15-0320 Handreiking communicatieplan informatiebeveiliging v1 0

HANDREIKING COMMUNICATIEPLAN INFORMATIEBEVEILIGING

Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

2

Colofon

Naam document

Handreiking communicatieplan informatiebeveiliging

Versienummer

1.0

Versiedatum

Maart 2015

Versiebeheer

Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).

Copyright

© 2015 Kwaliteitsinstituut Nederlandse Gemeenten (KING).

Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het

doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en

overheidsorganisaties.

Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af

te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden:

1. KING wordt als bron vermeld;

2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden;

3. Publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker

berusten, blijven onderworpen aan de beperkingen opgelegd door KING;

4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze

paragraaf vermelde mededeling.

Rechten en vrijwaring

KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te

verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave

voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen

aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud

van de uitgave of door de toepassing ervan.

Met dank aan

De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit

product.

3

Voorwoord

De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het

Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari 2013. Aanleiding voor

de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op

informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid 2017.

De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om

gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen.

De IBD heeft drie doelen:

1. Het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden

van bewustzijn als het gaat om informatiebeveiliging.

2. Het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke

aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging.

3. Het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging

in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij

het ICT-Beveiligingsassessment DigiD is een voorbeeld van een dergelijk project.

Hoe realiseert de IBD haar doelen?

Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline

Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de

gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft

twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn

beschikbaar voor alle gemeenten op de website en community van de IBD, zodat door iedere

gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben

met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de

organisatie ‘in control’ is op het gebied van informatiebeveiliging. Om de implementatie van de

Strategische en Tactische Baseline te ondersteunen, zijn door de IBD in samenwerking met de

Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) producten ontwikkeld op

operationeel niveau. Dit heeft een productenportfolio opgeleverd, genaamd de Operationele

Baseline Nederlandse Gemeenten.

Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld.

Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website

van de IBD.

De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de

regels. Hierbij geldt:

- Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI, BAG,

PUN en WBP, maar ook de archiefwet.

- Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging

Nederlandse Gemeenten (BIG).

- De gemeente stelt dit normenkader vast, waarbij er ruimte is in de naleving van dat kader voor

afweging en prioritering op basis van het ‘pas toe of leg uit’ principe.

4

Leeswijzer

Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging

Nederlandse Gemeenten (BIG).

Doel

Deze handreiking is geschreven om gemeenten hun informatiebeveiliging naar een hoger plan te

tillen door de inzet van bewustwording en de daarbij horende communicatie(middelen).

Doelgroep

Dit document is van belang voor de medewerkers van de afdelingen communicatie,

personeelszaken en ICT-beheer.

Relatie met overige producten

• Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

• Strategische Baseline Informatiebeveiliging Nederlandse Gemeenten

• Tactische Baseline Informatiebeveiliging Nederlandse Gemeenten

• Het voorbeeld Informatiebeveiligingsbeleid van de gemeente, hoofdstuk 4 en §8.2

Maatregelen tactische variant Baseline Informatiebeveiliging Nederlandse Gemeenten

(BIG).

Maatregel 3.1 Benoem verantwoordelijken

Maatregel 6.1.7 Contact met speciale belangengroepen

Maatregel 8.2.1 Directieverantwoordelijkheid

Maatregel 8.2.2 Bewustwording, opleiding en training ten aanzien van informatiebeveiliging

Maatregel 12.6.1 Beheersing van technische kwetsbaarheden

Maatregel 13.1.1 Rapportage van informatiebeveiligingsgebeurtenissen

Maatregel 13.2.1 Verantwoordelijkheden en procedures

Maatregel 14.1.1 Informatiebeveiliging opnemen in het proces van

bedrijfscontinuïteitsbeheer

5

Inhoud

1 Inleiding 6

1.1 Raakvlakken 6

1.2 Aanwijzing voor gebruik 6

2 Informatiebeveiligingsbewustzijn 8

2.1 Meten van informatiebeveiligingsbewustzijn 10

2.2 Informatiebeveiligingsbewustzijn bij uitbesteding 12

Bijlage 1: Voorbeeld communicatieplan informatiebeveiliging gemeente <gemeente> 13

Bijlage 2: Voorbeeld enquête informatiebeveiliging 25

Bijlage 3: Definities 34

Bijlage 4: Literatuur/bronnen 36

6

1 Inleiding

De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) heeft maatregelen beschreven die

te maken hebben met bewustwording, opleiding en training ten aanzien van informatiebeveiliging,

zie hiervoor hoofdstuk 4 en paragraaf 8.2 in het voorbeeld gemeentelijk informatie

beveiligingsbeleid en paragraaf 8.2 van de BIG.

Gemeenten dienen continue aandacht te besteden aan kennisontwikkeling, kennisdeling en

kennisvermeerdering op het vlak van informatiebeveiliging om zich hierop professioneel en

krachtig neer te zetten. Dit kan worden gestimuleerd door de inzet van specifieke

communicatiemiddelen die qua vorm en inhoud maximaal aan deze doelstelling bijdragen.

Het is hierbij van belang dat gemeenten de samenwerking blijven zoeken met de Vereniging van

Nederlandse Gemeenten (VNG) (op bestuurlijk niveau) en de Informatiebeveiligingsdienst voor

gemeenten (IBD) (op tactisch en operationeel niveau) en met overige overheids- en ketenpartners

die zich vanuit het onderwerp informatieveiligheid of informatiebeveiliging op de gemeentelijke

overheidslaag richten.

Naast deze externe gerichtheid, dient het communicatieplan informatiebeveiliging gemeenten als

onderdeel van de bewustwordingscampagne ook een interne gerichtheid te adresseren. Dit

communicatieplan informatiebeveiliging gemeenten dient de detailuitwerking van de gemeentelijke

uitgangspunten met betrekking tot de communicatie over informatiebeveiliging te omvatten.

In het kader van een eenduidige boodschap, gerichtheid in de communicatie en om verwarring te

voorkomen is het van belang dat de communicatie over informatiebeveiliging binnen de gemeente

goed te organiseren en de verantwoordelijkheden op het juiste niveau te beleggen. Dit zodat deze

elkaar versterken en niet verzwakken. Beleg de verantwoordelijkheid met betrekking tot het

communicatieplan informatiebeveiliging gemeenten als onderdeel van de

bewustwordingscampagne bij de afdeling die verantwoordelijk is voor de coördinatie van het

algemene gemeentelijk communicatiebeleid en het bewaken van de samenhang en de kwaliteit van

verschillende communicatieplannen. De afdeling Personeelszaken is verantwoordelijk voor het

functioneren van het personeel, inclusief bewustwording en gedrag.

1.1 Raakvlakken

Overige raakvlakken die het communicatieplan informatiebeveiliging en bewustwording met de BIG

hebben zijn:

• Voorbeeld Informatiebeveiligingsbeleid van de gemeente

• Voorbeeld Incident management en Responsbeleid

• Bedrijfscontinuïteitsplannen (BCP) / Disaster Recovery Plan (DRP)

• Gedragsregels gebruiker

1.2 Aanwijzing voor gebruik

Deze handreiking is geschreven om aandachtspunten met betrekking tot communicatie en

bewustwording op het gebied van informatiebeveiliging aan te reiken, zodat invulling gegeven kan

7

worden aan de gemeentelijke informatiebeveiligingsbeleidsregels. Deze handreiking is geen

volledige procesbeschrijving en bevat geen compleet uitgewerkt communicatieplan

informatiebeveiliging en bewustwordingsprogramma. Echter het bevat wel voldoende informatie en

handvatten om goede (beleids)keuzes te maken met betrekking tot het opstellen en uitvoeren

hiervan.

De gemeentelijke informatiebeveiligingsbeleidsregels met betrekking tot bewustwording en gedrag

zijn onder andere:1

• De afdelingen binnen de gemeente (in vragende rol) zijn verantwoordelijk voor de integrale

beveiliging van hun organisatieonderdelen. De clusterdirectie stuurt op beveiligingsbewustzijn,

bedrijfscontinuïteit en naleving van regels en richtlijnen (gedrag en risicobewustzijn).

• Alle medewerkers (en voor zover van toepassing externe gebruikers van onze systemen)

dienen training te krijgen in procedures die binnen de gemeente of afdeling gelden voor

informatiebeveiliging. Deze training dient regelmatig te worden herhaald om het

beveiligingsbewustzijn op peil te houden.

• De gemeente/ de directie/ de afdeling bevordert algehele communicatie en bewustwording

rondom informatiebeveiliging.

• Het lijnmanagement bevordert dat medewerkers (en externe gebruikers van onze systemen)

zich houden aan beveiligingsrichtlijnen. Afspraken hierover worden vastgelegd in het

managementcontract.

• In werkoverleggen wordt periodiek aandacht geschonken aan informatiebeveiliging. Voor zover

relevant worden hierover afspraken vastgelegd in planningsgesprekken.

1 Zie ook het ‘Voorbeeld Informatiebeveiligingsbeleid gemeenten’: https://www.ibdgemeenten.nl/wp-content/uploads/2014/04/13-0919-voorbeeld-informatiebeveiligingsbeleid-gemeenten-1.0.pdf

8

2 Informatiebeveiligingsbewustzijn

Bewustwording is van essentieel belang wanneer het gaat om informatiebeveiliging. Een gemeente

kan nog zo veel technische maatregelen nemen, wanneer medewerkers er niet naar handelen

hebben deze maatregelen uiteindelijk aanzienlijk minder effect. De gebruiker ziet niet altijd het

belang in van informatiebeveiliging. Zo worden wachtwoorden vergeten of op een Post-it onder het

toetsenbord geplakt, computers en/of laptops onbeheerd achtergelaten en bezoekers niet begeleid

door het pand. Bewustwording heeft als doel om alle gemeentelijke medewerkers bewust te maken

van de informatiebeveiligingsrisico’s die de gemeente loopt en ook van de wijze waarop zij zich

hiertegen kunnen beschermen.

