Regiobijeenkomst DigiD Zwolle; een constructieve en interactieve sessie

Bijna 50 gemeentelijke ICT-collega’s kwamen afgelopen maandag in Zwolle bij elkaar voor de eerste van een nieuwe reeks van drie regiobijeenkomsten ‘ICT-Beveiligingsassessment DigiD’.

Ook de nieuwe regiobijeenkomsten zijn weer bestemd voor ICT-verantwoordelijken, die belast zijn met het uitvoeren van het DigiD-assessment. Een assessment dat DigiD-gebruikende gemeenten voor het einde van het jaar verplicht dienen af te ronden door inlevering van hun rapportage bij Logius. Gemeente Nieuwegein was eveneens aanwezig tijdens de bijeenkomst. Niet als deelnemer, maar als spreker. Zij deelde haar ervaringen met het assessmentproces en natuurlijk haar do’s and don’ts met de aanwezige gemeenten.

Aansluiten bij de Informatiebeveiligingsdienst voor gemeenten (IBD)

Tijdens de regiobijeenkomst in Zwolle is overigens niet alleen stilgestaan bij het assessment, maar ook bij de doelen en dienstverlening van de IBD. De volledige dienstverlening van de IBD kan namelijk door elke gemeente worden afgenomen na een zorgvuldig uitgevoerd aansluitproces. Dit proces bestaat uit vier stappen:

  • Het benoemen van een gemeentelijke Algemene Contactpersoon Informatiebeveiliging (ACIB)
  • Het benoemen van een gemeentelijke Vertrouwde Contactpersoon Informatiebeveiliging (VCIB)
  • Het delen van de gemeentelijk IP-adressen en URL’s
  • En tot slot, het maken van de gemeentelijke ‘ICT-foto’.

Om deze stappen inzichtelijk te maken heeft de IBD een aantal factsheets ontwikkeld, die het aansluitproces en elke stap daarbinnen uitgebreid uitleggen. Alle aanwezige gemeenten hebben de factsheets ook uitgereikt gekregen. Nog deze week zullen alle factsheets en bijbehorende documenten op de website van de IBD beschikbaar worden gesteld.

Opheldering over de uitvoering van het assessment

Zowel tijdens als aan het eind van alle presentaties bestond natuurlijk de gelegenheid tot het stellen van vragen. De aanwezige gemeenten hebben hier veelvuldig gebruik van gemaakt. Er zijn vragen gesteld over de beoordeling van de rapportages door Logius, het opleveren van de TPM door leveranciers en de invloed hiervan op het inleveren van de eindrapportage bij Logius: “Stel dat de TPM niet wordt afgegeven, wat heeft dit dan voor gevolgen voor het beoordelen van de gemeentelijke rapportage door Logius?” Logius gaf een kort en bondig antwoord: “Mochten zich complicaties voordoen die de deadline van het inleveren van de rapportage negatief kunnen beïnvloeden, laat het dan in ieder geval aan ons weten. Op basis van uw specifieke gemeentelijk situatie bepalen we wat we doen. Let op, de deadline is al snel, 31 december 2013”

Meer informatie?

Mocht u als gemeente meer informatie willen ontvangen dan kan dat uiteraard. Download de documenten op onze of kijk onder downloads op de IBD-website. Bent u nog geen nog geen lid van deze Community, meld u hiervoor dan aan.

Mocht u naar aanleiding van dit bericht nog vragen hebben, dan kunt u deze stellen aan de IBD via info@IBDgemeenten.nl of 070 373 8011.

FAQ
Welke functionaris kan ik voor mijn gemeente het beste invullen op het VCIB- aansluitformulier?

Dit is een vraag die de IBD helaas niet voor u kan beantwoorden. Het antwoord is namelijk afhankelijk van de grootte van uw organisatie en hoe u als gemeente uw organisatie en werkprocessen heeft ingericht. Om optimaal van de dienstverlening van de IBD gebruik te maken, is het echter wel belangrijk dat u de juiste functionarissen invult op onze aansluitformulieren.

De VCIB ontvangt na het doorlopen van de vier stappen van het aansluitproces,  van de IBD incidentmeldingen of waarschuwingen waarvan de inhoud een vertrouwelijk karakter heeft, meldingen dat één van uw gemeentelijke IP-adressen mogelijk malware verspreid en meldingen van grootschalige incidenten waarbij uw gemeente mogelijk  betrokken is. De meldingen kunnen ook een algemene waarschuwing bevatten of een vraag om te onderzoeken of er vanuit uw gemeentelijke ICT-omgeving contact is geweest met bepaalde verdachte IP-adressen.

Voor de VCIB is het belangrijk dat hij/zij voldoende technisch inzicht heeft om de impact van bepaalde meldingen op de gemeentelijke bedrijfsvoering en reputatie te kunnen begrijpen. Verder is het wenselijk dat de VCIB voldoende positie binnen de organisatie heeft om de nodige maatregelen te kunnen (laten) nemen. De VCIB moet door de organisatie vertrouwd worden in het omgaan met gevoelige informatie en kunnen inschatten met wie hij/zij vertrouwelijke informatie kan delen binnen uw gemeente. De VCIB moet 24/7 bereikbaar zijn.

Typische gemeentelijke functies/rollen waarin deze vaardigheden aanwezig zouden moeten zijn:

  • Security Officer (CISO)
  • Leidinggevende ICT-afdeling
  • Senior Netwerkbeheerder
  • Incidentmanager
  • Hoofd Dienstverlening

De VCIB is werkzaam bij de gemeente of voor een Shared Service Centrum waar de gemeente deelnemer van is.

Voor de VCIB van uw gemeente is het van belang dat het één (of meerdere) bij de IBD bekende (te duiden) personen zijn. Het doorgeven van een algemeen e-mailadres en telefoonnummer is hier dus niet toegestaan.