PROJECTOPZET (PID) Project: Informatiebeveiliging

Transcriptie

1 PROJECTOPZET (PID) Project: Informatiebeveiliging Opdrachtgever / Budgethouder: Bestuurlijk: WPM: Joop de Hoon WBL: WRO: Ambtelijk: WPM: Gineke Anninga WBL: Bert Speetjens WRO: Peter Notten Opdrachtnemer / Projectleider: Egbert Mans (WBL) Antoine Dirks (WRO) Detlef Reincke (WPM) Aanleiding: De initiële aanleiding voor dit project was de nationale risicobeoordeling Hierin doet het Ministerie van Veiligheid en Justitie een dringend beroep op alle overheidsorganisaties en hulpverleningsdiensten om maatregelen te nemen m.b.t. een gedegen informatiebeveiliging. In 2012 heeft na een aantal incidenten op het gebied van cybercrime en informatieveiligheid de minister van BZK besloten dat informatieveiligheid overheidsbreed op een hoger niveau moet worden gebracht. Tot 2015 hebben decentrale overheden en het Rijk de tijd om te werken aan informatieveiligheid (onder de noemer verplichtende zelfregulering ). Project doelstelling: De organisatie kan op dit moment niet garanderen dat informatie volgens vooraf gestelde normen wordt gebruikt of bewaard. Om dit wel te kunnen garanderen zijn organisatorische, procedurele en technische maatregelen Bestandsnaam: projectopzet 1/12

2 nodig die gebaseerd zijn op de Baseline Informatiebeveiliging Waterschappen (BIWA), een (organisatieafhankelijke) risicoanalyse, ISO 2700x-normen en de reeds geldende wettelijke verplichtingen. Project resultaat: In dit project moeten een aantal kaders en randvoorwaarden worden ontwikkeld op het gebied van de informatiebeveiliging. Om deze duidelijke kaders te kunnen stellen is een visie op informatiebeveiliging noodzakelijk. Deze moeten worden vertaald in strategie en beleid en mond uit in een Informatiebeveiligingplan, die het mogelijk maakt een optimale bescherming van kritische informatie en informatievoorziening te waarborgen. Eindproducten zijn: Visie, beleid en strategie over informatieveiligheid Informatiebeveiligingplan, Continuïteitsplan informatiebeveiliging Processen,, procedures en werkinstructies voor het toepassen van informatiebeveiliging Rolbeschrijving t.b.v. informatiebeveiliging Businesscase(s) voor noodzakelijke investeringen om de informatiebeveiliging te optimaliseren. per fase Resultaat Product Opstellen Uitvoeren risicoanalyses Bepalen maatregelen (volgens BIWA) Het waterschap beschikt over een conform landelijke standaard, weten regelgeving. De processen van het waterschap zijn getoetst op risico s volgens landelijke normen. De bestaande maatregelen om de risico s te beperken worden gelegd naast de normen uit de BIWA. Visie, beleid en strategie Informatiebeveiligingsbeleidsplan Risicomatrix (per proces) GAP-analyse Het waterschap beschikt over een actueel overzicht van nog te nemen maatregelen om aan de normen te voldoen. Maatregelen t.b.v. het aanscherpen informatiebeveiliging Bestandsnaam: projectopzet 2/12

3 per fase Resultaat Product Accepteren van restrisico s of Borgen in de organisatie Het waterschap gaat bewust om met de risico s rond informatieveiligheid en neemt passende maatregelen. De informatieveiligheid krijgt continue aandacht door borging in de organisatie en een jaarlijkse toetsing. Rest risico matrix Activiteitenplan Continuïteitsplan informatiebeveiliging Communicatieplan RASCI-model Taken, bevoegdheden en Verantwoordelijkheden Audits Benchmark tussen waterschappen Globale planning Stap apr mei juni juli aug sept okt nov dec 0) Voorbereiding en leveranciersselectie X 1) Opstellen X 2) Uitvoeren risicoanalyses X X 3) Bepalen maatregelen (volgens BIWA) X X 4) Accepteren van restrisico s of X X 5) Borgen in de organisatie X X X X X X De uitvoering is gebaseerd op via het landelijk project opgeleverde / op te leveren beleidstukken en het commitment het eindresultaat voor 1 januari 2015 op te leveren. De externe expertise en ondersteuning is hoofdzakelijk in de stappen 1 t/m 3 nodig. In de stappen 4 en 5 beperkt zich de inhuur op een stuk regievoering, advisering en klankborden. Bestandsnaam: projectopzet 3/12

4 Activiteiten en interne resources per fase Projectleider Per Proces eigenaar Externe begeleiding 1) Bewustwordingscampagne ) Opstellen ) Uitvoeren risicoanalyses ) Bepalen maatregelen (volgens BIWA) 5) Accepteren van restrisico s of ) Borgen in de organisatie Totaal voor nader informatie opbouw uren zie bijlage 1 Activiteiten en externe resources Uren: Geld: Bewustwording, advies, risico analyse en 1 ste audit (per deelnemer) Randvoorwaarden & kaders: (Wat doen wij wel) Bewustwordingscampagne Visie, beleid en strategie informatiebeveiliging Uitwerken organisatorische, procedurele en technische maatregelen met bestaande Beperkingen: (Wat doen wij niet?) Audits, hackpogingen enz. De processen belastingheffing en inning blijven buiten de scope van dit project Er wordt geen aansluiting gerealiseerd met informatiebeleid gemeentes, RWS en Bestandsnaam: projectopzet 4/12

