Workshops Informatiebeveiliging

De IBD heeft in de afgelopen jaren een groot aantal workshops ontwikkeld voor o.a. de regiobijeenkomsten. Op verzoek kan de IBD één van deze workshops geven op een bijeenkomst die door de gemeente zelf georganiseerd wordt.

Wilt uw gemeente één van deze workshops organiseren, en heeft u minimaal 10 deelnemers van verschillende gemeenten (of intergemeentelijke sociale diensten en belastingsamenwerkingen)? Stuurt u dan een verzoek aan bijeenkomsten@IBDgemeenten.nl met daarin de datum van uw bijeenkomst, het aantal deelnemers en de deelnemende organisaties.

De IBD biedt hierbij de keuze uit de volgende workshops:

Workshop 1: Help, ik ben CISO!

In de workshop ‘Help, ik ben CISO!’ behandelen we de verantwoordelijkheden van de CISO. Als (beginnend) CISO loopt u in valkuilen en tegen beren op de weg aan: het verkrijgen van bestuurlijk draagvlak en de noodzakelijke middelen voor een optimaal informatiebeveiligingsbeleid zijn de belangrijkste. Hoe gaat u om met deze valkuilen en hoe creëert u als CISO draagvlak voor uw belangen? In deze workshop wordt dieper ingegaan op deze vragen. Aan de hand van vier casus-beschrijvingen voeren we de discussie met de deelnemers over de het werkaanbod, de rol en taken, de planning en de persoonlijke eigenschappen van de CISO. Tijdens deze interactieve sessie worden deze onderwerpen verdiepend behandeld en beantwoord en krijgt u praktische handvatten aangereikt.

Workshop 2: Informatiebeveiligingsplan, de kunst van het kiezen

In de workshop ‘Informatiebeveiligingsplan, de kunst van het kiezen’ behandelen we de opzet, invulling en afstemming in verband met het gemeentelijke informatiebeveiligingsplan. In de workshop verkennen we de manieren om informatiebeveiligingsmaatregelen te implementeren en te prioriteren op basis van een reële risico-inschatting bij de eigen gemeente. Aan de hand van drie casussen wordt een discussie gevoerd over hoe de BIG hierbij kan helpen en welke instrumenten nodig zijn om het geheel beheersbaar te houden. Als eerste worden de kritische processen en risico’s bepaald aan de hand van de ‘Diepgaande risicoanalyse methode gemeenten’. Daarna wordt aan de hand van zes vooraf bepaalde risico’s nagedacht over welke BIG-‘controls’ er nodig zijn om die risico’s af te dwingen. Tot slot wordt nagedacht over welke hoofdstukken in het informatiebeveiligingsplan dienen terug te komen, en hoe u vanuit de risico’s en controls tot een plan kunt komen.

Workshop 3: Implementeren van informatiebeveiligingsmaatregelen

In de workshop ‘Implementeren van Informatiebeveiligingsmaatregelen’ gaan we in op de fase nadat een informatiebeveiligingsplan is opgesteld en vastgesteld. Dan gaat een CISO aan de slag met de maatregelen die in het plan zijn benoemd. Hierbij staan de kritische processen en essentiële systemen van de gemeente zoals BPR/GBA, SUWI, decentralisaties en PUN centraal en ligt de nadruk vooral op de procesmatige implementatie en niet op de technische invulling. In de workshop gaan we in op de volgende vragen: Wat is de samenhang tussen de verschillende normen. Wat zijn de overeenkomsten in aanpak bij de verschillende beleidsdomeinen? Deelnemers leren over de aanpak binnen deze beleidsdomeinen en verkennen de manieren waarop deze gemeente-breed hergebruikt kunnen worden.

Workshop 4: Rapporteren over informatiebeveiligingsmaatregelen

In de workshop ‘Rapporteren over informatiebeveiligingsmaatregelen’ gaan we in op het meten van de effectiviteit van het ISMS en de effectiviteit van de informatiebeveiliging. Dit kan gedaan worden door het vaststellen van normen, rapportage hierover en controle op de rapportages. De invoering van de BIG vereist transparantie en verantwoording, zowel intern als extern. In de workshop gaan we in op de volgende vragen: Welke activiteiten moet de CISO uitvoeren om inzicht te krijgen en houden in de effectiviteit van de beveiligingsmaatregelen? Welke instrumenten en rapportages kunnen hierbij ondersteunen en hoe kunnen tekortkomingen worden verholpen?

