Case Gemeente Waterland
De gemeente Waterland had een duidelijk doel: controle houden op de uitvoering van ISO maatregelen om in 2024 te voldoen aan de Baseline Informatiebeveiliging Overheid (BIO). Dit is het basis normenkader voor informatiebeveiliging binnen overheden en is afgeleid van de algemene ISO 27001 norm.
Met ISOPlanner en Instant 27001 heeft de gemeente een systeem dat structuur biedt bij de invoering van ISO maatregelen en dat helpt controle te houden op de uitvoering.
Met ISOPlanner en Instant 27001 heeft de gemeente een systeem dat structuur biedt bij de invoering van ISO maatregelen en dat helpt controle te houden op de uitvoering.
Uiteenlopende IT-applicaties die informatiebeveiliging bemoeilijken
De Gemeente Waterland is een landelijke Noord-Hollandse gemeente, gelegen op geringe afstand van Amsterdam, Purmerend, Hoorn en Zaandam. Zij telt 17.500 inwoners uit onder andere de stad Monnickendam en de dorpen Broek in Waterland, Marken, Zuiderwoude en Ilpendam.
Net als andere gemeenten biedt de gemeente Waterland uiteenlopende diensten voor haar inwoners: van woningvoorzieningen en ruimtelijke voorzieningen tot aanvragen voor het lokale bedrijfsleven. Ook is zij uitvoeringsinstantie met diensten binnen het sociale domein.
Het gevolg is een verspreid IT-landschap met bijbehorende uitdagingen op het gebied van informatiebeveiliging door de grote hoeveelheid IT-applicaties die in gebruik zijn. Terwijl de IT-afdeling vele malen kleiner is dan bij een grote gemeente zoals Amsterdam.
Om aan de BIO-norm te voldoen, was de gemeente op zoek naar een Information Security Management Systeem (ISMS) dat bovendien overzicht zou bieden in alle uit te voeren acties.
Jimmy Voskuil, CISO bij Gemeente Waterland vertelt: “Uitvoering van maatregelen rondom onze ISO en BIO certificering gebeurde vaak erg ad hoc. Wat we vooral misten, was overzicht op de uitvoering vanuit één applicatie. Er waren geen automatische herinneringen of meldingen op in te voeren maatregelen of controles. We misten een gestructureerde Plan-Do-Check-Act cyclus."
Er waren geen automatische herinneringen of meldingen op in te voeren maatregelen en controles. We misten een gestructureerde Plan-Do-Check-Act cyclus
Urgentie: NIS2 stelt ISMS voor gemeenten verplicht vanaf 2024
Met de deadline van de nieuwe NIS2-wetgeving in het achterhoofd - die per maart 2024 ingaat en per oktober 2024 wordt gehandhaafd - zocht de gemeente naar een laagdrempelig ISMS. Na ingang van deze nieuwe wet is een ISMS verplicht voor gemeenten, net als bijvoorbeeld 2-factor authenticatie.
Snelle implementatie ISMS door meegeleverde templates
De Gemeente Waterland koos uiteindelijk voor een combinatie van ISOPlanner en Instant 27001, die gezamenlijk een ISMS bieden waarbij templates en voorbeelden worden meegeleverd. Hierdoor was er minder handmatig overtypewerk nodig en werd de snelheid van implementatie opgevoerd.
Jimmy Voskuil vervolgt: “We zijn in augustus 2022 gestart en sinds december 2022 is het ISMS in gebruik. In totaal waren we in staat om binnen vijf maanden het ISMS te implementeren, iets waar organisaties normaal gesproken een jaar mee bezig zijn. Door de templates werd het eenvoudiger om te bedenken hoe we bepaalde normen wilden implementeren. Het is altijd makkelijker om een uitkomst te overwegen aan de hand van voorbeelden, dan dat je alles zelf moet bedenken. Het template voor de verplichte stakeholderanalyse was bijvoorbeeld heel handig. We hebben nu de eerste afdeling volledig gevuld en de komende maanden nemen we de andere afdelingen in het proces mee.”
Microsoft-integratie borgt doorvoeren van maatregelen
Jimmy Voskuil gaat verder: “Bij kleine gemeente als Waterland is informatiebeveiliging net zo belangrijk als bij grote gemeenten. Alleen een grootschalig en kostbaar ISMS is dan geen optie. In onze zoektocht naar een leverancier hielden we ons aan de aanbestedingsprocedure. We hebben uiteindelijk vier partijen gesproken over de implementatie van een ISMS.
