Dit is de rapportage betreffende de stand van zaken van de informatiebeveiliging binnen de gemeente Dordrecht. In 2015 is het initiële informatiebeveilingsbeleid (IB) vastgesteld. Dit jaar hebben wij het IB beleid en de realisatiestrategie herijkt, waardoor er meer ruimte ontstaat voor een risico gestuurde aanpak. Dit beleid zal eind 2019 door het college worden vastgesteld.

Afgelopen jaren is fors geïnvesteerd in het uitwerken en borgen van de ICT en IB-beheerprocessen bij het SCD en onze gemeente. Betreffende ICT-techniek zijn aanvullende maatregelen genomen om informatiebeveiligingsrisico's tot een minimum te beperken. Ook is het fysieke beveiligingsbeleid van de gemeente aangescherpt en op sommige onderdelen in werking getreden. De ENSIA zelfevaluatie 2018 toont aan dat we op deze onderdelen nu voldoen aan de normen qua opzet en bestaan.

In 2019 is tevens onze focus verlegt naar het ontwikkelen van een risico gestuurde aanpak en het verder aanscherpen van onze IB-bewustzijnscampagnes. Vanaf mei dit jaar is een Muurkrant-campagne gestart waarbij aan de medewerkers tools en tips met betrekking tot de informatiebeveiliging worden aangereikt. Via ons sociaal intranet (SID) en de Muurkrant zullen de medewerkers ook worden aangespoord om het nieuwe aanbod aan e-learningsmodules ten aanzien van informatiebeveiliging te volgen. Daarnaast hebben we het aanbod van specifieke opleidingen en workshops op dit terrein verder aangevuld. Informatiebeveiliging is een verplicht onderdeel van het inwerkprogramma van nieuwe medewerkers geworden. Tevens zal begin oktober een week van informatiebeveiliging, privacy en integriteit (WIPI-week) worden georganiseerd. In die week zal een groot aantal presentaties en workshops, worden georganiseerd rondom de drie centrale thema's: informatiebeveiliging, privacy en integriteit, met het doel onszelf weerbaarder te maken tegen digitale dreigingen.

ENSIA
In de collegeverklaring verklaart het college dat de gemeente Dordrecht op 31 december 2018 in opzet (inrichting en beschrijving) en bestaan (implementatie) nog niet geheel voldoet aan de beheersingsmaatregelen die nodig zijn voor de informatieveiligheid. Onze Suwinet hoofdaansluiting die door de Sociale Dienst Drechtsteden (SDD) wordt gebruikt en beheerd voldoet op alle onderdelen aan de door ENSIA gestelde normen. Bij de twee inkijk-aansluitingen die wij gebruiken voor burgerzaken en belastingen (door cluster Dienstverlening en Gemeentebelastingen Drechtsteden) voldoen wij nog niet op alle onderdelen aan de gestelde normen. De opzet van de bewijslast is aanwezig. Echter nog niet alle bewijsstukken zijn formeel, conform de eisen van de auditor, vastgelegd en in onze processen in detail ingeregeld. Wij stellen een plan van aanpak op om de benodigde borging te realiseren.

Per 1 juli 2019 is de nieuwe cyclus voor uitvoering van de zelfevaluatie informatiebeveiliging gestart. ENSIA is op een aantal onderdelen uitgebreid bijvoorbeeld met de Basisregistratie Ondergrond (BRO) en de stand van zaken rondom de invoering van de AVG. Uiterlijk 31 december zullen wij onze verantwoording inleveren.