Auditdienst Rijk Ministerie van Financiën

Transcriptie

1 Auditdienst Rijk Ministerie van Financiën > Resouradros Postbus 2020; 2500 EE Den Haag Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Auditdienst Ri1k Korte Voorhout CW Den Haag Postbus EE Den Haag www rijksoverheid nl Ons kenmerk Datum 23 april 2018 Betreft Onderzoeksrapport Uw briee (kenmerk) Beste Bijgaand doe ik u het onderzoeksrapport Rijksbrede rapportage beheersing informatie beveiliging 2017 (kenmerk ) toekomen Het rapport is reeds besproken in het Interdepartementale CISO overleg van 22 maart 2018 en in het do- beraad van 4 april 2018 Pagina 1 van 1

2 Onderzoeksrapport informatiebeveiliging 2017 Auditdienst Rijk Ministerie van Financiën Rijksbrede rapportage beheersing definitief

3 Colofon Titel Uitgebracht aan Rijksbrede rapportage beheersing informatiebeveiliging 2017 CIO-beraad Datum 23 april 2018 Kenmerk Inlichtingen Auditdienst Rijk

4 Inhoud 1 Managementsamenvatting 4 2 Managementreactie CIO-Rijk 6 3 Onderzoeksverantwoording Aanleiding Doelstelling Gehanteerd referentiekader Object van onderzoek Werkzaamheden en afbakening Gehanteerde standaard Verspreidingskring rapportage Leeswijzer 9 4 Rijksbreed beeld Governance: Samenhang ontbreekt om gefundeerde beslissingen te nemen Organisatie: Informatiebeveiliging organisatorisch verschillend belegd Risicomanagement: Onderbouwing ICV s gebeurt ad-hoc en impliciet Incidentmanagement: Reactief en ad-hoc door missende link tussen centrale beveiligingsorganisatie en de verschillende decentrale onderdelen Leveranciersmanagement: Door huidige dreigingen en eisen bij departementen behoefte aan meer regie op leveranciers 19 5 Opvolging van bevindingen uit Centraal meer randvoorwaarden aanwezig voor sturing op informatiebeveiliging Centraal inzicht in status & opvolging verbeterplannen onbekend 21 6 Rijksbrede verbetermogelijkheden 22 7 Indicatieve volwassenheidniveaus 24 8 Ondertekening 27 Bijlage 1: Koppeling BIR-normen en aandachtsgebied van 31 1 Ri]ksbrede rapportage beheersing Informatiebeveiliging 2017

5 Managementsamenvattïng In opdracht van CIO-Rijk hebben wij onderzoek gedaan naar de sturing en beheersing van informatiebeveiliging op centraal departementaal niveau voor vijf aandachtsgebieden: Governance, Organisatie, Risicomanagement, Incidentenmanagement en Leveranciersmanagement. Deze rapportage bevat de overkoepelende analyse waarmee verbeterpunten zijn geïdentificeerd. Belangrijkste bevindingen per onderzocht thema: Doelstelling Governance Een informatiebeveiligingsstrategie en visie die leldend zijn voor de handelingen voor informatiebeveiliging zijn van belang om gefundeerde beslissingen te nemen en adequaat te reageren op ontwikkelingen. Wanneer deze strategie en visie ondersteund worden door een actueel informatiebeveiligingsbeleid, kan makkelijker voldaan worden aan de bestaande eisen over informatiebevelligïng. De samenhang tussen strategie, beleid en jaarplannen voor informatiebeveiliging ontbreekt veelal bij departementen. Dit vergroot het risico dat de schaarse capaciteit en middelen op het gebied van informatiebeveiliging niet op een effectieve wijze wordt ingezet. Meerdere departementen hebben een verouderd beleid voor informatiebeveiliging, dit leidt tot onduidelijkheden. Verder hebben we waargenomen dat eerdere bevindingen veelal niet leiden tot aangepaste jaarplannen en dat bewustwording ad-hoc aandacht krijgt, maar structurele programma s veelal ontbreken. Doelstelling Organisatie: Een onduidelijke vastleggïng van rollen en verantwoordelijkheden kan besluitvorming in de weg staan. Daarom is het van belang dat verantwoordelijkheden, taken en rollen voor alle niveaus bepaald zijn en ingebed zijn in de organisatie. Uit onze analyse blijkt dat tweedelijns toezicht ten aanzien van informatiebeveiliging op de departementen verschillend wordt ingevuld. De mate en diepgang van tweedelijns toezicht op centraal niveau is verschillend, bovendien zijn verschillende functies belast met het tweedelijns toezicht (de CIO, de BVA of de CISO). Daarbij zijn sommige sleutelposities kwetsbaar op centraal niveau. Doelstelling Risicomanagement: Met een risicoraamwerk voor informatiebeveiliging dat in lijn is met het organisatiebrede model, kunnen risico s juist worden ingeschat en kan het behalen van bedrijftdoelstellingen ondersteund worden. Door het uitvoeren en monitoren van risicoanalyses en verbeterplannen wordt schade aan de organisatie vermeden. De ICV geldt als een jaarlijks eindproduct van een risicomanagement proces voor informatiebeveiliging bij de departementen. De onderbouwing in de ICV via risicomanagement bij departementen gebeurt veelal ad-hoc en impliciet. Dit komt doordat departementen een uniforme methode missen om risicoanalyses in relatie tot de bedrijfsdoelstellingen uit te voeren. Daarbij monitoren departementen op centraal niveau weinig in hoeverre systemen technisch onderzocht worden op naleving van beveïligingsnormen. 4 van 31 i Rijksbrede rapportage beheersing Informatiebevelliglng 2017

6 Tot slot missen departementen vaak centraal inzicht in status en voortgang van verbete rp la n ne n. Doe/stelling Incidentmanagement: Incidenten kunnen een negatieve impact hebben op de betrouwbaarheid van IT van een departement. Hierbij is het ook belangrijk dat heldere afspraken tussen centrale en decentrale onderdelen gemaakt zijn over afhandeling en monitoring van incidenten. Rijksbreed blijkt dat departementen haar incidentenmanagement vooral decentraal georganiseerd heeft. De link tussen de centrale beveiligingsorganisatie en de verschillende decentrale onderdelen ontbreekt vaak bij departementen. Het gebrek aan centrale registratie bemoeilijkt rapportages met trends in incidenten. Bovendien missen departementen veelal een centrale incidenten escalatieprocedure. Doelstelling Leveranciersmanagement: Leveranciersmanagement draagt zorg voor het bewaken van de levering van de afgesproken dienstverlening door (interne en externe) leveranciers. Wanneer afspraken worden gemaakt over het periodiek ontvangen van rapportages, kan de dienstverlening worden geanalyseerd en eventueel worden bijgestuurd. Verreweg de meeste departementen maken gebruik van interne gemeenschappelijke overheidsdienstverlening. Daarbij is een spanningsveld ontstaan tussen enerzijds het uitgangspunt dat de partijen binnen de rijksoverheid elkaar moeten vertrouwen; Shared Service Organisaties (SSO s) leggen dus beperkt verantwoording af over informatiebeveiliging aan de departementen. Anderzijds is een departement op basis van de VIR en BIR eindverantwoordelijk voor haar (kritieke) systemen, ook bij uitbesteding aan SSO s. Sturing vanuit de departementen op de SSO s is beperkt, terwijl risicoacceptatie wel op de departementen plaats vindt. Opvolging bevindingen 2016 en goede voorbeelden: Departementen met een onvolkomenheid hebben planmatig gewerkt aan verdere verbetering van sturing op informatiebeveiliging. Deze departementen hebben tijd nodig om de verbeteringen volledig in uitvoering te brengen en vast te houden. In hoofdstuk 6 hebben wij goedé voorbeelden van departementen beschreven die mogelijk ook bruilcbaar zijn voor andere departementen zoals periodieke metingen van het beveiligingsbewustzijn onder medewerkers bij EZK, het bewustwordingsprogramma van BZK waarin vanuit verschillende invalshoeken activiteiten zijn uitgewerkt om te komen tot meer bewustzijn op het gebied van informatiebeveiliging en de centrale overzichten van kritieke systemen met hun kenmerken van ondermeer AZ, )&V en BZK. Rijksbrede adviezen aan CIO Rijk: 1. Start en ondersteun het gesprek met alle departementen wat het gewenste niveau van volwassenheid moet worden in de beheersing van informatiebeveiliging. 2. Deflnieer als CIO Rijk prestatie-indicatoren over informatiebeveiliging, gelijk met de ambities van departementen, om de effectiviteit van activiteiten in de beheersing van informatiebeveiliging bij departementen te monitoren. 3. Vraag SSO s ook het huidige en gewenste volwassenheidsniveau in kaart te brengen door gebruik te maken van het NBA volwassenheidsmodel. 4. Start en ondersteun het gesprek met de departementen en de SSO s hoe het spanningsveld tussen vertrouwen en controle wordt vormgegeven de komende jaren. 5 van 31 1 Rijksbrede rapportage beheersing informatiebeveiliging 2017