Om vast te stellen welke bewustwordingsactiviteiten ontplooid dienen te worden bij een gemeente

dient het huidige en gewenste kennis- en bewustzijnsniveau bepaald te worden. Het belangrijkste

doel is uiteindelijk het veranderen van het gedrag van medewerkers als gevolg van het verhogen

van het kennisniveau en de mate van bewustwording. Om dit te verwezenlijken is inzicht in welk

gedrag (on)gewenst is en welke kennis noodzakelijk is, onmisbaar.

Verandering in houding en gedrag

Het bereiken van gedragsverandering bij medewerkers is vaak een lastige aangelegenheid. Uit

onderzoek blijkt dat het gedrag niet vanzelf in de gewenste richting verandert als je zorgt voor

meer kennis en een positieve houding bij mensen. Om gedrag te veranderen moet je je ook echt

op gedrag richten. Dit blijkt onder andere uit de studie ‘Gedragsverandering via campagnes’2.

Hierin komt naar voren dat de campagnes van de rijksoverheid succesvol zijn in het bereiken van

kennisoverdracht. Veranderingen in houding en gedrag blijken moeilijker te realiseren en

voornamelijk de effecten op gedrag zijn in het algemeen beperkt. In het eindrapport worden

handvatten gegeven hoe de effectiviteit vergroot kan worden.

Bewustwordingsprogramma

Het bepalen van het huidige kennis- en bewustzijnsniveau kan op diverse manieren. Onder andere

het inzetten van een mystery guest, vraaggesprekken met medewerkers en vragenlijsten3, leveren

inzicht op met betrekking tot informatiebeveiligingsbewustzijn (zie ook paragraaf 3.1 ‘Meten van

informatiebeveiligingsbewustzijn’). Inzicht verkrijgen in het huidige kennisniveau en de mate van

beveiligingsbewustzijn van gemeentelijke medewerkers is noodzakelijk. Op basis van dit inzicht en

de gestelde doelen met betrekking tot het gewenste gedrag, kan een specifieke aanpak voor een

bewustwordingsprogramma worden bepaald.

Om het informatiebeveiligingsbewustzijn en de kennis op het gebied van informatiebeveiliging te

vergroten, om zo de gewenste gedragsverandering te bereiken, is het uitvoeren van een

bewustwordingsprogramma noodzakelijk. Het opstellen van een bewustwordingsprogramma

bestaat in hoofdlijnen uit de volgende stappen:

2 Literatuuronderzoek ‘Gedragsverandering via campagnes’ (18 mei 2011) in opdracht van Dienst Publiek en Communicatie, Ministerie van Algemene Zaken. Den Haag (http://www.rijksoverheid.nl/onderwerpen/overheidscommunicatie/documenten-en-publicaties/brochures/2011/05/18/gedragsverandering-via-campagnes.html). Het doel van deze studie was om te onderzoeken hoe de effectiviteit van campagnes vergroot kunnen worden door meer gericht te sturen op gedrag. 3 In bijlage 2 van dit document vindt u een voorbeeld enquêteformulier informatiebeveiliging.

9

Figuur 1 Stappenplan opstellen van een bewustwordingsprogramma

• Stap 1 – Het opstellen van een plan van aanpak (communicatieplan

informatiebeveiliging)

De eerste stap is het opstellen van een plan van aanpak (communicatieplan

informatiebeveiliging). In dit plan wordt onder andere de communicatiedoelstelling, -strategie,

-doelgroepen, –middelen en de activiteitenplanning beschreven met betrekking tot het

verhogen van het bewustzijn op informatiebeveiligingsvlak. Zie bijlage 1 voor een voorbeeld

communicatieplan informatiebeveiliging.

• Stap 2 - Verzamelen informatie bewustwordingsprogramma

De volgende stap is het verzamelen van materiaal die u kunt gebruiken bij het open

samenstellen van de communicatiemiddelen. Hierbij kan gebruik worden gemaakt van het

gemeentelijke informatiebeveiligingsbeleid, de gedragscodes en de personeelshandboeken. Ook

uit externe bronnen, zoals publicaties van de IBD4 en de Campagne iBewustzijn Overheid5,

kunt u inspiratie halen.

• Stap 3 - Uitwerken communicatiemiddelen

Met behulp van de in de vorige stap verzamelde informatie kunnen de verschillende

communicatiemiddelen worden uitgewerkt.

• Stap 4 - Uitvoeren communicatieplan informatiebeveiliging

Gedurende deze stap worden de communicatieactiviteiten die in het communicatieplan

informatiebeveiliging zijn beschreven conform planning uitgevoerd. Hou ruimte in de planning

met het feit dat er onverwachte gebeurtenissen kunnen plaatsvinden, waarover de gemeente

moet worden geïnformeerd.

• Stap 5 - Evaluatie bewustwordingsprogramma

Uiteindelijk dient het bewustwordingsprogramma regelmatig geëvalueerd te worden, om vast

te stellen of de beoogde doelen zijn bereikt (gedragsverandering). Als dit niet het geval is, dan

is het noodzakelijk om het bewustwordingsprogramma bij te stellen.

4 Zie https://www.ibdgemeenten.nl/ 5 Zie https://www.ibewustzijnoverheid.nl/

10

Verantwoordelijkheden

De verantwoordelijkheid voor werving, selectie en algemene zaken rond het functioneren van

personeel ligt bij de afdeling personeelszaken. Dit is inclusief bewustwording en gedrag. De directie

en de verschillende afdelingen zijn verantwoordelijk voor het bevorderen van de algehele

communicatie en bewustwording rondom informatiebeveiliging. Het lijnmanagement speelt bij de

uitvoering hiervan een belangrijke rol en dient te bevorderen dat gemeenteambtenaren, ingehuurd

personeel en (waar van toepassing) externe gebruikers van interne systemen:

• Algemene beveiligingsaspecten toepassen in hun gedrag en handelingen, in overeenstemming

met het vastgestelde beleid.

• Zich houden aan beveiligingsrichtlijnen.

Om dit te borgen dienen hierover afspraken te worden vastgelegd in het managementcontract.

Activiteiten uit de Tactische Baseline Informatiebeveiliging Nederlandse Gemeenten die een relatie

met bewustwording en gedrag hebben zijn, onder andere:

• Zorgen dat alle gemeentemedewerkers, voor zover van toepassing, ingehuurd personeel en

externe gebruikers:

o zich bewust zijn van bedreigingen en gevaren voor informatiebeveiliging, van hun

verantwoordelijkheid en aansprakelijkheid, en dat ze zijn toegerust om het

beveiligingsbeleid van de organisatie in hun dagelijkse werkzaamheden te

ondersteunen en het risico van een menselijke fout te verminderen.

o op de hoogte zijn van de procedures voor het melden (rapporteren) van

gebeurtenissen en escalatie.

o regelmatig attent worden gemaakt op het beveiligingsbeleid en de

beveiligingsprocedures van de gemeente, voor zover relevant voor hun functie.

o geschikte trainingen en regelmatige bijscholing krijgen met betrekking tot beleid en

procedures van de gemeente, voor zover relevant voor hun functie.

o training krijgen in procedures die binnen de gemeente of afdeling gelden voor

informatiebeveiliging. Deze training dient regelmatig te worden herhaald om het

beveiligingsbewustzijn op peil te houden.

• Zorgen dat in werkoverleggen periodiek aandacht wordt geschonken aan informatiebeveiliging.

• Zorgen dat tijdens functionerings- en beoordelingsgesprekken het onderwerp

informatiebeveiliging wordt besproken. Dit geldt in het bijzonder voor gemeentemedewerkers

die risicovolle functies bekleden.

• Calamiteitenplannen gebruiken in de jaarlijkse bewustwording-, training en testactiviteiten.

• Maatregelen treffen voor detectie, preventie en herstellen, om gemeentelijke ICT-infrastructuur

te beschermen tegen virussen. Tevens behoren er geschikte procedures te worden ingevoerd

om het bewustzijn van de gebruikers te vergroten.

2.1 Meten van informatiebeveiligingsbewustzijn

De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) stelt dat bewustzijn in een aantal

gevallen een randvoorwaarde is. Het is dan ook zinvol om het informatiebeveiligingsbewustzijn van

de gemeentelijke medewerkers te meten en op deze manier vast te stellen of aan deze

randvoorwaarde is voldaan.

Als eerste dient de gemeente te bepalen wàt ze precies wil meten. Als dat bekend is, kan de

gemeente kijken hoe ‘dat’ te meten. Tot slot: wat te doen met de uitkomsten? Het doel waarvoor

11

de gemeente de uitkomsten wil gebruiken, stelt eisen aan (de bruikbaarheid van) datgene dat

moet worden gemeten.

Informatiebeveiligingsbewustzijn is een bepalende en belangrijke factor in de bijdrage die een

gemeentelijke medewerker levert aan het niveau van informatiebeveiliging van de gemeente.

Daarom is de noodzaak tot inzicht in hoe het zit met het informatiebeveiligingsbewustzijn binnen

de gemeente van belang. Een andere reden om een bewustzijnsmeting uit te voeren is om de

aandachtspunten van een bewustwordingsprogramma te bepalen. Het heeft geen zin om tijd en

aandacht te besteden aan zaken die al op orde zijn.

Uitgangspunten bij de meetmethode zijn onder meer:

• Het resultaat dient niet (te sterk) afhankelijk te zijn van de persoon die de meting uitvoert.

• De meting dient met een zelfde nauwkeurigheid op latere tijdstippen te kunnen worden

herhaald, zodat met een zekere betrouwbaarheid verbetering (of verslechtering) valt vast

te stellen.

• De meting dient toepasbaar en uitvoerbaar te zijn.

Observatie en het inzetten van een mystery guest, vraaggesprekken met medewerkers en

vragenlijsten, leveren inzicht op met betrekking tot het informatiebeveiligingsbewustzijn. Naast de

hoeveelheid aan informatie die deze meetmethoden opleveren, kleven er ook nadelen aan. Het

grootste nadeel van vragenlijsten is de (voorbereidings)tijd en de vele keuzes die hierbij gemaakt

dienen te worden bij het opstellen van de vragenlijst (zie bijlage 2 voor een voorbeeld

enquêteformulier informatiebeveiliging). Denk hierbij aan:

• In welke vorm moeten de vragen worden gesteld? Meerkeuze, open vragen, et cetera.