Workshop 5: Ken uw kroonjuwelen

In de workshop ‘Ken uw kroonjuwelen’ bespreken we met de deelnemers hoe gemeenten dataclassificatie kunnen inzetten bij het vaststellen en beschermen van hun kroonjuwelen. Hierbij behandelen we de volgende vraagstukken: Wat is dataclassificatie? Waarom doen we het? Wat zijn de relaties met de baselinetoets BIG en de diepgaande risicoanalyse. Ook zal worden ingegaan op de vraag hoe dataclassificatie ingezet kan worden om focus aan te brengen bij het implementeren van de BIG.

Workshop 6: De BIG en Bedrijfscontinuïteitsmanagement (BCM)

In de workshop ‘De BIG en BCM’ bespreken we met de deelnemers het inrichten van een adequaat beheerproces van bedrijfscontinuïteit. Hiermee borgt de gemeente dat de gevolgen van een omvangrijke storing of ramp en het herstel daarvan acceptabel worden gemaakt. We bespreken met de deelnemers hoe de BIG helpt bij het opstellen van een BCM-plan. Ook behandelen we hoe voorkomen kan worden dat tijdens een calamiteit moet worden gebouwd op ad hoc maatregelen. Tot slot gaan we in op de noodzaak van oefenen, testen en actueel houden van de plannen.

Workshop 7: Opdrachtgeverschap 2.0: toezien op de afspraken in de verwerkersovereenkomst

Deze workshop gaat in op het toezien op de afspraken die in de verwerkersovereenkomst door de afnemer met de leverancier gemaakt zijn. We zullen eerst starten met een korte samenvatting van wanneer een verwerkersovereenkomst nodig is en waar je op moet letten bij het opstellen. Daarna gaan we aan de slag met het toezien op de afspraken in de verwerkersovereenkomst. Het contract is gesloten, hoe krijgt u zekerheid of voldaan wordt aan de gemaakte afspraken? Wanneer moet ik ingrijpen en inkoop, of het bestuur informeren over de risico’s die ze lopen? Waar moet u op letten bij het beoordelen van certificaten en verklaringen? Naast het behandelen van theorie zullen we ook ruim te tijd nemen met een aantal praktijkvoorbeelden. In de komende workshop Opdrachtgeverschap 2.0 zal de IBD u meenemen aan de hand van een inleidende theorie en met voldoende ruimte voor de praktijk en discussie. Neemt u allen uw verwerkersovereenkomsten, documenten en certificaten mee!

Workshop 8: Crisiscommunicatie en informatiebeveiliging

In de workshop ‘Crisiscommunicatie en informatiebeveiliging’ behandelt de woordvoerder van de IBD de interne en externe communicatie rond incidenten aan de hand van enkele recente voorvallen die het nieuws haalden. De deelnemers krijgen inzicht in de opbouw van de communicatie en achtereenvolgens worden de doelstellingen, de doelgroepen, de boodschap en de bijbehorende middelen behandeld. De workshop is interessant voor woordvoerders / communicatieadviseurs van gemeenten die meer willen weten van crisiscommunicatie in het digitale domein. Deelnemende CISO’s leren tijdens de workshop hoe ze de gemeentelijke woordvoerders kunnen adviseren tijdens een informatiebeveiligingsincident.

Workshop 9: Crisisgame – Train de Trainer sessie

De IBD Crisisgame is een bewerking van een bestaande game van het CIP. De game is zoveel mogelijk aangepast op de gemeentelijke situatie en kan worden gebruikt om een (informatiebeveiligings-) crisis te oefenen. De train de trainer sessie stelt gemeenten in staat om de game zelf te houden in de eigen organisatie en zo het bewustzijn te verhogen. Meer informatie vindt u hier.

Eigen invulling

Heeft u een eigen invulling voor de workshop of wilt u dat de IBD aanwezig is als toeschouwer of onafhankelijke deelnemer? Neem contact op met de IBD om te zien wat hiervoor in uw geval de mogelijkheden zijn: bijeenkomsten@IBDgemeenten.nl.