7 2 Managementreactie CIO-Rijk Elk departement heeft een eigen deelrapportage ontvangen op basis waarvan het departement een eigen verbeterplan op kan stellen op grond van een risicoafweging en prioriteitsstelling. In deze rapportage is op basis van die deelrapportages een rijksbreed beeld geschetst. Dit beeld is besproken met de kerndepartementen. Zij herkennen het beeld dat in de rapportage wordt geschetst ten aanzien van het rijksbrede beeld en de volwassenheid van informatiebeveiliging binnen de Rijksdienst. De CIO Rijk en de departementen hebben twee bevindingen onderkend als hoge prioriteit om rijksbreed te agenderen: 1. Thema leveranciersmanagement: risicobeheersing in relatie tot SSO s Het proces van risicobeheersing en vooral ook risico-acceptatie bij Shared Service Organisaties (SSO s) moet beter inzichtelijk worden gemaakt. De departementen willen een duidelijkere betrokkenheid bij (de afweging van) IB-gerelateerde risico s. 2. Thema organisatie: sleutelposities kwetsbaar Het op orde krijgen en houden van de informatiebeveiliging vraagt steeds meer aandacht. Veel departementen hebben een gebrek aan tijd, geld, maar vooral ook capaciteit voor de diverse trajecten die spelen binnen dit onderwerp. Bij meerdere departementen moet het werk op centraal niveau gedaan worden door slechts één of twee personen. Het rijksbrede rapport is gericht op het inzichtelijk maken van de beheersing van informatiebeveiliging op centraal niveau en het benoemen van de verbetermogelijkheden en geeft daartoe ook enkele goede voorbeelden weer. Departementen en CIO Rijk zien hier de meerwaarde van in en zullen deze goede voorbeelden binnen de interdepartementale overleggen agenderen, zodat optimaal van elkaar geleerd kan worden. Openbaarmaking van dit rapport kan gezien worden als een verdere stimulans voor kennisdeling. In het rapport worden ook vier rijksbrede adviezen gegeven aan CIO Rijk. De exacte invulling van deze adviezen vindt plaats in samenspraak met de departementen. In de uitwerking van de ADR-opdracht voor 2018 zal in ieder geval het gewenste volwassenheidsniveau een plaats krijgen conform het eerste rijksbrede advies. 6 van 31 1 Rijksbrede rapportage beheersing informatiebeveiliging 2017

8 3 Onderzoeksverantwoording 3.1 Aanleiding In de Interdepartementale Commissie Bedrijfsvoering Rijk (ICBR) is afgesproken dat alle rijksoverheidsorganisaties aan de Baseline Informatiebeveiliging Rijksdienst (BIR:2012) moeten voldoen en hierop worden getoetst. De afgelopen jaren heeft de ADR diverse rijksbrede onderzoeken uitgevoerd naar de sturing van informatiebeveiliging (PDCA-cyclus) en Implementatie van de BIR bij een beperkt aantal IT-systemen voor de thema s: Patchmanagement, Beveiliging van externe koppelvlakken, Beheer van medewerkers en toegang, Logging en monitoring. Dit jaar heeft op verzoek van DGOO/CIO Rijk de focus van ons rijksbrede onderzoek gelegen op de beheersing van informatiebeveiliging op centraal depaftementaal niveau. Daarbij is gekozen om dit jaar voor het eerst, als pilot, gebruik te maken van een volwassenheidsmodel om de beheersing van informatiebeveiliging per departement te meten. 3.2 Doelstelling De doelstelling van dit onderzoek is tweeledig, namelijk: 1) het inzichtelijk maken van de beheersing van informatiebeveiliging op centraal departementaal niveau, gemeten in volwassenheidsniveaus per aandachtsgebied. 2) het adviseren over verbetermogelijkheden in de beheersing van informatiebeveiliging (per aandachtsgebied) Beide doelstellingen dienen om verbeterpunten te identificeren in de beheersing van informatiebeveiliging op centraal departementaal niveau voor het gehele ministerie. 3.3 Gehanteerd referentiekader Voor het onderzoek is als referentiekader gebruik gemaakt van de Handreiking bij Volwassenheidsmodel Informatiebeveiliging. Het referentiekader is opgesteld door de Koninklijke Nederlandse Beroepsorganisatie van Accountants (NBA). Het doel van het referentiekader is organisaties te ondersteunen bij het meten, bepalen en verbeteren van de beheersing van informatiebeveiliging. Voor de ontwikkeling van het referentiekader is gebruik gemaakt van bestaande normen uit de BIR:2012. Het volwassenheidsmodel kent vijftien aandachtsgebieden. Omdat dit jaar voor het eerst als pilot gebruik is gemaakt van het model, is besloten om vijf van de vijftien aandachtsgebieden te onderzoeken. De vijf aandachtsgebleden zijn gekozen omdat deze randvoorwaardelijk zijn voor de beheersing van informatiebeveiliging op departementaal niveau vöor het gehele ministerie en aansluiten bij de bevindingen van vorig jaar. De overige aandachtsgebieden uit het referentiekader zijn niet in dit onderzoek betrokken. De vijf onderzochte aandachtsgebieden zijn Governance, Organisatie, Incidentmanagement, Risicomanagement en Leveranciersmanagement (Ketenbeheer genoemd in het referentiekader van het NBA). De aandachtsgebieden zijn inhoudelijk onderbouwd via een samenvoeging van 7 van 31 1 RI]ksbrede rapportage beheersing Informatlebevelhging 2017

9 meerdere BIR-normen. In bijlage 1 is de koppeling tussen BIR-normen en de aandachtsgebieden opgenomen. Voor de minimale elementen in een centraal dossier voor de onderbouwing van een In Control Verklaring (ICV) hanteren wij de afspraken, die zijn gemaakt in de toelichting voor de ICV 2017 (vastgesteld In het CIO beraad d.d. 20 september 2017). 3.4 Object van onderzoek Het object van onderzoek betreft de beheersing van informatiebeveiliging op centraal departementaal niveau (veelal bij het CIO-office) voor het gehele ministerie op de vijf onderzochte aandachtsgebieden. Bij drie uitvoeringsorganisaties (Belastingdienst, Rijkswaterstaat en Dienst Justitiële Inrichtingen) hebben wij de aansluiting tussen centraal en decentraal niveau gevalideerd. De beheersing van Informatlebeveiliging bij deze drie uitvoeringsorganisaties zelf, is niet onderzocht. Voor het CIO-beraad Is deze rijksbrede rapportage opgesteld met een beschrijving van de beheersing van informatiebeveiliging bij de elf onderzochte departementen. 3.5 Werkzaamheden en afbakening Onze werkzaamheden zijn uitgevoerd In overeenstemming met de opdrachtbevestiging ( d.d ). Dat houdt in dat wij bij de volgende departementen op centraal niveau onderzoek hebben gedaan naar de beheersing van informatlebeveiliging voor de vijf aandachtsgebieden: - Ministerie van Algemene Zaken (AZ), deelrapport Ministerie van Binnenlandse Zaken & Koninkrijksrelaties (BZK), deelrapport Ministerie van Buitenlandse Zaken (BZ), deelrapport Ministerie van Defensie (DEF), deelrapport Ministerie van Economische Zaken & Klimaat (EZK), deelrapport Ministerie van Financiën (FIN), deelrapport Ministerie van Infrastructuur & Waterstaat (I&W), deelrappoft Ministerie van Justitie & Veiligheid (J&V), deelrappoft Ministerie van Onderwijs, Cultuur & Wetenschap focw), deelrapport Ministerie van Sociale Zaken & Werkgelegenheîd (SZW), deelrapport Ministerie van Volksgezondheid, Welzijn en Sport (VWS), deelrappoft Voor fase 1 zijn conform de opdrachtbevestiging pet departement de volgende werkzaamheden uitgevoerd: - Voorafgaand aan het onderzoek is door elk departement een zelfevaluatie ingevuld en is documentatie ter onderbouwing aan het onderzoeksteam aangeboden; 8 van 31 1 Rijksbrede rapportage beheersing Informatlebeveiflging 2017