We kozen voor een snelle implementatie waarbij veel voorwerk was gedaan. Dat aansloot op onze beveiligingseisen zoals single sign-on. Ook de Microsoft-integratie was een vereiste, omdat deze de Plan-Do-Check-Act cyclus vergemakkelijkt. Bij de andere drie partijen was er geen Microsoft-integratie en bleven documenten in een omgeving van de leverancier staan. Maar met ISOPlanner en Instant 270001 kunnen we taken en triggers instellen die automatisch in Outlook belanden door de Microsoft-integratie. Dit helpt ons de uiteindelijke doorvoering van maatregelen te borgen.“
We kozen voor een snelle implementatie waarbij veel voorwerk was gedaan. En dat aansloot op onze beveiligingseisen zoals single sign-on. Ook de Microsoft-integratie was een vereiste.
Prijsmodel faciliteert stapsgewijze implementatie
Het prijsmodel was ook een belangrijk aspect om te kiezen voor de ISOPlanner en Instant 27001 combinatie. Jimmy Voskuil legt uit: “Als relatief kleinere gemeente sprak het prijsmodel op basis van het aantal gebruikers aan. Dit stelt ons in staat nieuwe medewerkers eenvoudig op- en af te schalen zonder tussenkomst van de aanbieder. Omdat wij nog geen ISMS hadden, was de eerste fase gericht op de inrichting daarvan. Pas nu zijn wij toe aan het toevoegen van andere gebruikers en afdelingen.
Door dit prijsmodel kunnen wij rustig opbouwen en stap voor stap de verdere implementatie voorbereiden. Want een vooraf volledig ingevuld ISMS helpt ontzettend bij de acceptatie van een dergelijk nieuw systeem. "Daarnaast stelt deze aanpak ons in staat eventuele kinderziekten op te lossen voordat we de volgende afdeling aanhaken.”
Voorbeeldrisico’s vergemakkelijken interne discussie
Een echte bonus om voor ISOPlanner en Instant 27001 te kiezen, vormde de aanwezigheid van een veertigtal standaardrisico’s. Jimmy Voskuil vervolgt: “Bij ISO certificering gaat het tenslotte om het verkleinen van bepaalde risico’s. Waarbij je de maatregel neemt, bekijkt hoe deze effect heeft, deze op de juiste wijze implementeert en controleert of het oorspronkelijke risico nu acceptabel is.
Met Instant 27001 en ISOPlanner waren er al standaard een veertigtal risico’s beschikbaar. Wij namen deze voorbeelden als uitgangspunt en aan de hand daarvan maakten wij onze eigen risicoanalyse. Ook al waren het andersoortige risico’s, het was makkelijker schieten op iets dat er al was dan het zelf helemaal te moeten bedenken. Vooral bij de interne discussies was dat waardevol, het hielp bij de acceptatie van de maatregelen.
Na de implementatie van het ISMS heb ik me geen zorgen meer gemaakt. Het werkt, het is bereikbaar, het is stabiel en als ik een vraag stel, dan krijg ik antwoord. Het is een programma dat uiteindelijk geen core business is, dus niemand zit continu in het systeem. Maar op de achtergrond draait het contstant mee. En dat ontzorgt mij enorm: je wilt dat het doet wat het moet doen en dat het je niet in de weg zit.
De voordelen van ISOPlanner en Instant 27001 volgens de Gemeente Waterland
Gebruiksgemak
Doordat er al veel voorwerk is gedaan, is het gebruiksgemak hoog. Want ook in de applicatie zelf zijn de stappen logisch opgebouwd. De standaardrapportage mogelijkheden zijn erg handig voor een kleinere gemeente. Voordat de factuur was betaald stond de omgeving al klaar. En de basis voor een certificering staat er op het moment van activatie.
Service
Het contact verloopt heel soepel, er worden updates gedeeld en er is altijd het aanbod om nog even te sparren ter verbetering. Vragen vanuit gebruikers worden snel overgenomen en geïmplementeerd zodat de volgende gebruiker hier niet meer tegenaan loopt.
Kosten
De opbouw van de kostenstructuur is een pré. Ook hield de gemeente zich aan de aanbestedingsprocedure, hoewel de prijs voor de oplossing uiteindelijk onder de grens van €12.500 lag.
Over de Gemeente Waterland
De Gemeente Waterland is een landelijke gemeente met 17.500 inwoners, gelegen op geringe afstand van Amsterdam, Purmerend, Hoorn en Zaandam. Een uniek monumentenbestand wordt gecombineerd met het zo typerende open en waardevolle veenweidelandschap.
De gemeente is enig in haar soort door het beschermde stadsgezicht van Monnickendam en de beschermde dorpsgezichten van Broek in Waterland, Marken en Zuiderwoude. Elke kern heeft daarbij zijn specifieke kenmerken en cultuur. Het open water van de Gouwzee en het Markermeer maken het sfeervolle plaatje compleet.