• In welke vorm wordt de vragen lijst aangeboden? Op papier of online via het intranet.

• Namens wie wordt de uitnodiging verstuurd? De burgemeester, wethouder met

informatiebeveiliging in zijn portefeuille, het college van Burgemeester en Wethouders

(college van B&W) of de Chief Information Security Officer (CISO).

Net als bij de vragenlijsten, is de inspanning die vraaggesprekken met medewerkers vergen het

nadeel. Naast de tijd die je kwijt bent voor het voeren van de gesprekken vergt het uitwerken van

de gesprekken ook een behoorlijke (tijds)inspanning.

Het nadeel van een mystery guest is dat het resultaat in enige mate afhankelijk is van de

kwaliteiten van de tester, de ‘mystery guest’.

Een voorbeeld van een meetinstrument voor het informatiebeveiligingsbewustzijn is de quickscan

‘Security Awareness in uw organisatie’.6 Met deze quickscan wordt een eerste indruk van het

informatiebeveiligingsbewustzijn bij de medewerkers in uw gemeente gegeven. Heeft uw gemeente

een bewustwordingsprogramma en voldoet dit? En indien een dergelijk bewustwordingsprogramma

er nog niet is, loopt u dan geen onnodig risico? De quickscan laat zien waar verbetering mogelijk

is.

6 www.nctv.nl/Images/QuickScan%20SAT_tcm126-443949.pdf

12

2.2 Informatiebeveiligingsbewustzijn bij uitbesteding

Informatiebeveiligingsbewustzijn is onmisbaar voor iedere organisatie, ook bij uitbestedingen.7

Echter bij een uitbesteding heeft het informatiebeveiligingsbewustzijn een aantal extra dimensies.

Zo dient de gemeente de dienstverlenende onderneming of toeleverancier bij het aangaan van een

overeenkomst, naast een groot aantal andere aan beveiliging gerelateerde zaken, in korte tijd op

de hoogte te stellen van het informatiebeveiligingsbewustzijn binnen de gemeente. Omdat er

sprake is van twee verschillende organisaties kan er sprake zijn van een verschil in kennis en

inzicht tussen de twee organisaties.

Een manier om bij het aangaan van een overeenkomst8 het informatiebeveiligingsbewustzijn van

een dienstverlenende onderneming of toeleverancier te testen, is het vragen van een 'pas toe of

leg uit' verklaring met betrekking tot het informatiebeveiligingsbeleid van de gemeente.

Hierbij dient de dienstverlenende onderneming of toeleverancier aan te geven in welke mate aan

het informatiebeveiligingsbeleid van de gemeente kan worden voldaan en dient zij uitleg te geven

over wanneer hiervan afgeweken wordt. Hierbij dient bij de beoordeling niet alleen gekeken te

worden naar de hoeveelheid groene vlakjes (‘pas toe’) maar is het interessanter om te kijken naar

de argumenten die bij non-compliance (‘leg uit’) gegeven worden.

7 Zie hiervoor ook het operationele product ‘Uitbesteding ICT-diensten en inhuur’ van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 8 Zie hiervoor ook het operationele product ‘Bewerkersovereenkomst’ en ‘inkoopvoorwaarden en informatiebeveiligingseisen’ van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).

13

Bijlage 1: Voorbeeld communicatieplan

informatiebeveiliging gemeente <gemeente>

1. Inleiding

Informatiebeveiliging is mensenwerk. Management en medewerkers dienen zich bewust te zijn van

de risico’s die samenhangen met de omgang met vertrouwelijke gegevens en van de noodzaak van

informatiebeveiliging. Hiervoor zijn communicatieactiviteiten ontwikkeld, die in dit

communicatieplan informatiebeveiliging gemeente <gemeente> gestructureerd zijn vastgelegd. Er

wordt onderscheid gemaakt in communicatiestrategie, -doelstellingen, -bouwstenen, -doelgroepen,

-kernboodschappen, -activiteiten en -middelen.

1.1 Aanleiding

Voor gemeenten is door de Informatiebeveiligingsdienst voor gemeenten (IBD) de Baseline

Informatiebeveiliging Nederlandse Gemeenten (BIG) opgesteld. Deze baseline geeft aan dat

communicatie over informatiebeveiliging van groot belang is voor een succesvolle implementatie

van informatiebeveiliging. Om tot een succesvolle implementatie van de BIG te komen, worden

hiertoe in dit communicatieplan informatiebeveiliging activiteiten voorgesteld.

Dit communicatieplan informatiebeveiliging is bedoeld voor iedere gemeentelijke medewerker

binnen de gemeente <gemeente>. Met als doel om alle gemeentelijke medewerkers bewust te

maken van de informatiebeveiligingsrisico’s die de gemeente <gemeente> loopt, de samenhang

met het gebruik van computers en netwerken en van de noodzaak van beveiliging van informatie.

Hiermee wordt beoogd om informatiebeveiliging bij zoveel mogelijk gemeentelijke medewerkers tot

een punt van blijvende aandacht te maken.

Er kunnen voor de gemeente meerdere redenen zijn om te werken aan het verhogen van het

kennis- en bewustzijnsniveau van de medewerkers. Hieronder volgen enkele voorbeelden:

• Een streven naar kwaliteitsverbetering

Door het verhogen van het besef van de waarde van informatie voor de gemeente

<gemeente> houden gemeentelijke medewerkers zich beter aan procedures op dit gebied,

waardoor het aantal fouten wordt verkleind.

• Het verkrijgen/behouden van een betrouwbaar imago

Voor de gemeente <gemeente> is vertrouwen één van de basisprincipes. Hierdoor is het van

groot belang dat de gemeente <gemeente> betrouwbaar overkomt.

Informatiebeveiligingsincidenten hebben een negatief effect op de betrouwbaarheid van de

gemeente. Door een verhoging van het beveiligingsbewustzijn neemt het aantal

informatiebeveiligingsincidenten af.

• Het versterken van de zwakste schakel

Hoewel er veel technische mogelijkheden zijn om informatie te beveiligen, blijft de mens de

zwakste schakel in de keten. Technische maatregelen zijn zinloos als het beveiligingsbewustzijn

bij de gemeentelijke medewerkers ontbreekt. Naast het versterken van de zwakste schakel,

zou natuurlijk ook gekeken kunnen worden of de mens nog wel onderdeel van de keten dient

uit te maken. Is het beoogde resultaat te behalen zonder tussenkomst van de mens?

Bijvoorbeeld door het aanpassen van processen, procedures en/of informatiesystemen.

14

Een aantal randvoorwaarden dienen te zijn ingevuld om een effectieve en efficiënte invulling te

kunnen geven op de vraag: Hoe kan het kennis- en bewustzijnsniveau van de medewerkers

blijvend gestimuleerd, verhoogd en gestuurd worden op het gebied van informatiebeveiliging?

Deze randvoorwaarden zijn:

• Commitment van de directie en het management

De cruciale voorwaarde voor een succesvolle uitvoering van een bewustwordingsprogramma

binnen de gemeente <gemeente> is commitment. Zonder dat aan deze voorwaarde wordt

voldaan is de slagingskans van een dergelijk programma beperkt.

• Geen eenmalige exercitie

Bewustwording van gemeentelijke medewerkers binnen de gemeente <gemeente> is geen

eenmalige zaak. Het is noodzakelijk dat er continu gestimuleerd, gestuurd en gemeten wordt.

Zo wordt er constant aandacht besteed aan de ontwikkeling van het kennis- en

bewustzijnsniveau. Hierbij is het wel van belang om vooraf het gewenste en het huidige

kennis-, bewustzijnsniveau en gedrag in kaart te brengen. Tot slot dient het

bewustwordingsprogramma ook aan te sluiten bij de organisatiecultuur van de gemeente

<gemeente>.

2. Communicatieaspecten

In dit hoofdstuk wordt het kader van het communicatieplan informatiebeveiliging geformuleerd.

Welke doelen willen we bereiken met dit communicatieplan informatiebeveiliging ((beoogde)

verbetering), welke bouwstenen worden hierbij ingezet en wat zijn de gehanteerde uitgangspunten

en randvoorwaarden.

2.1 Doelen

Met betrekking tot de communicatie over informatiebeveiliging wordt onderscheid gemaakt naar

kennis, houding en gedrag.

2.1.1 Kennis over informatiebeveiliging

Het doel is dat gemeentelijke medewerkers op de hoogte zijn van de voor hen geldende taken,

regels en hulpmiddelen voor informatiebeveiliging. Voor het management geldt de doelstelling dat

de beleidsstukken met betrekking tot informatiebeveiliging bij hen bekend zijn.

2.1.2 Houding en gedrag met betrekking tot informatiebeveiliging

Het uitgangspunt is dat het management en de gemeentelijke medewerkers van de gemeente

<gemeente> zich onvoldoende bewust zijn van de risico's die samenhangen met het gebruik van

computers en netwerken en van de noodzaak van informatiebeveiliging. Dit bewustzijn varieert

natuurlijk binnen de verschillende afdelingen en onder individuele gemeentelijke medewerkers.

Verder vertonen niet alle gemeentelijke medewerkers het gewenste gedrag voor

informatiebeveiliging.

De communicatieactiviteiten dienen ertoe bij te dragen dat de individuele gemeentelijke

medewerkers een positieve houding hebben ten aanzien van informatiebeveiliging en dit ook

vertalen in het gewenste gedrag. Concreet betekent dit bijvoorbeeld dat:

• Werkplekken niet onbeheerd worden achtergelaten.

• Wachtwoorden geheim worden gehouden.

• Individuele wachtwoorden en persoonlijke accounts niet worden gedeeld.