10 basis van een documentstudie, interviews en waarneming ter plaatse - Op gebruikt; heeft het onderzoeksteam zich een beeld gevormd van de beheersing van informatiebeveiliging op centraal niveau; - Het onderzoek heeft zich alleen gericht op opzet en bestaan op centraal departementaal niveau. De beheersing van informatiebeveiliging bij ZBO s en de onderleggende dienstonderdelen zijn niet onderzocht; - De bevindingen en adviezen opgenomen in de departementale rapportages zijn afgestemd via hoor- en wederhoor (per thema). Indien gevraagd zijn individuele normen uit het kader nader besproken met de betrokkenen. Elk departement heeft akkoord gegeven op de conceptversie van haar departementale deelrapportage. Voor fase 2 zijn conform de opdrachtbevestiging de volgende werkzaamheden - Op basis van een documentstudie heeft het onderzoeksteam een uitgevoerd voor de rijksbrede analyse en rapportage: rijksbrede analyse uitgevoerd naar de beheersing van departementale zelfevaluaties, onderzoeksdossiers en deelrapportages besproken op 22-maart 2018 in het Chief Information Security Officer - De - Ook informatiebeveiliging op centraal departementaal niveau. Hiervoor zijn de bevindingen en adviezen opgenomen in de rijksbrede rapportage zijn (CISO)-overleg; hebben wij (rijksbrede) verbetermogelijkheden geïdentificeerd en hebben wij de indicatieve volwassen heidniveaus per aandachtsgebied opgeteld en weergegeven in figuur Gehanteerde standaard Standaarden voor de Beroepsuitoefening van Internal Auditing. Tevens wordt Deze opdracht is uitgevoerd in overeenstemming met de Internationale verwezen naar de auditcharter van de ADR voor de uitgangspunten die voor de ADR van toepassing zijn. Met dit onderzoek wordt geen zekerheid verschaft omdat het een onderzoeksopdracht betreft. 3.7 Verspreidingskring rapportage De opdrachtgever, CIO-Rijk namens het do-beraad, is eigenaar van de rapportage. De rapportage heeft, met uitzondering van de beschreven voorbeelden in hoofdstuk 6, een anoniem karakter. De ADR is de interne auditdienst van het Rijk. Dit rapport is primair bestemd voor de opdrachtgever met wie wij deze opdracht zijn overeengekomen. In de ministerraad is besloten dat het opdrachtgevende ministerie waarvoor de ADR een rapport heeft geschreven, het rapport binnen zes weken op de website van de rijksoverheid plaatst, tenzij daarvoor een uitzondering geldt. De minister van Financiën stuurt elk halfjaar een overzicht naar de Tweede Kamer met de titels van door de ADR uitgebrachte rapporten en plaatst dit overzicht op de website. 3.8 Leeswijzer De onderzoeksresultaten zijn onderverdeeld in de vijf aandachtsgebieden en opgenomen in hoofdstuk 4. In hoofdstuk 5 is de opvolging van bevindingen uit 2016 opgenomen. Hoofdstuk 6 bevat onze rijksbrede verbetermogelijkheden. Tot slot bevat hoofdstuk 7 een overzicht van de indicatieve volwassenheidsniveaus. 9 van 31 1 Rijksbrede rapportage beheersing Informatlebeveiliging 2017

11 4 Rïjksbreed beeld Dit onderzoek beoogt de beheersing van informatiebevelliging op centraal departementaal niveau inzichtelijk te maken, gemeten in volwassenheidsniveaus per aandachtsgebied. Dit onderzoek toont alleen het huidige niveau terwijl idealiter de departementen een gewenst volwassenheidsniveau bepalen, eisen stellen, prestaties halen, prestaties meten en verantwoorden over de prestaties. Op dit moment is via deze analyse alleen inzichtelijk wat het huidige volwassenheidsniveau is. Het is aan de departementen zelf om te bepalen wat het gewenste volwassenheidsniveau wordt. In de volgende vijf paragrafen wordt per thema het huidige niveau beschreven. 4.1 Governance: Samenhang ontbreekt om gefundeerde beslissingen te nemen Doelstelling Governance: Besturing (Governance) geeft richting en ondersteuning aan informatiebeveiliging in lijn met bedrijfsdoelstelllngen, risicobereidheid en van toepassing zijnde wet- en regelgeving en vergewist zich van de effectieve naleving ervan. Een informatiebevelligingsstrategie en visie die leidend zijn voor de handelingen voor informatiebeveiliging zijn van belang om gefundeerde beslissingen te nemen en adequaat te reageren op ontwikkelingen. Wanneer deze strategie en visie ondersteund worden door een actueel informatiebeveiligingsbeleid, kan makkelijker voldaan worden aan de bestaande eisen over informatiebeveiliging. Door de geformuleerde doelen, risico s en eisen te vertalen naar een concrete planning, komen de maatregelen In lijn te staan met de bedrljfsdoelstellingen. Om toezicht te houden op de kwaliteit en effectiviteit van de genomen maatregelen, kan intern of extern onafhankelijke zekerheid worden verschaft. Rijksbreed blijkt dat departementen met de besturing op informatiebeveiliging worstelen en ad-hoc opereren. Elk departement verzamelt centraal periodiek stuurinformatie over informatiebeveiliging. De departementen kiezen zelf voor de frequentie en diepgang in het centrale dossier met informatie over informatiebeveiliging. De samenstelling van dit dossier (vanuit (deel-) In Control Verklaringen, risicoanalyses, audits, verbeterplannen en incidenten) verschilt daarmee sterk rijksbreed. Daarbij is de centrale uitvraag vaak een losstaand proces t.o.v. de reguliere bedrijfsvoering- en verantwoordingscyclus. De centraal beschikbare informatie leidt niet tot een concrete departementale planning en maatregelen in relatie tot haar bedrijfsdoelstellingen. De samenhang tussen een strategie, beleid en jaarplannen voor informatiebeveiliging ontbreekt veelal. Hierdoor blijft rijksbreed gezien de prioriteitstelling bij departementen ad hoc. De vijf onderstaande aandachtspunten onderschrijven dat rijksbreed gezien departementen impliciet beslissingen nemen: 1. Door een ontbrekende strategie mist focus in informatiebeveiliging 2. Verouderd beleid voor informatiebeveiliging leidt tot onduidelijkheden 3. Eerdere bevindingen leiden niet tot aangepaste jaarplannen 4. Bewustwording krijgt ad-hoc aandacht, maar structurele programma s ontbreken 10 van 31 1 Ri]ksbrede rapportage beheersing informatiebeveiliging 2017

