Opdracht omschrijving
Gemeente wil een actueel informatiebeveiligingsbeleid op laten stellen dat passend is bij de cultuur en organisatievorm van de gemeente. Het beleid moet een gedegen afweging mogelijk maken tussen veiligheid en werkbaarheid. Informatiebeveiliging wordt hierbij in brede zin gezien, dus inclusief privacy aspecten.
Uitgangspunten voor het beleid vormen enerzijds de reeds gemaakte beveiligingsanalyses in de gemeente , het bestaande informatiebeveiligingsbeleid en het nog in ontwikkeling zijnde onderzoek Risicomanagement. Ook willen we uitgaan van standaarden zoals de code informatiebeveiliging.
Daarnaast dienen landelijke ontwikkelingen meegenomen worden zoals:
• Samenwerking en uitbesteden van bedrijfsprocessen
• Een toenemend aantal Cloud oplossingen c.q. SAAS systemen
• Bring your own device.
De afdeling bedrijfsvoering van de gemeente kent drie teams, Team advies en ontwikkeling (TAO), Team informatietechnologie en basisregistraties (TIB) en Team Facilitaire Dienstverlening (TFD). Het onderdeel informatiemanagement en bedrijfsvoering valt onder het team advies en ontwikkeling. De adviseur informatiemanagement zal de inhoudelijke aansturing van deze opdracht voor zijn rekening nemen. Hiërarchisch valt deze opdracht onder de teammanager TAO.
Taken
1. Uitvoeren van een risico analyse op de belangrijkste bedrijfsprocessen, met per proces een inzicht in mogelijke risico’s voor de informatiebeveiliging. Bij deze risicoanalyse moet informatie opgehaald worden bij stakeholders in de organisatie (management, automatisering, informatiemanagement). Maak een onderscheid tussen risico’s in Vertrouwelijkheid, Beschikbaarheid en Integriteit.
2. Afstemmen en draagvlak zoeken voor deze risico analyse bij met het management (tactisch niveau).
3. Een voorstel doen voor de governance van de informatiebeveiliging binnen de gemeente, en dit voorstel afstemmen met het management.
4. Een ontwerp maken voor een beveiligingsbeleid op hoofdlijnen en dit en afstemmen met management (tactisch en strategisch niveau).
5. Per cluster van bedrijfsprocessen nader uitwerken van richtlijnen en maatregelen op het gebeid van techniek, organisatie en cultuur/mens kant.
6. De richtlijnen en maatregelen afstemmen met de organisatie (bestuur, management, afdelingen).
7. Opstellen van procedures voor het onderhoud van beleid/richtlijnen en maatregelen.
Resultaten
1. Afgestemde Risico analyse gebaseerd op de praktijk van de gemeente
2. Afgestemd voorstel voor de Governance van informatiebeveiliging (op welke manier controleren en besluiten over informatiebeveiliging, organisatorische aspecten). Hierbij rekening houden met de komende wettelijke verplichtingen op dit terrein.
3. Een afgestemd beveiligingsbeleid (inclusief privacy aspecten) passend bij de cultuur van de gemeente en rekening houdend met:
a. Toenemend aantal risico's op het gebied van informatiebeveiliging
b. Voldoen aan de wetgeving op het gebied van privacy en informatiebeveiliging
c. Een juiste inschatting van de bedrijfsrisico's die gemeente loopt in de informatievoorziening als gevolg van problemen met beveiliging of privacy
d. Samenwerking en uitbesteden van bedrijfsprocessen
e. Een toenemend aantal Cloud oplossingen c.q. SAAS systemen
f. Een toenemende aantal mobiele devices c.q. de vraag om die apparatuur zelf in te richten of eigen apparatuur te gebruiken.
4. Met de organisatie afgestemde richtlijnen en maatregelen die uitvoering geven aan het beveiligingsbeleid.
5. Een voorstel voor het onderhoud van het beveiligingsbeleid en de richtlijnen en maatregelen passend bij de voorgestelde Governance structuur.
De gesprekken staan gepland voor 10 april en indien nodig op 17 april a.s.
De opdracht is voor 8-16 uur per week.