• Vertrouwelijke gegevens niet onbeveiligd via e-mail worden verzonden.

15

• Dossiers van gemeentelijke medewerkers en burgers vertrouwelijk worden behandeld.

• Geen vertrouwelijke informatie wordt verstrekt via de telefoon.

• ‘Aanvallen’ zoals, phishing, spam en hoaxes worden herkend.

Voor het management wordt beoogd dat de communicatieactiviteiten ertoe bijdragen dat deze

groep een positieve houding heeft ten aanzien van informatiebeveiliging. Zo fungeren zij als

voorbeeldfunctie voor de gemeentelijke medewerkers, spreken zij gemeentelijke medewerkers aan

op ongewenst gedrag en steunen zij de betrokkenen in de activiteiten voor de verbetering van

informatiebeveiliging binnen de gemeente <gemeente>.

2.2 De communicatiebouwstenen

Om kennis, houding en gedrag van de betrokken doelgroepen maximaal positief te stimuleren,

leert ervaring dat het zinvol is om bij de communicatieaanpak rekening te houden met enerzijds

het communiceren van feiten en anderzijds de vertaalslag te maken naar de concrete werksituatie

en belevingswereld van de collega’s.

Het is uiteraard belangrijk dat de toon en de vorm van de communicatie naar de verschillende

doelgroepen vanuit een herkenbare gemeentelijke-huisstijl gebeurt. Dit vergroot de consistentie,

de herkenbaarheid en acceptatie onder de doelgroepen en zorgt mede voor het basis-vertrouwen

wat noodzakelijk is om een betrouwbare (kennis)partner te kunnen zijn.

2.3 Uitgangspunten

Bij de uitvoering van dit communicatieplan informatiebeveiliging worden de volgende

uitgangspunten gehanteerd:

• Om het beoogde effect te bereiken wordt een combinatie van communicatiemiddelen ingezet.

• Bij de communicatie wordt zoveel mogelijk gebruik gemaakt van zowel bestaande in- als

externe kanalen en middelen (<personeelsblad>, intranet, werkoverleg, campagne iBewustzijn

Overheid, et cetera).

• Om de herkenbaarheid van de boodschap voor informatiebeveiliging te vergroten wordt bij alle

communicatieactiviteiten de volgende adagium/slogan gehanteerd: ‘<adagium/slogan >’.

• De communicatie over informatiebeveiliging wordt doelgroepgericht ingezet (zie hoofdstuk 4

voor de te onderscheiden doelgroepen).

• Het effect van de communicatieactiviteiten wordt gemeten door een steekproefsgewijze

controle op de aanwezigheid van het gewenste kennis- en bewustzijnsniveau en gedrag.

Bijvoorbeeld door het afnemen van interviews of het laten invullen van vragenlijsten.

2.4 Randvoorwaarden

Voor een succesvolle uitvoering van dit communicatieplan informatiebeveiliging gelden de volgende

randvoorwaarden:

• Er dient voldoende commitment bij het management te zijn voor de uitvoering van de

voorgestelde communicatieactiviteiten. Deels is het verkrijgen van commitment voor

informatiebeveiliging natuurlijk een doelstelling van de communicatie over


• Middelen die gemeentelijke medewerkers dienen in te zetten om het gewenste gedrag te

kunnen vertonen, dienen beschikbaar en bekend te zijn. Voorbeelden van deze middelen zijn

beveiligingsmiddelen voor veilig e-mailen via internet, screensaver op de werkplek, afsluitbare

kasten, et cetera.

• Met betrekking tot de voorgestelde communicatieactiviteiten geldt dat het geheel meer is dan

de som der delen. Dit houdt in dat het niet uitvoeren van bepaalde communicatieactiviteiten de

16

gehele communicatiestrategie ontkracht, waardoor de realisatie van de beoogde doelstellingen

in gevaar komt.

• Er dienen voldoende mensen en middelen ter beschikking te worden gesteld (zie paragraaf 8.2

Financiën).

3. De communicatiedoelgroepen

Omdat bewustzijn op informatiebeveiligingsvlak pas succesvol is als binnen de gemeente

<gemeente> van hoog tot laag, in evenwicht, aandacht is voor zowel de techniek- als voor de

menskant.

3.1 De primaire communicatiedoelgroepen

Met betrekking tot communicatie over informatiebeveiliging worden de volgende primaire

communicatiedoelgroepen onderscheiden:

1. Burgemeester, college van burgemeester en wethouders (B&W), de gemeenteraad, de

verantwoordelijk wethouder informatiebeveiliging, gemeentesecretaris en het management

2. De gemeentelijke medewerkers

3. Specifieke medewerkers, zoals:

• Nieuwe medewerkers

• Archiefbeheerders

• ICT-medewerkers, bijvoorbeeld projectleiders, applicatiebeheerders en

systeembeheerders.

3.2 De secundaire communicatiedoelgroepen

Met betrekking tot communicatie over informatiebeveiliging worden de volgende secundaire

communicatiedoelgroepen onderscheiden:

1. Burgers

2. Leveranciers en partners van leveranciers, bijvoorbeeld hosting-, audit-, pentestpartijen en

adviseurs.

3. Media, bijvoorbeeld journalisten.

4. Communicatiedoelstelling

De doelstelling kan als volgt geformuleerd worden: ‘Het optimaal informeren, involveren en

inspireren van de eigen gemeentelijke medewerkers aangaande het onderwerp

informatiebeveiliging’. Dit wordt gedaan zodat:

• De verantwoordelijkheid en taken van de informatiebeveiligingsorganisatie duidelijk zijn.

• Het belang van het onderwerp informatiebeveiliging en de voorbeeldfunctie van de

gemeentelijke medewerkers hierin, duidelijk zijn en actief uitgedragen worden.

Om de communicatiedoelstelling te ondersteunen wordt gebruik gemaakt van het adagium/slogan:

‘<adagium/slogan >’. Bijvoorbeeld ‘De gemeentelijke ketting is zo sterk als de zwakste schakel’.

Daar waar relevant voor de gemeentelijke communicatie wordt meegelift op de

communicatiemiddelen en -momenten van de IBD, (keten)partners en leveranciers. Denk hierbij

aan de IBD-website en community, campagne iBewustzijn Overheid, nieuwsbrieven, congressen en

andere relevante bijeenkomsten en middelen.

17

4.1 Kernboodschappen

Alle communicatie-initiatieven van de gemeente met betrekking tot informatiebeveiliging worden

opgehangen aan een aantal kernboodschappen. Het adagium/slogan, ‘<adagium/slogan >’ wordt

bij alle communicatieactiviteiten gebruikt als terugkerend thema.

Hieronder worden de kernboodschappen weergegeven voor de verschillende

communicatiedoelgroepen. Deze zijn:

1. Burgemeester, College van Burgemeester en Wethouders (B&W), de gemeenteraad, de

verantwoordelijk wethouder Informatiebeveiliging, gemeentesecretaris en het management.

o Informatiebeveiliging is een onderdeel van integraal management.

o Iedere leidinggevende heeft een voorbeeldfunctie.

o Iedere leidinggevende dient toezicht te houden op de eigen medewerkers.

2. Gemeentelijke medewerkers.

o Beveiliging van (vertrouwelijke) informatie is belangrijk.

o Beschikbaarheid van informatie is belangrijk.

o Het is belangrijk dat informatie juist en volledig aanwezig is.

o Goede informatiebeveiliging is een voorwaarde voor een goede dienstverlening.

o Iedere medewerker heeft een eigen verantwoordelijkheid met betrekking tot


3. Specifieke medewerkers.

o Bij de specifieke werkzaamheden horen ook taken voor informatiebeveiliging. Dit

vereist zorgvuldigheid, scholing en bijzondere aandacht.

5. Communicatiestrategie

De communicatiestrategie onderliggend aan dit communicatieplan informatiebeveiliging geeft in

hoofdlijnen aan langs welke weg we de communicatiedoelen, zoals in hoofdstuk 2 beschreven,

willen bereiken. In feite vormt de communicatiestrategie de verantwoording voor dit

communicatieplan informatiebeveiliging.

Hierbij dienen op verschillende fronten keuzes te worden gemaakt:

• Benader je de doelgroepen proactief, actief of passief?

• Hoe is de toon van de communicatie (zakelijk of persoonlijk, informeel of formeel)?

• Wat is de aard van de in te zetten communicatiemiddelen (mondeling, schriftelijk of een

combinatie van beide)?

• Op welke wijze ga je de doelgroepen benaderen (massaal, groepsgewijs, individueel)?

• Met wie wordt er samengewerkt?

• Welke prioriteiten worden gesteld?

De communicatiestrategie bestaat uit:

• Het gelijktijdig inzetten van verschillende communicatiemiddelen, omdat de verschillende

doelgroepen hierdoor de boodschap beter oppikken.

• Het zoveel mogelijk betrekken van de verschillende doelgroepen bij het ‘veranderingsproces’,

omdat daarmee meer draagvlak en bewustwording wordt gecreëerd voor informatiebeveiliging.

• Het zoveel mogelijk meeliften op de communicatiemiddelen en -momenten van andere

organisaties, zoals de IBD, campagne iBewustzijn Overheid, (keten)partners en leveranciers.

Op deze manier worden de doelgroepen vanuit verschillende invalshoeken geïnformeerd en

kunnen tevens de kosten voor de gemeente worden beperkt.

18

6. Communicatiemiddelen

Binnen de gemeente <gemeente> worden veel verschillende media als informatiebronnen

gebruikt. Echter, het is niet de bedoeling deze allemaal in te zetten om de boodschap van

informatiebeveiliging over te dragen. De hierna beschreven communicatiemiddelen (kunnen)

worden ingezet om de verschillende doelgroepen te bereiken. Uiteraard hangt het inzetten van de

hieronder beschreven communicatiemiddelen onder andere af van de grote van de gemeente en

het beschikbare budget.

