View
213
Download
0
Category
Preview:
Citation preview
IMPLEMENTATIE BIG
Een van de producten uit de operationele variant van de Baseline Informatiebeveiliging Nederlandse gemeenten (BIG)
2
Colofon
Naam document
Implementatie BIG
Versienummer
1.01
Versiedatum
augustus 2016
Versiebeheer
Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).
Copyright
© 2013-2016 Kwaliteitsinstituut Nederlandse Gemeenten (KING).
Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor
het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en
overheidsorganisaties.
Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af
te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden:
1. KING wordt als bron vermeld;
2. het document en de inhoud mogen commercieel niet geëxploiteerd worden;
3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker
berusten, blijven onderworpen aan de beperkingen opgelegd door de KING;
4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze
paragraaf vermelde mededeling.
Rechten en vrijwaring
KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te
verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave
voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen
aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud
van de uitgave of door de toepassing ervan.
Wijzigingshistorie
Versie Datum Opmerkingen
1 26 augustus 2013
Initiele versie
1.0.1 Augustus 2016
Taskforce BID verwijderd, WBP vervangen door Wbp, GBA vervangen door BRP, IT vervangen door ICT en contactgegevens IBD aangepast. Links hersteld.
3
Voorwoord
De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het
Kwaliteitsinstituut Nederlandse Gemeenten (KING). De IBD is de sectorale CERT / CSIRT voor alle
Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van
informatiebeveiliging. De IBD is voor gemeenten het schakelpunt met het Nationaal Cyber Security
Centrum (NCSC). De IBD beheert de Baseline Informatiebeveiliging Nederlandse Gemeenten
(BIG) en geeft regelmatig kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen
gemeenten onderling, met andere overheidslagen, met vitale sectoren en met leveranciers.
De IBD heeft de volgende doelen:
1. het preventief en structureel ondersteunen van gemeenten bij het opbouwen en
onderhouden van bewustzijn als het gaat om informatiebeveiliging.
2. het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke
aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging.
3. het bieden van gerichte projectmatige ondersteuning op deelgebieden om
informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De
ondersteuning die de IBD biedt bij het ICT-Beveiligingsassessment DigiD is een voorbeeld
van een dergelijk project.
4. het faciliteren van kennisdeling tussen gemeenten op het vlak van informatiebeveiliging.
Hoe realiseert de IBD haar doelen?
Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline
Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de
gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft
twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn
beschikbaar voor alle gemeenten op de community van de IBD, zodat door iedere gemeente tot
implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze
baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie ‘in
control’ is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische en
Tactische Baseline te ondersteunen, zijn door de IBD in samenwerking met de Taskforce Bestuur
en Informatieveiligheid Dienstverlening producten ontwikkeld op operationeel niveau. Dit heeft een
productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten.
Onderhavig product is onderdeel van het productenportfolio.
Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld.
Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website
van de IBD.
De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de
regels. Hierbij geldt:
- Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI,
BAG en PUN, maar ook de archiefwet.
- Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging
Nederlandse Gemeenten (BIG).
- De gemeente stelt dit normenkader vast, waarbij er ruimte is voor afweging en prioritering
op basis van het ‘pas toe of leg uit’ principe.
4
Leeswijzer
Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging
Nederlandse Gemeenten (BIG).
Doel
Het doel van de ‘Implementatie BIG’ is om binnen de gemeente te toetsen of en in welke mate de
gemeente voldoet aan de maatregelen uit de Baseline Informatiebeveiliging Nederlandse
Gemeenten (BIG).
Doelgroep
Het management van de gemeente en de verantwoordelijke, die onderzoekt of en in welke mate de
BIG binnen de gemeente is ingevoerd.
