BIG: Baseline Informatiebeveiliging Gemeenten

Gemeenten hebben behoefte aan een fundamentele oplossing van het informatiebeveiligings-vraagstuk. De Baseline Informatiebeveiliging Gemeenten (BIG) vormt een eerste stap op weg naar een minimale beveiliging bij gemeentelijke overheden. Om daarmede de efficiëntie te verhogen, een hulpmiddel te verschaffen waarmee gemeenten aan eisen op het gebied van informatie beveiliging kunnen voldoen, om de auditlast te verminderen, en om gemeenten aantoonbaar betrouwbaar te laten zijn.

Randvoorwaarden BIG

De BIG bestaat uit twee delen: een Strategisch kader en een Tactisch kader. Daar waar het Tactisch kader vooral gaat over maatregelen-sets en controls (WAT je doet), gaat het Strategisch kader vooral over verantwoordelijkheden: DAT je het doet.

Uitgangspunten binnen het Strategisch kader zijn onder meer:

College van Burgemeester en Wethouders is verantwoordelijk.
Het basis vertrouwelijkheidsniveau bij gemeenten is Vertrouwelijk.
Overheden moeten ervan op aan kunnen dat andere overheden veilig zijn – en elkaar kunnen aanspreken als anders blijkt.
In de BIG zijn een aantal randvoorwaarden verwerkt om ervoor te zorgen dat (dit deel van) het proces ‘behapbaar’ blijft:

Informatiebeveiliging is en blijft een verantwoordelijkheid van het lijnmanagement
Het primaire uitgangspunt voor informatiebeveiliging is en blijft risicomanagement
Inperking van mogelijkheden wordt vervangen door Veilig Faciliteren
Informatie dient te worden gerubriceerd
Focusverschuiving van Netwerkbeveiliging naar Gegevensbeveiliging
Verantwoord en Bewust gedrag van mensen is essentieel voor een goede informatiebeveiliging
De Baseline wordt gemeente breed afgesproken
Kennis en expertise zijn essentieel voor een toekomstvaste informatiebeveiliging en moeten geborgd worden
Informatiebeveiliging vereist een integrale aanpak
Verder wordt in de BIG gesproken over het beleid: “De verantwoordelijkheid van het College wordt weergegeven in een informatiebeveiligingsbeleid. Dit beleid bevat ten minste […] de bevordering van het beveiligings-bewustzijn”.

Ontwikkelingen

Al in 2006 is op de informatiebeveiligingsmarkt de vraag gerezen naar borging van kennis: ondernemingen en instellingen hebben behoefte te kunnen bepalen (of, en) hoe het is gesteld met het kennisniveau van medewerkers op velerlei vlakken: privacy, integriteit, informatiebeveiliging, fysieke veiligheid et cetera. Er was behoefte aan een manier waarmee kan worden bepaald of dat kennisniveau voldoende is, dan wel waar het moet worden aangevuld. Door borging van kennis in de Plan-Do-Check-Act cyclus aan te brengen wordt bovendien optimaal met actualiteit omgegaan: veranderde risico’s kunnen met vernieuwde kennisbronnen worden gepareerd.

LBVD heeft KennisToets ontwikkeld: een SaaS-omgeving waarbinnen een niet-beperkt aantal medewerkers, -doelgroepen en -onderwerpen een plaats kunnen vinden. KennisToets wordt voorafgegaan door workshops, eventueel uitvoering van vooropgezette incidenten en een nulmeting, en kan worden gecompleteerd door een uitgebreid programma van bewustwordings activiteiten.

Het idee achter deze borgingmodule is medewerkers vragen te stellen over precies hun kennis: hun niveau en hun achtergrond. Aansluitend op hun individuele volwassenheid. Waardoor bescherming van informatie uit de hoek komt van: ‘het moet’ en veel meer wordt behandeld als: ‘ik wil het omdat het nodig is!’ Een gemeente heeft geen boodschap aan medewerkers die blind de regeltjes volgen – ze heeft behoefte aan medewerkers die zich bewust zijn van hun omgeving, en van de mogelijkheden die zij zelf hebben om die omgeving te beïnvloeden: Yes, we can!