Klantcase: ISMS
In 2013 spraken alle Nederlandse gemeenten in de resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ af de Baseline Informatieveiligheid Gemeenten (BIG) te implementeren. Als gevolg van een aantal high-impact incidenten (o.a. Diginotar) was de noodzaak van een goede informatiebeveiliging voor overheidsinstellingen voor iedereen duidelijk en het was tijd voor actie. De gemeente Oss stelde hiervoor een CISO (Chief Information Security Officer) aan en gaf deze de opdracht de baseline organisatiebreed te implementeren. Er werd hierbij voor een hoog ambitieniveau gekozen: niet alleen opzet en bestaan van de norm moest worden gerealiseerd, maar ook de werking. Het doel was om een complete PDCA cyclus in te richten voor informatieveiligheid op basis van de BIG.
De BIG in ruwe vorm bleek echter een lastige noot om te kraken zoals ook veel andere gemeenten hebben ondervonden. De oorzaak hiervan ligt deels in de wijze waarop het normenkader is geformuleerd en deels aan het ontbreken van de juiste tooling om de PDCA cyclus te ondersteunen. Voor het laatste werd een oplossing gevonden in het Recourse ISMS (Information Security Management System). Om het eerste probleem op te lossen werd samen met VHIC het Privacy en InformatieVeiligheid (PIV) Framework ontwikkeld: een herformulering van de BIG en andere relevante normenkaders waarin het aantal te implementeren maatregelen drastisch is teruggebracht door clustering naar inhoud en verantwoordelijken in de organisatie en waarbij deze maatregelen zo zijn geformuleerd dat ze aansluiten op de bestaande gemeentelijke processen en de bestaande gemeentelijke dossiervormingspraktijk. Met ISMS en PIV is Oss in staat grip op de informatieveiligheid te krijgen en te houden.
Carel Smit (CISO gemeente Oss): “Ik heb VHIC leren kennen als een partij die durft te investeren in kwaliteit en die daarom goed past bij de ambities van Oss met betrekking tot de implementatie van de normenkaders. Bij iedere eis uit de BIG werd tot in detail uitgeplozen wat er nu precies staat, wat er mee kan worden bedoeld en hoe dit praktisch kan worden vertaald naar de gemeentelijke situatie. Daarbij kwam het goed van pas dat VHIC vanwege de redactie van het Model-DSP voor Gemeenten over een enorme kennis van de gemeentelijke processen beschikt. Dit maakt dat het PIV Framework – in combinatie met het Recourse ISMS – waarschijnlijk voor veel andere gemeenten ook goed bruikbaar is.”