10.1.5 | Versterken informatiebeveiliging en privacybescherming |
|---|
Het beoogd resultaat in 2022 voor informatieveiligheid en privacy is om dit onderwerp structureel in te bedden in de organisatie en om aantoonbaar op orde te zijn en te blijven. Meer specifiek moet ten aanzien van privacy worden voldaan aan de Algemene verordening gegevensbescherming (AVG) en ten aanzien van informatieveiligheid aan de Baseline Informatiebeveiliging Overheid (BIO). Het is belangrijk om als organisatie te blijven investeren en te blijven anticiperen op interne– en externe ontwikkelingen op het gebied van informatiebeveiliging en privacybescherming.
Het voldoen aan de actuele wet- en regelgeving rondom informatieveiligheid en privacy en het anticiperen op nieuwe ontwikkelingen op dit terrein is en blijft een grote uitdaging. De omgeving is aan continue verandering onderhevig en het aantal dreigingen op het gebied van informatieveiligheid neemt toe.
Het volwassenheidsniveau van de organisatie op het gebied van privacy en informatieveiligheid is het afgelopen jaar verder gegroeid als gevolg van inzet op het vergroten van kennis en bewustzijn van medewerkers, het uitvoeren van risicoanalyses en het adviseren over maatregelen.
Risicomanagement IV&P en Information Security Management System (ISMS)
De belangrijkste risico’s voor de organisatie op het gebied van Informatieveiligheid en Privacy (IV&P) zijn in kaart gebracht. In samenwerking met een aantal andere provincies wordt een ISMS (Information Security Management System) gebruikt. Dit is een systeem dat risico’s, processen en maatregelen vastlegt zodat gericht risicomanagement mogelijk is.
Opleiding en bewustwording
In 2022 is een aantal online leermodules over informatieveiligheid & privacy uitgerold in de organisatie. Dit vergroot de kennis van medewerkers, maakt hen bewuster van de risico’s en helpt hen passend gedrag aan te leren.
Cyberoefeningen
In 2022 is een aantal keer geoefend met het Cyberincident Responsplan en het Provinciaal Cyber Emergency Respons Team (CERT). Hiermee bereidt de organisatie zich voor op een mogelijk cyberincident.