Intern:

Intranet

Dit medium is voor alle doelgroepen van dit communicatieplan informatiebeveiliging toegankelijk

en is daardoor goed inzetbaar. Gekeken moet worden hoe bij andere communicatieactiviteiten de

aandacht op het onderdeel ‘informatiebeveiliging’ van het intranet kan worden gevestigd

(<personeelsblad>, nieuwsbrief, et cetera). Op de intranetpagina’s van de gemeente <gemeente>

worden regelmatig (bijvoorbeeld maandelijks) updates geplaatst van onderwerpen over

informatiebeveiliging. Met als doel dat de gemeentelijke medewerkers op de hoogte blijven van

waar de organisatie op het gebied van informatiebeveiliging mee bezig is.

Naast algemene achtergrondinformatie over informatiebeveiliging is het van belang dat het intranet

is voorzien van informatie die:

• Het grootste gedeelte van de vragen van medewerkers afvangt.

• De mogelijkheid biedt tot actieve berichtgeving in geval van incidenten.

(Digitale) nieuwsbrief informatiebeveiliging

Via afzonderlijke (digitale) nieuwsbrieven wordt op verschillende momenten aandacht besteed aan

informatiebeveiliging, met onder andere aandacht voor:

• Een concreet onderwerp of case op informatiebeveiligingsvlak.

• Concrete tips en ‘instructies’.

• Informatiebeveiliging op de gemeentelijke werkvloer: een interview of artikel over de

dagelijkse uitdagingen als het gaat om informatiebeveiliging.

• Afhankelijk van de beschikbaarheid van (actuele) onderwerpen drie à vier per jaar.

Presentaties

Het geven van presentaties is een praktische methode die ingezet kan worden om informatie over

te brengen tijdens bijeenkomsten en/of afdelingsoverleggen. Deze kan worden afgestemd op de

verschillende doelgroepen.9

Training

Volgens het ‘train-de-trainer’-principe worden specifieke medewerkers voorgelicht over het nut en

de noodzaak van informatie en worden ze getraind in het gebruiken van de aanwezige

communicatiemiddelen. Deze getrainde medewerkers kunnen dan tijdens het afdelingsoverleg de

‘standaard’ presentatie verzorgen. Bijvoorbeeld de train-de-trainer Informatieveiligheid: Van ‘ja’

zeggen naar ‘ja’ doen!10

E-learning

9 Zie hiervoor ook het operationele product (presentatie) ‘Bewustwording Informatieveiligheid bij gemeenten’ van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 10 http://www.vngacademie.nl/e-learning/train--de--trainer-informatieveiligheid-van-%E2%80%98ja%E2%80%99-zeggen-naar-%E2%80%98ja%E2%80%99doen!.aspx

19

E-learning is een methode die gebruikt kan worden om informatie via een digitale module over te

brengen, om de kennis te meten en de aanwezige houding, vaardigheden en gedrag te

beïnvloeden. Bijvoorbeeld de e-learning module ‘Bewust en veilig omgaan met (digitale)

informatie!’11

Workshops

Tijdens ‘denk-en-doe-sessies’ van maximaal twee tot vier uur kan er beter ingespeeld worden op

de impact van je eigen rol, het eigen handelen en het handelen van anderen op gebied van de

informatieveiligheid. Bijvoorbeeld de interactieve workshops iBewustzijn die via de VNG Academie

worden aangeboden.12

<Personeelsblad>

In het <personeelsblad> wordt op verschillende momenten iets over informatiebeveiliging

geplaatst. Dit geschiedt natuurlijk in overleg met de redactie en alleen wanneer er ook werkelijk

iets is te melden over informatiebeveiliging.

Posters

Door op verschillende plaatsen binnen de organisatie posters op te hangen worden de

medewerkers gewezen op (de noodzaak van) informatiebeveiliging. Dit is weer een middel om alle

gemeentemedewerkers te bereiken. Bij het bepalen van de inhoud van de posters wordt aandacht

besteed aan het feit dat deze informatie ook zichtbaar wordt voor bezoekers. Er moet namelijk niet

de indruk worden gewekt dat burgergegevens bij de gemeente niet in goede handen zijn.

Bijvoorbeeld de posters van de campagne iBewustzijn Overheid.13

Animatiefilmpjes

Soms is het kijken naar situaties die niet aan werk gerelateerd zijn datgene dat noodzakelijk is om

te beseffen welke handelingen beveiligingsbewust, of juist niet beveiligingsbewust zijn.

Bijvoorbeeld de (vier) animatiefilmpjes van de campagne iBewustzijn Overheid.14

Folders

Via folders kunnen gemeentelijke medewerkers (gemakkelijk) kennis met het onderwerp

informatiebeveiliging en wat beveiligingsbewustzijn inhoudt en het belang van een goed

beveiligingsbewustzijn. Bijvoorbeeld de folders van de campagne iBewustzijn Overheid.15

Werkoverleg

Het werkoverleg is een effectief middel om gewenst gedrag met betrekking tot

informatiebeveiliging bespreekbaar te maken. Om informatiebeveiliging hier goed onder de

aandacht te brengen, wordt hiervoor een kant-en-klaar pakket (presentatie, werkvorm, et cetera)

samengesteld.

11 http://www.vngacademie.nl/e-learning/ibewustzijn-overheid-.aspx 12 Zie voor meer informatie http://www.vngacademie.nl/e-learning/interactieve-workshops-ibewustzijn.aspx 13 https://www.ibewustzijnoverheid.nl/aanbod/posters/ 14 https://www.ibewustzijnoverheid.nl/aanbod/animatiefilmpjes/ 15 https://www.ibewustzijnoverheid.nl/aanbod/folder/

20

Mystery guest

In een real-life situatie wordt uw beveiliging aan een test onderworpen. Een mystery guest is een

social engineer16. Vaak is de toegang tot het gebouw beveiligd, maar kan de mystery guest door

een list, toeval of door uitbuiting van psychologische technieken toch toegang tot het gebouw

verschaffen. Eenmaal binnen in de beveiligde omgeving probeert de mystery guest vertrouwelijke

informatie te bemachtigen en kijkt hij of hij andere ‘schade’ kan aanrichten.

Introductie nieuwe medewerkers

Een introductiemap met informatie over informatiebeveiliging wordt aan nieuwe gemeentelijke

medewerkers (intern en extern, stagiairs, et cetera) uitgereikt.17 Dit wordt geborgd in de opzet van

de introductie voor nieuwe medewerkers. Daarnaast wordt, indien mogelijk, de nieuwe

medewerker in een persoonlijk gesprek door de manager op de hoogte gesteld van de regels voor

informatiebeveiliging binnen de gemeente.

Raadpleeg externe bronnen, zoals:

• https://www.ibewustzijnoverheid.nl/

iBewustzijn staat voor informatiebewustzijn. Met de campagne iBewustzijn Overheid wil de

overheid haar medewerkers zoveel mogelijk ondersteunen en stimuleren in het ontwikkelen

van het bewustzijn betreffende informatieveiligheid. De campagne is voor alle medewerkers

van de provincies, waterschappen en gemeenten.

• https://veiliginternetten.nl/

Veiliginternetten.nl is een gezamenlijk initiatief van het ministerie van Economische Zaken, het

ministerie van Veiligheid en Justitie / Nationaal Cybersecurity Centrum (NCSC) en ECP |

Platform voor de Informatiesamenleving en het bedrijfsleven. Op veiliginternetten.nl kunnen

mensen tips, trucs en praktische stap voor stap uitleg vinden over wat zij kunnen doen en

laten om veilig te internetten. Deze site is bedoeld voor iedereen met vragen over veilig

gebruik van internet.

• https://www.digivaardigdigiveilig.nl/

Het kunnen omgaan met digitale toepassingen en het beschikken over een veilige digitale

omgeving zijn cruciaal. Overheid, bedrijfsleven en maatschappelijke organisaties slaan hiervoor

de handen ineen binnen dit publiek-private programma.

• http://cyberawareness.nctv.nl/

Om je bewust te maken van de digitale sporen die je achterlaat, hoe kwaadwillenden daarvan

gebruikmaken en hoe je veiliger kunt handelen, hebben de Nationaal Coördinator

Terrorismebestrijding en Veiligheid (NCTV) en het NCSC een Cyber Security Awareness-

programma ontwikkeld: 'Je bent zichtbaarder dan je denkt'. Het programma bestaat uit een

film van ongeveer 15 minuten, factsheets en een e-learning module van ongeveer 30 minuten.

Extern:

Social Media

Om de burgers te informeren wordt er gebruik gemaakt van de gemeentelijke social media kanalen

zoals Twitter en Facebook:

• <gemeente>-IB-Twitter

o Vanuit dit <gemeente>-IB-Twitter-account wordt getwitterd naar gemeente-

volgers over het onderwerp informatiebeveiliging. Het kan natuurlijk ook zo zijn dat

16 Een social engineer probeert gebruikersgegevens te krijgen door zich bijvoorbeeld voor te doen als helpdeskmedewerker. Er wordt dus gewoon om wachtwoord en gebruikersgegevens gevraagd en vaak gekoppeld aan een probleem dat moet worden opgelost. 17 Dit kan uiteraard ook een verwijzing zijn naar de intranetpagina’s die deze informatie bevatten.

21

de tweets met betrekking tot informatiebeveiliging getwitterd worden via het

algemene <gemeente>-twitter-account.

o Tweets, relevant om kenbaar te maken aan de volgers van de gemeente worden

geretweet. Dit houdt in dat tweets van partijen die de gemeente volgt, in de gaten

gehouden dienen te worden.

o Tweets worden getweet met gebruik van een #(hashtag) bij woorden gerelateerd

aan de gemeente. Bijvoorbeeld: informatieveiligheid, informatiebeveiliging,

<gemeente>, ontwikkelingen et cetera. Dit met als doel, wanneer een twitteraar

zoekt op deze woorden, de tweets van de gemeente ook naar boven komen.

• <gemeente>-Facebook pagina

o De gemeente <gemeente> heeft een eigen pagina op Facebook om,

laagdrempelig, nog meer inwoners van de <gemeente> aan te spreken. Op deze

pagina staat nieuws voor mensen die wat met de gemeente <gemeente> hebben.

