Van opzet en bestaan…
In 2021 zijn de belangrijkste processen van de gemeente (de 'kroonjuwelen') in kaart gebracht, inspanningen gepleegd om het bewustzijn voor informatiebeveiliging te vergroten, en is de ENSIA-cyclus doorlopen. Daarnaast hebben wij onze Informatie Beveiligings (= IB) -functie versterkt.
Tot nu toe is vooral ingezet op het inrichten van de IB-organisatie. Nu die staat, ontstaat meer ruimte voor zowel verankering en continue verbetering van processen als inzet op bewustzijn. Dordrecht is actief bezig met 'in control' komen op de bescherming van informatie van de gemeente en haar inwoners. Belangrijk blijft te benadrukken dat informatiebeveiliging een verantwoordelijkheid is van de héle politieke en ambtelijke organisatie.
...naar werking: speerpunten 2022
Belangrijk speerpunt dit jaar is het verder versterken van de verbinding met collega's van de andere Drechtsteden en de privacyorganisatie. Er is ook een samenwerking met het ministerie van Binnenlandse Zaken en Koninkrijksrelaties via het platform Weerbare Overheid: een brede en samenhangende aanpak van beveiligingsaspecten van een organisatie. Door fysieke beveiliging, personele beveiliging en integriteit, én informatiebeveiliging met elkaar te verbinden, wordt de organisatie weerbaarder en veiliger gemaakt. Meer concreet gaat het voor IB enerzijds om continuïteit van een veilige bedrijfsvoering, anderzijds om herstel van (bedrijfskritische) informatiesystemen na een calamiteit.
Op operationeel vlak wordt ingezet op versterking van de verbinding met de 'business'. Informatiebeveiliging moet focus hebben van managers en proceseigenaren, die conform de Baseline Informatiebeveiliging Overheid ook verantwoordelijk zijn voor de implementatie van passende maatregelen om de bescherming van informatie te waarborgen. Welke maatregelen 'passend' zijn, wordt bepaald in een gezamenlijke risicoanalyse van elk proces.
Daarnaast zijn aandacht voor zowel bewustwording als opleiding een onmisbaar onderdeel van de inrichting van een organisatie die veilig omgaat met informatie. Als dit bewustzijn in het DNA van de gemeentelijke organisatie zit, kunnen de IB functionarissen vaker een ondersteunende rol aan de voorkant invullen bij innovatie en nieuwe opgaven.
In dit kader mag ook het project Basis op Orde worden genoemd, dat in kaart brengt welke applicaties Dordrecht in gebruik heeft Dit maakt het mogelijk om het applicatielandschap op te schonen en applicaties uit te faseren die dezelfde of inmiddels overbodige functionaliteit verschaffen. Dit project is in 2022 gestart en zal zeker tot in 2023 doorlopen.
ENSIA
In de collegeverklaring verklaart het college dat Dordrecht op 31 december 2021 in opzet (inrichting en beschrijving) en bestaan (implementatie) grotendeels voldoet aan de beheersingsmaatregelen die nodig zijn voor de informatieveiligheid. Er is één uitzondering: voor zowel Suwinet als voor een van de DigiD-aansluitingen geldt dat er op het gebied van authenticatie nog winst te behalen is. Als medewerkers van functie wisselen of uit dienst gaan is niet altijd goed geborgd dat ook de autorisaties en inlogmogelijkheden van de betreffende medewerkers goed worden bijgewerkt en opgeschoond. De SDD heeft te nemen verbeterpunten opgenomen in een plan van aanpak. Dordrecht, maar ook de andere Drechtstedengemeenten, zien komend jaar toe op de stand van zaken rondom deze aansluitingen. Aangezien er een verbeterplan is, loopt de gemeente geen risico op het afsluiten van de aansluitingen. Daarmee heeft het geen direct effect op de bedrijfsvoering.
IB-plan
Nadere invulling van het beleid voor de komende jaren en een terugblik op activiteiten sinds het Informatiebeveiligingsplan 2020 volgen in het nieuwe Informatiebeveiligingsplan dat eind 2022 het licht zal zien.