Informatiebeveiliging
Gemeente Hulst is sinds het inwerking treden van de Baseline Informatiebeveiliging Overheid (BIO) op 1 januari 2020, bezig met de implementatie van de beveiligingsmaatregelen die worden vereist. Het doel is om de risico’s als het gaat om beschikbaarheid, integriteit en vertrouwelijkheid te mitigeren. Veelal ligt de verantwoordelijkheid voor informatiebeveiliging bij de proceseigenaar. De proceseigenaar borgt informatieveiligheid in de werkprocessen als volgt:
- De verantwoordelijke voor het bedrijfsproces voert een baselinetoets uit voor zijn bedrijfsproces (bepalen beveiligingsniveau).
- Vervolgens dient eventueel een diepgaande risico-analyse uitgevoerd te worden bij afwijkende betrouwbaarheidseisen van informatiebeveiliging (beschikbaarheid, integriteit en vertrouwelijkheid) en een DPIA indien deze verplicht is en nog niet eerder uitgevoerd.
- Aan de hand van het beveiligingsniveau worden de controls en verplichte maatregelen uit de BIO / ISO gezocht om risico’s adequaat te beheersen; als een control niet van toepassing is moet dit met een onderbouwing worden vastgelegd.
- De verantwoordelijke van het bedrijfsproces krijgt een clustering van controls en maatregelen om te implementeren. Hierover wordt een GAP-analyse uitgevoerd: wat is al geïmplementeerd en wat dient nog geïmplementeerd te worden.
- Te implementeren maatregelen worden geprioriteerd en vastgelegd in een Jaarplan.
- Uitgevoerde baselinetoetsen worden ieder jaar herzien en de voortgang wordt gemonitord.
Aankomend jaar wordt extra aandacht besteed aan de implementatie van de BIO, om te kunnen voldoen aan de nieuwe Europese richtlijn NIS 2 (network and information security directive). Lidstaten hebben tot oktober 2024 om NIS2 te vertalen naar nationale wetgeving. Met de invoering van de NIS2 komt de focus te liggen op de zorgplicht, meldplicht en toezicht van organisaties. Om ons als gemeente alvast voor te bereiden op de komst van de NIS 2 wordt er gewerkt aan de professionalisering van het applicatiebeheer. Ook worden de basisprocessen geactualiseerd en vindt controle plaats op de uitvoering hiervan.
Als laatste zal een bewustwordingscampagne opgezet worden met als doel om zowel bestuurders, het management, als collega’s te leren wat digiveilig gedrag inhoud.