Relatie met overige producten
Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
o Strategische variant van de Baseline Informatiebeveiliging voor Gemeenten
o Tactische variant van de Baseline Informatiebeveiliging voor Gemeenten
GAP-analyse
Toelichting op GAP-analyse
Voorbeeld Informatiebeveiligingsbeleid Gemeenten
Geheimhoudingsverklaringen
Rubricering beleid gemeenten
Risicoanalyses gemeenten
Maatregelen tactische variant van de Baseline Informatiebeveiliging Nederlandse
Gemeenten (BIG)
Geen specifieke maatregel
5
Inhoud
1 Introductie 6 1.1 Inleiding 6
1.2 Uitgangspunten 6
2 Achtergrondinformatie 8 2.1 De rol van het bestuur en het management 8
2.2 Verschil in perceptie 9
3 Implementatie 11 3.1 Stap 1: Management commitment 11
3.2 Stap 2: Benoem verantwoordelijken 11
3.3 Stap 3: Voer een GAP-analyse uit 11
3.4 Stap 4: Benoem Quick Wins 12
3.5 Stap 5: De Impactanalyse 13
3.6 Stap 6: Goedkeuring van het management 14
3.7 Stap 7: Maak een Informatiebeveiligingsplan 15
6
1 Introductie
1.1 Inleiding
Met alleen een Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) is het werk nog niet
af. De volgende stap is het implementeren van de BIG. Dit document geeft een handreiking over
hoe dit kan worden aangepakt.
De BIG staat niet op zichzelf, maar is een samenhangende set van maatregelen die in
overeenstemming gebracht is met andere initiatieven zoals de Baseline Informatiebeveiliging voor
het Rijk (BIR). Daarnaast zijn er initiatieven bij onder andere de waterschappen en provincies, die
in lijn met de BIG lopen. Alle varianten van de Baseline Informatiebeveiliging Nederlandse
Gemeenten hebben gemeen dat ze gebaseerd zijn op de ISO 27001 en 27002. Deze normen
gelden als verplichte open standaard voor de overheid en staan op de ‘pas toe of leg uit’-lijst van
het Forum Standaardisatie.
Het implementeren van de BIG kan het beste in een aantal stappen gebeuren. Iedere stap is
afhankelijk van de voorgaande stap en is belangrijk voor de volgende stap. Iedere stap heeft een
bepaald doel en het resultaat is een gecontroleerde invoering van de BIG met een verankering
binnen de organisatie. De implementatie van de BIG is niet binnen één jaar afgerond. Afhankelijk
van de uitkomsten van de GAP-analyse en de prioritering kan het zijn dat sommige maatregelen
pas na een aantal jaren geïmplementeerd zijn. In het implementatieplan (het
Informatiebeveiligingsplan voor gemeenten) wordt dit allemaal vastgelegd.
1.2 Uitgangspunten
De BIG geldt als dé minimale set van maatregelen, die gemeente breed ingevoerd moeten worden.
Ongeacht het proces of het systeem, de BIG geldt voor alle bedrijfsvoeringsprocessen van de
gemeente. Deze aanpak is handig, omdat een uitsplitsing naar verschillende organisatieonderdelen
dan wel sub-processen er toch voor zorgt dat ongeveer dezelfde lijst aan maatregelen
geïmplementeerd gaat worden. Sommige maatregelen werken van zichzelf organisatiebreed,
sommige gelden voor iedereen en sommige werken efficiënter en effectiever als ze centraal
opgepakt worden.
De voordelen van een ’Implementatie BIG’ zijn:
Er hoeft niet voor ieder proces of systeem een risicoanalyse uitgevoerd te worden;
Bij een ’Implementatie BIG’ sluiten gemeenten onderling, maar ook overheid breed, beter
bij elkaar aan. De keten is zo sterk als de zwakste schakel;
Alle gemeenten hanteren en gebruiken dezelfde norm;
Alle gemeenten kunnen onderling informatie uitwisselen, die betrekking heeft op deze BIG,
zoals beleid, proces en procedure beschrijvingen over onderwerpen op gebied van
informatiebeveiliging;
De BIG ondersteunt gemeenten en maakt het gemeenten gemakkelijker om bewust veilig
te zijn. Incidenten zijn niet te voorkomen, 100% veilig bestaat niet, maar door juist
gebruik van de BIG kan voorkomen worden dat een incident meer impact krijgt dan nodig
is.