12 herleidbaar. ontbreken 2017 bewustwordingsactiviteiten uitgevoerd hebben om medewerkers bewuster te maken van het belang van informatiebeveiliging. De uitvoering varieert sterk. 5. Departementsleiding wordt verschillend betrokken bij audit uitkomsten Door een ontbrekende strategie mist focus in informatiebeveiliging geformaliseerde strategie voor informatiebeveiliging. Een goed geformuleerde geaccordeerde strategie en visie op informatiebeveiliging zorgen voor focus op de belangrijkste doelen. Een centrale strategie voorkomt teveel ad-hoc beleid of Rijksbreed blijkt dat de meeste departementen niet beschikken over een uitvoering van activiteiten zonder samenhang. Overigens beschikken enkele hoofdlijnen is benoemd. departementen wel over een 1-strategie waarin informatiebeveiliging op Verouderd beleid voor informatiebeveiliging leidt tot onduidelijkheden regelgeving (zoals AVG) en reorganisaties bij departementen. Daarom dienen De (IT-) ontwikkelingen gaan snel door nieuwe technieken, veranderende departementen het informatiebeveiligingsbeleid regelmatig te evalueren en waar nodig bij te stellen om het beleid conform BIR:2012 (5.1.1) niet ouder laten te zijn dan drie jaar. Een verouderd beleid voor informatiebeveiliging kan betekenen dat een departement geen invulling geeft aan geldende regelgeving of door een reorganisatie verantwoordelijkheden onduidelijk belegd heeft. Rijksbreed blijkt dat alle departementen over een geformaliseerd informatiebeveiligingsbeleid beschikken. Het oudste beleid stamt uit Vier andere departementen hebben ook een verouderd beleid voor informatiebeveiliging. Twee departementen geven aan bewust te wachten met actualisatie vanwege de komst van nieuwe regelgeving in 2018 (zoals AVG en BIR:2017) Eerdere bevindingen leiden niet tot aangepaste jaarplannen Alle departementen ondernemen activiteiten in de beheersing van informatiebeveiliging. In algemene zin geldt dat het lastig is om opvolging in departementale jaarplannen te zien voor bevindingen, risico s of evaluaties uit een voorgaand jaar. De opvolging inclusief prioriteiten voor een komende periode is daarom impliciet bij departementen. De keuze van departementen waarom bepaalde activiteiten voor informatiebeveiliging worden uitgevoerd is niet altijd Niet alle departementen beschikken over geformaliseerde jaarplannen waarin de Hierin valt op dat departementen de noodzaak zien tot activiteiten maat beperkt departementen beschikken over een structureel programma. De overige departementen hebben (nog) geen plannen voor een bewustwordingsprogramma structurele invulling geven via een bewustwordingsprogramma. Vier voor de lange termijn of zijn net gestart met concept programma s. 11 van 31 1 Rijksbrede rapportage beheersing lnformatlebeveiliging 2017 activiteiten in de beheersing van informatiebeveiliging zijn uitgewerkt. Zonder deze plannen blijft het onduidelijk of de benodigde middelen aanwezig zijn Bewustwording krijgt ad-hoc aandacht, maar structurele programma s Departementen geven aan dat de mens als zwakste schakel in de keten een belangrijke rol speelt. Uit onze rijksbrede analyse blijkt dat alle departementen in

13 4.1.5 Departementsleiding wordt verschillend betrokken bij audit uitkomsten Via interne of externe onafhankelijke onderzoeken faudits) kan aanvullende zekerheid worden verschaft over de kwaliteit en effectiviteit van de genomen maatregelen voor informatiebeveiliging. Departementen gebruiken de uitkomsten voor verbeterplannen en het hoogste management kan de voortgang bewaken. Rijksbreed blijkt dat departementen verschillend omgaan met (vraaggestuurde) onderzoeken. Soms ontvangt alleen de opdrachtgever de uitkomsten van een onderzoek en niet het hoogste management. Bij andere departementen wordt uitsluitend een voortgangsrapportage gestuurd naar het audit comité. En bij sommige departementen ontvangt zowel het senior management als het audit comité een afschrift van de onderzoeken. De departementsleiding is rijksbreed gezien daarom verschillend betrokken bij de auditvraag, planning, voortgang en uitkomsten. 12 van 31 1 Rljksbrede rapportage beheersing nformauebeveiigng 2017

14 belegd 4,2 Organisatie: Informatiebeveiliging organisatorisch verschillend Doelstelling Organisatie: Informatiebeveiliging is op het hoogst mogelijk organisatieniveau geadresseerd. Het beheer van informatiebeveiliging is in lijn met de bedrijfsdoelstellingen, van toepassing zijn de risico s en compliance eisen. Een onduidelijke vastlegging van rollen en verantwoordelijkheden kan besluitvorming in de weg staan. Daarom is het van belang dat verantwoordelijkheden, taken en rollen voor alle niveaus bepaald zijn en ingebed zijn in de organisatie. Rijksbreed blijkt dat departementen van oudsher beschikken over een rollen en verantwoordelijkheden rond integrale beveiliging zijn vastgelegd in Beveiligingsambtenaar (BVA). De BVA draagt zorg voor het toezicht op de integrale beveiliging (waaronder informatiebeveiliging) van een departement. De rijksbrede kaders en regelingen. (do). De CIO bewaakt samenhang in informatievoorziening en ICT-projecten door applicatie-, project- en portfoliomanagement. Ten slotte stelt de CIO, op Sinds 2009 beschikken de departementen ook over Chief Information Officer basis van de rijksbrede kaders, eisen aan projectbeheersingsmethodieken en ondersteunt audits, reviews en second opinions. Alle departementen beschikken over een BVA en een CIO. Daarbij blijkt uit de analyse dat de positie bij beide functies ten opzichte van informatiebeveiliging verschilt. Naast de functies hebben bijna alle departementen een afzonderlijke functionaris benoemd met de rol van Chief Information Security Officer (CISO). De plaatsing in de organisatie, mandaat en taakopvatting verschilt per CISO-positie. De huidige situatie, waarin informatiebeveiliging bij verschillende functionarissen is belegd, leidt tot wisselende verwachtingen bij departementen wie waar verantwoordelijk voor is. De positionering van informatiebeveiliging bij een CIO, BVA of CISO maakt bovendien het uitwisselen van kennis en kunde over informatiebeveiliging in Rijksbrede overleggen lastiger omdat de verschillende rolopvatting verwarring veroorzaakt. departementen informatiebeveiliging organisatorisch verschillend belegd hebben: De drie onderstaande aandachtspunten onderschrijven dat rijksbreed gezien 1. Tweedelijns toezicht varieert in verantwoordelijke functionaris & vorm 2. Sommige sleutelposities zijn kwetsbaar op centraal niveau 3. Departementsleiding van zes departementen ontvangt alleen de ICV Bij alle departementen is informatiebeveiliging volgens het VIR een lijnverantwoordelijkheid. De eerste lijnsverantwoordelijkheid is daarom bij de directeuren van de decentrale onderdelen (elk departement hanteert een eigen term voor decentraal onderdeel) ingericht. Tweedelijns toezicht is daarom bedoeld om toe te zien of de eerste lijnsverantwoordelijkheid naar behoren maatregelen voor informatiebeveiliging realiseert. tweedelijns toezicht verschilt. De verschillende functies belast met tweedelijns Uit onze rijksbrede analyse blijkt dat de functionaris verantwoordelijk voor toezicht variëren in de do, de BVA of de CISO. 13 van 31 1 Rijksbrede rapportage beheersing informatiebeveiliging Tweede, ijns toezicht varieert in verantwoordelijke functionaris & vorm

15 Ook de methode voor tweedelijns toezicht verschilt. De invulling varieert van niet ingericht, via zelfevaluatie, tot locatiebezoeken. Daarnaast kennen enkele departementen toezichtplannen en toezichtverslagen, maar bij veel departementen ontbreken dergelijke formele plannen en verslagen Sommige sleutelposfties zijn kwetsbaar op centraal niveau Op centraal niveau komt voor elk departement de (sturings)informatie over informatiebeveiliging samen. Uit onze rijksbrede analyse blijkt dat meer dan de helft van de departementen (acht) op centraal niveau kwetsbaarheden in haar Organisatie kent ten aanzien van de continuïteit. Bijvoorbeeld omdat informatiebeveiliging vaak bij een beperkt aantal personen is belegd. Ook kennen de sleutelposities een hoog personeelsverloop, onvervulde vacatures, ziekte en inhuur. De kwetsbare capaciteit leidde bij enkele departementen tot beperktere uitvoering van ambities en activiteiten dan gepland Departementsleiding van zes departementen ontvangt alleen de ICV Bij zes departementen wordt de depaftementsleiding alleen via de jaarlijkse In Control Verklaring (ICV) geïnformeerd. Naast de ICV wordt informatiebeveiliging sporadisch in de Bestuursraad bij de zes departementen besproken. Dit gebeurt ad hoc en is vaak afhankelijk van incidenten. De vijf andere departementen informeren, naast de jaarlijkse ICV, frequenter en gestructureerd de depa rtem ents le Iding 14 van 31 1 Rljksbrede rapportage beheersing Intormatlebevelllglng 2017