Het is mogelijk om te reageren op berichten of zelf informatie te plaatsen.

Iedereen, ook zonder Facebook-account, kan de pagina, foto's en reacties bekijken.

Wel is er een aantal spelregels: berichten met reclame-uitingen worden verwijderd.

Ook berichten die beledigend zijn, bedreigingen of (links naar) illegale zaken

bevatten worden verwijderd.

o Op deze gemeentelijke Facebook-pagina wordt ook voor de inwoners relevante

informatie met betrekking tot informatiebeveiliging en privacy geplaatst.

Desgewenst kunnen ook specifieke communicatiemiddelen worden ingezet afhankelijk van nut en

noodzaak op dat moment. Uiteraard wordt hier dan een specifiek plan van aanpak voor

vervaardigd.

6.1 Doelgroepen-middelenmatrix

Nadat de communicatiemiddelen zijn vastgesteld, kan de doelgroepen-middelenmatrix worden

ingevuld (zie tabel 1). Dit is een schematische weergave, waarbij de communicatiedoelgroepen

tegen de communicatiemiddelen worden uitgezet. De doelgroepen-middelenmatrix geeft

overzichtelijk weer welke communicatiedoelgroepen je met welke communicatiemiddelen wilt

bereiken.

22

Communicatiemiddelen Communicatiedoelgroepen

Burgemeester, college van

B&W, gemeenteraad,

verantwoordelijk wethouder

informatiebeveiliging,

gemeentesecretaris en het

management

Gemeentelijke

medewerkers

Specifieke

medewerkers

Burgers Leveranciers en

partners van

leveranciers

Media

Informatiebeveiliging op intranet


Presentaties

Training

E-learning

Workshops

Informatiebeveiliging in <personeelsblad>

Posters

Animatiefilmpjes

Folders

Informatiebeveiliging in werkoverleg

Inzet van mystery guest


Tabel 1 Doelgroepen-middelenmatrix.

23

7. Activiteitenplanning

In (het) onderstaande overzicht(en) worden de communicatieactiviteiten vermeld, die ten behoeve

van de informatiebeveiliging worden uitgevoerd. Hierbij is ook aangegeven wanneer deze

activiteiten worden uitgevoerd en wie hierbij betrokken zijn.

Er worden hier twee voorbeelden (tabel 2 en 3) van de activiteitenplanning weergegeven. Bij

overzicht 1 zijn de communicatiemiddelen het uitgangspunt en bij overzicht 2 is dat de

communicatiedoelgroep.

Communicatiemiddel Communicatie-

doelgroep

Verantwoordelijk Datum

Informatiebeveiliging op intranet Vul hier in welke

communicatie-

doelgroep wordt

benaderd.

Vul hier in wie

verantwoordelijk is

voor deze

communicatie-

activiteit (dat hoeft

niet degene te zijn

die de activiteit

uitvoert).

Vul hier in op

welke datum of

in welke periode

de communica-

tieactiviteit

plaatsvindt.


Presentaties

Training

E-learning

Workshops

Informatiebeveiliging in <personeelsblad>

Posters

Animatiefilmpjes

Folders

Informatiebeveiliging in werkoverleg

Inzet van mystery guest


Tabel 2 Overzicht 1 activiteitenplanning.

Communicatiedoelgroep Vul hier in welke communicatiedoelgroep wordt benaderd.

Communicatieboodschap/-doel Vul hier in wat je via deze communicatieactiviteit wil bereiken.

Communicatiemiddel Vul hier in op welke wijze de communicatieboodschap wordt

overgebracht.

Datum en tijdstip Vul hier in op welke datum of in welke periode de

communicatieactiviteit plaats vindt.

Verantwoordelijk Vul hier in wie verantwoordelijk is voor deze communicatieactiviteit

(dat hoeft niet degene te zijn die de activiteit uitvoert).

Opmerking

Tabel 3 Overzicht 2 activiteitenplanning.

24

8. Benodigde middelen

8.1 Mensen

De in hoofdstuk 7 opgesomde communicatieactiviteiten vereisen van de genoemde betrokkenen

(verantwoordelijke en/of uitvoerende) de onderstaande inzet in mensdagen (zie tabel 4).

Betrokkene Inschatting benodigde inzet (in mensdagen)

[functie] X

[functie] X

[functie] X

[functie] X

[functie] X

Tabel 4 Inschatting benodigde inzet.

8.2 Financiën

Het kan zijn dat het budget een vastgesteld gegeven is en het een van de randvoorwaarden is bij

het opstellen van het communicatieplan informatiebeveiliging. In andere gevallen wordt een

kostenbegroting aan de hand van het plan van aanpak opgesteld. Hieronder een aantal zaken

waarmee rekening gehouden dient te worden:

• Personeelskosten, bijvoorbeeld inhuur deskundigen. Hierbij zijn de kosten van de inzet van de

betrokken gemeentelijke medewerkers niet in rekening gebracht. Deze worden verondersteld

onderdeel te vormen van de bestaande begrotingen van de genoemde afdelingen.

• Kosten voor het ontwikkelen van communicatiemiddelen, bijvoorbeeld schrijven, opmaken en

drukwerk.

• Kosten voor het onderhoud van communicatiemiddelen.

• Kosten voor verspreiding, bijvoorbeeld het verzenden van brieven.

• Kosten voor bijeenkomsten, bijvoorbeeld het deelnemen aan congressen, trainingen.

• Onvoorziene kosten (over het algemeen 10% van het totaal).

De in dit communicatieplan informatiebeveiliging opgenomen communicatieactiviteiten leiden tot

de onderstaande kosten (zie tabel 5).

communicatieactiviteit Kosten (Euro's en excl. BTW)

[communicatiemiddel] X



Totaal X

Tabel 5 Begroting communicatieactiviteiten informatiebeveiliging.

25

Bijlage 2: Voorbeeld enquête

informatiebeveiliging

Opmerking:De hier vermelde enquête bevat voorbeeldvragen die aangepast dienen te worden

naar de eigen gemeentelijke situatie. Niet alle vragen zijn dan ook relevant voor uw gemeente. Het

gaat er hier om, om u een idee te geven van het soort vragen die in een vragenlijst/enquête met

betrekking tot bewustwording opgenomen kunnen worden.

Voor de gemeente is een goede beveiliging van informatie van groot belang. Gegevens van

burgers, ketenpartners en andere vertrouwelijke documenten mogen niet voor onbevoegden

toegankelijk zijn. Dit kan grote problemen veroorzaken voor de voortgang en de kwaliteit van de

gemeentelijke dienstverlening. Hierbij zijn we gebonden aan allerlei weten regelgeving,

waaronder de Wet bescherming persoonsgegevens (Wbp). Bovendien leiden incidenten

onmiddellijk tot imagoschade voor de gemeente. Door middel van bijgevoegde enquête willen wij

de bekendheid van informatiebeveiliging en het gedrag van gemeentelijke medewerkers meten.

Wij sturen deze enquête steekproefsgewijs aan 25% van de gemeentelijke medewerkers. Wij

zouden het bijzonder waarderen als u deze enquête invult. Het beantwoorden van de vragen kost u

ongeveer tien minuten.

De invulinstructie voor deze vragenlijst is als volgt:

− Per vraag kiest u een antwoord door het bijbehorende vakje aan te kruisen. Bij vrijwel alle

vragen dient u één antwoord te kiezen. Als dit niet het geval is staat dit duidelijk aangegeven.

− De vragenlijst is anoniem; u hoeft dus geen naam op het formulier te vermelden. Wij vragen

wel naar uw functie om hier eventueel bij de verwerking van de resultaten en het bepalen van

de vervolgacties gebruik van te kunnen maken.

U kunt de ingevulde vragenlijst via de interne post tot uiterlijk [datum] terugsturen naar:

<Adres>

Bij voorbaat hartelijk dank voor de medewerking!

<Ondertekening>

26

Aandacht voor informatiebeveiliging

Informatiebeveiliging heeft tot doel de beschikbaarheid, integriteit, vertrouwelijkheid en

controleerbaarheid van gegevens te waarborgen. Het maakt hierbij niet uit of de werkzaamheden

op kantoor plaatsvinden of vanuit huis en of dat het hierbij gaat om een door de gemeente

versterkte computer/mobiel apparaat of een privé-eigendom. Het gaat om betrouwbare

gemeentelijke dienstverlening. Dit betekent dat:

• De gemeentelijke informatiesystemen en informatie beschikbaar zijn wanneer we deze nodig

hebben (beschikbaarheid).

• We kunnen vertrouwen op wat de gemeentelijke informatiesystemen ons toont (integriteit).

• We zorgen dat vertrouwelijke gegevens niet in verkeerde handen terechtkomen

(vertrouwelijkheid).

• We zorgen dat het mogelijk is om te kunnen achterhalen welke handelingen met de

gemeentelijke informatiesystemen zijn uitgevoerd (controleerbaarheid).

1. Binnen welke van de onderstaande categorieën valt uw functie?

O <functie>

O <functie>

O anders, namelijk ..........................................................................................

2. Vindt u het belangrijk dat we binnen de gemeente aandacht besteden aan

informatiebeveiliging?

O Nee, ik vind informatiebeveiliging niet belangrijk

O Ja, ik vind informatiebeveiliging belangrijk

O Ik heb hierover geen mening

3. Informatiebeveiliging maakt een belangrijk onderdeel uit van mijn werk.

O Zeer mee eens

O Mee eens

O Neutraal

O Mee oneens

O Zeer mee oneens

4. Binnen de gemeente hebben we een informatiebeveiligingsbeleid opgesteld. Kent u dit

informatiebeveiligingsbeleid?

O Nee, ik heb hiervan nog nooit gehoord

O Ja, ik heb hiervan gehoord, maar ik ken de inhoud niet

O Ja, ik ken de inhoud van dit informatiebeveiligingsbeleid

5. Binnen de gemeente hebben we een gedragscode voor het gebruik van computerfaciliteiten

opgesteld. Heeft u deze gedragscode gelezen en weet u hoe u met de door de gemeente

beschikbaar gestelde computerfaciliteiten om moet gaan?