7
Na het toetsen of de BIG maatregelen gemeentebreed bestaan en de implementatie van
ontbrekende maatregelen is gestart, is het zinvol om te toetsen of er systemen zijn die
meer maatregelen nodig hebben door middel van het document “rubricering beleid”. Indien
hier uit blijkt dat meer maatregelen nodig zijn moet vervolgens gestart worden met het
uitvoeren van een aanvullende risico analyse. Bij deze risico analyse heeft het management
een cruciale rol. Dit wordt hier verder niet behandeld.
8
2 Achtergrondinformatie In de tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten hoofdstuk 3
zijn de stappen beschreven voor de implementatie van de BIG. Voordat begonnen kan worden met
deze stappen volgt in dit hoofdstuk nog enige achtergrondinformatie.
2.1 De rol van het bestuur en het management
Het bestuur en management speelt een cruciale rol bij het uitvoeren van het
informatiebeveiligingsbeleid. Zo maakt het management een inschatting van het belang dat de
verschillende delen van de informatievoorziening voor de gemeente hebben, de risico’s die de
gemeente hiermee loopt en welke van deze risico’s onacceptabel hoog zijn. Op basis hiervan zet
het management het beleid voor informatiebeveiliging op, draagt dit uit naar de organisatie en
ondersteunt en bewaakt de uitvoering ervan.
Het management moet informatiebeveiliging zien als een integraal onderdeel van de
bedrijfsvoering, specifiek gericht op het beheersen van de risico’s ten aanzien van de processen, de
informatiesystemen en de onderliggende ICT-infrastructuur. Evenals andere onderdelen binnen
bedrijfsvoering heeft informatiebeveiliging structurele aandacht van het management nodig. Het
management en daarnaast ook de informatiemanager zal voldoende kennis en inzicht op het
gebied van informatiebeveiliging moeten hebben om de juiste keuzes te kunnen maken. Het
management kan weliswaar allerlei werk op het gebied van informatiebeveiliging delegeren of
uitbesteden, maar de eindverantwoordelijkheid voor informatiebeveiliging en het maken van de
primaire keuzes ligt bij het management. Het management is ook verantwoordelijk voor het
aanwijzen van de medewerkers, die een rol krijgen bij de informatiebeveiliging en het toewijzen
van de daarbij behorende taken, verantwoordelijkheden en bevoegdheden. Met het toewijzen van
taken, bevoegdheden en voldoende tijd en middelen, wordt een begin gemaakt met de invulling
van informatiebeveiliging. Bovendien moeten de betreffende medewerkers kunnen rekenen op
voldoende steun van het management en moet er aandacht worden besteed aan de rapportages
over beveiligingsincidenten en de behaalde resultaten1. Vanzelfsprekend dienen incidenten dan ook
te worden gemeten en moet duidelijk zijn hoe moet worden gehandeld als zij zich voordoen. Snel
en in beslotenheid handelen is dan cruciaal, anders zijn sporen al uitgewist.
Bij het toewijzen van taken, verantwoordelijkheden en bevoegdheden spelen twee aspecten een
rol:
1. het eigenaarschap van processen en informatiesystemen en;
2. de beveiligingstaken.
Het eigenaarschap van processen en informatiesystemen ligt in het algemeen bij lijnmanagers. Een
lijnmanager is eigenaar van de processen en systemen binnen zijn organisatieonderdeel. De
lijnmanager moet er onder meer voor zorgen dat zijn processen en informatiesystemen voldoende
beveiligd zijn. De taken die hiervoor uitgevoerd moeten worden kan de manager delegeren of
uitbesteden. Het is ook goed mogelijk om de informatiebeveiliging naar een hoger niveau te tillen
door het uitvoeren van een apart project, waarbij aandacht moet zijn voor inbedding in de
organisatie, projecten zijn immers eindig.
