Verplichtende Zelfregulering Nadere concretisering n.a.v. drie bijeenkomsten April 2013
Inhoudsopgave
1
Inleiding
3
2
Waarom aandacht voor informatieveiligheid?
3
3
Waarom Verplichtende Zelfregulering?
4
4
Hoe ziet de set van afspraken er uit?
5
4.1
Kaderstelling
5
4.2
Mens en organisatie
6
4.2.1
Gerichtheid: scherpte voorop
7
4.2.2
Verankering
7
4.2.3
Ketens
11
1
Inleiding
De Taskforce Bestuur en Informatieveiligheid Dienstverlening (BID) heeft zich, in samenwerking met de Vereniging van Nederlandse Gemeenten (VNG) ten doel gesteld eind 2014 te komen tot een verplichtende vorm van zelfregulering als het gaat om informatieveiligheid binnen de gemeentelijke overheidslaag. In maart heeft de Taskforce BID samen met VNG drie bijeenkomsten over Verplichtende Zelfregulering voor gemeentelijkeen overheidsbestuurders, managers en informatiebeveiligingsexperts georganiseerd. Doel van de bijeenkomsten is om samen met deze bestuurders, managers en informatiebeveiligingsexperts te komen tot een concrete invulling van het begrip Verplichtende Zelfregulering. In dit document staan de belangrijkste opbrengsten van de drie bijeenkomsten weergegeven. In de derde bijeenkomst is bewust ook met representanten uit de andere overheidslagen van gedachten gewisseld.
2
Waarom aandacht voor informatieveiligheid?
Tijdens de bijeenkomsten is gebleken dat de aanwezigen zich zeer bewust zijn van de huidige incidenten op het vlak van informatieveiligheid. Er is begrip voor de wijze waarop de politiek hier aandacht voor heeft en geeft, maar daarbij is wel de vraag gesteld in hoeverre, of eerder nog waarom informatieveiligheid eigenlijk een urgente kwestie is op dit moment. Drie redenen zijn hier debet aan. In de eerste plaats is evident dat er wel degelijk sprake is van een urgent vraagstuk vanwege de risico’s die de digitale wereld met zich meebrengt. Dit is simpelweg al zo omdat veel informatie betrouwbaar, integer en gegarandeerd moet zijn om de continuïteit van dienstverlening te garanderen. De volgende overwegingen blijken hierbij te overheersen:
Actuele incidenten, maar ook actuele onderwerpen, zoals het werken in regievorm, regioverband of ketensamenwerking, het plaats- , tijd en apparaatonafhankelijk werken en thema’s als Open Data en Cloud Computing vragen om een herziening van het bestaande beleid. Gemeentelijke organisaties hebben te maken met veel (persoons-)informatie, die betrouwbaar, integer en gegarandeerd moet zijn om de continuïteit van dienstverlening te garanderen en aan de wettelijke taken en regelgeving te kunnen voldoen. Dit wordt ingewikkelder naarmate gemeenten meer in ketens en/of decentraal werken. Tijdens de bijeenkomsten is vooral ook de bestuurlijke en ambtelijke aandacht voor het thema informatieveiligheid aan de orde geweest. De aandacht voor dit onderwerp is nog niet wat het moet zijn. Met name bij grote incidenten ontstaat er tijdelijke aandacht voor het onderwerp, die daarna wegebt. Bestuurders en topmanagement zullen zich daarom meer moeten verdiepen in de problematiek van informatieveiligheid en inzake de gerelateerde maatschappelijke-, politieke- en organisatierisico’s keuzes moeten maken. Daarnaast zullen zij kaders moeten stellen
3 April 2013 |Verplichtende Zelfregulering
