Bijlage 2: Stand van zaken Informatiebeveiliging
Dit is de rapportage betreffende de stand van zaken van de informatiebeveiliging binnen de gemeente Dordrecht. In 2015 hebben wij het informatiebeveilingsbeleid vastgesteld. Dit beleid bevat een aantal onderdelen. Hierna bespreken wij deze onderdelen en geven we aan wat de stand van zaken is.
Rekenkameronderzoek
In 2017 heeft de Rekenkamer een onderzoek uitgevoerd naar dit onderwerp en heeft het college van burgemeester en wethouders een plan van aanpak gepresenteerd om de informatieveiligheid verder te versterken. Alle aanbevolen maatregelen in de techniek zullen net na de zomer 2018 doorgevoerd zijn. Als onderdeel van dit plan zijn en worden technische kwetsbaarheden gescand, getest en verbeterd. En zijn er tools geïnstalleerd die zorgen dat apparatuur die niet door de gemeente verstrekt is en/of door de gemeente beheerd wordt, geen toegang krijgen tot het gemeentelijke ICT netwerk.
Het nieuwe toegangsbeveiligingsbeleid en het in kaart brengen van alle webapplicaties en systemen die met het internet verbonden zijn, zijn nog niet uitgevoerd. Doordat de werkzaamheden voor zowel de ENSIA verantwoording als de invoering van de AVG, in de eerste helft van dit jaar extra capaciteit hebben gevraagd.
I-bewustzijn
Informatiebeveiliging is voor het college een randvoorwaarde voor het werken voor en met de stad. Het vergroten van de informatiebeveiliging begint bij het onderkennen van kansen en risico's door alle medewerkers die werken met informatie. De iBewustzijnscampagne, die wij ook in 2018 uitvoeren, geeft vorm aan dit onderdeel van informatiebeveiliging. Wij hebben de campagne dit jaar geëvalueerd en zullen vanaf oktober met het vernieuwde aanbod e-learningsmodules starten. Bovendien zullen wij in het najaar de week van de informatiebeveiliging organiseren voor onze medewerkers om extra aandacht te vragen voor dit onderwerp.
Implementeren van informatiebeveiliging
Sinds de vaststelling van ons beveiligingsbeleid hebben wij veel tijd geïnvesteerd in maatregelen om te zorgen dat onze ICT techniek en onze processen voldoen aan de landelijke normen vanuit de Baseline Informatiebeveiliging Gemeenten (= BIG). Nu dit fundament is gelegd, is de informatie in de processen zelf aan de beurt om door middel van de procesrisicoanalyses (Business Impact Analyses, kortweg BIA's) te worden geclassificeerd. Hierbij wordt gekeken of de algemeen getroffen maatregelen voldoende zijn en/of aanvullende maatregelen nodig zijn om de risico's in dat proces in voldoende mate te kunnen beheersen. In de eerste helft van 2018 hebben wij voor alle bedrijfsprocessen de BIA uitgevoerd.
Invoering AVG
Naast het informatiebeveilingsbeleid is er in 2018 veel tijd besteed aan de voorbereidingen voor de nieuwe privacywet. Wij hebben onder andere het verwerkingenregister opgesteld, de privacy impactanalyse per werkproces uitgevoerd en het register voor gebruikersovereenkomsten opgesteld.
Registratie van informatiebeveiligingsincidenten
Sinds 2015 worden alle gemelde informatiebeveiligingsincidenten, binnen de reguliere registratieprocessen van het Serviceloket geregistreerd. Er zijn dit jaar tot 1 augustus 688 incidenten registreert waarvan de meeste een beperkte omvang hadden. Ongeveer 75% van deze meldingen gaat bijvoorbeeld over spam- en phishingsmails.
Registratie en melding van datalekken
Sinds de ingang van de Meldplicht Datalekken worden per 1 januari 2016 alle informatiebeveiligingsincidenten tevens getoetst of er sprake kan zijn/is van een eventueel datalek. Een mogelijk datalek wordt nader onderzocht en de resultaten worden in de incidentmelding geregistreerd. In het geval van een (vermoed) datalek wordt dit door SCD-JKC binnen de verplichte 72 uur gemeld bij de Autoriteit Persoonsgegevens. Tot 1 augustus 2018 zijn er binnen de gemeente Dordrecht 11 datalekken gemeld. Deze meldingen kennen allen een beperkte omvang en moeten wij in het kader van de nieuwe privacy wet nu melden. Twee van deze meldingen betrof onze interne bedrijfsvoering.
ENSIA
Vanuit de ENSIA verantwoording 2017 is geconstateerd dat onze gemeente op twee onderdelen van de SUWI-net inkijk (Burgerzaken en Belastingen) nog niet aan alle normen voldoet. Wij hebben een plan van aanpak opgesteld om uiterlijk eind dit jaar ook op deze onderdelen aan de gestelde normen te voldoen.
Per 1 juli 2018 is de nieuwe cyclus voor uitvoering van de zelfevaluatie informatiebeveiliging gestart. ENSIA is op een aantal onderdelen uitgebreid bijvoorbeeld met de BRO (= Basisregistratie Ondergrond) en de stand van zaken rondom de invoering van de AVG. Uiterlijk 31 december zullen wij onze verantwoording inleveren.