IMPLEMENTATIE BIG

Een van de producten uit de operationele variant van de Baseline Informatiebeveiliging Nederlandse gemeenten (BIG)

2

Colofon

Naam document

Implementatie BIG

Versienummer

1.01

Versiedatum

augustus 2016

Versiebeheer

Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).

Copyright

© 2013-2016 Kwaliteitsinstituut Nederlandse Gemeenten (KING).

Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor

het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en

overheidsorganisaties.

Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af

te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden:

1. KING wordt als bron vermeld;

2. het document en de inhoud mogen commercieel niet geëxploiteerd worden;

3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker

berusten, blijven onderworpen aan de beperkingen opgelegd door de KING;

4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze

paragraaf vermelde mededeling.

Rechten en vrijwaring

KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te

verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave

voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen

aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud

van de uitgave of door de toepassing ervan.

Wijzigingshistorie

Versie Datum Opmerkingen

1 26 augustus 2013

Initiele versie

1.0.1 Augustus 2016

Taskforce BID verwijderd, WBP vervangen door Wbp, GBA vervangen door BRP, IT vervangen door ICT en contactgegevens IBD aangepast. Links hersteld.

3

Voorwoord

De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het

Kwaliteitsinstituut Nederlandse Gemeenten (KING). De IBD is de sectorale CERT / CSIRT voor alle

Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van

informatiebeveiliging. De IBD is voor gemeenten het schakelpunt met het Nationaal Cyber Security

Centrum (NCSC). De IBD beheert de Baseline Informatiebeveiliging Nederlandse Gemeenten

(BIG) en geeft regelmatig kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen

gemeenten onderling, met andere overheidslagen, met vitale sectoren en met leveranciers.

De IBD heeft de volgende doelen:

1. het preventief en structureel ondersteunen van gemeenten bij het opbouwen en

onderhouden van bewustzijn als het gaat om informatiebeveiliging.

2. het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke

aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging.

3. het bieden van gerichte projectmatige ondersteuning op deelgebieden om

informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De

ondersteuning die de IBD biedt bij het ICT-Beveiligingsassessment DigiD is een voorbeeld

van een dergelijk project.

4. het faciliteren van kennisdeling tussen gemeenten op het vlak van informatiebeveiliging.

Hoe realiseert de IBD haar doelen?

Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline

Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de

gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft

twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn

beschikbaar voor alle gemeenten op de community van de IBD, zodat door iedere gemeente tot

implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze

baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie ‘in

control’ is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische en

Tactische Baseline te ondersteunen, zijn door de IBD in samenwerking met de Taskforce Bestuur

en Informatieveiligheid Dienstverlening producten ontwikkeld op operationeel niveau. Dit heeft een

productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten.

Onderhavig product is onderdeel van het productenportfolio.

Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld.

Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website

van de IBD.

De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de

regels. Hierbij geldt:

- Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI,

BAG en PUN, maar ook de archiefwet.

- Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging

Nederlandse Gemeenten (BIG).

- De gemeente stelt dit normenkader vast, waarbij er ruimte is voor afweging en prioritering

op basis van het ‘pas toe of leg uit’ principe.

4

Leeswijzer

Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging

Nederlandse Gemeenten (BIG).

Doel

Het doel van de ‘Implementatie BIG’ is om binnen de gemeente te toetsen of en in welke mate de

gemeente voldoet aan de maatregelen uit de Baseline Informatiebeveiliging Nederlandse

Gemeenten (BIG).

Doelgroep

Het management van de gemeente en de verantwoordelijke, die onderzoekt of en in welke mate de

BIG binnen de gemeente is ingevoerd.