en sturing dienen te geven aan informatieveiligheid. Goed voorbeeld doet, zeker in dit geval, ook echt volgen. Wat opviel tijdens de bijeenkomsten is het feit dat ook vanuit organisaties die al ver gevorderd zijn met de systematische verankering van informatieveiligheid, ‘de mensfactor’ steeds weer als centraal aandachtspunt wordt benoemd. In de besprekingen is een groot aantal van de genoemde risico’s aan de orde gekomen. Bovendien blijkt het startpunt van elke redenering steeds weer bij de maatschappelijke- en politieke risico’s te liggen, met een vertaling naar de onderliggende technische oorzaken én remedies. Een duidelijk overzicht van de risico’s vanuit die maatschappelijke aspecten lijkt er overigens niet te zijn. Als tweede is er consensus gebleken over het besef dat er altijd risico’s bestaan, maar dat organisaties zelf wel degelijk invloed hebben op die risico’s. Bijvoorbeeld door alleen die informatie vertrouwelijk te verklaren, die dat ook echt moet zijn. Overigens is hierbij wel de conclusie getrokken dat integriteit en beschikbaarheid vaak eisen stellen die niet veel afwijken van die bij vertrouwelijkheid. Tot slot kwam als derde punt naar voren dat er altijd risico’s blijven bestaan; het risico ‘nul’ bestaat niet bij informatieveiligheid. Het gaat daarom met name om het bepalen van de voorkomende risico’s en bovendien om een verantwoorde omgang met deze risico’s. Dit betekent dat bestuurders en topmanagement zich zodanig moeten verdiepen in de problematiek van veiligheid dat ze inzake die risico’s fall back scenario’s opstellen, keuzes maken, kaders stellen en het goede voorbeeld geven. Tijdens alle drie de bijeenkomsten is gebleken dat er grote behoefte is om de risico’s goed en aanschouwelijk in beeld te brengen Hierbij redenerend vanuit de maatschappelijke-, politieke- en bestuurlijke invalshoek naar de technische implicaties. Bestuurders moeten bovendien op die maatschappelijk- technische relatie kunnen sturen. De Taskforce BID is dringend geadviseerd die relatie overtuigend in beeld te brengen.
3
Waarom Verplichtende Zelfregulering?
De aanwezigen hebben onderschreven dat gemeenten het onderwerp informatieveiligheid daadwerkelijk moeten borgen. Verankeren binnen de diverse overheidslagen én over overheidslagen heen (de ketens) wordt hierbij als noodzakelijk gezien. Informatieveiligheid is immers een gezamenlijke uitdaging; de keten is zo sterk als de zwakste schakel. Verplichtende Zelfregulering kan hierbij helpen. Het is uiteraard essentieel dat iedereen wel hetzelfde beeld heeft van wat dit begrip inhoudt. Zelfregulering houdt kort gezegd in dat organisaties zelf verantwoordelijk zijn voor het opstellen en/of uitvoeren en/of handhaven van de regels. Verplichtende Zelfregulering houdt in dat bestuur of overheid vraagt om een bepaalde mate van zelf verantwoordelijk zijn voor invoering van regelgeving en regulering. Dit betekent in praktijk dat vanuit gestelde kaders op landelijk- en koepelniveau in iedere organisatie een jaarlijkse cyclus is geborgd, waarin ambtelijke- en bestuurlijke oordeelsvorming over informatieveiligheid plaatsvindt. Daarin is 4 April 2013 |Verplichtende Zelfregulering
bovendien een verbeteraanpak neergelegd. In deze cyclus van analyseren, plannen, uitvoeren, controleren en bijstellen is het opstellen van een risicoanalyse de eerste stap. Op basis van deze analyse kunnen organisaties beleid formuleren in een beleidsplan en een implementatieplan. In dit beleid worden de normen voor de organisatie toegepast. Organisaties zullen gericht op dit beleid en deze normen moeten sturen. Met regelmaat vindt een evaluatie van het beleid plaats door middel van controle, verantwoording en toezicht op beleid en de uitvoering daarvan. De organisatie doet dat zelf, maar een externe vorm van toetsing gericht op blijvende scherpte is hier eveneens onderdeel van. Daar waar nodig passen organisaties het beleid aan. Verschillende aanwezige bestuurders en managers benadrukten de gezamenlijkheid van het probleem. Juist omdat het alle organisaties betreft, vereist dit een slimme set aan afspraken die voor alle organisaties gelden en die de mogelijkheid geven van elkaar te leren en elkaar aan te spreken.