16 implidet wegen. systemen, risicoanalyses en maatregelen is daarom beperkt te volgen. De departementen hebben ambities om tot een raamwerk te komen, al baseren deze departementen zich al wel op rijksbreed aanbevolen methodes zoals IRAM. 4.3 Risicomanagement: Onderbouwing ZCV s gebeurt ad-hoc en Doelstelling Risicomanagement: Risicomanagement draagt zorg voor het op gestructuteerde wijze identificeren en beheersen van informatiebeveiligingsrisico s zodanig dat de risico s in lijn zijn met de risicobereidheid en risicoraamwerk van de Organisatie. Om inzicht te krijgen in het risicoprofiel van de organisatie is het van belang om analyses uit te voeren. Met een risicoraamwerk voor informatiebeveiliging dat in lijn is met het organisatiebrede model, kunnen risico s juist worden ingeschat en kan het behalen van bedrijfsdoelstellingen ondersteund worden. Bi] het uitvoeren van risicoanalyses worden plannen opgesteld om risico s te verkleinen of te accepteren. Door het uitvoeren en monitoren van deze verbeterplannen wordt schade aan de Organisatie vermeden. Departementen zijn verplicht om jaarlijks een In Control Verklaring (ICV) over informatiebeveiliging op te stellen. De ICV geldt als een jaarlijks eindproduct van een risicomanagement proces voor informatiebeveiliging bij de departementen. Conform de uitleg van een ICV kan een departement in control zijn als bekend is waar risico s en verbeterplannen voor bestaan. CIO Rijk heeft voor de ICV minimale elementen voor de centrale sturing verplicht gesteld. totstandkoming verschilt sterk. Slechts één departement beschikt over een departementale ICV. De drie onderstaande aandachtspunten onderschrijven dat Uit de rijksbrede analyse blijkt dat alle departementen werken met een ICV. De 1. Zeven departementen missen een uniforme methode om haar 2. Weinig monitoring op centraal niveau of departementen systemen wegingsverslag om decentrale risico s te wegen voor opname in de rijksbreed gezien de onderbouwing in de ICV via risicomanagement bi] departementen ad-hoc en impliciet gebeurt: risicoanalyses in relatie tot de bedrijfsdoelstellingen uit te voeren technisch onderzoeken 3. Negen departementen missen centraal inzicht in status en voortgang van verbeterplannen Zeven departementen missen een uniforme methode om haat risicoanalyses in relatie tot de bedriffsdoelstellingen uit te voeren voeren wordt het vergelijken van risico s eenvoudiger en zijn departementen Door risicoanalyses binnen één departement met dezelfde systematiek uit te beter in staat de belangrijkste informatiebeveiligingsrisico s te vergelijken en te Uit de rijksbrede analyse blijkt dat zeven departementen geen risicomanagement systematiek uitgewerkt hebben. Het ontbreekt deze departementen aan een uniforme methode om haar risicoanalyses in relatie tot de bedrijfsdoelstellingen ui te voeren. De link tussen bedrijfsdoelstellingen, processen, (kritieke) Eén departement heeft haar risicoraamwerk formeel goedgekeurd en gekoppeld aan te beschermen belangen voor de organisatie. Ter ondersteuning van risicomanagement heeft dit departement eigen tools ontwikkeld om een uniforme werkwijze te organiseren. De twee overige departementen hebben het eigen 15 van 311 Rjksbrede rapportage beheersing intormatiebeveiliging 2017

17 raamwerk ontworpen maar niet goedgekeurd waardoor de werkwijze informeel blijft Weinig monitoring op centraal niveau of departementen systemen technisch onderzoeken Een minimale verplichting voor de ICV is het hebben van een overzicht van de kritieke en bedrijfskritische informatiesystemen c.q. informatieketens met hun relevante kenmerken en per systeem/informatieketen de belangrijkste risico s, de datum van de laatst uitgevoerde risicoanalyse en contactinformatie. Het overzicht is geen doel maar dient als middel in de centrale sturing op informatiebeveiliging. De invulling voor het overzicht verschilt tussen alle departementen sterk in details en kenmerken. Het varieert van een departement die al haar systemen noemt tot een departement die alleen haar kritieke systemen noemt. De grootte en risicoprofiel van een departement speelt een grote rol om systemen te classificeren. Drie departementen houden centraal bij wanneer voor het laatst een (technisch) beveiligingsonderzoek voor een systeem is uitgevoerd. De overige departementen beschikken niet over een middel om de uitvoering van (technische) onderzoeken te monitoren. Elk departement is, conform BIR:2012, zelf verantwoordelijk voor het regelmatig controleren van de naleving van beveiligingsnormen voor (kritieke) systemen. In dit onderzoek is voor elk departement willekeurig een nieuw (kritiek of bedrijfskritisch) systeem geselecteerd, waarbij nagegaan is of recentelijk beveiligingsonderzoeken zijn uitgevoerd en of bevindingen zijn opgevolgd. Op zes van de elf systemen is de afgelopen drie jaar een (technisch) onderzoek uitgevoerd. Eén departement heeft de bevindingen ook opgelost, drie departementen zijn bezig met het oplossen en bij de twee overige recent uitgevoerde onderzoek was de status tijdens onze onderzoekswerkzaamheden onbekend op (de)centraal niveau. Op de overige vijf geselecteerde systemen is recentelijk geen beveiligingsonderzoek uitgevoerd. In één geval staat dit wel gepland voor 2018, en bij twee anderen wordt het systeem binnenkort vervangen. 4,3.3 Negen departementen missen centraal inzicht in status en voortgang van verbeterplannen Departementen proberen met de uitvoering van risicoanalyses plannen op te stellen om risico s te verkleinen of te accepteren. Door deze verbeterplannen uit te voeren en voortgang te monitoren wordt schade aan het departement vermeden. Negen departementen missen het centrale inzicht in de status en voortgang van verbeterplannen. Bij twee departementen wordt het inzicht in verbeterplannen en de status via de ICV-cyclus verkregen. Departementen zijn gestart met initiatieven zoals voortganggesprekken en monitoring via controllerfuncties. Deze initiatieven zijn recent gestart en bieden nog geen volledig centraal inzicht in de voortgang. 16 van 31 1 Rljksbrede rapportage beheersing informatiebeveiliging 2017

18 4.4 Incidentmanagement: Reactief en ad-hoc door missende link tussen centrale beveiliglngsorganisatie en de verschillende decentrale onderdelen Doelstelling Incidentmanagement: Incidentmanagement draagt zorg voor het afhandelen van verstoringen in ITdienstverlening en voor tijdig herstel van afgesproken betrouwbaarheidsniveaus (gemeten naar beschikbaarheid, integriteit en vertrouwelijkheid). Incidenten kunnen een negatieve impact hebben op de betrouwbaarheid van IT van een departement. Wanneer een procedure is ingericht om Incidenten te registreren, analyseren en af te handelen, kan de schade worden beperkt. Hierbij is het ook belangrijk dat heldere afspraken tussen centrale en decentrale onderdelen gemaakt zijn over afhandeling en monitoring van incidenten. Als de oplossing niet met de beschikbare middelen of tijd kan worden afgerond, geeft een centrale escalatieprocedure de mogelijkheid om het incident effectief af te handelen. Rijksbreed blijkt dat departementen haar incidentenmanagement vooral decentraal georganiseerd heeft. Elk departement heeft dan ook decentrale onderdelen, shared service organisaties of externe leveranciers met verantwoordelijkheden voor het registreren, monitoren en afhandelen van incidenten. De decentrale onderdelen beschikken over eigen decentrale procedures. Op centraal niveau kunnen incidentmeldingen belangrijke sturingsinformatie opleveren voor de regie op de beheersing van informatiebeveiliging. De link tussen de centrale beveiligingsorganisatie en de verschillende decentrale onderdelen ontbreekt vaak bij departementen. De departementale invulling van afspraken tussen centraal en decentraal bi] incidentmanagement is bij twee departementen formeel met een procedure. Bij de overige negen zijn procedures nog in concept, verouderd, incompleet of versnipperd. Hierdoor blijft incidentenmanagement rijksbreed gezien op centraal niveau reactief en ad-hoc. De drie onderstaande aandachtspunten onderschrijven het gebrek aan centrale coördinatie op incidenten: 1. Het gebrek aan centrale registratie bemoeilijkt rapportages met trends in incidenten 2. Negen departementen missen een centrale incidenten escalatieprocedure 3. Ontwikkeling in detectie en reactie van verdachte activiteiten via monitoring Het gebrek aan centrale registratie bemoeilijkt rapportages met trends in incidenten De aard en impact van gemelde incidenten bij de departementen varieert. Door de variatie en aparte registratie bij decentrale organisaties ontbreekt het bij alle departementen aan eenduidige registraties. Het gebrek aan centrale registratie bemoeilijkt rapportages met trends in incidenten. Departementen stellen nauwelijks centrale capportages op voor de departementsleiding over de trends in incidenten Negen departementen missen een centrale incidenten escalatieprocedure Als de oplossing niet met de beschikbare middelen of binnen de gestelde tijd kan worden afgerond, geeft een escalatieprocedure de mogelijkheid om het incident effectief af te handelen. Hiervoor hebben twee departementen op centraal niveau een geformaliseerde escalatieprocedure waarin ook criteria voor opschaling en communicatielijnen zijn vastgelegd. Vijf departementen hebben geen 17 van 31 1 Ri]ksbrede rapportage beheersing Informauebeveillging 2017