Relatie met overige producten

Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

o Strategische variant van de Baseline Informatiebeveiliging voor Gemeenten

o Tactische variant van de Baseline Informatiebeveiliging voor Gemeenten

GAP-analyse

Toelichting op GAP-analyse

Voorbeeld Informatiebeveiligingsbeleid Gemeenten

Geheimhoudingsverklaringen

Rubricering beleid gemeenten

Risicoanalyses gemeenten

Maatregelen tactische variant van de Baseline Informatiebeveiliging Nederlandse

Gemeenten (BIG)

Geen specifieke maatregel

5

Inhoud

1 Introductie 6 1.1 Inleiding 6

1.2 Uitgangspunten 6

2 Achtergrondinformatie 8 2.1 De rol van het bestuur en het management 8

2.2 Verschil in perceptie 9

3 Implementatie 11 3.1 Stap 1: Management commitment 11

3.2 Stap 2: Benoem verantwoordelijken 11

3.3 Stap 3: Voer een GAP-analyse uit 11

3.4 Stap 4: Benoem Quick Wins 12

3.5 Stap 5: De Impactanalyse 13

3.6 Stap 6: Goedkeuring van het management 14

3.7 Stap 7: Maak een Informatiebeveiligingsplan 15

6

1 Introductie

1.1 Inleiding

Met alleen een Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) is het werk nog niet

af. De volgende stap is het implementeren van de BIG. Dit document geeft een handreiking over

hoe dit kan worden aangepakt.

De BIG staat niet op zichzelf, maar is een samenhangende set van maatregelen die in

overeenstemming gebracht is met andere initiatieven zoals de Baseline Informatiebeveiliging voor

het Rijk (BIR). Daarnaast zijn er initiatieven bij onder andere de waterschappen en provincies, die

in lijn met de BIG lopen. Alle varianten van de Baseline Informatiebeveiliging Nederlandse

Gemeenten hebben gemeen dat ze gebaseerd zijn op de ISO 27001 en 27002. Deze normen

gelden als verplichte open standaard voor de overheid en staan op de ‘pas toe of leg uit’-lijst van

het Forum Standaardisatie.

Het implementeren van de BIG kan het beste in een aantal stappen gebeuren. Iedere stap is

afhankelijk van de voorgaande stap en is belangrijk voor de volgende stap. Iedere stap heeft een

bepaald doel en het resultaat is een gecontroleerde invoering van de BIG met een verankering

binnen de organisatie. De implementatie van de BIG is niet binnen één jaar afgerond. Afhankelijk

van de uitkomsten van de GAP-analyse en de prioritering kan het zijn dat sommige maatregelen

pas na een aantal jaren geïmplementeerd zijn. In het implementatieplan (het

Informatiebeveiligingsplan voor gemeenten) wordt dit allemaal vastgelegd.

1.2 Uitgangspunten

De BIG geldt als dé minimale set van maatregelen, die gemeente breed ingevoerd moeten worden.

Ongeacht het proces of het systeem, de BIG geldt voor alle bedrijfsvoeringsprocessen van de

gemeente. Deze aanpak is handig, omdat een uitsplitsing naar verschillende organisatieonderdelen

dan wel sub-processen er toch voor zorgt dat ongeveer dezelfde lijst aan maatregelen

geïmplementeerd gaat worden. Sommige maatregelen werken van zichzelf organisatiebreed,

sommige gelden voor iedereen en sommige werken efficiënter en effectiever als ze centraal

opgepakt worden.

De voordelen van een ’Implementatie BIG’ zijn:

Er hoeft niet voor ieder proces of systeem een risicoanalyse uitgevoerd te worden;

Bij een ’Implementatie BIG’ sluiten gemeenten onderling, maar ook overheid breed, beter

bij elkaar aan. De keten is zo sterk als de zwakste schakel;

Alle gemeenten hanteren en gebruiken dezelfde norm;

Alle gemeenten kunnen onderling informatie uitwisselen, die betrekking heeft op deze BIG,

zoals beleid, proces en procedure beschrijvingen over onderwerpen op gebied van

informatiebeveiliging;

De BIG ondersteunt gemeenten en maakt het gemeenten gemakkelijker om bewust veilig

te zijn. Incidenten zijn niet te voorkomen, 100% veilig bestaat niet, maar door juist

gebruik van de BIG kan voorkomen worden dat een incident meer impact krijgt dan nodig

is.

