3.5.5 Informatieveiligheid
Informatiebeveiliging
Informatiebeveiliging is de verzamelnaam voor de processen die ingericht worden om de betrouwbaarheid van gemeentelijke processen, de gebruikte informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijk onheil. Het begrip ‘informatiebeveiliging’ heeft betrekking op:
- Beschikbaarheid / continuïteit: het zorg dragen voor het beschikbaar zijn van informatie en informatieverwerkende bedrijfsmiddelen op de juiste tijd en plaats voor de gebruikers;
- Exclusiviteit / vertrouwelijkheid: het beschermen van informatie tegen kennisname en mutatie door onbevoegden. Informatie is alleen toegankelijk voor degenen die hiertoe geautoriseerd zijn;
- Integriteit / betrouwbaarheid: het waarborgen van de correctheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking.
Aandachtspunten
In de najaarsrapportage 2024 zijn een aantal aandachtspunten geformuleerd die belemmerend kunnen werken voor de inrichting van informatiebeveiliging binnen de organisatie. Er zijn verbeterpunten op het gebied van de governancestructuur, de inrichting van een PDCA-cyclus, leveranciersmanagement en het bewustzijn van medewerkers.
Deze aandachtspunten komen terug in het rekenkameronderzoek over de informatiebeveiligingscultuur en de Board Letter van de accountant. Het rekenkameronderzoek en de Board Letter worden hierna bij actuele ontwikkelingen nader toegelicht.
Actuele ontwikkelingen
Rekenkameronderzoek informatiebeveiligingscultuur
De rekenkamer van de gemeente Almelo heeft de informatiebeveiligingscultuur van de gemeentelijke organisatie onderzocht. Dit gaat over hoe medewerkers denken, werken en besluiten nemen met als doel informatie te beschermen. Het onafhankelijke onderzoek laat zien dat Almelo op de goede weg is om te groeien naar een hoger niveau van informatiebeveiligingsbewustzijn, maar ook dat de informatiebeveiligingscultuur lange tijd te weinig aandacht heeft gekregen. De gemeente heeft weinig tot geen beleid of processen om de informatiebeveiligingscultuur te verbeteren. Tegelijkertijd geeft het onderzoek de indruk dat de gehele gemeentelijke organisatie én het gemeentebestuur het thema informatiebeveiliging zien als een belangrijk onderwerp.
Volgens de rekenkamer vraagt het verhogen van de informatiebeveiligingsbewustzijn de nodige investeringen. Het college herkent de wens om te investeren in informatiebeveiliging(sbewustzijn). Dit hangt echter samen met de grotere financiële opgave waar Almelo voor staat en zal in dit licht afgewogen moeten worden.
Informatiebeveiliging in de Board Letter van de accountant
De vernieuwde Baseline Informatiebeveiliging Overheid (BIO-2) is in 2024 officieel gelanceerd. Deze vernieuwde versie komt voort uit een grondige evaluatie van de huidige BIO en introduceert de eisen van de NIS2- richtlijn binnen de overheid. Het doel van BIO-2 is om informatiebeveiliging binnen alle lagen van de overheid te verbeteren en te uniformeren, waardoor een veiliger digitale omgeving ontstaat
De accountant heeft in de Board Letter de actuele ontwikkelingen vertaald naar concrete acties voor gemeenten . De BIO-2 richt zich sterk op risicomanagement, waardoor gemeenten het informatiebeveiligingsbeleid op basis van risicoanalyses dient in te richten. Ook wordt de rol van bestuurders versterkt. Dit betekent dat zij een grotere verantwoordelijkheid zullen dragen in het vormgeven en bewaken van het informatiebeveiligingsbeleid. Tegelijkertijd biedt de BIO-2 een duidelijke vermindering van het aantal voorschriften. Dit maakt de invoering van de nieuwe regelgeving eenvoudiger, maar vraagt wel om een scherpere focus op de naleving van de belangrijkste maatregelen. In de eerstvolgende actualisatie van het informatiebeveiligingsbeleid (voorzien in 2026) zal de nieuwe regelgeving en de betekenis voor Almelo worden verwerkt.