4
Hoe ziet de set van afspraken er uit?
4.1 Kaderstelling Bij gesprekken over die set van afspraken is steeds de vraag aan de orde gekomen welke kaderstelling vanuit stelsel- en koepelniveau nu wenselijk is. In dat licht is ook uitvoerig ingegaan op de vraag ‘wel of geen nadere wetgeving.’ De aanwezigen hebben in de gesprekken benadrukt dat wetgeving soms voordelen heeft. Wetgeving geeft de duidelijkheid dat organisaties hun informatieveiligheid geregeld moeten hebben en verschaft informatiemanagers een duidelijke basis om bestuur en management ook daarop aan te spreken. Tegelijkertijd is er bij de aanwezigen geen enkele twijfel dat het met name op organisatieniveau van belang is dat de betrokkenen gemotiveerd zijn om informatieveiligheid goed (in) te regelen. Nadeel bij wetgeving is dat de dwingendheid van nadenken over en sturing op informatieveiligheid ‘van buitenaf’ ontstaat. Dit prikkelt het eigen lerend vermogen van de organisatie en van ‘de koepel’ niet of slechts in geringe mate. Wetgeving zal op zich niet leiden tot de overtuiging van organisatie en bestuur dat sturing op informatieveiligheid vanuit bestuur en topmanagement onlosmakelijk verbonden is met organisatiebesturing anno 2013. De digitale wereld is niet langer van anderen; overheidsdienstverlening, alsook de overheidsprocessen, zijn in grote mate gedigitaliseerd. Informatieveiligheid is hierdoor een onlosmakelijk gegeven geworden van sturing op de continuïteit van de organisatie en haar dienstverlening. De recente hackaanval (DDoS) op de website van gemeente Weert is hier een pakkend voorbeeld van. Zonder die innerlijke overtuiging van noodzaak van de hiervoor genoemde omgang met risico’s zal ook wetgeving weinig helpen. Gaandeweg de gesprekken is steeds duidelijker naar voren gekomen dat ‘wetgeving of geen wetgeving’ eigenlijk niet de beste en echte vraagstelling is. Er is op dit moment geen helder beeld van wat er op koepel- en stelselniveau allemaal aan kaders bestaat en hoe verplichtend die zijn. Er zijn bijvoorbeeld:
afspraken rond de bekende ISO-normen, verbonden aan het College voor Standaardisatie.
5 April 2013 |Verplichtende Zelfregulering
Logius heeft bepaalde bevoegdheden. Er zijn afspraken met het NCSC. NORA stelt kaders en er zijn wettelijke verplichtingen rond belangrijke informatieketens zoals SUWI en GBA. Bovendien zijn er vanuit EZ kaders en zijn er al een aantal gedetailleerde afspraken op ‘koepelniveau’ gemaakt, zoals inzake de BIR op rijksniveau en de baseline van de provincies
Een goede stap is om te onderzoeken wat er aan bestaande kaders ligt en hoe we deze kunnen inzetten voor een optimale coördinatie vanuit stelsel- en koepelniveau. Juist om organisaties in staat te stellen hun zaken optimaal te reguleren. De vraag gaat met andere woorden niet zozeer om ‘wel of geen extra wetgeving’, maar eerder om hoe kaderstelling kan leiden tot een optimale coördinatie die organisaties ook daadwerkelijk helpt. De stroomlijning van allerlei bepalingen op stelselniveau kan heel wenselijk zijn; hierbij kan wellicht een ‘lean en mean kaderwetje’ gewenst zijn voor uniformering van de behandeling van de verschillende informatiestromen. Op koepelniveau zijn in dat geval bijvoorbeeld meer gedetailleerde afspraken nodig over normatiek. Wellicht is de inzet van een peerreview te regelen op koepelniveau of periodieke externe visitatie. Uit de gesprekken over dit onderwerp blijkt een duidelijke behoefte om helderheid in die kaders te verkrijgen. We zullen moeten toetsen waar in praktijk behoefte aan is om voor organisaties optimale kaders te stellen en in coördinatiebehoeften te voorzien.