19 escalatieprocedure en de overige vier departementen hebben delen vastgelegd of hebben een conceptprocedure Ontwikkeling in detectie en reactie van verdachte activiteiten via monîtodng Ongeveer de helft van de departementen (vijf) ervaart een tendens om meer te monitoren en pro-actiever haat IT-omgeving te scannen op verdachte activiteiten. Bij deze vijf departementen zijn faciliteiten van (externe) monitoring aangetroffen om zelf incidenten te herkennen. Daarbij zijn deze departementen voornemens in 2018 haar security monitoring uit te breiden. De ontwikkeling in (externe) monitoring bij de departementen geeft invulling om gecoördineerd verdachte activiteiten op de eigen omgeving waar te nemen. De verankering van deze detectieve maatregel ontbreekt vaak in procedures en rapportagelijnen zoals de twee voorgaande paragrafen voor incidentmanagement beschrijven. 18 van 31 1 RI]ksbrede rapportage beheersing Informatlebevelliglng 2017

20 4.5.1 Spanningsveld tussen eisen op het gebied van informatiebeveiliging en interne afspraken binnen de overheid 4.5 Leveranciersmanagement: Door huidige dreigingen en eisen bij departementen behoefte aan meer regie op leveranciers Leveranciersmanagement draagt zorg voor het bewaken van de levering van de Doelstelling Leveranciersmanagement: belang om de bijkomende risico s in kaart te brengen en na te gaan of de afgesproken dienstverlening door (interne en externe) leveranciers. Veel organisaties besteden een deel van de IT uit aan IT-dienstverleners. Bij het sluiten van beheercontracten kunnen Service Level Agreement s ervoor zorgen dat de dienstverlening nu en in de toekomst aan de gewenste eisen voldoet. Wanneer afspraken worden gemaakt over het periodiek ontvangen van rapportages, kan de dienstverlening worden geanalyseerd en eventueel worden bijgestuurd. Bij het uitbesteden van IT bij een bepaalde leverancier, is het van interne beheersing van de leverancier is onderzocht. Door deze maatregelen te treffen, wordt voorkomen dat de prestaties van de leverancier onder het gewenste niveau komt te zitten. Rijksbreed valt een duidelijke splitsing in leveranciersmanagement op tussen de SSO, interne specifieke dienstverlening bij een 550 en alleen externe departementen. De splitsing varieert op centraal niveau tussen interne dienstverlening, interne gemeenschappelijke overheidsdienstverlening bij een dienstverlening. Daarbij zijn combinaties mogelijk waardoor departementen centraal een palet aan IT-leveranciers hebben. Elk departement heeft formele contractafspraken met de interne of externe IT- Hierdoor zijn de afspraken niet gemakkelijk aan te passen. Departementen aan regie op interne en externe IT-leveranciers. leverancier. De dienstverlening zijn langlopende en omvangrijke trajecten. geven aan dat mede door huidige dreigingen en eisen meer behoefte te hebben Departementen beschikken bij uitbesteding allemaal over formele afspraken. De formele afspraken in contracten zijn meestal niet vertaald naar eisen van het departement aan de leverancier op informatiebeveiliging. De invulling van de vertaling verschilt tussen interne overheidsleveranciers en externe ITleveranciers. In paragraaf en wordt de verschillende omgang met informatiebeveiliging bij interne gemeenschappelijke overheidsdienstverlening en externe leveranciers beschreven. Een operationalisatie hoe de leverancier haar prestaties in informatiebeveiliging aantoont en verantwoording over aflegt aan het departement mist vaak. Beide onderstaande aandachtspunten onderschrijven het gebrek aan centrale 1. Spanningsveld tussen eisen op het gebied van informatiebeveiliging regie en coördinatie op interne en externe leveranciers: enerzijds en interne afspraken binnen de overheid anderzijds 2. Sturing op externe IT-leveranciers veelal professioneler vorm gegeven Door de stuurgroep Herinrichting Governance Bedrijfsvoering Rijk (SGOS) is veel IT-dienstverlening voor de Rijksoverheid gecentraliseerd in shared service organisaties (SSO s). Bij de oprichting van de SSO s zijn de regieorganisaties op de departementen (deels) verdwenen. Verreweg de meeste departementen maken gebruik van interne gemeenschappelijke overheidsdienstverlening. Daarbij is een spanningsveld ontstaan tussen het uitgangspunt dat de partijen binnen de rijksoverheid elkaar moeten vertrouwen. SSO s leggen dus beperkt 19 van 31 1 Rijksbrede rapportage beheersing Intormatlebeveiliging 2017

21 verantwoording af over informatiebeveiliging aan de departementen. Anderzijds is een departement op basis van de VIR en BIR eindverantwoordelijk voor haar (kritieke) systemen, ook bij uitbesteding aan SSO s. Sturing vanuit de departementen op de SSO s is beperkt, terwijl risicoacceptatie wel op de departementen plaats vindt. Daarbij valt uit de rijksbrede analyse op dat generieke rapportages van dezelfde leverancier met een zelfde type dienstverlening niet bij alle departementen beschikbaar of bekend zijn. Ook de mate van actualiteit en periodiciteit van rapportages is verschillend Over het geheel zien we dat deze rappoftages door de departementen niet of nauwelijks wordt gebruikt om de prestatie van de SSO te beoordelen. Verder zien wij dat interne gemeenschappelijke overheidsdienstverlening gebruik maken van de In Control Verklaring ( ICV ) als verantwoording over betrouwbaarheidsaspeden en de effectiviteit van de werking van maatregelen, verbeterplannen en/of risicoacceptatie en explains. In een enkel geval wordt de interne gemeenschappelijke overheidsdienstverlening ook jaarlijks volgens de ISO/IEC 27001:2013- normering getoetst en wordt het certificaat ook aan de klanten overlegd Bij externe IT-leveranciers meer regie op informatiebeveillging Naast de interne gemeenschappelijke overheidsdienstverlening maakt een aantal departementen daarnaast op centraal niveau ook gebruik van externe leveranciers. De externe dienstverlening varieert van generieke diensten voor het desbetreffende departement tot specialistische dienstverlening. Bij de departementen met een externe IT-leverancier zijn meer procedures, prestatierapportages en verantwoordingsverklaringen over informatiebeveiliging aangetroffen. Hierbij merken we op bij de vernieuwing of verlenging van externe dienstverlening Informatiebeveiliging meer aandacht krijgt. In de regie op externe dienstverlening is een leercurve qua informatiebeveiliging waar te nemen. Deze departementen hebben zich ontwikkeld om afspraken en eisen over informatiebeveiliging te maken. Na verbeteftrajecten met de externe ITleveranciers krijgen de departementen meestal ook prestatierapportages en verantwoordingverklaringen. 20 van 31 1 Rijksbrede rapportage beheersing Intormatlebeveiliging 2017

