Sinds 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. Hiermee is één gezamenlijk normenkader voor informatiebeveiliging ontstaan voor alle overheidslagen. De allereerste maatregel uit de BIO, en ook gelijk de belangrijkste, is het hebben van een informatiebeveiligingsbeleid. Maar hoe schrijf je een goed beleid dat niet in de kast belandt, maar waar je vervolgens ook echt iets mee kunt?

5.1.1

Het opstellen van een informatiebeveiligingsbeleid is een maatregel op BBN1 niveau, dit betekent dat alle overheidslagen deze maatregel moeten implementeren. Het doel van een informatiebeveiligingsbeleid en het toepassen ervan, is het beschermen van informatie van burgers, bedrijven en ketenpartners en een verbetering van de informatieveiligheid. In het beleid staan o.a. de uitgangspunten voor het juiste niveau van informatiebeveiliging voor de gemeente. Maar denk ook aan de strategische uitgangspunten en randvoorwaarden die de gemeente hanteert voor informatiebeveiliging, de organisatie van de informatiebeveiligingsfunctie (verantwoordelijkheden, taken en bevoegdheden), de bevordering van het beveiligingsbewustzijn van de organisatie, et cetera.

Het hebben van een dergelijk beleid is relevant voor de gemeente omdat het de vereiste sturing geeft aan de organisatie en omdat het management aan de hand hiervan aan alle medewerkers communiceert wat informatiebeveiliging betekent en wat er van iedereen verwacht wordt. Het moet dan ook een duidelijk beeld geven van de dagelijkse context waar directie, lijnmanagement én medewerkers zich in herkennen.

Het beleid heeft onder andere een relatie met:

1. De organisatiedoelstellingen – Zorg dat de doelstellingen met betrekking tot informatiebeveiliging aansluiten bij de bedrijfsvoering of in het verlengde liggen hiervan. Een verbinding met het collegeakkoord of vergelijkbaar ligt voor de hand. 
2. Relevante wet- en regelgeving – Denk aan het afleggen van verantwoording aan interne en externe auditors of de Autoriteit Persoonsgegevens (AP).
3. Risicomanagement – De dreigingen op informatiebeveiligingsvlak waar de gemeente mee te maken heeft.

In vijf stappen een goed informatiebeveiligingsbeleid

Er zijn een aantal stappen die een belangrijke rol spelen bij het opstellen en implementeren van een goed informatiebeveiligingsbeleid.

Stap 1: Schrijf een informatiebeveiligingsbeleid dat als kapstok dient voor onderliggende afspraken en procedures

Het informatiebeveiligingsbeleid geeft op strategisch niveau richting aan meer gedetailleerde tactische en operationele beleidskaders en richtlijnen waarin het informatiebeveiligingsbeleid verder is uitgewerkt én vormt een leidraad voor het handelen van iedere medewerker, zowel intern als extern. Ieder individu is immers verantwoordelijk voor het veilig omgaan met vertrouwelijke informatie. Houd er rekening mee dat het beleid niet te langdradig wordt. Het beleid moet begrijpelijk en te onthouden zijn voor iedereen binnen de gemeente. Wees dus concreet en creëer overzicht.

Om je op weg te helpen en om een beeld te krijgen van hoe zo’n beleid eruitziet kan je een standaard template gebruiken, bijvoorbeeld het template van de IBD. Let wel op, dit template is bedoeld als uitgangspunt. Het is dus niet de bedoeling noch aan te raden dat je dit één op één kopieert en invult voor je eigen gemeente. Het template moet worden aangepast aan de eigen gemeente om echt van toegevoegde waarde te kunnen zijn. Besteed hier dus voldoende aandacht aan en stap niet in de ‘MS Word zoek en vervang’ valkuil.

Stap 2: Laat het beleid reviewen door betrokken partijen

Eén van de belangrijkste stappen voor een goede adoptie en bestuurlijke vaststelling van het beleid. Het kennisniveau op het gebied van informatiebeveiliging in de organisatie verschilt namelijk. Laat het beleid daarom op leesbaarheid en haalbaarheid toetsen door enkele medewerkers en managementleden. Zo krijg je een goed beeld van hoe het beleid in de praktijk uitwerkt en of het aansluit op het kennisniveau van de organisatie. In de praktijk zien we vaak dat deze stap wordt overgeslagen. Zonde, want juist deze partijen zullen zich aan het beleid moeten committeren. Het is dus belangrijk om in samenwerking met hen tot een gezamenlijk gedragen en goed leesbaar beleid te komen. Tip: organiseer een sessie voor het ophalen van de feedback.

