De rekenkamercommissies (RKC) van de gemeenten Meppel, Staphorst, Steenwijkerland en Westerveld hebben, voor de eerste keer in hun bestaan, onderzoek gedaan naar een thema dat in alle vier gemeenten speelt. Informatiebeveiliging.
Hiermee komt de rekenkamercommissie tegemoet aan de wens van de gemeenten om, wanneer dit kan, een synergie effect te realiseren. Met dit onderwerp heeft de RKC een actueel thema behandeld waar gemeenten volop mee bezig zijn en waarin ontwikkelingen zich snel opvolgen.
De RKC heeft geconstateerd dat het niveau van informatiebeveiliging in basis in de vier gemeenten redelijk tot goed op orde is. ‘Maar er is nog voldoende ruimte voor verbetering en mogelijkheden om van elkaar te leren’, zegt Arthur Rynja die vanuit de Rekenkamercommissies het onderzoek begeleidde.
De vier gemeenten zijn allen beoordeeld op de aspecten “Organisatie en beleid”, “Mens en gedrag” en “Techniek”. De gemeenten scoren alle vier verschillend en daarmee is het ook direct zichtbaar dat informatiebeveiliging mensenwerk is. Waar aansturing en aandacht vanuit het management cruciaal is voor het op orde krijgen en houden van informatiebeveiliging.
Per gemeente volgen hierna kort de belangrijkste aanbevelingen;
Meppel.
1. Voer een integrale risicoanalyse uit als basis voor het informatiebeveiligingsbeleid en schenk hierin aandacht aan een continu proces van leren en verbeteren;
2. Gebruik de bestaande P&C-cyclus om ook te rapporteren over de voortgang van geplande maatregelen en ontwikkelingen;
3. Vergroot de bewustwording voor zowel management als medewerkers;
Staphorst.
1. Stel voldoende personeel beschikbaar voor maatregelen op het gebied van informatiebeveiliging en voor de rol van Chief Information Security Officer (CISO).
2. Investeer in de bestuurlijke informatievoorziening
3. Maak een bestuurder expliciet verantwoordelijk voor dit onderwerp
4. Vergroot de bewustwording voor zowel management als medewerkers
5. Voer regelmatig penetratietests uit en geef extra aandacht aan Patch management (nieuwe versies van/wijzigingen in software)
Steenwijkerland.
1. Het beleid op het gebied van informatiebeveiliging is actueel. Bij een volgende actualisatie zou er wel eerst een integrale risicoanalyse uitgevoerd moeten worden. Voer deze ook met enige regelmaat uit.
2. Er kan meer aandacht uitgaan vanuit het management voor bewustwordingsactiviteiten.
3. De fysieke toegangsbeveiliging wordt nog als kwetsbaar aangemerkt.
4. Patch management (nieuwe versies van/wijzigingen in software) behoeft aandacht.
Westerveld.
1. Voer regelmatig een integrale risicoanalyse uit op het gebied van informatiebeveiliging als basis voor het informatiebeveiligingsbeleid;
2. Doorloop een PDCA-cylcus om te leren van genomen maatregelen en doorloop deze als basis om het beleid eventueel bij te stellen;
3. Overweeg een bestuurder expliciet verantwoordelijk te maken voor dit onderwerp;
4. Betrek het management en medewerkers actief/periodiek bij bewustwordingsactiviteiten over informatieveiligheid;
5. Voer regelmatig penetratietests uit;
6. Patch management (nieuwe versies van/wijzigingen in software) behoeft aandacht.
20190318-rapport-rekenkameronderzoek-informatiebeveiliging-Steenwijkerland