22 5 Opvolging van bevindingen uit Centraal meer randvoorwaarden aanwezig voor sturing op informatiebeveiliging Zeven departementen laten een vooruitgang zien op centraal niveau in de sturing op informatiebeveiliging ten opzichte van De departementen met in 2016 een onvolkomenheid of aandachtspunt van de Algemene Rekenkamer voor informatiebeveiliging hebben centraal meer inzicht in (kritieke) systemen en risico s dan vorig jaar. Deze departementen hebben planmatig gewerkt aan het verder verbeteren van sturing en beheersing op informatiebeveiliging. Hierdoor zijn op steeds meet departementen randvoorwaarden aanwezig voor de beheersing van informatiebeveiliging. Bij de departementen met een omvangrijk uitvoeringslandschap, waar vorig jaar de sturing op informatiebeveiliging veelal op decentraal niveau was belegd, is daarbij ook gestart met meer (aan)sturing op centraal niveau. Na deze start hebben de departementen tijd nodig om de verbeteringen volledig in uitvoering te brengen en vast te houden. departementen kozen om voor informatiebeveiliging een eigen PDCA cyclus te Ook is gewerkt aan het verbeteren van de Plan-Do-Check-Act-cyclus (PDCA cyclus) ten aanzien van informatiebeveiliging. Vorig jaar bleek dat sommige hanteren naast de reguliere Planning & Control-cyclus bij een departement. Dit jaar zien we dat departementen de aparte PDCA cyclus voor informatiebeveiliging Departementen willen de aansluiting tussen de verschillende sturingsniveaus proberen te verbinden met de reguliere Planning & Control-cyclus. verstevigen. Informatiebeveiliging wordt daardoor opgenomen in de reguliere bedrijfsvoering- en verantwoordingscyclus. Rekenkamer (dus zonder onvolkomenheid of aandachtspunt) laten over het Enkele departementen zonder de verhoogde aandacht van de Algemene informatiebeveiliging achteruitgang. algemeen beperkt verbeteringen zien. Wat ons betreft is stilstand in 5.2 Centraal inzicht in status & opvolging verbeterplannen onbekend systemen en risico s blijft het inzicht in verbeterplannen voor (kritieke) systemen In tegenstelling tot de duidelijke voortgang in centraal inzicht in (kritieke) achter. Vier departementen konden centraal geen inzicht geven in de status van systemen uit Deze departementen waren gedurende de onderzoeksperiode de verbeterplannen voor de geconstateerde bevindingen bij de twee kritieke bij een departement ook niet in staat vanuit decentrale onderdelen de informatie 21 van 31 1 Rijksbrede rapportage beheersing Inrormatiebevelliging 2017 centraal alsnog te verkrijgen.

23 6 Rijksbrede verbetermogelijkheden Dit hoofdstuk beantwoordt de tweede onderzoeksvraag van dit onderzoek. Namelijk welke (rijksbrede) verbeteringen in de beheersing van informatiebeveiliging (per aandachtsgebied) zijn er mogelijk? Hiervoor zijn zeven goede voorbeelden van departementen uitgelicht. Deze zijn mogelijk ook bruikbaar voor andere departementen. Daarbij moet worden opgemerkt dat de voorbeelden als basis dienen. De voorbeelden moeten specifiek gemaakt worden met de verschillende karakteristieken van de departementen. Elk departement heeft daarnaast in haar eigen departementale deelrapport specifieke aanbevelingen ontvangen. Ook zijn aanvullend vier verbetermogelijkheden voor CIO Rijk (DGOO) geformuleerd. 1. Beveiligingsbewustzijn-metingen onder medewerkers Zowel in 2014 als in 2017 heeft het Ministerie van Economische Zaken & Klimaat de mate van beveiligingsbewustzijn laten meten (door de ADR) onder haar medewerkers. Door periodiek metingen uit te voeren verkrijgt het Ministerie van Economische Zaken & Klimaat inzicht in de effectiviteit van interventies op het gebied van beveiligingsbewustzijn en verkrijgt men ook inzicht welke onderwerpen juist wel of geen aandacht nodig hebben in de (nabije) toekomst. 2. Bewustwordingsprogramma Het Ministerie van Binnenlandse Zaken & Koninkrijksrelaties heeft een bewustwordingsprogramma ( Programma Informatiebewust werken ) waarin vanuit verschillende invalshoeken activiteiten zijn uitgewerkt. Ook is beschreven op welke wijze gekomen kan worden tot gedragsverandering. Belangrijke randvoorwaarden zijn gedefinieerd. De verschillende activiteiten zijn in de tijd uiteen gezet. 3. Centraal overzicht kritieke systemen met hun kenmerken Zowel de Ministeries Algemene Zaken, Justitie & Veiligheid als Binnenlandse Zaken & Koninkrijksrelaties houden een zogenaamde risicokaart bij. Op deze kaart worden de kritieke systemen met hun belangrijkste kenmerken (zoals actualiteit risicoanalyses) bijgehouden dat gebruikt kan worden als stuurinformatie op het gebied van informatiebeveiliging. Het Ministerie van Binnenlandse Zaken & Koninkrijksrelaties houdt hierop tevens bi] wanneer voor het laatst op een systeem een pentest of audit is uitgevoerd. 4. Het gebruik van proef ICV s en terugkoppeling aan opsteller Zowel het Ministerie van Binnenlandse Zaken & Koninkrijksrelaties als Volksgezondheid, Welwijn & Sport maken gebruik van proef In Control Verklaringen gedurende het jaar ter voorbereiding op de definitieve ICV. De proef ICV s worden door de dienstonderdelen opgesteld en opgestuurd naar de centrale CISO. Bij beide departementen ontvangen de opstellers ook een terugkoppeling van de CISO met aandachtspunten. 5. Een jaarlijkse cyclus voor toezicht op informatlebeveiliging Het Ministerie van Sociale Zaken & Werkgelegenheid heeft een sluitende cyclus ingericht voor toezicht op informatiebeveiliging. Jaarlijks wordt een toezichtplan en kader opgesteld. Het kader vormt de basis voor de informatie waarover dienstonderdelen via zelfevaluaties (in combinatie met toezichtgesprekken) moeten verantwoorden. De informatie uit de zelfevaluaties en toezichtgesprekken vormen de basis voor de toezichtrappoftage. Na afloop wordt de cyclus qua inhoud en proces samen 22 van 31. Ri]ksbrede rapportage beheersing informatiebeveiliging 2017

24 met de Informatiebeveiligingscoördinatoren bij de dienstonderdelen geëvalueerd en bijgesteld. De evaluatie is het startpunt voor het volgende toezichtplan. 6. Integraal risicomanagement mci. eisen aan een BIR-dossier Het risicomanagement bij het Ministerie van Defensie heeft een koppeling met de bedrijfsdoelstellingen via Te Beschermen Belangen (TBB). Informatiebeveiliging is daardoor één van de deelonderwerpen van integraal risicomanagement. Het Ministerie van Defensie heeft elementen voor BIR dossiers verplicht gesteld om centraal inzicht in de status van informatiebeveiliging bij kritieke systemen te hebben. Voor de uitvoering van risicomanagement heeft het Ministerie van Defensie hulpmiddelen ontwikkeld. 7. Aanvallen simuleren om realistisch te oefenen Het Ministerie van Financiën en het Ministerie van Defensie hebben allebei actief via redteaming kritieke systemen onderzocht op de effectiviteit van de genomen beveiligingsmaatregelen. Redteaming is een onderzoeksmethode waarbij kwetsbaarheden van systemen in de praktijk getest worden. Scenario s worden uitgevoerd door een aanvallend team zodat het beheerteam realistisch kan oefenen. Tot slot bevelen we CIO Rijk (Directoraat-Generaal Overheidsorganisatie (DGOO)) vier acties in chronologische volgorde aan: 1. Start en ondersteun het gesprek met alle departementen wat het gewenste niveau van volwassenheid moet worden in de beheersing van informatiebeveiliging. Op dit moment is via deze rijksbrede analyse alleen inzichtelijk wat het huidige niveau is. Daarom is de vraag op basis van de rijksbrede analyse: Wat wordt de ambitie? Welke eisen stelt de rijksoverheid aan zichzelf? Hoe worden de prestaties op de eisen gemeten? En hoe verantwoordt de rijksoverheid over de effectiviteit van informati ebeveil ig ing? Daarbij moet rekening worden gehouden met de verschillende karakteristieken van departementen. Onderzoek hoe DGOO als kadersteller deze vragen kan faciliteren en overweeg of een Rijks Informatiebeveiliging dashboard zoals het Rijks ICT dashboard een optie is. Sluit hierbij aan op de tweede aanbeveling. 2. Benut de kaderstellende rol als CIO Rijk door prestatie-indicatoren over informatiebeveiliging te definiëren, gelijk met de ambities van departementen, om de effectiviteit van activiteiten in de beheersing van informatiebeveiliging bij departementen te monitoren. 3. Vraag Shared Service Organisaties (SSO s) ook het huidige en gewenste volwassenheidsniveau in kaart te brengen door gebruik te maken van het NBA volwassenheidsmodel. En benut de uitkomsten om de vierde aanbeveling te faciliteren zodat verwachtingen en prestaties van interne gemeenschappelijke dienstverlening op informatiebeveiliging meetbaar worden. 4. Start en ondersteun het gesprek met de departementen en de SSO s hoe. het spanningsveld tussen vertrouwen en controle vormgegeven wordt de komende jaren. SSO s hebben in de uitvoering vrijheid nodig, al ontslaat dit departementen niet van haat eindverantwoordelijkheid. Voorkom frustraties door voor alle partijen duidelijkheid in de verantwoordelijkheden in de verantwoording van SSO s te creëren. 23 van 31 1 Rijksbrede rapportage beheersing intormatiebeveiliging 2017

