Concept Begroting 2021
portal

Paragrafen

Paragraaf Weerstandsvermogen en Risicobeheersing

9.

Risico’s informatieveiligheid

Risico

De informatievoorziening kan de vertrouwelijkheid, beschikbaarheid en integriteit van informatie onvoldoende borgen.
NB: De operationele techniek voor bediening en elektronische aansturing van mechanische en/of industriële objecten (zoals bruggen, pompen, gemalen, verkeersinstallaties) is op dit moment belegd bij DBI en maakt nog geen onderdeel uit van deze paragraaf.

Oorzaken

Mogelijke oorzaken voor risico’s in de informatievoorziening zijn:

  • Onvoldoende waarborgen in de processen (binnen en buiten de afdeling I&A)
  • Technische tekortkomingen in de ICT-infrastructuur en informatiesystemen
  • Kwetsbaarheid voor cybersecurity-incidenten
  • Onvoldoende aandacht van medewerkers

Gevolg(en)

De dienstverlening kan stilvallen, maar ook de bescherming van persoonsgegevens loopt gevaar. Gevolgen van het gebruik van onjuiste informatie kan leiden tot verkeerde besluitvorming.
Onvoldoende informatiebescherming kan leiden tot financiële- en reputatieschade en schade aan bedrijfseconomisch belang.

Achtergrond-informatie

Binnen de provincie wordt steeds meer datagedreven gewerkt. Dit betekent dat besluiten op data worden gebaseerd en daarmee is betrouwbare informatie cruciaal voor het functioneren van onze organisatie. Onze bedrijfsvoering kan substantieel geschaad worden als knelpunten optreden in de informatievoorziening of informatiebescherming. GS en PS worden periodiek vertrouwelijk geïnformeerd over (optredende) risico’s met betrekking tot informatieveiligheid.

Maatregelen

  • Regelmatig onderzoeken uitvoeren en ethische hackers inzetten.
  • Risicomanagement binnen de operationele processen van de afdeling I&A.
  • Regelmatig risicoanalyses-uitvoeren op de bedrijfsprocessen. Risicobeheersing organiseren en uitvoeren.
  • Communicatie en bewustwording (ook een risicobeperkende maatregel) op het gebied van informatieveiligheid en privacy heeft inmiddels een continu karakter.

Status risico

Door de afdeling Informatisering en Automatisering worden vanuit technisch oogpunt al vele maatregelen getroffen om geconstateerde technische risico’s te beheersen. Op het organisatorische -, bedrijfsproces en gebruikersvlak wordt nu een stap gezet om risico’s vanuit deze benadering te beheersen. Deze maatregelen maken onderdeel uit van een integraal pakket aan maatregelen op het gebied van informatieveiligheid conform ISO27001 norm en de Baseline informatiebeveiliging overheid.
In 2020 zijn geen materiële risico’s opgetreden op het vlak van informatieveiligheid.

  • Door de wereldwijde kwetsbaarheid in de Citrix software heeft de provincie het thuiswerken in januari 2020 twee weken uitgeschakeld. Dit was lastig voor medewerkers, maar heeft niet geleid tot uitval van provinciale dienstverlening.
  • Datalekken die zich voordoen worden volgens een vastgesteld protocol beoordeeld, waarna dit al dan niet gemeld wordt aan de Autoriteit Persoonsgegevens. Tot medio 2020 zijn er twee meldingen bij de Autoriteit Persoonsgegevens gedaan.
  • Tijdens de coronacrisis zijn er geen materiële risico’s opgetreden. Er is geen uitval van dienstverlening geweest en het thuiswerken en digitaal vergaderen is goed gefaciliteerd.
Deze pagina is gebouwd op 11/12/2020 10:03:42 met de export van 10/28/2020 14:28:13