijke bedreigingen via de IBD, of dat een gemeente alleen meldingen krijgt die op haar van toepassing zijn. Als laatste is er een maatregel die het bewustzijn op het gebied van informatiebeveiliging vergroot en daarom meteen al vanaf het begin ingezet kan worden: bewustwording.
12
De Quick Wins worden op basis van gemeentelijke omstandigheden of lokaal beleid bepaald op basis van een risico afweging door het management. Dit lijstje van maximaal 10 maatregelen wordt vooral bepaald door de manier van werken binnen een gemeente of bijvoorbeeld het gebruik van informatiesystemen, maar ook door de reeds aanwezige mate van informatiebeveiliging. Het zijn maatregelen waarmee op korte termijn gestart kan worden of het zijn maatregelen die het grootste risico afdekken. Enige voorbeelden van Quick Wins zijn: antivirusbeleid, clear desk en clear screen beleid, sleutelprocedures, toewijzen van verantwoordelijkheden en opleidingen. De hieronder benoemde maatregelen zouden volgens de IBD in elk geval onderdeel moeten zijn van de Quick Wins:
IB-Beleid (BIG, hfdst 5) Borgen van betrouwbare dienstverlening en een aantoonbaar niveau van informatiebeveiliging dat voldoet aan de relevante wetgeving, algemeen wordt geaccepteerd door haar (keten-)partners en er mede voor zorgt dat de kritische bedrijfsprocessen bij een calamiteit en incident voortgezet kunnen worden.
Beheer informatiebeveiligingsincidenten (BIG, hfdst 13.2) Bewerkstelligen dat een consistente en doeltreffende benadering wordt toegepast voor het beheer van informatiebeveiligingsincidenten.
Bewustwording (BIG, hfdst 8.2.2) Alle werknemers van de organisatie en, voor zover van toepassing, ingehuurd personeel en externe gebruikers, behoren geschikte training en regelmatig bijscholing te krijgen met betrekking tot beleid en procedures van de organisatie, voor zover relevant voor hun functie.
BCM / DRP (Business Continuïty Management en Disaster Recovery Planning) (BIG hfdst 14) Tegengaan van onderbreking van bedrijfsactiviteiten en bescherming van kritische bedrijfsprocessen tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen en om tijdig herstel te bewerkstelligen.
3.5 Stap 5: De Impactanalyse Nadat bij de GAP-analyse in kaart is gebracht, welke maatregelen wel of niet genomen zijn, volgt de Impactanalyse. De Impactanalyse geeft antwoord op de vraag in welke volgorde maatregelen geïmplementeerd gaan worden. Dit is belangrijk omdat niet alle ontbrekende maatregelen in één keer genomen kunnen worden. Afwegingen hierbij zijn:
Geaccepteerd risico;
Beschikbaar budget;
Wachten op maatregelen die beter eerder uitgevoerd kunnen worden;
Ontwikkelingen op het gebied van uitbesteding of samenwerking;
13
Landelijke ontwikkelingen.
De Impactanalyse concentreert zich op de kosten dan wel de tijd en moeite die nodig is om een maatregel te implementeren. De uitkomst van de Impactanalyse is de GAP tussen wat er al is en wat er nog niet is én een volgorde voor de implementatie van de maatregelen. Er is een opzet gemaakt waarin eigenaren benoemd zijn voor iedere maatregel; een maatregel zonder eigenaar en aansturing wordt niet genomen. De Impactanalyse kan worden ondersteund met een spreadsheet (GAP-analyse.xlsx). Voor de meeste procedurele maatregelen (beleid, procesbeschrijvingen en procedures) worden sjablonen en voorbeelddocumenten opgeleverd in de loop van 2013 door de IBD 2.
3.6 Stap 6: Goedkeuring van het management Het resultaat van bovenstaande stappen moet geaccordeerd en afgestemd worden met het management, bij voorkeur middels een presentatie. Doel is dat het management:
Instemt met de uitkomsten van de Impactanalyse en met de voorgestelde implementatie weg;
Instemt met de te verwachte kosten in de zin van tijd en geld;
Beslist welke maatregelen als een geaccepteerd risico niet genomen gaan worden. Voor iedere maatregel, die niet genomen gaat worden moet een gedocumenteerd management besluit opgesteld worden en het management moet deze tekenen voor het geaccepteerde risico en;
Besluit wie eigenaar wordt van een maatregel als deze wel geïmplementeerd moet gaan worden. Het is aan te bevelen om een eigenaar te zoeken die ‘dicht bij’ de maatregel zit.
Als de ‘GAP’ groot is, dan is het beter om bij bovenstaande punten te focussen op hoofddoelen i.p.v. specifieke maatregelen. Laat vooral ook zien wat al wel geïmplementeerd is. Het is aan te bevelen om te praten op het niveau van het management. Het management heeft minder belang bij kennis van technische maatregelen of detailmaatregelen, daarom is het belangrijk om risico’s te benaderen vanuit management perspectief. De uitkomst van deze stap moet zijn:
2
De instemming van het management met de afgelegde weg;
De instemming van het management met de weg die nog te gaan is, inclusief de prioritering van de ontbrekende maatregelen en de aanwijzing van maatregeleigenaren of –eigenaar – en;
De wijze van rapporteren aan het management over het vervolg en de frequentie waarop dat moet gebeuren.
Zie de website van de IBD op: new.kinggemeenten.nl/informatiebeveiliging 14
3.7 Stap 7: Maak een Informatiebeveiligingsplan Als het management instemming verleend heeft voor het gevoerde beleid en planvorming voor de toekomst is het belangrijk dit in te bedden in de Plan – Do – Check – Act (PDCA) -cyclus. Het inbedden in de PDCA-cyclus zorgt ervoor dat er in de toekomst tijd en geld vrijgemaakt wordt voor het onderwerp informatiebeveiliging. Het informatiebeveiligingsplan wordt bij voorkeur gemaakt door de CISO of gelijkwaardig. De rapportages over de voortgang zorgen ervoor dat het op de agenda blijft staan en continue aandacht krijgt op verschillende niveaus in de organisatie. De basis voor een planmatige aanpak en het implementeren en borgen van informatiebeveiliging is het Informatiebeveiligingsplan. Het Informatiebeveiligingsplan beschrijft de uitkomst van de hiervoor uitgevoerde stappen. In het Informatiebeveiligingsplan is vastgelegd welke maatregelen genomen zijn, welke maatregelen nog genomen moeten worden en welke besluiten daarover genomen zijn. Bij bepaalde hoofdstukken kan worden verwezen naar externe documenten of bijlagen. Een voorbeeld hiervan is het overzicht van bedrijfsmiddelen of de functiebeschrijvingen van het beveiligingspersoneel. Het Informatiebeveiligingsplan is een ‘levend’ document. Het moet minimaal jaarlijks worden bijgesteld (zie artikel 15.2.1.2 van de tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).
,
15
INFORMATIEBEVEILIGINGSDIENST V00R GEMEENTEN (IBD) NASSAULAAN 12 2514 JS DEN HAAG POSTBUS 30435 2500 GK DEN HAAG HELPDESK 070 373 80 11 ALGEMEEN 070 373 80 08 FAX 070 363 56 82
[email protected] WWW.KINGGEMEENTEN.NL
16
