Het instellen van een managementforum c.q. het beleggen van de verantwoordelijkheid binnen een bestaand managementforum voor het waarborgen van een heldere koers en zichtbare ondersteuning van het beveiligingsbeleid en beveiligingsinitiatieven.

• In het managementforum dienen de volgende punten aan de orde te komen:
  • Herziening en goedkeuring van het beveiligingsbeleid en de toegekende verantwoordelijkheden;
  • Goedkeuring van projecten en budgetten m.b.t. de implementatie van informatiebeveiligingsbeleid;
  • Het signaleren van belangrijke wijzigingen in de voornaamste bedreigingen waaraan de bedrijfsinformatie is blootgesteld;
  • Bespreking van en toezicht op beveiligingsincidenten;
  • Goedkeuring van belangrijke initiatieven ter bevordering van de informatiebeveiliging.
• Binnen het forum moet één manager verantwoordelijk worden gesteld voor alle activiteiten die gericht zijn op informatiebeveiliging (eigenaar).

Het instellen van een multidisciplinair forum van managementvertegenwoordigers uit alle betrokken onderdelen van de organisatie c.q. het beleggen van de verantwoordelijkheid binnen een bestaand multidisciplinair forum voor het coördineren en het toetsen op doelmatigheid van de implementatie van maatregelen voor informatiebeveiliging.

• Tot de taken van het multidisciplinaire forum dienen te behoren:
  • Het bereiken van overeenstemming over de functies en verantwoordelijkheden, bepaalde methodieken en processen en ondersteuning van initiatieven op het gebied van informatiebeveiliging;
  • Zekerstellen dat informatiebeveiliging een onderdeel is van het informatieplanningsproces;
  • Het beoordelen van de geschiktheid en coördineren van de implementatie van specifieke beveiligingsmaatregelen voor nieuwe systemen of diensten;
  • Het evalueren van beveiligingsincidenten;
  • Het bevorderen van zichtbare ondersteuning voor informatiebeveiliging;
  • Het rapporteren aan het managementforum c.q. stuurgroep Processen en ICT

Het duidelijk definiëren en toewijzen van de verantwoordelijkheden voor de bescherming van individuele bedrijfsmiddelen en voor het uitvoeren van bepaalde beveiligingsprocedures in de diverse organisatieonderdelen, zowel intern als extern.

• Binnen de GSD c.q. de gemeente is een beveiligingsfunctionaris of coördinatiepunt informatiebeveiliging actief die regelmatig rapporteert over status van informatiebeveiliging – o.a. aan de security officer van het BKWI (BXIV 4.1, CBP 4.2).
• Alle beschreven verantwoordelijkheden in het kader van de uitwisseling en verwerking van persoonsgegevens binnen Suwinet moeten zijn toegewezen.
• De gebieden waarvoor elke manager verantwoordelijk is, moeten duidelijk en expliciet zijn gedefinieerd (BXIV 4.1, CBP 4.2);
• De verschillende soorten gegevens en beveiligingsprocedures van elk afzonderlijk systeem dienen te worden geïdentificeerd en duidelijk worden gedefinieerd onder verantwoordelijkheid van de hiervoor verantwoordelijke manager;
• De autorisatieniveaus dienen duidelijk gedefinieerd en gedocumenteerd te worden (BXIV 4.1, CBP 4.2);
• Het management zorgt ervoor dat er voldoende kennis en expertise beschikbaar is om invulling aan de verantwoordelijkheden te geven.
• De richtlijnen met betrekking tot de administratieve organisatie betreffende het beheer van de verwerking van persoonsgegevens worden expliciet vastgesteld en belegd binnen de GSD c.q. gemeente (BXIV 4.1, CBP 4.2).
• Alle taken, bevoegdheden en verantwoordelijkheden binnen de organisatie voor het beheer van alle persoonsgegevens dienen expliciet te worden vastgelegd.

Het opstellen van goedkeuringsprocedures voor nieuwe IT-voorzieningen en het gebruik van persoonlijke IT-voorzieningen voor het verwerken van persoonsgegevens.

• Nieuwe voorzieningen moeten goedgekeurd zijn door het management van gebruikersafdelingen;
• Apparatuur en programmatuur moeten worden gecontroleerd op compatibiliteit met andere systeemcomponenten;
• Het gebruik van persoonlijke IT-voorzieningen op de werkplek dient te worden beoordeeld en goedgekeurd, met name ook indien er persoonsgegevens op worden verwerkt;
• In de SLA’s met ICT-leveranciers dient te worden opgenomen welke eisen aan de hard- en softwarecomponenten van IT-voorzieningen worden gesteld. 

Advies over informatiebeveiliging moet worden ingewonnen bij interne (gemeentelijke) of externe (gespecialiseerde) beveiligingsadviseurs en binnen de GSD worden verspreid.

• Adviseurs (zowel intern als extern) dienen aantoonbare kennis en ervaring van informatiebeveiliging te hebben, eventueel aangevuld met specifieke kennis over Suwinet en de kernprocessen binnen een GSD;
• Beveiligingsadvies dient tijdig te worden ingewonnen, en zo vroeg mogelijk als het een incident betreft.

Er dienen de juiste contacten te worden onderhouden met instanties voor wetshandhaving, regelgevende instanties, leveranciers van informatiediensten en telecommunicatiebedrijven, om ervoor te zorgen dat in geval van een incident snel en efficiënt gespecialiseerd advies kan worden ingewonnen en de benodigde maatregelen kunnen worden uitgevoerd.

• De juiste contacten dienen te worden onderhouden (pro-actief), zodat incidenten kunnen worden voorkomen;
• Er dient of vanuit de gemeente of vanuit de GSD actief deelgenomen te worden aan de verschillende overlegorganen met de Suwi-ketenpartners.

Binnen de GSD c.q. gemeente dient de implementatie van het informatiebeveiligingsbeleid periodiek te worden beoordeeld door een onafhankelijke, gekwalificeerde partij, zodat men er zeker van kan zijn dat de praktijk overeenkomt met het voorgestelde beleid en dat de maatregelen uitvoerbaar zijn en het beoogde effect hebben (zie ook 12.2 Beoordeling van de naleving van het beveiligingsbeleid en de technische vereisten).

• Details over de uitvoer en periode’s van de beoordeling van informatiebeveiliging zijn door het managementforum vastgelegd in overeenstemming met de Suwi- ketenpartners.
• In het kader van de privacybescherming vindt er jaarlijks een audit plaats op basis van de door de College Bescherming Persoonsgegevens (CBP –vroeger: Registratiekamer) ontwikkelde ‘Raamwerk Privacy Audit’.