Informatiebeveiliging
Door ontwikkelingen op allerlei terreinen staat ook gemeente Almelo aan steeds meer nieuwe bedreigingen bloot. Bedreigingen die we niet alleen met technische hulpmiddelen kunnen afweren, maar waar we iedereen bij nodig hebben. Hoe kwetsbaar we zijn voor bedreiging wordt door een groot deel bepaald door ons gedrag.
We werken in een organisatie waarin we de belangen van onze inwoners, ondernemers, ketenpartners en medewerkers van de gemeente Almelo. Zij mogen van ons verwachten dat de gemeente Almelo hun gegevens op een betrouwbare, integere en vertrouwelijke wijze verwerken.
Op veel terreinen zijn er maatregelen genomen om onze betrouwbaarheid, integriteit en vertrouwelijkheid van informatie te waarborgen. We kunnen daar uitsluitend succesvol in zijn als we ons van de risico’s bewust zijn en daarnaar handelen. Alle risico’s uitsluiten kunnen we niet. We kunnen ze wel tot aanvaardbare proporties terugdringen.
Gezien de ontwikkelingen omtrent de innovaties en de vernieuwde wetgevingen is het wenselijk om meer in te zetten op een bewust en bekwame informatiebeveiligingscultuur, waarin gewerkt wordt aan een risico gestuurde aanpak van onze bedrijfsvoering. Hierbij wordt het borgen van informatiebeveiliging in de processen een begrip. Dit maakt het mogelijk om niet meer alleen het bestaan en opzet aan te kunnen tonen, maar ook de werking van informatiebeveiliging.
Informatiebeveiligingsbeleid en -plan
De inrichting van informatiebeveiliging binnen een organisatie begint bij een volledig aansluitende fundering dat te dragen is door de directie en ondersteund wordt door het management. Het is belangrijk dat informatiebeveiligingsbeleid aansluit bij de visie van de organisatie en wordt gedragen door bestuur en directie. Het huidige strategisch informatiebeveiligingsbeleid moet weer worden geactualiseerd om als kapstok te dienen voor de verschillende ambtelijke tactische beleidsdocumenten. Deze tactische beleidsdocumenten bevatten een nadere uitwerking van het strategische informatiebeveiligingsbeleid en gaan in op bijvoorbeeld logische toegangsbeveiliging en cryptografie.
Actuele ontwikkelingen en focusgebieden
De Cyberbeveiligingswet (Cbw) vloeit voort uit de Europese NIS2-richtlijn die de Europese richtlijn voor netwerk- en informatiebeveiliging is. Het doel van de wet is de weerbaarheid en samenwerking op het gebied van cyberveiligheid te verhogen. De verwachting is dat de Cyberbeveiligingswet in Q1 2026 in werking gaat treden en daarmee ook de Baseline Informatiebeveiliging Overheid2 (BIO2) als uitwerking daarvan.
Huidige status en planning informatiebeveiliging
In 2025 is de structurele inrichting van bedrijfscontinuïteitsbeheer verbeterd. Dit wordt in 2026 voortgezet. Vanuit informatiebeveiliging zijn 17 tactische beleidsdocumenten opgesteld. Na vaststelling moeten deze beleidsdocumenten nog worden geïmplementeerd.
Vanuit informatiebeveiliging worden initiatieven gestart voor procesverbetering/-borging. Voorbeeld hiervan is het wijzigingsbeheerproces.
Om te kunnen gaan voldoen aan de NIS2/BIO2 is gestart met het inrichten van een Information Security Management System (ISMS) en het beleggen van uitvoeringsverantwoordelijkheden voor de implementatie van beveiligingsmaatregelen in de organisatie. Inmiddels zijn gesprekken gestart met de eind- en/of uitvoeringsverantwoordelijken over hoe het ISMS te gebruiken. De verwachting is dat vanaf 2026 het ISMS operationeel is.