1 Beveiligingsincidenten worden uitgelegd in het document ‘incident management en response beleid’
9
De belangrijkste beveiligingsfunctie ligt bij het management. Het management is uiteindelijk
verantwoordelijk voor de centrale coördinatie en aansturing van de informatiebeveiliging.
Belangrijk is dus dat het management kennis neemt van in elk geval de strategische variant van de
Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Binnen het managementteam is in
het algemeen één persoon de portefeuillehouder voor informatiebeveiliging. De overige
beveiligingstaken komen grotendeels terecht bij verschillende beveiligingsfuncties. De belangrijkste
hiervan zijn:
• De informatiebeveiligingsfunctionaris;
• De stuurgroep informatiebeveiliging;
• De informatiebeveiligingsauditor;
• Het projectteam informatiebeveiliging.
2.2 Verschil in perceptie
Bij het opstarten van de Implementatie BIG en het informeren van de directie hierover is het goed
te bedenken dat er een verschil in perceptie is. De BIG is geschreven op een best practice
beveiligingscurve gebaseerd op de BIR en de ISO. Bij beveiligen is er altijd een spanningsveld
tussen: ‘hoeveel functionaliteit wil ik overhouden’, ‘hoeveel wil ik beveiligen’, ‘welk restrisico ben ik
bereid te lopen’ en ‘hoeveel mag het kosten’? Dit verschil in perceptie is goed beschreven in een
artikel van Marcel Spruit: http://www.marcelspruit.nl/papers/bewust_veilig.pdf
Daarnaast is het goed te beseffen dat er op het gebied van informatiebeveiliging een driehoek te
herkennen is: (lijn)managers, beveiligers en gebruikers. De meeste aandacht wordt besteed aan
de gebruikers, maar uit onderzoek is gebleken dat zij vaak niet de veroorzaker zijn van de grootste
bedreigingen. Juist het spanningsveld tussen (lijn)managers en beveiligers levert een veel groter
risico op. Managers zien bijvoorbeeld grote mogelijkheden om de bedrijfsvoering efficiënter te
maken door toepassing van het BYOD principe en de ICT-kosten te beheersen door het inzetten
10
van Cloud-oplossingen. Maar het realiseren van deze doelstelling introduceert nieuwe
beveiligingsrisico's die eveneens adequaat geadresseerd moeten worden.
11
3 Implementatie De voorgestelde volgorde in dit hoofdstuk is gebaseerd op de volgorde uit hoofdstuk 3 van de
tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). De daar
benoemde stappen worden in deze beschrijving van de aanpak aangevuld met een aantal extra
stappen die belangrijk zijn voor een soepele implementatie van de BIG. De volgende stappen zijn
onderkend:
1. Management Commitment
2. Benoem verantwoordelijken
3. Voor een GAP-analyse uit
4. Benoem Quick Wins
5. De Impactanalyse
6. Goedkeuring van het management
3.1 Stap 1: Management commitment
Het implementeren van een BIG vraagt om commitment en besluitvorming van het bestuur en
management. Zij moeten bewust besluiten om de BIG als norm voor het basisbeveiligingsniveau
van de gemeente te omarmen op basis van een eigen risicoafweging. Het invoeren van een BIG
kan het beste projectmatig worden aangepakt en er zijn middelen nodig in de vorm van tijd en
geld. Als informatiebeveiliging nog niet belegd is of de verantwoordelijkheden onduidelijk zijn moet
dit als eerste worden gerealiseerd door het management van de gemeente. Daarnaast zal het
bestuur en management het besluit moeten nemen de BIG te implementeren. Dit document bevat,
samen met de strategische variant Baseline Informatiebeveiliging Nederlandse Gemeenten,
voldoende uitleg over waarom je de BIG zou moeten gebruiken als basisbeveiligingsniveau voor
informatiebeveiliging.