5 Randvoorwaarden & kaders: (Wat doen wij wel) middelen Businesscases aanvullende investeringen t.b.v. implementatie maatregelen Beperkingen: (Wat doen wij niet?) provincie Geen maatregelen uitgevoerd die extra investeringen vergen; deze worden onafhankelijk van dit project als nieuw businesscase aan het betreffende management ter goedkeuring voorgelegd. Risico s: Budgetvoorstel moet nog worden geaccordeerd door het Bestuur Beperkte capaciteit projectleider (1 dagdeel per week) Niet projectmatig werken van andere projecten: ad hoc verstoring van dit project Maatregelen: Aanvraag extra budget Goede taakverdeling tussen de 3 projectleiders en de externe inhuur. Afspraken over tijdslijn, inzet projectleden met andere projectleiders en lijnorganisatie Relaties met andere projecten: WPM: Uitbesteding exploitatie en beheer ICT / TPOW Platform zaakgericht werken Project SAW@ Gegevens op orde Project continuïteitsplan ICT & elektriciteit Herinrichting i-functie Project organisatieontwikkeling Bestandsnaam: projectopzet 5/12

6 Kwaliteitsverwachtingen: Informatiebeveiliging moet WPM in staat stellen om vooral vitale en bedrijfskritische informatie veilig te stellen en te beschermen tegen cyberaanvallen, ongeautoriseerde mutatie van gegevens, ongeautoriseerde verwijdering van gegevens en diefstal van gegevens. Organisatiegroep Verantwoordelijkheden Rollen Leden Stuurgroep Eindresultaat project. Opdrachtgever: Gineke Anninga Ter beschikking stellen van Peter Notten capaciteit en van middelen. Bert Speetjes Beslissen over voortgang van het project. Vertegenwoordiger eind- N.n.t.b. gebruikers: Vertegenwoor- N.n.t.b. diger leverancier: Projectmanager Dagelijkse gang van zaken Project- N.n.t.b. project. manager: Beslissingen binnen de PL s: tolerantiegrenzen. Antoine Dirks Opleveren producten binnen Egbert Mans tijd en budget en volgens de Detlef Reincke kwaliteitseisen. Rapportage aan de Stuurgroep. (kernteam) Opleveren producten volgens specificaties. Rapportage aan de Projectmedewerkers: WPM: Zie bijlage 1 WBL: WRO: Bestandsnaam: projectopzet 6/12

7 Organisatiegroep Verantwoordelijkheden Rollen Leden Projectmanager. Projectonder- Technische en Planner: Antoine Dirks steuning administratieve ondersteuning Egbert Mans van de Projectmanager. Detlef Reincke Benodigde vaardigheden Projectmatig werken Informatiebeveiliging deskundige Benodigde middelen Gezamenlijke projectomgeving (wordt geleverd door WRO?) Bestandsnaam: projectopzet 7/12

8 1 Bijlage 1: WPM vanuit rol / functie 1) Bewustwordingscampagne 3) Uitvoeren risicoanalyses 4) Bepalen maatregelen (volgens BIWA) 5) Accepteren van restrisico s of 6) Borgen in de organisatie 2) Opstellen Subtotaal Detlef Reincke Projectcoördinatie Toon Basten TMX Delfews / buitenlokaties Tom Spee FB Maximo / buitenlokaties Ron Bartsch / medewerker OpenLine ICT Bestandsnaam: projectopzet 8/12

9 WPM vanuit rol / functie 1) Bewustwordingscampagne 3) Uitvoeren risicoanalyses 4) Bepalen maatregelen (volgens BIWA) 5) Accepteren van restrisico s of 6) Borgen in de organisatie 2) Opstellen Subtotaal Bert Smeets Calamiteitenorganisatie Erik Voeten FB DIV Mattie Geraets FB GIS Hans Hoeijmakers team financiën Rick Pluijmaekers FB HR applicaties FB FIN applicaties FB SAW@ / VenH applicaties Bestandsnaam: projectopzet 9/12

10 WPM vanuit rol / functie 1) Bewustwordingscampagne 3) Uitvoeren risicoanalyses 4) Bepalen maatregelen (volgens BIWA) 5) Accepteren van restrisico s of 6) Borgen in de organisatie 2) Opstellen Subtotaal Jos Geelen waterkeringsbeheer team bestuursondersteuning Hennie Meijjer bestuursgevoelige informatie aanbestedings -informatie privacygevoelige informatie FB specifieke toepassingen Bestandsnaam: projectopzet 10/12

11 WPM vanuit rol / functie 1) Bewustwordingscampagne 3) Uitvoeren risicoanalyses 4) Bepalen maatregelen (volgens BIWA) 5) Accepteren van restrisico s of 6) Borgen in de organisatie 2) Opstellen Subtotaal watersysteembeheer / planvorming watersysteembeheer / uitvoering watersysteembeheer / trend- & toestandsanalyse waterketen en - kwaliteit FB specifieke toepassingen FB specifieke toepassingen FB specifieke toepassingen FB specifieke toepassingen Bestandsnaam: projectopzet 11/12

12 WPM vanuit rol / functie 1) Bewustwordingscampagne 3) Uitvoeren risicoanalyses 4) Bepalen maatregelen (volgens BIWA) 5) Accepteren van restrisico s of 6) Borgen in de organisatie 2) Opstellen Subtotaal projecten dijkversterking FB specifieke toepassingen totaal: Bestandsnaam: projectopzet 12/12