Op het gebied van informatiebeveiliging volgen we nu de Baseline Informatiebeveiliging Gemeenten (BIG). Hierin staan verschillende normen op het gebied van informatiebeveiliging. Zoals het er nu naar uitziet zal de BIG in 2019/2020 worden vervangen door de Baseline Informatiebeveiliging Overheid (BIO). Hiermee ontstaat er één baseline voor alle bestuursorganen van de Nederlandse overheid, daar waar elk bestuursorgaan zijn eigen baseline had.

Op deze manier beoogt de BIO de informatiebeveiliging bij alle bedrijfsonderdelen van de overheid te bevorderen. In de BIO wordt een minimum eisenpakket beschreven waar alle systemen aan moeten voldoen. Dit komt voort uit de wet- en regelgeving en algemeen geldende beveiligingsprincipes, dezelfde eisen die ook al bij de BIG gesteld werden vanuit de ISO 27002 staat ook nog bij de BIO centraal. De BIO zorgt daarnaast voor een meer risico gebaseerde aanpak en tevens wordt het ingewikkelde proces van risicomanagement vereenvoudigd. In de BIO worden regels gesteld over het verwerken van vertrouwelijke informatie, hoe (bestuurlijk) om te gaan met incidenten. Ook worden er eisen gesteld aan de veiligheid van het eigen systeem met koppelingen met systemen van derden. Daarnaast moeten er maatregelen getroffen worden tegen dreigingen van buitenaf.

De gemeentebrede zelfevaluatie ENSIA (Eenduidige Normatief Single Information Audit) omtrent informatieveiligheid wordt in 2018 weer uitgevoerd, verantwoording zal in begin 2019 afgelegd worden. In 2017 is deze zelfevaluatie voor het eerst afgenomen bij de Nederlandse gemeenten. Deze nieuwe systematiek maakt het beantwoorden van de uitvraag over informatieveiligheid gemakkelijker en efficiënter. Voorheen waren er aparte audits voor de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling, Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet).

De gemeentebrede zelfevaluatie is de basis van de horizontale verantwoording informatieveiligheid binnen de gemeente Dalfsen, die het college B&W jaarlijks aflegt aan de gemeenteraad. Door middel van een aparte paragraaf in het jaarverslag over informatiebeveiliging verantwoordt het college van B&W zich aan de gemeenteraad over informatiebeveiliging in brede zin (‘horizontale verantwoording’). Hierbij zal worden ingegaan op de ENSIA resultaten. Bovendien zullen knelpunten en de voortgang van de implementatie omtrent de Baseline informatieveiligheid aangestipt worden.

Begin 2019 vindt er naar aanleiding van ENSIA een Audit plaats betreffende SUWInet en DigiD. Met deze audit wordt er verantwoording afgelegd richting toezichthouders/de diverse Ministerie door middel van een collegeverklaring. Ook zal de Raad de collegeverklaring ontvangen. Begin 2020 zal er op eenzelfde manier verantwoording worden afgelegd richting de Raad over informatieveiligheid omtrent het jaar 2019.

Bedrijfsinformatieplan
Als vervolg op de I&A strategie hebben we M&I partners gevraagd om de strategie uit te werken in een concreet Bedrijfsinformatieplan (BIP). Het bedrijfsinformatieplan komt in november 2018 ter vaststelling in de raad. De uitvoering van deze aanbevelingen en de personele consequenties zullen in 2019 gestalte krijgen.