Onderzoek naar algemene beheersingsmaatregelen rondom de geautomatiseerde informatievoorziening

Uitgangspunt van de beoordeling betreft het informatieplan wat door gemeentelijke dienst is opgesteld en gerapporteerd aan het gemeentebestuur. De inhoud van het opgestelde informatieplan is gebaseerd op de elementen van de Code voor Informatiebeveiliging. Deze elementen worden als een algemene norm gezien voor een goede inrichting van de noodzakelijke beheersingsmaatregelen.

De in de Code voor Informatiebeveiliging genoemde kwaliteitsaspecten worden hierbij als volgt gedefinieerd:

• Betrouwbaarheid betekent dat de geautomatiseerde gegevensverwerking juist, tijdig en volledig plaats vindt.
• Continuïteit is de mate waarin de geautomatiseerde gegevensverwerking ongestoord voortgang vindt.
• Exclusiviteit betreft de mate waarin men kan garanderen dat de door middel van geautomatiseerde systemen verwerkte gegevens alleen gemuteerd of geraadpleegd kunnen worden door daartoe bevoegde personen.

Ons is verzocht de algemene beheersingsmaatregelen rondom de geautomatiseerde informatievoorziening te beoordelen, waarbij het normenkader wordt gevormd door de Code van Informatiebeveiliging. Door de directie van de gemeentelijke dienst is ons tevens gevraagd te toetsen in hoeverre de, in het informatieplan gedefinieerde actiepunten ter verbetering adequaat zijn opgevolgd.

Aanpak
Bij de uitvoering van de opdracht hebben wij gebruikgemaakt van een speciaal daarvoor ontwikkelde geautomatiseerde vragenlijst. De vragenlijst behandeld in vijf herkenbare deelgebieden de van belang zijnde elementen uit de Code van Informatiebeveiliging.

De vragenlijst is ingedeeld naar:

• Beleid en management;
• Exploitatie en beheer;
• Beveiliging en informatie;
• Continuïteit;
• Systeemontwikkeling, en biedt ruimte voor de vastlegging van een objectieve score per deelgebied en de te hanteren norm (ambitie).

Uit de grafische weergave van de onderzoeksbevindingen blijkt in één oogopslag waar de norm wordt gehaald en waar de verbeterpunten liggen.

 

Concrete verbeterpunten betroffen o.a.:

• Op het gebied van outsourcing van het technisch beheer waren geen concrete afspraken gemaakt omtrent de te leveren diensten en prijzen. Tevens was er geen toezicht vanuit de gemeentelijke dienst op de toegang van de externe technisch beheerder in het systeem. Het opstellen van eenduidige service level agreements met de externe technisch beheerder hebben er voor gezorgd dat te leveren diensten en prestaties meetbaar en dus stuurbaar zijn geworden. Daarnaast wordt er een loggingsysteem geïmplementeerd om de externe toegang te kunnen monitoren.
• Wachtwoorden werden toegekend door de netwerkbeheerder en slechts naar inzicht van de netwerkbeheerder veranderd. De invoering van een geautomatiseerde procedure die gebruikers ertoe dwingt periodiek wachtwoorden te wijzigen zorgt er voor dat de vertrouwelijke informatie binnen de gemeentelijke dienst beter is beschermd.
• Gebruikers- en systeemdocumentatie was niet altijd beschikbaar en niet altijd actueel. Met name gebruikers klaagden hier regelmatig over omdat het ontbreken van actuele documentatie veel onnodige fouten tot gevolg had. Een inhaalslag en een geïmplementeerde eenduidige goedkeuringsprocedure voor systeemwijzigingen en documentatiewijzigingen dragen nu zorg voor de aanwezigheid van actuele gebruikers- en systeemdocumentatie.

De concretisering (en al gedeeltelijke implementatie) van de verbeterpunten biedt de directie een handvat voor de op te pakken actiepunten gericht op verbetering van de algemene beheersingsmaatregelen. Het gemeentebestuur beschikt dankzij het onderzoek en de concretisering van de verbeterpunten over uitstekende sturingsmogelijkheden.

Mede door onze bedrijfsmatige aanpak zijn zowel de gebruikers en de directie van de gemeentelijke dienst als het gemeentebestuur zeer tevreden over de geleverde dienstverlening.