3.2 Stap 2: Benoem verantwoordelijken
Een BIG bestaat uit maatregelen die aan verschillende groepen mensen kan worden toegewezen.
Zo zijn er maatregelen voor de afdeling P&O, voor systeembeheer of bijvoorbeeld de facilitaire
dienst. Daarnaast zijn maatregelen op te splitsen in procedurele maatregelen, beleid, technische
(ICT) maatregelen en fysieke bouwkundige maatregelen. Maatregelen hangen met elkaar samen.
Zo worden technische maatregelen soms genomen om organisatorische maatregelen uitvoerbaar te
maken of af te dwingen. Zie voor een nadere uitleg hoofdstuk 3.1 van de tactische variant van de
Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).
3.3 Stap 3: Voer een GAP-analyse uit
Bij de GAP-analyse wordt eerst gekeken naar wat er al is versus wat er volgens de BIG zou
moeten zijn. De uitkomst van de GAP-analyse is een lijst met maatregelen die ontbreken en die
12
geïmplementeerd moeten gaan worden. De GAP-analyse wordt ondersteund met een spreadsheet
(GAP-analyse.xlsx) waarin alle maatregelen staan uit de tactische variant van de Baseline
Informatiebeveiliging Nederlandse Gemeenten (BIG) met daarbij een te beantwoorden vraag. Er
kan worden aangegeven of een maatregel wel, niet of gedeeltelijk genomen is. Er kan voorts een
vindplaats, waar de maatregel aangetroffen is als het om een document of policy gaat, of
opmerking geplaatst worden. Iedere maatregel moet een eigenaar hebben en ook dit kan worden
ingevuld. In het status veld kan worden ingevuld of een maatregel een geaccepteerd risico is.
Vervolg:
De uitkomst van de GAP-analyse is een lijst met maatregelen, die genomen zijn of nog genomen
moeten worden. In de Excel-spreadsheet kan men in één oogopslag zien hoe het staat met het
totaal van de maatregelen per hoofdstuk van de tactische variant van de Baseline
Informatiebeveiliging Nederlandse Gemeenten (BIG). Het diagram in dit tabblad kan gebruikt
worden om de voortgang zichtbaar te maken voor het management.
Een maatregel hoeft in deze fase nog geen eigenaar te hebben. Als een maatregel reeds genomen
is of gedeeltelijk aanwezig is, dan zou er een eigenaar moeten zijn. Het is belangrijk dat er niet
gezocht wordt naar een eigenaar in de zin van GBA of BAG of DigiD. Deze eigenaren houden zich
alleen bezig met een maatregel specifiek voor hun onderdeel (b.v. burgerzaken of de DigiD-
koppeling) en niet gemeentebreed aangaande informatiebeveiliging. De BIG geldt gemeentebreed.
3.4 Stap 4: Benoem Quick Wins
De Quick Wins zijn maatregelen die met relatief weinig inspanning veel effect hebben. Quick Wins
bestaan voor het overgrote deel uit procedurele maatregelen, maar ook uit maatregelen die een
gemeente (snel) veel opleveren. Zo zijn er maatregelen die ervoor zorgen dat een gemeente
sneller meldingen ontvangt van mogelijke bedreigingen via de IBD, of dat een gemeente alleen
meldingen krijgt die op haar van toepassing zijn. Als laatste is er een maatregel die het bewustzijn
op het gebied van informatiebeveiliging vergroot en daarom meteen al vanaf het begin ingezet kan
worden: bewustwording.
