Informatiebeveiliging privacybescherming

10.1.5	Versterken informatiebeveiliging en privacybescherming
Toelichting op meerjarendoel
Het voldoen aan de actuele wet- en regelgeving rondom informatieveiligheid en privacy en het anticiperen op nieuwe ontwikkelingen op dit terrein is een grote uitdaging en vraagt continu aandacht. Dit onderwerp ontwikkelt zich snel en het aantal dreigingen op het gebied van informatieveiligheid neemt toe. Het vraagt veel inzet van de organisatie om deze ontwikkelingen bij te benen en daarnaast de noodzakelijke groei van de organisatie op dit onderwerp te bewerkstelligen. Organisatievolwassenheid informatieveiligheid Voor informatieveiligheid is ervoor gekozen eerst een stap te zetten naar volwassenheidsniveau 2. Daarna willen wij als organisatie verder groeien naar de uiteindelijke ambitie: volwassenheidsniveau 3. Niveau 2 kenmerkt zich doordat de werkzaamheden rondom informatieveiligheid in de organisatie beheerst en herhaalbaar worden ingepland en uitgevoerd. Om dit te bereiken is een prioriteit bepaald voor de onderwerpen hieronder. Hiermee is een start gemaakt in de tweede helft van 2022 en hieraan wordt in 2023 een vervolg gegeven: 1. Implementeren geactualiseerd informatiebeveiligingsbeleid Diverse kaders en richtlijnen worden verder uitgewerkt en vastgesteld. Voor onderdelen daarvan is externe expertise noodzakelijk. Vervolgens worden deze kaders en richtlijnen geïmplementeerd in de organisatie. 2. Risicogericht werken Het (laten) uitvoeren van risicoanalyses voor processen met een verhoogd risico voor beschikbaarheid, integriteit en/of vertrouwelijkheid. Daarnaast wordt het informatiebeveiligingsmanagementsysteem verder geïmplementeerd en wordt een aantal dashboards ingericht zodat de organisatie beter inzicht krijgt in de risico’s. 3. Versterken van incidentmanagement Er wordt een goede identificatie en registratie van incidenten ingericht. Dit is noodzakelijk voor een snelle respons en voor het beperken van het risico op herhaling. Organisatievolwassenheid Privacy Als het gaat om privacy is het volwassenheidsniveau van de organisatie over vrijwel de hele linie eind 2022 gegroeid naar het geambieerde niveau 3. Dit niveau kenmerkt zich door gedefinieerde en vastgelegde procedures en afspraken en de opvolging hiervan. Dit niveau is passend bij onze organisatie en hiermee wordt in voldoende mate voldaan aan de verplichte normenkaders. In 2023 en verder wordt ingezet om dit niveau te handhaven en te bestendigen en de organisatie erop toe te rusten zelf verantwoordelijkheid te nemen voor het borgen van privacy in het dagelijks werk. Governance Informatieveiligheid & Privacy Organisatorisch is het onderwerp Informatieveiligheid & Privacy in 2022 ondergebracht bij het CIO Office. Met ingang van 2023 wordt het programma Informatieveiligheid & Privacy beëindigd en is het eigenaarschap hiervan belegd in de organisatie. In 2023 wordt dit verder geborgd en wordt de organisatie gefaciliteerd hier daadwerkelijk zelf de verantwoordelijkheid voor te kunnen nemen.

10.1.5

Versterken informatiebeveiliging en privacybescherming

Toelichting op meerjarendoel

Het voldoen aan de actuele wet- en regelgeving rondom informatieveiligheid en privacy en het anticiperen op nieuwe ontwikkelingen op dit terrein is een grote uitdaging en vraagt continu aandacht. Dit onderwerp ontwikkelt zich snel en het aantal dreigingen op het gebied van informatieveiligheid neemt toe. Het vraagt veel inzet van de organisatie om deze ontwikkelingen bij te benen en daarnaast de noodzakelijke groei van de organisatie op dit onderwerp te bewerkstelligen.

Organisatievolwassenheid informatieveiligheid
Voor informatieveiligheid is ervoor gekozen eerst een stap te zetten naar volwassenheidsniveau 2. Daarna willen wij als organisatie verder groeien naar de uiteindelijke ambitie: volwassenheidsniveau 3. Niveau 2 kenmerkt zich doordat de werkzaamheden rondom informatieveiligheid in de organisatie beheerst en herhaalbaar worden ingepland en uitgevoerd. Om dit te bereiken is een prioriteit bepaald voor de onderwerpen hieronder. Hiermee is een start gemaakt in de tweede helft van 2022 en hieraan wordt in 2023 een vervolg gegeven:

1. Implementeren geactualiseerd informatiebeveiligingsbeleid
Diverse kaders en richtlijnen worden verder uitgewerkt en vastgesteld. Voor onderdelen daarvan is externe expertise noodzakelijk. Vervolgens worden deze kaders en richtlijnen geïmplementeerd in de organisatie.

2. Risicogericht werken
Het (laten) uitvoeren van risicoanalyses voor processen met een verhoogd risico voor beschikbaarheid, integriteit en/of vertrouwelijkheid.
Daarnaast wordt het informatiebeveiligingsmanagementsysteem verder geïmplementeerd en wordt een aantal dashboards ingericht zodat de organisatie beter inzicht krijgt in de risico’s.

3. Versterken van incidentmanagement
Er wordt een goede identificatie en registratie van incidenten ingericht. Dit is noodzakelijk voor een snelle respons en voor het beperken van het risico op herhaling.

Organisatievolwassenheid Privacy
Als het gaat om privacy is het volwassenheidsniveau van de organisatie over vrijwel de hele linie eind 2022 gegroeid naar het geambieerde niveau 3. Dit niveau kenmerkt zich door gedefinieerde en vastgelegde procedures en afspraken en de opvolging hiervan. Dit niveau is passend bij onze organisatie en hiermee wordt in voldoende mate voldaan aan de verplichte normenkaders.
In 2023 en verder wordt ingezet om dit niveau te handhaven en te bestendigen en de organisatie erop toe te rusten zelf verantwoordelijkheid te nemen voor het borgen van privacy in het dagelijks werk.

Governance Informatieveiligheid & Privacy
Organisatorisch is het onderwerp Informatieveiligheid & Privacy in 2022 ondergebracht bij het CIO Office. Met ingang van 2023 wordt het programma Informatieveiligheid & Privacy beëindigd en is het eigenaarschap hiervan belegd in de organisatie. In 2023 wordt dit verder geborgd en wordt de organisatie gefaciliteerd hier daadwerkelijk zelf de verantwoordelijkheid voor te kunnen nemen.