Stap 3: Laat het beleid vaststellen door het college van B&W

Als je wilt dat informatiebeveiliging écht succesvol geïmplementeerd wordt, dan moet je zorgen voor commitment op het hoogste niveau. Zorg dus voor agendering op de bestuurlijke agenda. Bestuurders zijn verantwoordelijk voor kaderstelling en moeten het beleid dus (mede) formuleren, ondersteunen en, belangrijk, uitdragen naar de rest van de organisatie. Het moet onderdeel zijn van besluitvorming, zodat er kan worden bijgestuurd indien nodig.

Naast het beleidsdomein, bestaan er ook nog het uitvoeringsdomein en het controledomein. We schreven uitgebreid over de hieraan gekoppelde SIVA-methodiek. Het is logisch om in het beleidskader ook uitspraken te doen over rapportages en controles (audits). Plan-Do-Check-Act, toch?

Stap 4: Implementeer het beleid

Het hebben van een informatiebeveiligingsbeleid is een begin. Maar dan begint het werk. Voor een goede implementatie van het beleid moet je namelijk zorgen dat het beleid, inclusief de richtlijnen, gepubliceerd en gecommuniceerd wordt naar de rest van de organisatie (interne/externe medewerkers en leveranciers). Daarbij is het belangrijk om het strategisch beleid verder uit te werken in onderliggende documenten, namelijk de tactische beleidskaders (bijvoorbeeld logische toegang, fysieke toegang, logging, encryptie, wachtwoord, clean desk en clear screen etc.) en de operationele richtlijnen, die als leidraad dienen voor het handelen van iedere medewerker. Ook hiervoor geldt weer dat deze gepubliceerd en gecommuniceerd moeten worden naar de relevante delen van de organisatie.

Zorg daarnaast ook voor communicatieve maatregelen (een bewustwordingscampagne) gericht op beveiligingsbewustzijn van medewerkers. Medewerkers dienen te weten wat er van hen verwacht wordt qua gedrag of wat hun gedrag voor invloed kan hebben op aanwezige risico’s als zij zich niet houden aan de beveiligingsregels. Zorg bijvoorbeeld dat medewerkers een passende bewustzijnsopleiding en/of -training krijgen en regelmatig actuele informatie over interne beleidsregels en procedures, voor zover relevant voor hun functie.

Stap 5: Reviewen/Rapporteren

Informatiebeveiliging betekent niet eenmalig een checklist doorlopen (implementatie), alle vinkjes zetten en klaar. Het is een continu proces waar je als gemeente aan moet blijven werken. Elke dag brengt nieuwe uitdagingen, projecten, processen et cetera. Daarom is het belangrijk om:

1. Periodiek (bijvoorbeeld jaarlijks) als CISO te controleren wat de status is van het informatiebeveiligingsbeleid; Klopt het beleid nog steeds? Sluit het aan bij externe ontwikkelingen en wordt het ook opgevolgd? Stel het beleid bij indien nodig. Dit past ook bij het snel veranderende omgevingsbeeld op dit vlak en de bijhorende dreigingen/risico’s. Tip: neem de frequentie waarmee het informatiebeveiligingsbeleid wordt geëvalueerd ook op in het beleid zelf.
2. De implementatie van de beveiligingsmaatregelen te evalueren op efficiëntie en effectiviteit. Wat is de verhouding tussen de kosten van een maatregel en de omvang van het risico dat beheerst wordt (efficiëntie) en, worden door de maatregelen ook daadwerkelijk de beoogde risico’s verlaagt (effectiviteit)?

In de praktijk zien we dat dit laatste weinig gebeurt. Hierdoor wordt soms veel geld uitgegeven aan maatregelen die in de praktijk weinig toevoegen aan informatiebeveiliging of beheersing van risico’s en soms zelfs onnodig het werk hinderen. Net zoals de gemeente geen baat heeft bij te weinig maatregelen, heeft de gemeente ook geen baat bij de verkeerde maatregelen of te veel maatregelen. Het is dus belangrijk om hier een goed evenwicht in te vinden. De AVG stelt in artikel 32 immers niet voor niets: “…passende technische en organisatorische maatregelen…”

Ik hoop je met deze blog meer inzicht te hebben gegeven in de stappen die nodig zijn voor het opstellen van een goed informatiebeveiligingsbeleid en dito implementatie. Heb je naar aanleiding van deze blog aanvullende vragen of hulp nodig bij het opstellen van een informatiebeveiligingsbeleid, dan helpen we je graag. Dus neem gerust contact met ons op.