7

Na het toetsen of de BIG maatregelen gemeentebreed bestaan en de implementatie van

ontbrekende maatregelen is gestart, is het zinvol om te toetsen of er systemen zijn die

meer maatregelen nodig hebben door middel van het document “rubricering beleid”. Indien

hier uit blijkt dat meer maatregelen nodig zijn moet vervolgens gestart worden met het

uitvoeren van een aanvullende risico analyse. Bij deze risico analyse heeft het management

een cruciale rol. Dit wordt hier verder niet behandeld.

8

2 Achtergrondinformatie In de tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten hoofdstuk 3

zijn de stappen beschreven voor de implementatie van de BIG. Voordat begonnen kan worden met

deze stappen volgt in dit hoofdstuk nog enige achtergrondinformatie.

2.1 De rol van het bestuur en het management

Het bestuur en management speelt een cruciale rol bij het uitvoeren van het

informatiebeveiligingsbeleid. Zo maakt het management een inschatting van het belang dat de

verschillende delen van de informatievoorziening voor de gemeente hebben, de risico’s die de

gemeente hiermee loopt en welke van deze risico’s onacceptabel hoog zijn. Op basis hiervan zet

het management het beleid voor informatiebeveiliging op, draagt dit uit naar de organisatie en

ondersteunt en bewaakt de uitvoering ervan.

Het management moet informatiebeveiliging zien als een integraal onderdeel van de

bedrijfsvoering, specifiek gericht op het beheersen van de risico’s ten aanzien van de processen, de

informatiesystemen en de onderliggende ICT-infrastructuur. Evenals andere onderdelen binnen

bedrijfsvoering heeft informatiebeveiliging structurele aandacht van het management nodig. Het

management en daarnaast ook de informatiemanager zal voldoende kennis en inzicht op het

gebied van informatiebeveiliging moeten hebben om de juiste keuzes te kunnen maken. Het

management kan weliswaar allerlei werk op het gebied van informatiebeveiliging delegeren of

uitbesteden, maar de eindverantwoordelijkheid voor informatiebeveiliging en het maken van de

primaire keuzes ligt bij het management. Het management is ook verantwoordelijk voor het

aanwijzen van de medewerkers, die een rol krijgen bij de informatiebeveiliging en het toewijzen

van de daarbij behorende taken, verantwoordelijkheden en bevoegdheden. Met het toewijzen van

taken, bevoegdheden en voldoende tijd en middelen, wordt een begin gemaakt met de invulling

van informatiebeveiliging. Bovendien moeten de betreffende medewerkers kunnen rekenen op

voldoende steun van het management en moet er aandacht worden besteed aan de rapportages

over beveiligingsincidenten en de behaalde resultaten1. Vanzelfsprekend dienen incidenten dan ook

te worden gemeten en moet duidelijk zijn hoe moet worden gehandeld als zij zich voordoen. Snel

en in beslotenheid handelen is dan cruciaal, anders zijn sporen al uitgewist.

Bij het toewijzen van taken, verantwoordelijkheden en bevoegdheden spelen twee aspecten een

rol:

1. het eigenaarschap van processen en informatiesystemen en;

2. de beveiligingstaken.

Het eigenaarschap van processen en informatiesystemen ligt in het algemeen bij lijnmanagers. Een

lijnmanager is eigenaar van de processen en systemen binnen zijn organisatieonderdeel. De

lijnmanager moet er onder meer voor zorgen dat zijn processen en informatiesystemen voldoende

beveiligd zijn. De taken die hiervoor uitgevoerd moeten worden kan de manager delegeren of

uitbesteden. Het is ook goed mogelijk om de informatiebeveiliging naar een hoger niveau te tillen

door het uitvoeren van een apart project, waarbij aandacht moet zijn voor inbedding in de

organisatie, projecten zijn immers eindig.

