Over enkele weken is de transitie een feit. Zeker de helft van de gemeenteraden wordt niet geïnformeerd door het college over de informatieveiligheid in hun gemeente. Over het algemeen vinden raadsleden het wel een belangrijk onderwerp.
De raad heeft een taak om informatieveiligheid te bevorderen door te sturen en te controleren – zeker nu er nieuwe (informatiegevoelige) taken bij de gemeente komen te liggen. Veel raadsleden onderkennen het belang van informatieveiligheid. Voor de gemeenteraad is het belangrijk zicht te hebben op hoe de gemeente omgaat met informatieveiligheid en met de risico’s die zij loopt, zowel technisch als bestuurlijk. Is onze gemeente in control als het om informatieveiligheid gaat?
Naar aanleiding van bovenstaande heeft Gemeente Belang Kampen een aantal vragen gesteld aan het college van B&W:
- Heeft het college de punten van de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ opgepakt en een start gemaakt met de punten van de resolutie, zoals implementatie van de BIG (Baseline Informatiebeveiliging Nederlandse Gemeenten)?
- Zo ja, in de resolutie is afgesproken dat gemeenten zich in het jaarverslag verantwoorden over het te voeren informatieveiligheidsbeleid. Vindt deze toetsing plaats, wat de resultaten zijn en wat doet de gemeente met deze resultaten?
- Als de BIG niet als norm voor het basis beveiligingsniveau van onze gemeente geldt, welke hanteert u dan?
- Hoe is het informatiebeveiligingsbeleid vormgegeven binnen onze gemeente?
- Wie zijn er als verantwoordelijken aangesteld?
- Is er aandacht voor bewustwording? Zo ja, hoe is dit gestalde gegeven? Zo nee, waarom niet?
- Welke risico’s accepteert het college voor de eigen gemeente en welke niet?
- Welke politiek-bestuurlijke en maatschappelijke gevolgen kan dit hebben in geval van een incident?Hoe heeft het college de punten van de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ opgepakt?
- Is de privacy van onze burgers gegarandeerd?
- Vindt er een jaarlijkse toetsing plaats om na te gaan of de gemeente in control is op het gebied van informatieveiligheid via peer reviews, audits of self-assessment? Zo ja, wat zijn de resultaten van deze toetsing? Zo nee, waarom niet?
- Wordt de cyclus jaarlijks bijgesteld op basis van lessons learned?
- Welke risico’s loopt onze gemeente in geval van verstoring of cyberaanval, ook wanneer deze verstoring elders in de keten plaatsvindt?
- Hoeveel incidenten zijn er in de afgelopen periode (maand/half jaar) geweest?
- Heeft de gemeente noodscenario’s opgesteld voor incidenten met hoge impact? Dergelijk incidenten kunnen immers de dienstverlening in ernstige mate verstoren.
- Hoe is de verantwoording aan de gemeenteraad over beheersing van een incident of crisis geregeld?
- Meldt de gemeente die incidenten bij de IBD? Zo nee, waarom niet
