Informatieveiligheid

Gemeenten zijn verantwoordelijk voor de kwaliteit van hun informatieveiligheid. Het adequaat inrichten van een verantwoordingsproces is daarbij essentieel. Vanaf 1 april 2018 is een Coördinator Informatieveiligheid) (CISO) aangesteld, die tevens ook voor Woensdrecht wordt ingezet. De CISO is verantwoordelijk voor het implementeren van, en toezicht houden op het informatiebeveiligingsbeleid binnen de gemeente. De CISO heeft een centrale rol in het beheren van alle processen die daarmee te maken hebben en moet daarbij voldoen aan de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG); een set van organisatorische en technische beveiligingsmaatregelen die geïmplementeerd en beheerd dient te worden.

Met behulp van de ENSIA (Eenduidige Normatiek Single Information Audit) wordt door eenmalige informatieverstrekking aan toezichthouders en een eenmalige IT-audit verantwoording afgelegd. ENSIA heeft tot doel het verantwoordingsproces over informatieveiligheid bij gemeenten verder te professionaliseren door het toezicht te bundelen en aan te sluiten op de gemeentelijke Planning & Control-cyclus. ENSIA is een gezamenlijk project van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, de VNG, gemeenten, en het ministerie van Sociale Zaken & Werkgelegenheid. Het college is verantwoordelijk is voor de uitvoering van het ENSIA-verantwoordingsproces.

Op zowel de informatiebeveiligings- als procesaspecten rondom het gebruik van de Basisregistratie Personen (BRP) en waardedocumenten, de DigiD-, en de Suwinet-aansluitingen alsmede de basisregistraties BAG en BGT is met goed gevolg verantwoording afgelegd. De externe IT-auditor heeft, rekening houdende met de beschreven verbeteracties, een assurancerapportage afgegeven.

In 2018 zijn tevens verschillende testen uitgevoerd door een externe partij. Hierbij zijn zowel social engineering (mystery guest, usb dropping, phishingmail) als technische pentesten (op websites en op systemen die ingezet worden in het kader van gegevensuitwisseling) uitgevoerd. De conclusie was dat er op enkele punten nog verbetering mogelijk was, maar dat dit niet leidt tot acute en hoge risico’s. Door zowel de gemeente als leveranciers zijn de nodige zaken opgepakt en verbeterd.