O Nee, ik heb hiervan nog nooit gehoord

O Ja, ik heb hiervan gehoord, maar ik ken de inhoud niet

O Ja, ik ken de inhoud van deze gedragscode, maar ik weet niet hoe ik met de door de

gemeente beschikbaar gestelde computerfaciliteiten om moet gaan

O Ja, ik ken de inhoud van deze gedragscode en ik weet hoe ik met de door de gemeente

beschikbaar gestelde computerfaciliteiten om moet gaan

27

6. Weet u dat er op het intranet aandacht wordt besteed aan informatiebeveiliging (<link>)?

O Nee, dat weet ik niet

O Ja, dat weet ik, maar ik heb de genoemde pagina’s niet bezocht

O Ja, ik heb de genoemde pagina’s wel eens bekeken

7. Weet u wie verantwoordelijk is voor Informatiebeveiliging binnen de gemeente? (Alles

selecteren wat van toepassing is)

� ICT-afdeling

� Afdelingen die de gegevens gebruiken

� Gemeentesecretaris

� Managers en teamleiders

� Informatiebeveiligingsfunctionaris

� Individuele gemeentelijke medewerkers

8. Heeft u de gemeentelijke bewustwordingstraining gevolgd?

O Ja

O Nee

9. Weet u of uw leidinggevende(n) inzicht heeft/hebben in de begrippen en principes van


O Nee, dit weet ik niet (ga verder met vraag 11)

O Ja, maar mijn leidinggevende(n) kent/kennen de begrippen en principes van

informatiebeveiliging niet (ga verder met vraag 11)

O Ja, mijn leidinggevende(n) is/zijn bekend met de begrippen en principes van


10. Zo ja, hoe beoordeelt u het bewustzijn van uw leidinggevende(n) ten aanzien van


O Mijn leidinggevende(n) vindt/vinden informatiebeveiliging alleen maar lastig

O Mijn leidinggevende(n) stelt/stellen zich neutraal op

O Mijn leidinggevende(n) stimuleert/stimuleren de realisatie en naleving van regels voor


11. Bent u zich bewust van uw eigen rol met betrekking tot informatiebeveiliging?

O Nee, daar ben ik mij niet van bewust

O Ja, maar dit heeft niet geleid tot concrete acties

O Ja, ik werk actief mee aan informatiebeveiliging

12. Voorbeelden van beveiligingsincidenten zijn virussen, gebruik van illegale programmatuur,

diefstal van gegevens, et cetera. Weet u dat u een beveiligingsincident moet melden?

O Nee, daar weet ik niets van

O Ja, daar heb ik wel eens van gehoord, maar dat doe ik in de praktijk niet

O Ja, als ik beveiligingsincidenten ontdek, meld ik deze

13. Weet u bij wie u een beveiligingsincident moet melden?


O Ja, als ik een beveiligingsincident ontdek, meld ik dit bij mijn leidinggevende

O Ja, als ik een beveiligingsincident ontdek, meld ik dit bij de

informatiebeveiligingsfunctionaris

28

14. Weet u wat met aanvaardbaar gebruik van de door de gemeente beschikbaar gestelde

computerfaciliteiten wordt bedoeld?


O Ja, daar heb ik wel eens van gehoord, maar dat pas ik in de praktijk niet toe

O Ja, ik ben hiervan op de hoogte en handel hier ook naar

15. Bent u zich bewust van het feit dat wat u op uw computer doet invloed kan hebben op andere

personen?

O Nee, daar ben ik me niet van bewust

O Ja, daar heb ik wel eens van gehoord, maar ik kan de impact niet volledig beoordelen

O Ja, daar ben ik me volledig van bewust en handel hier ook naar

De omgang met informatie (tijdens uw werk)

Informatiebeveiliging komt u tegen in uw dagelijkse werk. Bij het inloggen wordt om een

wachtwoord gevraagd, vertrouwelijke gegevens mogen niet zomaar onbeheerd worden

achtergelaten, et cetera.

16. Kruis aan in hoeverre u weet wat de volgende begrippen betekenen en inhouden?

Onvoldoende Voldoende Goed

Hoax

Keyboard-loggers

Malware

Phishing

Shoulder surfing

Social engineering

Spam

Sterk wachtwoord

Veilige internetverbinding

Virus

17. U bent zich bewust dat u een belangrijke rol kan spelen in het beschermen van uw computer

en de informatie die daarop is opgeslagen.

O Zeer mee eens

O Mee eens

O Neutraal

O Mee oneens

O Zeer mee oneens

29

18. Wachtwoorden zijn belangrijk voor het voorkomen van ongeautoriseerde toegang tot

informatie. Welke van de volgende wachtwoorden zijn sterke wachtwoorden volgens het

gemeentelijke wachtwoordbeleid? (Alles selecteren wat van toepassing is)

� Beheerder

� w3th0ud3r

� G3m33nt3

� Janssen

� Geheim22

� W@chtw00rd

� G3m33nt3s3cr3t@r!s

19. Worden binnen uw afdeling login codes en wachtwoorden gedeeld?

O Ja, om elkaars afwezigheid te kunnen opvangen

O Nee, we delen deze gegevens niet

20. Maakt u uw persoonlijke wachtwoord(en) wel eens bekend aan andere medewerkers?

O Nee, ik houd mijn persoonlijke wachtwoord(en) geheim

O Ja, ik maak mijn persoonlijke wachtwoord(en) wel eens aan iemand anders bekend

O Ja, ik maak mijn persoonlijke wachtwoord(en) wel eens aan iemand anders bekend,

maar wijzig het onmiddellijk nadat de noodzaak daarvoor is vervallen

21. Heeft een bekende u op het werk wel eens om uw persoonlijke wachtwoord gevraagd?

O Ja, en ik heb het toen ook gegeven

O Ja, en ik heb het toen niet gegeven

O Nee

22. Legt u uw wachtwoord(en) wel eens ergens vast (op papier, onder het toetsenbord of de

muismat, in uw agenda, et cetera)?

O Nee, ik houd mijn wachtwoord(en) geheim

O Ja, ik leg mijn wachtwoord(en) wel eens vast

O Ja, ik leg mijn wachtwoord(en) wel eens vast, maar wel op een beveiligde manier

23. Maakt u wel eens gebruik van het persoonlijke account van een andere medewerker?

O Nee, ik maak alleen gebruik van mijn eigen account

O Ja, maar alleen bij hoge uitzondering

O Ja, dat doe ik regelmatig

24. Als iemand u een e-mail stuurt met een bijlage/link die niet aan werk gerelateerd is, hoe

waarschijnlijk is het dat u deze opent?

O Niet waarschijnlijk

O Mogelijk, afhankelijk van wat wordt verzonden

O Zeer waarschijnlijk

O Altijd

25. Als u uw werkplek voor langere tijd verlaat, bijvoorbeeld een lunch of meeting, zorgt u er dan

voor dat anderen geen toegang kunnen krijgen tot uw computer?

O Ja, ik beveilig mijn computer (ga verder met vraag 26)

O Nee, daarvoor doe ik niks (ga verder met vraag 28)

30

26. Hoe beveiligt u uw computer als u deze voor langere tijd verlaat? (Alles selecteren wat van

toepassing is)

� Ik zet mijn monitor uit

� Ik log uit

� Ik zet de computer uit

� Ik maak gebruik van een met wachtwoord beveiligde screensaver

27. Een screensaver met wachtwoordbeveiliging kan u helpen bij de beveiliging van uw eigen

werkplek. Wat vindt u van het nut van een dergelijke maatregel?

O Ik vind een screensaver alleen maar lastig

O Het maakt mij niet uit

O Ik vind een screensaver nuttig

O Ik vind een screensaver nuttig, maar wil de instellingen wel zelf kunnen bepalen

28. Heeft uw werk betrekking op de volgende soorten informatie? (Alles selecteren wat van

toepassing is)

� Persoonsgegevens van burgers

� Persoonsgegevens van medewerkers

� Financiële Informatie

� Gegevens met betrekking tot SUWI

� Gegevens uit het sociaal domein

� Geen van bovenstaande

29. Bij de gemeente <gemeente> is het niet toegestaan om vertrouwelijke informatie, zoals

persoonsgegevens van burgers, via e-mail onbeveiligd over het internet te versturen. Verstuurt

u wel eens vertrouwelijke informatie via e-mail onbeveiligd over het internet?

O Niet van toepassing, want ik heb niet te maken met vertrouwelijke informatie

O Nee, dat doe ik nooit

O Ja, maar alleen bij hoge uitzondering

O Ja, dat doe ik regelmatig

30. U wordt gevraagd om informatie met onder andere namen en contactgegevens naar een

andere gemeentelijke afdeling op te sturen. Wat is een geschikte methode voor het verzenden

van deze informatie? (Alles selecteren wat van toepassing is)

� E-mailbericht

� Een door de gemeente beschikbaar gesteld uitwisselplatform

� Cloud, bijvoorbeeld Dropbox. Google Drive, Box of Microsoft OneDrive

� Telefoon

� Persoonlijk afleveren op papier of op een USB-stick

� Interne post

31. Elektronische en papieren documenten kunnen gevoelige persoonsgegevens bevatten, zoals

burgerservicenummer (BSN), namen, gebruikerscodes, adressen et cetera. Welke uitspraak

beschrijft het beste hoe deze documenten worden verwerkt binnen uw team?

O Documenten worden niet in een speciale manier behandeld

O Documenten zijn onderworpen aan de interne procedures en het beleid om de

vertrouwelijkheid te beschermen

31

32. Binnen de gemeente <gemeente> moet zorgvuldig worden omgaan met vertrouwelijke

documenten, zoals dossiers van burgers. Dit betekent dat deze documenten zodanig moeten

worden bewaard dat ze niet door onbevoegden kunnen worden ingezien of worden

meegenomen. Gaat u zorgvuldig om met vertrouwelijke documenten?