4.2 Mens en organisatie Tijdens de bijeenkomsten hebben de aanwezigen benadrukt dat de overgang naar verplichtende zelfregulering vraagt om een stapsgewijze aanpak. De aanpak loopt van een invulling naar normatiek, via het uitwerken van een systematiek voor risicoanalyse, implementatie daarvan, naar auditing daarop en verantwoording daarover. Hiervoor moeten gemeenten in gezamenlijkheid de kaders vaststellen die daarvoor gelden. Dit is een voortdurend leerproces, waar de mogelijkheid tot bijstelling en leren onderdeel vanuit maakt. Dit zorgt ervoor dat iedereen bestuurlijk- en managerial scherp is en gericht blijft op risico’s en de omgang daarmee. Het is immers niet wenselijk dat organisaties van incident naar incident gaan, maar dat een organisatie en de mensen daarbinnen van elk incident (binnen de eigen organisatie en daarbuiten) leren. Op deze manier kunnen organisaties zaken meer preventief aanpakken en maatregelen treffen, zodanig dat schade minimaal is. De aanwezigen zijn het er allen over eens dat het niet alleen om processen en systemen gaat, maar dat juist de mensen daarachter een doorslaggevende factor vormen. We moeten op de eerste plaats met elkaar scherp zijn op het tot stand komen van afspraken en op het formuleren van adequaat beleid. En op de tweede plaats dat we dit beleid vervolgens stapsgewijs implementeren. Informatieveiligheid moet prioriteit krijgen en prioriteit blijven. Dit leren én verankeren, zoals dat door de Taskforce BID steeds is geformuleerd, ondervind brede steun. Op basis van de drie bijeenkomsten blijkt een volgende lijn om daar verder invulling aan te geven. 6 April 2013 |Verplichtende Zelfregulering
4.2.1 Gerichtheid: scherpte voorop In de discussie over informatieveiligheid is realisme van wezenlijk belang. Onderdeel van deze discussie is een stapsgewijze aanpak en een antwoord op de vraag: hoe kunnen we de scherpte blijven vasthouden en steeds blijven leren? Informatieveiligheid gaat in praktijk om het verbinden van techniek aan mensen. Het gaat in belangrijke mate om mensen die vanuit hun functie dat leren blijven organiseren. Een groot aantal punten is op dit vlak naar voren gekomen: De dialoog is vooral bindend als die in ‘gewone mensentaal’ plaatsvindt, waarbij de nadruk ligt op het doordringen van het belang van informatieveiligheid. Door risico’s helder te maken en door voortdurend met best practices van elkaar te leren. Dit kan mede door informatieveiligheid te koppelen aan belangrijke kwesties. Denkbaar is informatieveiligheid tot een systematisch onderdeel van het veiligheidsbeleid te maken. In de bijeenkomsten zijn verschillende ideeën aangereikt over hoe informatieveiligheid meer prioriteit kan krijgen bij bestuurders: geef bestuurders bijvoorbeeld de top 10 van vragen die zij intern moeten stellen om ‘veilig zijn’ te toetsen, of om imagoschade te voorkomen. Bestuurders moeten instrumenten krijgen om de juiste stuurvragen te stellen en opdrachten te formuleren richting de ICTverantwoordelijke en richting top- en lijnmanagement. Spreek bovendien de taal van de bestuurder en appelleer aan waar die bestuurder verantwoordelijk voor is. Vraag ook in een persoonlijk gesprek wat bestuurders belangrijk vinden op het gebied van informatieveiligheid en wat zij nodig hebben van hun ICT-verantwoordelijken. Het is verstandig om hierbij niet de nadruk op ISO-normen te leggen, want bij dat onderwerp zal een verkeerde discussie ontstaan: “we zijn ISO-gecertificeerd, dus we zijn klaar.” Een andere optie is informatieveiligheid in de Beleidsvisie op te