Informatiebeveiligingsbeleid en implementatieplan
Na(ast) het vaststellen van de staat van informatiebeveiliging helpen wij bij het bepalen van de gezamenlijke ambitie van de organisatie op het gebied van informatiebeveiliging. Waar leg je de lat met betrekking tot informatiebeveiliging? Het bestaande informatiebeveiligingsbeleid wordt geactualiseerd volgens de laatste inzichten en conform de binnen uw branche geldende informatiebeveiligingsstandaard (ISO27001, NEN7510, BIG, BIC en BIR). Op basis van de uitkomsten van de GAP-analyse wordt een implementatieplan opgesteld.
Ondersteuning implementatie Informatieveiligheid en Privacy
In samenwerking met consultant Pieter-Bas Wijne, die vele jaren gewerkt heeft als gemeente ambtenaar, helpen wij u bij het organiseren en implementeren van informatiebeveiliging en privacy binnen uw organisatie. Met behulp van een ISMS-tool kunt u daadwerkelijk ‘in control’ komen en uw informatiebeveiligingsbeleidplan ten uitvoer brengen. Onze dienstverlening staat los van de keuze die uw organisatie heeft gemaakt voor een ISMS-tool. Het unieke dat wij u bieden is ‘Hands-on’ ondersteuning van de medewerkers uit uw organisatie door een consultant met veel kennis en ervaring op het vlak van processen, in het bijzonder binnen gemeentelijke organisaties.
‘In control’ met consultant informatiebeveiliging Pieter-Bas Wijne
Het plezierige dat klanten ervaren is dat wij dezelfde taal spreken en op een praktische manier leren hoe je complexe en nieuwe taken rondom informatiebeveiliging en privacy, zelfstandig kunt oppakken en borgen. Doelstelling is dat uw medewerkers zelf in staat zijn om de maatregelen m.b.t. informatiebeveiliging en uit het privacybeleid te beheren.
Wij brengen onze kennis in, dragen die over en zorgen ervoor dat uw medewerkers die ‘eigen’ maken. Dit vanuit de gedachte dat wij onszelf zo snel mogelijk overbodig maken en u zelfstandig verder kunt.
Wat wij bieden:
- Ondersteuning en consultancy op het gebied van opzetten:
– informatiebeveiligingsbeleid en privacy beleid,
– uitvoeren GAP-analyse informatieveiligheid & Privacy Baseline
– bewustwording
– organisatie en techniek
– Information Security Management System - Inbrengen van kennis en ervaring wanneer het gaat om gebruik en beheer van een ISMS-tool.
- Kennis van alle gemeentelijke normenkaders BIG, BAG, SUWI, BRP, PNIK, DigiD, ENSIA etc.
- Beheren van de ‘best practices’ voor de mapping tussen normen en maatregelen conform de beveiligingsstandaarden en specifieke maatregelen vanuit de normenkaders in het ISMS.
Wanneer uw organisatie nog geen keuze heeft gemaakt voor een Information Security Management System, kunnen wij samen met onze partner stichting Stimulansz, PInzicht bieden. Samen met een aantal koplopers (security officers van gemeenten en samenwerkingsverbanden) heeft Stimulansz de handen ineengeslagen en gewerkt aan een totaaloplossing waarin het veiligheidsbeleid van onderzoek tot en met het beheer van documenten en de controle op de uitvoering samenkomen.
De applicatie bestaat uit 4 modules:
- Onderzoeksmodule
- Enquêtemodule voor informatie- en privacy bewustzijn
- Documentbeheer
- Information Security Management System
Alle gemeentelijke normenkaders zoals de BIG, Privacy baseline van het CIP, BAG, BRP, SUWI RLB, SUWI Audit framework, GeVs en PNIK worden standaard meegeleverd. Het unieke van deze applicatie is dat je naast de ‘opzet’ en het ‘bestaan’ van privacy- en informatieveiligheidsbeleid ook de ‘werking’ van het beleid kunt toetsen. Daarbij moet u denken aan het toetsen van het gebruikersbeheer van de applicaties die in de organisatie in gebruik zijn:
- op basis van de PIA-vragenlijst
- of het steekproefsgewijs toetsen
- of de feitelijke Suwinetraadplegingen voldoen aan het Beveiligingsbeleid SUWI.
Ook kunnen voor het eigen privacybeleid eigen onderzoeken worden uitgevoerd om te checken of de uitvoerders privacyproof werken conform het eigen privacy beleid en bijbehorende processen. De nieuwe zelfstandige webbased applicatie is gebouwd op het platform van de betrouwbare KiC-applicatie voor kwaliteitscontrole. Deze applicatie is in gebruik bij 250 gemeenten door zo’n 12.000 gebruikers, goed voor zo’n 135.000 onderzoeken per jaar.
Een systeem ter beheersing van autorisaties en toegang tot informatie, data en systemen
In het kader van zowel informatiebeveiliging als privacy bescherming is het van belang dat uw organisatie aantoonbaar ‘in control’ is over wie van haar medewerkers toegang hebben tot welke informatie en tot welke systemen en applicaties. In vakjargon heet dit ‘Identity en Access Management (IAM)’. SmartAIM heeft hiervoor een systeem ontwikkeld.
De functioneel manager kan zelf, eenvoudig, de autorisaties beheren. Hij kan rollen toewijzen en daarboven nog individuele toegang tot software of informatie mogelijk maken.
Inhuur interim medewerkerkers informatiebeveiliging
Voor organisaties die tijdelijk niet beschikken over eigen medewerkers met voldoende kennis en ervaring op het gebied van informatiebeveiliging en privacybeleid, bestaat de mogelijkheid om een Chief Information Security Officer(CISO) of een Functionaris Gegevensbescherming bij ons in te huren. Via onder andere onze partner Berenschot beschikken wij over een groot aantal ervaren deskundigen op het gebied van informatiebeveiliging en privacybeleid, die direct inzetbaar zijn.
Uitvoeren beveiliging audits en ondersteuning zelfassessments
Voor de uitvoering van audits conform het nieuwe ENSIA verantwoordingsproces, zoals de DigiD-audit, werkt Swinth IvO-Partners samen met Accoris Audit Services. Accoris is met Peter Holierhoek, nauw betrokken geweest bij de inrichting van het nieuwe ENSIA verantwoordingsproces. Zij kunnen organisaties zoals gemeenten, adviseren en ondersteunen bij de aanpak van het verantwoordingsproces, de uitvoering van de zelfassessments en de uitvoering van de audits, de controle op de Collegeverklaring en de opstelling van het assurance-rapport voor 1 mei 2018.