1 Beveiligingsincidenten worden uitgelegd in het document ‘incident management en response beleid’

9

De belangrijkste beveiligingsfunctie ligt bij het management. Het management is uiteindelijk

verantwoordelijk voor de centrale coördinatie en aansturing van de informatiebeveiliging.

Belangrijk is dus dat het management kennis neemt van in elk geval de strategische variant van de

Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Binnen het managementteam is in

het algemeen één persoon de portefeuillehouder voor informatiebeveiliging. De overige

beveiligingstaken komen grotendeels terecht bij verschillende beveiligingsfuncties. De belangrijkste

hiervan zijn:

• De informatiebeveiligingsfunctionaris;

• De stuurgroep informatiebeveiliging;

• De informatiebeveiligingsauditor;

• Het projectteam informatiebeveiliging.

2.2 Verschil in perceptie

Bij het opstarten van de Implementatie BIG en het informeren van de directie hierover is het goed

te bedenken dat er een verschil in perceptie is. De BIG is geschreven op een best practice

beveiligingscurve gebaseerd op de BIR en de ISO. Bij beveiligen is er altijd een spanningsveld

tussen: ‘hoeveel functionaliteit wil ik overhouden’, ‘hoeveel wil ik beveiligen’, ‘welk restrisico ben ik

bereid te lopen’ en ‘hoeveel mag het kosten’? Dit verschil in perceptie is goed beschreven in een

artikel van Marcel Spruit: http://www.marcelspruit.nl/papers/bewust_veilig.pdf

Daarnaast is het goed te beseffen dat er op het gebied van informatiebeveiliging een driehoek te

herkennen is: (lijn)managers, beveiligers en gebruikers. De meeste aandacht wordt besteed aan

de gebruikers, maar uit onderzoek is gebleken dat zij vaak niet de veroorzaker zijn van de grootste

bedreigingen. Juist het spanningsveld tussen (lijn)managers en beveiligers levert een veel groter

risico op. Managers zien bijvoorbeeld grote mogelijkheden om de bedrijfsvoering efficiënter te

maken door toepassing van het BYOD principe en de ICT-kosten te beheersen door het inzetten

10

van Cloud-oplossingen. Maar het realiseren van deze doelstelling introduceert nieuwe

beveiligingsrisico's die eveneens adequaat geadresseerd moeten worden.

11

3 Implementatie De voorgestelde volgorde in dit hoofdstuk is gebaseerd op de volgorde uit hoofdstuk 3 van de

tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). De daar

benoemde stappen worden in deze beschrijving van de aanpak aangevuld met een aantal extra

stappen die belangrijk zijn voor een soepele implementatie van de BIG. De volgende stappen zijn

onderkend:

1. Management Commitment

2. Benoem verantwoordelijken

3. Voor een GAP-analyse uit

4. Benoem Quick Wins

5. De Impactanalyse

6. Goedkeuring van het management

3.1 Stap 1: Management commitment

Het implementeren van een BIG vraagt om commitment en besluitvorming van het bestuur en

management. Zij moeten bewust besluiten om de BIG als norm voor het basisbeveiligingsniveau

van de gemeente te omarmen op basis van een eigen risicoafweging. Het invoeren van een BIG

kan het beste projectmatig worden aangepakt en er zijn middelen nodig in de vorm van tijd en

geld. Als informatiebeveiliging nog niet belegd is of de verantwoordelijkheden onduidelijk zijn moet

dit als eerste worden gerealiseerd door het management van de gemeente. Daarnaast zal het

bestuur en management het besluit moeten nemen de BIG te implementeren. Dit document bevat,

samen met de strategische variant Baseline Informatiebeveiliging Nederlandse Gemeenten,

voldoende uitleg over waarom je de BIG zou moeten gebruiken als basisbeveiligingsniveau voor

informatiebeveiliging.