nemen, waardoor de Raad het bestuur over dit onderwerp gaat bevragen. Toewijzing als aparte portefeuille in het college is denkbaar, of wellicht zelfs opname in de veiligheidsportefeuille van de burgemeester zijn interessante opties. In de reguliere crisishandboeken binnen organisaties is vaak het onderwerp digitale crisis niet opgenomen. Dit onderwerp dient een wezenlijk onderdeel te vormen van een crisis- handboek, met oefeningen voor de organisatie waar iemand expliciet verantwoordelijk voor is. Wat voor de ene organisatie kloppend is op informatieveiligheidsvlak, hoeft niet haalbaar te zijn voor de andere organisatie. Generieke informatieveiligheid voor elke organisatie bestaat niet. Het is dan ook belangrijk als bestuurder en topmanagement te bepalen wat de huidige stand van de organisatie is op dit vlak (nulmeting).
4.2.2 Verankering Stelsel Over het algemeen hechten de aanwezigen waarde aan centrale voorzieningen, zoals Logius en NCSC. Er zijn wel meer sluitende afspraken nodig. Wie doet wat en hoe komt ook op stelselniveau voldoende transparantie tot stand? Zie ook de
7 April 2013 |Verplichtende Zelfregulering
passages over wetgeving en kaderstelling (4.1) en de passages hierna over controle, toezicht en leren. Koepel Koepelorganisaties kunnen verschillende posities innemen. In eerste instantie heeft de koepel een rol op het vlak van normatiek. Dit is de set van afspraken die eerder is besproken. Daarnaast heeft de koepel een functie in het leren. De koepel is bijvoorbeeld belangrijk bij het treffen van voorzieningen en het verder vormgeven en faciliteren van het, opleidingsaanbod in de toekomst. Iets complexer, of zelfs omstreden, is de rol van de koepelorganisaties bij het toezicht, want welke positie nemen koepelorganisaties in? Deze discussie is verder uitgewerkt onder het kopje Controle en Toezicht. Organisatie Normatiek Een goede eerste stap is de inzet van instrumenten om te zien waar de organisatie staat; een nulmeting. Veel aanwezigen geven aan dat er al veel kaderstelling is, bijvoorbeeld de ISOnormatiek; de daarvan afgeleide Baseline Informatiebeveiliging voor Gemeenten (BIG) kan als eerste kader gelden. Risicoanalyse Deelnemende organisaties zijn het eens dat een gedegen risicoanalyse de basis vormt om meer bewustzijn te creëren en verdere stappen te kunnen zetten. Een verantwoorde wijze van omgang betekent onder meer het opstellen van fall back scenario’s in geval één van deze risico’s zich voordoet. Er zijn al verschillende modellen van risicoanalyse en scenario’s om daarop in te spelen in gebruik. Bestuurders en topmanagement zullen zich zodanig moeten verdiepen in de problematiek van veiligheid, dat ze inzake die risico’s weloverwogen keuzes kunnen maken, kaders kunnen stellen en het goede voorbeeld kunnen geven. “Zeg niet dat het nooit fout mag gaan, maar geef aan wat je als overheidsorganisatie doet als het wél fout gaat en hoe je het risico minimaliseert. Hierdoor kan de hectiek in de Kamer bij incidenten ook afnemen. Het kabinet schaft het autoverkeer immers ook niet af, omdat er nog steeds mensen verongelukken.” Beleid De veiligheidscyclus van preventie tot herstel als basis van beleid wordt breed ondersteund. Essentieel is het zorgen voor een fall back scenario. “Burgers hechten niet zozeer waarde aan digitalisering, maar aan dienstverlening (‘geholpen worden’). Belangrijk is dan ook om als organisatie uit te leggen wat je doet als het misgaat en hoe je de digitale dienstverlening eventueel gaat vervangen.” Dit hangt uiteraard tevens samen met het type dienstverlening van een organisatie: het leveren van een maatwerk- of een standaard product is een wereld van verschil en zorgt voor een verschil in