BIG Nummer Hoofdgroep Groep Maatregel Vraag
5.1.1.1 5. BeveiligingsbeleidBeleidsdocumenten voor
informatiebeveiliging
[A] Er is een beleid voor informatiebeveiliging door het College
van Burgemeester en Wethouders vastgesteld, gepubliceerd en
beoordeeld op basis van inzicht in risico’s, kritische
bedrijfsprocessen en toewijzing van verantwoordelijkheden en
prioriteiten.
Is er een door de organisatie vastgesteld en gepubliceerd
informatiebeveiligingsbeleid op basis van de BIG en zijn daarin
verantwoordelijkheden op basis van de baseline benoemd?
Opsteller :
Datum :
gemeentenaam:
Aanwezig Vindplaats / opmerking Eigenaar Status Actiehouder Wanneer gereed? Geaccepteerd risico?
onbekend Nog niet onderzocht
DEEL 1 (GAP-Analyse) DEEL 2 (IMPACT-Analyse)
13
De Quick Wins worden op basis van gemeentelijke omstandigheden of lokaal beleid bepaald op
basis van een risico afweging door het management. Dit lijstje van maximaal 10 maatregelen
wordt vooral bepaald door de manier van werken binnen een gemeente of bijvoorbeeld het gebruik
van informatiesystemen, maar ook door de reeds aanwezige mate van informatiebeveiliging. Het
zijn maatregelen waarmee op korte termijn gestart kan worden of het zijn maatregelen die het
grootste risico afdekken.
Enige voorbeelden van Quick Wins zijn: antivirusbeleid, clear desk en clear screen beleid,
sleutelprocedures, toewijzen van verantwoordelijkheden en opleidingen.
De hieronder benoemde maatregelen zouden volgens de IBD in elk geval onderdeel moeten zijn
van de Quick Wins:
IB-Beleid (BIG, hfdst 5)
Borgen van betrouwbare dienstverlening en een aantoonbaar niveau van
informatiebeveiliging dat voldoet aan de relevante wetgeving, algemeen wordt
geaccepteerd door haar (keten-)partners en er mede voor zorgt dat de kritische
bedrijfsprocessen bij een calamiteit en incident voortgezet kunnen worden.
Beheer informatiebeveiligingsincidenten (BIG, hfdst 13.2)
Bewerkstelligen dat een consistente en doeltreffende benadering wordt toegepast voor het
beheer van informatiebeveiligingsincidenten.
Bewustwording (BIG, hfdst 8.2.2)
Alle werknemers van de organisatie en, voor zover van toepassing, ingehuurd personeel en
externe gebruikers, behoren geschikte training en regelmatig bijscholing te krijgen met
betrekking tot beleid en procedures van de organisatie, voor zover relevant voor hun
functie.
BCM / DRP (Business Continuïty Management en Disaster Recovery Planning) (BIG hfdst
14)
Tegengaan van onderbreking van bedrijfsactiviteiten en bescherming van kritische
bedrijfsprocessen tegen de gevolgen van omvangrijke storingen in informatiesystemen of
rampen en om tijdig herstel te bewerkstelligen.
3.5 Stap 5: De Impactanalyse
Nadat bij de GAP-analyse in kaart is gebracht, welke maatregelen wel of niet genomen zijn, volgt
de Impactanalyse. De Impactanalyse geeft antwoord op de vraag in welke volgorde maatregelen
geïmplementeerd gaan worden. Dit is belangrijk omdat niet alle ontbrekende maatregelen in één
keer genomen kunnen worden. Afwegingen hierbij zijn:
Geaccepteerd risico;
Beschikbaar budget;
Wachten op maatregelen die beter eerder uitgevoerd kunnen worden;
Ontwikkelingen op het gebied van uitbesteding of samenwerking;
14
Landelijke ontwikkelingen.
De Impactanalyse concentreert zich op de kosten dan wel de tijd en moeite die nodig is om een
maatregel te implementeren. De uitkomst van de Impactanalyse is de GAP tussen wat er al is en
wat er nog niet is én een volgorde voor de implementatie van de maatregelen. Er is een opzet
gemaakt waarin eigenaren benoemd zijn voor iedere maatregel; een maatregel zonder eigenaar en
aansturing wordt niet genomen.