3.2 Stap 2: Benoem verantwoordelijken

Een BIG bestaat uit maatregelen die aan verschillende groepen mensen kan worden toegewezen.

Zo zijn er maatregelen voor de afdeling P&O, voor systeembeheer of bijvoorbeeld de facilitaire

dienst. Daarnaast zijn maatregelen op te splitsen in procedurele maatregelen, beleid, technische

(ICT) maatregelen en fysieke bouwkundige maatregelen. Maatregelen hangen met elkaar samen.

Zo worden technische maatregelen soms genomen om organisatorische maatregelen uitvoerbaar te

maken of af te dwingen. Zie voor een nadere uitleg hoofdstuk 3.1 van de tactische variant van de

Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).

3.3 Stap 3: Voer een GAP-analyse uit

Bij de GAP-analyse wordt eerst gekeken naar wat er al is versus wat er volgens de BIG zou

moeten zijn. De uitkomst van de GAP-analyse is een lijst met maatregelen die ontbreken en die

12

geïmplementeerd moeten gaan worden. De GAP-analyse wordt ondersteund met een spreadsheet

(GAP-analyse.xlsx) waarin alle maatregelen staan uit de tactische variant van de Baseline

Informatiebeveiliging Nederlandse Gemeenten (BIG) met daarbij een te beantwoorden vraag. Er

kan worden aangegeven of een maatregel wel, niet of gedeeltelijk genomen is. Er kan voorts een

vindplaats, waar de maatregel aangetroffen is als het om een document of policy gaat, of

opmerking geplaatst worden. Iedere maatregel moet een eigenaar hebben en ook dit kan worden

ingevuld. In het status veld kan worden ingevuld of een maatregel een geaccepteerd risico is.

Vervolg:

De uitkomst van de GAP-analyse is een lijst met maatregelen, die genomen zijn of nog genomen

moeten worden. In de Excel-spreadsheet kan men in één oogopslag zien hoe het staat met het

totaal van de maatregelen per hoofdstuk van de tactische variant van de Baseline

Informatiebeveiliging Nederlandse Gemeenten (BIG). Het diagram in dit tabblad kan gebruikt

worden om de voortgang zichtbaar te maken voor het management.

Een maatregel hoeft in deze fase nog geen eigenaar te hebben. Als een maatregel reeds genomen

is of gedeeltelijk aanwezig is, dan zou er een eigenaar moeten zijn. Het is belangrijk dat er niet

gezocht wordt naar een eigenaar in de zin van GBA of BAG of DigiD. Deze eigenaren houden zich

alleen bezig met een maatregel specifiek voor hun onderdeel (b.v. burgerzaken of de DigiD-

koppeling) en niet gemeentebreed aangaande informatiebeveiliging. De BIG geldt gemeentebreed.

3.4 Stap 4: Benoem Quick Wins

De Quick Wins zijn maatregelen die met relatief weinig inspanning veel effect hebben. Quick Wins

bestaan voor het overgrote deel uit procedurele maatregelen, maar ook uit maatregelen die een

gemeente (snel) veel opleveren. Zo zijn er maatregelen die ervoor zorgen dat een gemeente

sneller meldingen ontvangt van mogelijke bedreigingen via de IBD, of dat een gemeente alleen

meldingen krijgt die op haar van toepassing zijn. Als laatste is er een maatregel die het bewustzijn

op het gebied van informatiebeveiliging vergroot en daarom meteen al vanaf het begin ingezet kan

worden: bewustwording.

BIG Nummer Hoofdgroep Groep Maatregel Vraag

5.1.1.1 5. BeveiligingsbeleidBeleidsdocumenten voor

informatiebeveiliging

[A] Er is een beleid voor informatiebeveiliging door het College

van Burgemeester en Wethouders vastgesteld, gepubliceerd en

beoordeeld op basis van inzicht in risico’s, kritische

bedrijfsprocessen en toewijzing van verantwoordelijkheden en

prioriteiten.

