Informatiebeveiliging
De Baseline Informatiebeveiliging Overheid (BIO) beschrijft de wettelijke controls en maatregelen die minimaal benodigd zijn om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie(systemen) te waarborgen. Afgelopen jaar hebben we gewerkt volgens het vastgestelde actieplan informatieveiligheid en privacy. Eén aspect hiervan is de uitvoer van zogenaamde DPIA’s (Data protection impact assessment). We hebben ons, vanwege de enorme omvang van dit gebied, op twee sporen gericht. Allereerst hebben alle nieuwe of alle grote wijzigingen in informatiesystemen een DPIA ondergaan. Daarnaast zijn er verplichte DPIA’s op de bestaande werkprocessen uitgevoerd. Deze zijn onderdeel van een meerjarenplanning. Tot op heden zijn er in totaal 206 DPIA’s (waarvan 63 op processen [18 in 2022] en 143 op informatiesystemen [17 in 2022]) uitgevoerd.
Ten behoeve van continuïteit lag de focus in 2022 op het bestrijden van cyberdreigingen. In samenwerking met relevante onderdelen van de gemeente (waaronder het team OOV en de afdeling A&I) is er een Draaiboek Cybergevolgbestrijding vastgesteld, waardoor duidelijk is wat we gaan doen in geval van een cybercrisis. Dit gaan we dit jaar ook oefenen. Ook werken we bij de bestrijding van cyberdreigingen nauw samen met de gemeente Amsterdam en de veiligheidsregio. Door -wereldwijd- toegenomen dreigingen op gebied van cybersecurity, vraag dit onderwerp -nu en toekomst- veel aandacht.
Informatieveiligheid en Privacy speelde bij meerdere grote projecten in 2022 een rol. Zo is er op het gebied van autorisaties en functiescheidingen in 2022 een stap is gezet in het beveiligen van de toegang door het gebruik van profielen bij toegang te borgen. Hierdoor is ook het aanvragen en doorvoeren van autorisaties vereenvoudigd.
Sinds 2017 moeten Nederlandse gemeenten middels de ENSIA (Eenduidige Normatiek Single Information Audit) zich verantwoorden over de implementatie van de maatregelen uit de BIO. ENSIA heeft tot doel het verantwoordingsproces over informatieveiligheid bij gemeenten verder te professionaliseren door het toezicht te bundelen en aan te sluiten op de gemeentelijke Planning & Control-cyclus. Ook in 2022 vond de jaarlijkse formele onafhankelijke audit plaats op informatieveiligheid. Deze (gebundelde) audit vindt plaats op een beperkt aantal gebieden, te weten DigiD en SUWInet. Ieder jaar wordt de audit verder verbreed met nieuwe gemeentelijke werkgebieden. In 2022 is deze audit voor de zesde keer op rij succesvol doorlopen. Dit betekent dat de DigiD-aansluitingen en de toegang tot SUWInet voldoen aan de informatieveiligheidseisen van de toezichthouder/ketenpartner.