9.041 We zorgen dat onze informatiesystemen veilig zijn en dat we aan de regelgeving op dit punt voldoen.
Omschrijving
Hiertoe nemen we de volgende maatregelen:
- We voeren de in het jaarplan informatiebeveiliging benoemde acties uit.
- We voeren de wettelijk verplichte audits rond informatiebeveiliging uit en behalen daarin een goed resultaat.
- We organiseren "legal hacks" op onze informatiehuishouding om van te leren en schenken extra aandacht aan veiligheidsbewustwording van de gebruikers en organiseren in dat kader regelmatig bewustwordingsacties.
Kwaliteit (indicator)
Stand van zaken
We voerden het jaarplan informatiebeveiliging 2023 uit. Het geplande “BIO-proof” maken van een aantal applicaties schoven we door naar 2024 door onduidelijkheid over de impact van de nieuwe Europese wetgeving NIS2 (Network and Information Security) en de hieraan gerelateerde aanpassingen van het BIO (Baseline Informatiebeveiliging Overheden) normenkader.
We doorliepen de wettelijke verplichte audits 2023 met goed resultaat. De audits kostten ons in 2023 meer tijd. Dit werd veroorzaakt door de steeds uitgebreidere bewijslast die wij bij de audits moeten aanleveren. We zijn gestart om de bewijslast geautomatiseerd aan te maken en vast te leggen zodat het aanleveren in de toekomst minder tijd vraagt. We richten dit in 2024 verder in.
We voerden in 2023 een phishingtest en een interne pentest uit. Op de bevindingen uit deze tests ondernamen we de benodigde acties. In maart 2023 is een SIEM/SOC inrichting geïmplementeerd. De SIEM (Security Incident & Event Management) oplossing zorgt voor continue controle op het gebied van diverse beveiligingseisen en kwetsbaarheden. De SOC (Security Operations Center) belegden we bij een externe partij die 24 /7 kan ingrijpen in geval van een bedreiging. We borgen op deze manier een continue monitoring en beveiliging van onze informatiesystemen.