Is er een door de organisatie vastgesteld en gepubliceerd

informatiebeveiligingsbeleid op basis van de BIG en zijn daarin

verantwoordelijkheden op basis van de baseline benoemd?

Opsteller :

Datum :

gemeentenaam:

Aanwezig Vindplaats / opmerking Eigenaar Status Actiehouder Wanneer gereed? Geaccepteerd risico?

onbekend Nog niet onderzocht

DEEL 1 (GAP-Analyse) DEEL 2 (IMPACT-Analyse)

13

De Quick Wins worden op basis van gemeentelijke omstandigheden of lokaal beleid bepaald op

basis van een risico afweging door het management. Dit lijstje van maximaal 10 maatregelen

wordt vooral bepaald door de manier van werken binnen een gemeente of bijvoorbeeld het gebruik

van informatiesystemen, maar ook door de reeds aanwezige mate van informatiebeveiliging. Het

zijn maatregelen waarmee op korte termijn gestart kan worden of het zijn maatregelen die het

grootste risico afdekken.

Enige voorbeelden van Quick Wins zijn: antivirusbeleid, clear desk en clear screen beleid,

sleutelprocedures, toewijzen van verantwoordelijkheden en opleidingen.

De hieronder benoemde maatregelen zouden volgens de IBD in elk geval onderdeel moeten zijn

van de Quick Wins:

IB-Beleid (BIG, hfdst 5)

Borgen van betrouwbare dienstverlening en een aantoonbaar niveau van

informatiebeveiliging dat voldoet aan de relevante wetgeving, algemeen wordt

geaccepteerd door haar (keten-)partners en er mede voor zorgt dat de kritische

bedrijfsprocessen bij een calamiteit en incident voortgezet kunnen worden.

Beheer informatiebeveiligingsincidenten (BIG, hfdst 13.2)

Bewerkstelligen dat een consistente en doeltreffende benadering wordt toegepast voor het

beheer van informatiebeveiligingsincidenten.

Bewustwording (BIG, hfdst 8.2.2)

Alle werknemers van de organisatie en, voor zover van toepassing, ingehuurd personeel en

externe gebruikers, behoren geschikte training en regelmatig bijscholing te krijgen met

betrekking tot beleid en procedures van de organisatie, voor zover relevant voor hun

functie.

BCM / DRP (Business Continuïty Management en Disaster Recovery Planning) (BIG hfdst

14)

Tegengaan van onderbreking van bedrijfsactiviteiten en bescherming van kritische

bedrijfsprocessen tegen de gevolgen van omvangrijke storingen in informatiesystemen of

rampen en om tijdig herstel te bewerkstelligen.

3.5 Stap 5: De Impactanalyse

Nadat bij de GAP-analyse in kaart is gebracht, welke maatregelen wel of niet genomen zijn, volgt

de Impactanalyse. De Impactanalyse geeft antwoord op de vraag in welke volgorde maatregelen

geïmplementeerd gaan worden. Dit is belangrijk omdat niet alle ontbrekende maatregelen in één

keer genomen kunnen worden. Afwegingen hierbij zijn:

Geaccepteerd risico;

Beschikbaar budget;

Wachten op maatregelen die beter eerder uitgevoerd kunnen worden;

Ontwikkelingen op het gebied van uitbesteding of samenwerking;

14

Landelijke ontwikkelingen.

De Impactanalyse concentreert zich op de kosten dan wel de tijd en moeite die nodig is om een

maatregel te implementeren. De uitkomst van de Impactanalyse is de GAP tussen wat er al is en

wat er nog niet is én een volgorde voor de implementatie van de maatregelen. Er is een opzet

gemaakt waarin eigenaren benoemd zijn voor iedere maatregel; een maatregel zonder eigenaar en

aansturing wordt niet genomen.

De Impactanalyse kan worden ondersteund met een spreadsheet (zie hiervoor de laatste versie

van de GAP-analyse spreadsheet, beschikbaar via de website van de IBD). Voor de meeste

procedurele maatregelen (beleid, procesbeschrijvingen en procedures) zijn sjablonen en

voorbeelddocumenten opgesteld door de IBD2.