De Impactanalyse kan worden ondersteund met een spreadsheet (zie hiervoor de laatste versie
van de GAP-analyse spreadsheet, beschikbaar via de website van de IBD). Voor de meeste
procedurele maatregelen (beleid, procesbeschrijvingen en procedures) zijn sjablonen en
voorbeelddocumenten opgesteld door de IBD2.
3.6 Stap 6: Goedkeuring van het management
Het resultaat van bovenstaande stappen moet geaccordeerd en afgestemd worden met het
management, bij voorkeur middels een presentatie. Doel is dat het management:
Instemt met de uitkomsten van de Impactanalyse en met de voorgestelde implementatie
weg;
Instemt met de te verwachte kosten in de zin van tijd en geld;
Beslist welke maatregelen als een geaccepteerd risico niet genomen gaan worden. Voor
iedere maatregel, die niet genomen gaat worden moet een gedocumenteerd management
besluit opgesteld worden en het management moet deze tekenen voor het geaccepteerde
risico en;
Besluit wie eigenaar wordt van een maatregel als deze wel geïmplementeerd moet gaan
worden. Het is aan te bevelen om een eigenaar te zoeken die ‘dicht bij’ de maatregel zit.
Als de ‘GAP’ groot is, dan is het beter om bij bovenstaande punten te focussen op hoofddoelen
i.p.v. specifieke maatregelen. Laat vooral ook zien wat al wel geïmplementeerd is. Het is aan te
bevelen om te praten op het niveau van het management. Het management heeft minder belang
bij kennis van technische maatregelen of detailmaatregelen, daarom is het belangrijk om risico’s te
benaderen vanuit management perspectief.
De uitkomst van deze stap moet zijn:
De instemming van het management met de afgelegde weg;
De instemming van het management met de weg die nog te gaan is, inclusief de prioritering van de ontbrekende maatregelen en de aanwijzing van maatregeleigenaren of –eigenaar – en;
De wijze van rapporteren aan het management over het vervolg en de frequentie waarop dat moet gebeuren.
2 Zie de website van de IBD op: www.IBDgemeenten.nl
15
3.7 Stap 7: Maak een Informatiebeveiligingsplan
Als het management instemming verleend heeft voor het gevoerde beleid en planvorming voor de
toekomst is het belangrijk dit in te bedden in de Plan – Do – Check – Act (PDCA) -cyclus. Het
inbedden in de PDCA-cyclus zorgt ervoor dat er in de toekomst tijd en geld vrijgemaakt wordt voor
het onderwerp informatiebeveiliging. Het informatiebeveiligingsplan wordt bij voorkeur gemaakt
door de CISO of gelijkwaardig. De rapportages over de voortgang zorgen ervoor dat het op de
agenda blijft staan en continue aandacht krijgt op verschillende niveaus in de organisatie. De basis
voor een planmatige aanpak en het implementeren en borgen van informatiebeveiliging is het
Informatiebeveiligingsplan. Het Informatiebeveiligingsplan beschrijft de uitkomst van de hiervoor
uitgevoerde stappen. In het Informatiebeveiligingsplan is vastgelegd welke maatregelen genomen
zijn, welke maatregelen nog genomen moeten worden en welke besluiten daarover genomen zijn.
Bij bepaalde hoofdstukken kan worden verwezen naar externe documenten of bijlagen. Een
voorbeeld hiervan is het overzicht van bedrijfsmiddelen of de functiebeschrijvingen van het
beveiligingspersoneel. Het Informatiebeveiligingsplan is een ‘levend’ document. Het moet minimaal
jaarlijks worden bijgesteld (zie artikel 15.2.1.2 van de tactische variant van de Baseline
Informatiebeveiliging Nederlandse Gemeenten (BIG).
,
Recommended