25 7 Indïcatieve volwassenheidniveaus Dit jaar is als pilot gebruik gemaakt van een volwassenheidsmodel. Het doel îs de departementen te ondersteunen bij het meten, bepalen en verbeteren van haar volwassenheidsniveau in de beheersing van informatiebeveiliging. In tabel 1 is de gehanteerde omschrijving per volwassenheidsniveau opgenomen. Een departement heeft pas het aangegeven volwassenheidsniveau bereikt als aan (nagenoeg) alle voorwaarden uit het referentiekader is voldaan. Voor de volledigheid merken wij op dat niet naar een maximaal volwassenheldsniveau moet worden gestreefd, maar naar een optimaal niveau rekening houdend met de risicobereidheid en karakteristieken van het betreffende aandachtsgebied op het departement. Dit houdt ook in dat het niveau per aandachtsgebied binnen een departement en tussen departementen kan verschillen. Niveau Naam Omschrijving Criteria Initieel Beheersmaatregeien zijn Geen of beperkte niet of gedeeltelijk gedefinieerd en/of worden op Inconsistente wijze uitgevoerd. Grote afhankelijkheid van individuen, controls geïmplementeerd Niet of ad-hoc uitgevoerd Niet/deels gedocumenteerd. Wijze van uitvoering afhankelijk van individu 2 Herhaalbaar Beheersmaatregelen zijn Control is aanwezig en worden op consistente en gestructureerde, maar op informele wijze uitgevoerd, geïmplementeerd Uitvoering Is consistent en standaard Informeel en grotendeels gedocumenteerd 3 Gedefinleerd Beheersmaatregelen zijn Control gedefinieerd gedocumenteerd en worden op gestructureerde en geformaliseerde wijze uitgevoerd. De uitvoering is aantoonbaar. o.b.v. risico assessment Gedocumenteerd en geformaliseerd Verantwoordelijkheden en taken eenduidig toegewezen Opzet, bestaan en effectieve werking Aantoonbaar 24 van 311 Rijksbrede rapportage beheersing informatiebeveiliging 2017

26 . GO.02 4 Beheerst en De effectiviteit van de Periodieke (control) meetbaar beheersmaatregelen wordt evaluatie en periodiek geëvalueerd en opvolging vindt plaats kwalitatief gecontroleerd. Rapportage management vindt plaats 5 Continu Een ECO systeem is Self-assessment, gap verbeteren verankerd en draagt zorg en root cause voor een continue en analyses effectieve controle en risico Real time monitoring beheersing Inzet automated tooling Tabel 1: Omschrijving gehanteerde volwassenheidsniveau volgens het NEA-model In dit onderzoek is het ambitieniveau van de departementen niet onderzocht. Alleen de huidige niveau op centraal niveau voor de vijf aandachtsgebieden (opgesplitst naar veertien thema s) voor elk departement. De vijf aandachtgebieden zijn in onderstaande tabel opgenomen inclusief de veertien thema s. De koppeling tussen de BIR-normen en de aandachtsgebieden is opgenomen in bijlage 1. Aandachtsgebied Referentie NBA i Onderdeel volwassenheidsmodel Governance GO.O1 Strategy Policy GO.03 GO.05 Plan / Roadmap Independent assurance Organisatie CR01 Ownership, roles, accountability and responsibilities Risicomanagement RM.01 Information risk management framework RM.02 RM,03 Risk assessment Risk action and mitigation plan (including risk accepta nce) Incidentmanagement IM.01 Incident management IM.02 Incident escalation Leveranciersmanagement SC.01 Service level agreement (in het NBA-model SC.02 Service level ketenbeheer genoemd) management SC.03 Supplier risk management SC.04 Internal control at third parties t In dit onderzoek wordt de benaming van het NBA volwassenheidsmodel aangehouden in het Engels. 25 van 31 1 Rijksbrede rapportage beheersing intormatiebeveiliging 2017

27 ,,,. Op verzoek van het CIO-beraad Is in figuur 1 een anonieme weergave van alle niveaus voor de departementen opgenomen. Wij adviseren de departementen en het CIO-beraad om ook haar ambitieniveau (uitgedrukt in een gewenst volwassenheidsniveau) voor deze aandachtsgebieden te bepalen. Het verschil tussen ambitie en het huidige niveau van volwassenheid kan het CIO-beraad gebruiken om zicht te krijgen op een groeitraject In de beheersing van informatiebeveiliging. De beschrijving van de volwassenheidsniveaus is in tabel 1 beschreven. Initioni Herbaaiha,r Gedefnieerd elieertenmeetbaar Continu verbeteren Gooi Saln5ie Go.oz Pv&y -: Ga.03 PlanJ Rradrrap Go 05 Independont aatuxaone O&ol Ouneijkip, teler. accauntablkt and reno RM.oi t emiation risk managemert fwirk RMOa Rijk aj%ejstnetit 1 RM o Ri amen and mitigakon plan (hoc). rènk amceptanme} Mei Incident mananment 1Mei Incident eicalatlon SC ei Seralre ene) atneercenl 5Caa Service level rtanageinent 1 SCe3 Suppher rijk management 1 5Coi Internal control vr ltvru pvrtue aantal departementen Figuur 1: Geanonimiseerd overzicht volwassenheidsnlveaus per thema 26 van 31 1 Rijksbrede rapportage beheersing informatlebeveilging 2017

28 8 Ondertekening Dit onderzoeksrapport is opgesteld door: Den Haag, 23 april van 31 1 Rijksbrede rapportage beheersing intormatiebeveiliging 2017

29 Bijlage 1: Koppeling BIR-normen en aandachtsgebied BIR: Aandachtsgebied Referentie NBA Onderdeel2 normen volwassenheldsmodei , 5.1.2, [RIA), [R,A], 6.1.3, 6.1.8, , 5.1.2, 8.2.2, , , , , , , , , , , , 6.1.8, 6.1.8,1 [R,A), [RIA), , , , rr.a1 Governa nce GO.01 GO.02 ÇtrMpnv Policy GO.03 Plan / Roadmap GO.05 Independent assurance Organisatie OR.01 Ownership, roles, [R,A] accountability and responsibilities [R,A) [R,A] In dit onderzoeken wordt de benaming van het NBA volwassenheidsmodel aangehouden in het Engels 28 van 31 1 Rijksbrede rapportage beheersing Informatiebeveiliging 2017

30 [R,A] [R,A] , 6.2.2, 7.1.3, [R,A), , , [R,A), , , 9.2.1, 9.2.5, , , , [R,A], [R,A1, , [R,A], , , , , Risicomangement RM.01 Information RM.02 RM.03 risk management framework Risk assessment Risk action and mitigation plan (inciuding risk acceptance) 8.2.3, Incidentmanagement IM.01 Incident , management , , [R], [Aj, 29 van 31 1 Rijksbrede rapportage beheersing Informatlebeveiliging 2017

31 [R], , , 13.23, , IM.02 Incident , escalation , , , 6.2.1, [R,A], , , , , , , , , , , , , , , , , [R,A], , 6.2.3, 8.1.2, 8.1.3, , , , , 6.2.3, , Leveranciersmanagement (In het N BA-model Ketenbeheer genoemd) Sc.01 SC.02 SC.03 SC.04 Service level agreement Service level management Supplier risk management Internal control at third parties 30 van 31 1 Rijksbrede rapportage beheersing informatiebeveiliging 2017

32 Auditdienst Rijk Postbus EE Den Haag (070)