8 April 2013 |Verplichtende Zelfregulering
beleving bij de klant als het product plots niet meer geleverd kan worden via bijvoorbeeld een website. Bovenstaande laat bovendien zien dat het niet alleen gaat om het implementeren van de normatiek, maar ook om het kunnen reageren op incidenten. Uitvoering Maak afspraken over de implementatie van deze normatiek en laat die periodiek benchmarken door een onafhankelijke instantie, zodat iedereen er van kan leren. De implementatie van de BIG is complex en moet stap voor stap, op basis van de stand van de organisatie en gestelde prioriteiten voortkomend uit de risicoanalyse. Als eerste stap kan de organisatie de 10 belangrijkste organisatieprocessen in kaart brengen ten behoeve van de continuïteit van het primaire proces en de dienstverlening. Controle en toezicht Met name omtrent controle en toezicht bestaan veel verschillende ideeën bij de aanwezigen. Wat gebeurt er intern en wat extern en wie doet wat? De gemene deler hierin is dat het van groot belang is dat in ieder geval de eigen controle op orde is. Alle aanwezigen zien de Gemeenteraad als eerste toezichthouder. Een belangrijke vraag hierin is: Hoe organiseer je het interne toezicht op en handhaving van informatieveiligheid binnen specifieke overheidsdomeinen? En wie is daarvoor verantwoordelijk? Het instellen van onderlinge peerreviews tussen gemeenten kan hier een oplossing in zijn. Zo kunnen organisaties van elkaar leren en verder professionaliseren. Met betrekking tot het kader, de verankering en de wijze van auditen in de reguliere planning- en controlecyclus moeten organisaties afspraken maken. Om binnen de organisatie goed toezicht te houden, kunnen verschillende instrumenten worden ingezet: peerreviews, thematisch auditen, zelf-assessments, verplichte assessments voor leveranciers, et cetera. Hierbij kunnen gemeenten gezamenlijk besluiten alle resultaten openbaar te maken. Daarnaast kan een tweede lijns-toezicht worden ingeregeld, waarbij wordt gekeken of de interne organisatie ook daadwerkelijk capabel is om processen goed uit te voeren. Ook hier kunnen organisaties van leren. Een extra optie is: “Kijk niet alleen naar jaarlijkse audits, maar laat maandelijks/driemaandelijks je groei aan het bestuur zien. Door middel van een management dashboard bijvoorbeeld.” De Gateway-methodiek kan bovendien een mooie methode zijn om toezicht te houden en om kritische aspecten snel intern boven tafel te krijgen. Collega’s vanuit allerlei overheidsorganisaties worden hier immers bij betrokken. Deze gatewayreviewers leveren een rapport op. Met de uitkomsten, bijvoorbeeld de risicovolle processen, kan de gemeente die gereviewed is vervolgens aan de slag. Voorop staat, met andere woorden, dat de Gemeenteraad controleert en toezicht houdt. Dus welke toezichtmechanismen er ook zijn, altijd moet de positie van de Raad nadruk krijgen. Slechts bij acute kwesties en ernstig falen, kan een andere toezichthouder maatregelen nemen. Met name de gemeentelijke organisaties geven aan dat een efficiënte inrichting van het auditproces van belang is. De aanwezige gemeenten geven aan een grote 9 April 2013 |Verplichtende Zelfregulering