O Nee, ik houd mij niet aan deze regels

O Ja, ik ruim vertrouwelijke documenten altijd op, zodat onbevoegden hier niet bij

kunnen

33. U slaat uw bestanden op uw bureaublad of op de harde schijf van uw computer op in plaats

van op de gemeentelijke netwerkomgeving? Dit geldt zowel voor een werk als privécomputer of

mobiel apparaat.

O Altijd

O Soms

O Zelden

O Nooit

O Ik weet het niet

34. Er staat geen informatie op uw computer of op de voor u toegankelijke gemeentelijke

netwerkomgeving dat van enig belang is of waarde heeft voor anderen. Dit geldt zowel voor

een werk als privécomputer of mobiel apparaat.

O Zeer mee eens

O Mee eens

O Neutraal

O Mee oneens

O Zeer mee oneens

35. Hoe vaak neemt u informatie mee naar huis om daar thuis aan verder te werken met uw

computer thuis?

O Bijna elke dag

O Minstens één keer per week

O Minstens één keer per maand

O Nooit

36. Hoe vaak heeft u op afstand (remote) toegang tot de gemeentelijke gedeelde schijven,

bestanden, toepassingen of uw e-mails?

O Bijna elke dag

O Minstens een keer per week

O Minstens een keer per maand

O Nooit

37. U ontvangt een e-mail van [email protected]. Opent u een email waarvan u de persoon en

organisatie niet kent om de inhoud ervan te bekijken.

O Nooit

O Soms

O Regelmatig

O Altijd

32

38. U bent aan het surfen op het internet, opeens verschijnt een scherm waarin u wordt

meegedeeld dat u een prijs heeft gewonnen. Het enige wat u daarvoor moet doen is een aantal

persoonlijke vragen te beantwoorden.

O Daar doe ik nooit aan mee.

O Daar doe ik soms aan mee, maar ik ben me bewust van de risico’s

O Daar doe ik soms aan mee, hangt af van de prijs die ik kan winnen

O Daar doe ik altijd aan mee

39. U wordt gewaarschuwd dat er nieuwe updates beschikbaar zijn voor het besturingssysteem van

uw computer. Dit geldt zowel voor een werk als privécomputer of mobiel apparaat.Wat doet u?

O Ik installeer nooit updates voor mijn computer, omdat ik niet weet hoe dit moet

O Ik installeer altijd de updates voor mijn computer

O De updates worden automatisch geïnstalleerd

40. Maakt u een back-up van de gegevens op uw computer? Dit geldt zowel voor een werk als

privécomputer of mobiel apparaat.

O Ik maak nooit een back-up van de gegevens op mijn computer

O Als ik eraan denk maak ik een back-up van de gegevens op mijn computer

O Ik maak iedere week een back-up van de gegevens op mijn computer

41. Controleert u tijdens het mobiel werken of u gebruik maakt van een veilige internetverbinding?

O Ik maak nooit gebruik van een openbaar wifinetwerk voor mijn werk

O Ik maak nooit gebruik van een openbaar wifinetwerk

O Ik maak soms gebruik van een openbaar wifinetwerk voor mijn werk

O Ik maak gebruik van een openbaar wifinetwerk als er een beschikbaar is

Communicatie

Voor informatiebeveiliging is communicatie van groot belang. Over de zorgvuldige omgang met

vertrouwelijke informatie hebben wij u in het afgelopen jaar op verschillende manieren

geïnformeerd.

42. We willen het personeel blijven informeren over het nut en de noodzaak van

informatiebeveiliging. Wat is hierover uw mening?

O Ik vind deze activiteiten zinloos

O Ik heb hierover geen mening

O Ik vind deze activiteiten zinvol

43. Om de boodschap over informatiebeveiliging te verspreiden, zetten we verschillende

communicatiemiddelen in. Op welke manier bent u iets over informatiebeveiliging te weten

gekomen? (Alles selecteren wat van toepassing is)

� Brochure informatiebeveiliging

� Artikelen in <het personeelsblad>

� Intranet

� Toelichting in het werkoverleg

� Posters

� Overig, namelijk ………………………………………………………………………..

33

44. Over welke onderwerpen die samenhangen met informatiebeveiliging wilt u nader worden

geïnformeerd?

...............................................................................................................................

...............................................................................................................................

...............................................................................................................................

...............................................................................................................................

45. Heeft u naar aanleiding van deze enquête vragen, opmerkingen of suggesties?

...............................................................................................................................

...............................................................................................................................

...............................................................................................................................

...............................................................................................................................

Wij danken u hartelijk voor uw medewerking! Uw gegevens worden in de uitslagen van de enquête

anoniem verwerkt. De resultaten worden gebruikt om de communicatie over informatiebeveiliging

verder vorm te geven.

34

Bijlage 3: Definities

Corporate Information Security Officer (CISO): Onder CISO wordt de functionaris verstaan

die bij een gemeente qua governance verantwoordelijk en aanspreekbaar is voor de

informatiebeveiliging. De CISO is de gesprekspartners voor de teamleider van de IBD, voor

beleidskwesties en voor eerste escalaties. De CISO is of wordt aangewezen door het management

van de gemeente. In alle gevallen geldt dat het rollen betreft, en back-ups dus afdoende

vastgelegd moeten zijn.

Hoax:18 In de computerwereld wordt het woord in het bijzonder gebruikt voor een vals gerucht,

een bewering die niet waar is en per e-mail wijde verspreiding vindt. In deze betekenis begint het

ook in andere talen door te dringen. Het betreft hier meestal zeer bijzondere aanbiedingen (onder

meer het beloven van grote sommen geld), reddingsacties van zieke kinderen (waardoor iemand

een telefoon roodgloeiend had staan) of een aankondiging van een uitzonderlijk gevaarlijk

computervirus. Het bericht gaat meestal vergezeld van de oproep om het bericht vooral toch

onbeperkt naar iedereen door te sturen.

Keyboard-loggers: Met een keyboard-logger wordt in dit geval een toetsenbordstekker bedoeld

die tussen het toetsenbord en de pc wordt gestoken. Deze keyboard-loggers slaan alle

toetsaanslagen op, en daarmee ook de ingetoetste gebruikersnamen en wachtwoorden. Er bestaan

ook softwarematige keyboard-loggers. Een tegenmaatregel tegen fysieke keyboard-loggers is om

regelmatig aan de buitenkant van de pc de toetsenbord aansluiting te controleren. De meeste

antivirussoftware herkent de meeste softwarematige keyboard-loggers.

Malware:19 is elke software die gebruikt wordt om computersystemen te verstoren, gevoelige

informatie te verzamelen of toegang te krijgen tot private computersystemen. Het woord is een

samenvoeging van het Engelse malicious software (kwaadwillende software). Malware wordt

gedefinieerd door middel van zijn kwaad opzet.

Phishing: Bij phishing wordt gebruik gemaakt van een e-mail waarbij de eindgebruiker wordt

verleid om zijn gebruikersgegevens, waaronder het wachtwoord, in te vullen op een malafide

website. Tegenmaatregelen die kunnen helpen zijn: gebruikmaken van een goede up-to-date

antivirusscanner en er dient aandacht te zijn voor het openen van e-mailbijlagen in

bewustwordingscursussen.

Post-it briefjes: Wachtwoorden worden soms op briefjes opgeschreven en aan de monitor

geplakt, of onder het toetsenbord of op een andere onveilige plaats bewaard. Dit dient

geadresseerd te worden in bewustwordingscursussen.

Shoulder surfing: Meekijken met het invoeren van wachtwoorden. Een tegenmaatregel is dat

men zich bewust moet zijn van deze vorm van een aanval en dat men het meekijken over de

schouder voorkomt.

Social engineering20: Is een techniek waarbij een kwaadwillende een aanval tracht te

ondernemen door de zwakste schakel in de beveiliging, namelijk de mens, te kraken. De aanval is

18 http://nl.wikipedia.org/wiki/Hoax 19 http://nl.wikipedia.org/wiki/Malware 20 http://nl.wikipedia.org/wiki/Social_engineering_%28informatica%29

35

erop gericht om vertrouwelijke of geheime informatie los te krijgen, waarmee de kwaadwillende

dichter bij het aan te vallen object/doel kan komen.

Spam:21 is een verzamelnaam voor ongewenste berichten en is ook bekend als Unsolicited

Commercial E-mail en Unsolicited Bulk E-mail. Onder deze term vallen ongewenste e-mails en

reclameboodschappen op websites.

21 http://nl.wikipedia.org/wiki/Spam_%28post%29

36

Bijlage 4: Literatuur/bronnen

Voor deze publicatie is gebruik gemaakt van onderstaande bronnen:

Titel: SP 800-50 -Building an Information Technology Security Awareness and Training

Program

Wie: National Institute of Standards and Technology(NIST)

Datum: oktober 2003

Link: http://csrc.nist.gov/publications/nistpubs/800-50/NIST-SP800-50.pdf

Titel: Diverse documenten

Wie: Informatiebeveiliging in de zorg - Werken met NEN 7510

Datum: 2012

Link: https://www.werkenmetnen7510.nl/

Titel: Security awareness in de praktijk

Wie: Platform voor InformatieBeveiliging (PVIB)

Datum: juni 2007

Link: https://www.pvib.nl/download/?id=6474256&download=1

Titel: Security Awareness bij outsourcing


Datum: juni 2007


Titel: Het meten van informatiebeveiligingsbewustzijn


Datum: juni 2007


37

INFORMATIEBEVEILIGINGSDIENST V00R GEMEENTEN (IBD) NASSAULAAN 12 2514 JS DEN HAAG POSTBUS 30435 2500 GK DEN HAAG HELPDESK 070 373 80 11 ALGEMEEN 070 373 80 08 FAX 070 363 56 82 [email protected] WWW.IBDGEMEENTEN.NL

Documents

15-0320 Handreiking communicatieplan informatiebeveiliging v1 0