3.6 Stap 6: Goedkeuring van het management

Het resultaat van bovenstaande stappen moet geaccordeerd en afgestemd worden met het

management, bij voorkeur middels een presentatie. Doel is dat het management:

Instemt met de uitkomsten van de Impactanalyse en met de voorgestelde implementatie

weg;

Instemt met de te verwachte kosten in de zin van tijd en geld;

Beslist welke maatregelen als een geaccepteerd risico niet genomen gaan worden. Voor

iedere maatregel, die niet genomen gaat worden moet een gedocumenteerd management

besluit opgesteld worden en het management moet deze tekenen voor het geaccepteerde

risico en;

Besluit wie eigenaar wordt van een maatregel als deze wel geïmplementeerd moet gaan

worden. Het is aan te bevelen om een eigenaar te zoeken die ‘dicht bij’ de maatregel zit.

Als de ‘GAP’ groot is, dan is het beter om bij bovenstaande punten te focussen op hoofddoelen

i.p.v. specifieke maatregelen. Laat vooral ook zien wat al wel geïmplementeerd is. Het is aan te

bevelen om te praten op het niveau van het management. Het management heeft minder belang

bij kennis van technische maatregelen of detailmaatregelen, daarom is het belangrijk om risico’s te

benaderen vanuit management perspectief.

De uitkomst van deze stap moet zijn:

De instemming van het management met de afgelegde weg;

De instemming van het management met de weg die nog te gaan is, inclusief de prioritering van de ontbrekende maatregelen en de aanwijzing van maatregeleigenaren of –eigenaar – en;

De wijze van rapporteren aan het management over het vervolg en de frequentie waarop dat moet gebeuren.

2 Zie de website van de IBD op: www.IBDgemeenten.nl

15

3.7 Stap 7: Maak een Informatiebeveiligingsplan

Als het management instemming verleend heeft voor het gevoerde beleid en planvorming voor de

toekomst is het belangrijk dit in te bedden in de Plan – Do – Check – Act (PDCA) -cyclus. Het

inbedden in de PDCA-cyclus zorgt ervoor dat er in de toekomst tijd en geld vrijgemaakt wordt voor

het onderwerp informatiebeveiliging. Het informatiebeveiligingsplan wordt bij voorkeur gemaakt

door de CISO of gelijkwaardig. De rapportages over de voortgang zorgen ervoor dat het op de

agenda blijft staan en continue aandacht krijgt op verschillende niveaus in de organisatie. De basis

voor een planmatige aanpak en het implementeren en borgen van informatiebeveiliging is het

Informatiebeveiligingsplan. Het Informatiebeveiligingsplan beschrijft de uitkomst van de hiervoor

uitgevoerde stappen. In het Informatiebeveiligingsplan is vastgelegd welke maatregelen genomen

zijn, welke maatregelen nog genomen moeten worden en welke besluiten daarover genomen zijn.

Bij bepaalde hoofdstukken kan worden verwezen naar externe documenten of bijlagen. Een

voorbeeld hiervan is het overzicht van bedrijfsmiddelen of de functiebeschrijvingen van het

beveiligingspersoneel. Het Informatiebeveiligingsplan is een ‘levend’ document. Het moet minimaal

jaarlijks worden bijgesteld (zie artikel 15.2.1.2 van de tactische variant van de Baseline

Informatiebeveiliging Nederlandse Gemeenten (BIG).

,

16

INFORMATIEBEVEILIGINGSDIENST V00R GEMEENTEN (IBD)

NASSAULAAN 12 2514 JS DEN HAAG

POSTBUS 30435 2500 GK DEN HAAG HELPDESK 070 373 80 11 ALGEMEEN 070 373 80 08 FAX 070 363 56 82

INFO@IBDGEMEENTEN.NL WWW.IBDGEMEENTEN.NL