auditdruk te kennen. Naast de reguliere audits, bestaan voor gemeenten ook auditverplichtingen in het kader van BAG, GBA en DigiD. Er is daarom grote behoefte aan een single audit framework. Een andere belangrijke vraag is welke organisatie naast de Raad een toezichtfunctie heeft. Dient de Informatiebeveiligingsdienst voor gemeenten (IBD) of de Vereniging van Nederlandse Gemeenten (VNG) toezicht te houden op informatieveiligheid? De IBD en VNG kunnen de partijen zijn die toezicht houden, dit kan echter uitmonden in een discussie over ‘de slager die zijn eigen vlees keurt.’ Een belangrijke vraag is: is er meer dialoog op niveau VNG of KING/Informatiebeveiligingsdienst richting gemeenten gewenst? Bijvoorbeeld een top 10 van succesgemeenten bijhouden of een ‘Naming en Shaming’ lijst opstellen? Daarnaast is het instellen van een vijfjaarlijkse externe visitatie een mogelijkheid. Wanneer vanuit stelselniveau maatregelen tot stand komen, is de vraag welke informatieverstrekking dit vereist. Hierbij zou een onderscheid naar incidenten, specifieke functies die bescherming behoeven en meer reguliere auditinformatie wenselijk kunnen zijn. Er moet echter niet méér informatie verstrekt worden dan nodig is; enkel de vereiste informatie voor mogelijke interventies en meer algemene oordelen over het functioneren van het stelsel. De aanwezigen vragen zich daarbij af hoe die informatie vervolgens beschikbaar moet komen. Kan dit bijvoorbeeld via www.waarstaatjegemeente.nl?
Leren Het organiseren van zelfregulering bij gemeenten vraagt om bewustwording en verankering, maar ook om verandering bij verschillende doelgroepen binnen de gemeente. De gemeente moet immers vaardigheden ontwikkelen om integraal te kunnen sturen, te leren van incidenten en audits en te komen tot bijstelling van beleid. Belangrijk hierin is om kennis en kunde met elkaar te delen, juist over de verschillene overheidslagen heen. Immers alle organisaties hebben slechts beperkte capaciteit om met het onderwerp informatieveiligheid aan de slag te gaan. Verschillende maatregelen en instrumenten waarmee organisaties kunnen leren zijn al eerder in dit document genoemd: een nulmeting, peerreviews, self-audtis, gateway-reviews etc.. Voor gemeenten is het echter als allereerste stap van belang om een norm op te leggen, zodat die vervolgens lokaal kan worden ingevuld vanuit de eigen plan-do-actcyclus. Zorg dat de tien belangrijkste processen voldoen aan de norm (implementatienorm), daarop kan de gemeente vervolgens peerreviews, audits et cetera laten uitvoeren. Maar doe ook calamiteitenoefeningen op deze processen. Wijs de verschillende verantwoordelijkheden binnen de organisatie (en daaromheen) toe, geef een wethouder bijvoorbeeld expliciet de portefeuille informatieveiligheid, zoals hierboven al is aangestipt. Stel tweede lijns-toezicht in, waarbij wordt gekeken of de interne organisatie ook daadwerkelijk capabel is om processen goed uit te voeren. Hier kan vervolgens weer van geleerd worden. 10 April 2013 |Verplichtende Zelfregulering
Leren gaat op verschillende niveaus, als individu en als organisatie, maar zorg er ook vooral voor dat de verschillende niveaus elkaar scherp houden op het onderwerp informatieveiligheid.
4.2.3 Ketens Ook het onderwerp ketens is kort geadresseerd. En de conclusie bij de aanwezigen is eensluidend: er moet snel aandacht komen voor de ketens. “We zijn op een of andere manier allemaal aan elkaar verbonden en dat besef is er nog steeds onvoldoende.” Niet alleen de netwerkbeveiligingen van de verschillende gemeenten moeten op niveau zijn, maar ook alle ketens daartussen. Aangedrongen wordt op snelle en intensieve aandacht voor dit ketenvraagstuk. Want ook hier geldt, de ketting is net zo sterk als de zwakste schakel.
11 April 2013 |Verplichtende Zelfregulering
