Handreiking Incident en response management

Gemeenten zijn bij uitstek informatieverwerkende organisaties, een verstoring zorgt ervoor dat deze informatie verwerking en dienstverlening naar de burger verstoord raakt of zelfs stopt bij grote incidenten. Incident management en respons is een van de pijlers van het programma verhogen digitale weerbaarheid van de IBD, de mate waarin een organisatie in staat is incidenten effectief en efficiënt kunnen aanpakken zijn sterk bepalend voor het beperken van schade voor die processen. Incidenten zullen altijd plaatsvinden omdat 100% beveiliging en onderkennen van alle dreigingen en risico’s moeilijk is. Men zou kunnen zeggen dat dit een van de belangrijkste processen is in versterken van de cyberweerbaarheid van de organisatie.

Deze handreiking beschrijft de uitgangspunten en bijhorende processtappen voor het incident management- en respons proces. Het hebben van een goed incident management- en respons proces kan de impact daarvan verkleinen, omdat adequaat gereageerd kan worden en de schade en impact hierdoor minimaal kunnen blijven. Daarnaast leidt het proces ertoe dat lering wordt getrokken van incidenten, waardoor de kans op herhaling ook wordt verkleind. Alle medewerkers zijn verantwoordelijk voor informatiebeveiliging en dienen een incident te kunnen herkennen en weten waar ze dat moeten melden. Deze handreiking bevat checklists, een voorbeeld beleid en allerlei tips om met incidentmanagement en respons om te gaan.

Gemeenten zijn zelf verantwoordelijk voor het goed inrichten van het incidentmanagementproces en kunnen bij incidenten om advies vragen bij de IBD. Ook kan in sommige gevallen de IBD (online) aansluiten bij het crisisteam en ook ondersteuning leveren op het gebied van woordvoering. De IBD kan voor tijdelijke ondersteuning van een getroffen gemeente in de warme fase hulp inroepen van andere gemeenten via het Gemeentelijk Response netwerk (GRN) op basis van bijvoorbeeld een zoekprofiel. De IBD is 24/7 bereikbaar voor gemeenten bij spoed als gevolg van een incident.

Er zijn verschillende type incidenten die allemaal een prioritering dienen te krijgen, de impact en de urgentie van het incident bepaalt welke prioritering toegekend wordt. Het eerste uur na ontdekking van een incident is cruciaal. Er moet zo min mogelijk impact zijn van het incident zonder dat er informatie over het incident verloren gaat. Dit is namelijk nodig om later een goed onderzoek te kunnen doen naar de oorzaak van het incident.

 

Versie 1.1.1: Taskforce BID verwijderd
Versie 2.0:  BIO Update
Versie 2.2:  Update n.a.v. GGI-veilig, GRN, incidenten en andere ontwikkelingen (september 2021)