vws Op weg naar een volwassen sturing en beheersing op de informatiebeveiliging Onderzoek naar de sturing op de informatiebeveiliging bij definitief

Transcriptie

1 Auditdienst Rijk Ministerie van Finandën departemeritaal VERTROUWELIJK Op weg naar een volwassen sturing en beheersing op de informatiebeveiliging Onderzoek naar de sturing op de informatiebeveiliging bij vws definitief

2 departementaal VERTROUWEUJI( Colofon Titel Uitgebracht aan Onderzoek naar de sturing op de informatlebevelliging bij vws de CIO van VWS Datum 13januari 2017 Kenmerk Inlichtingen Auditdienst Rijk departementaal VERTROUWEWK

3 departementaal VERTROUWEUJK Inhoud Inleiding 4 1. Op weg naar een volwassen sturing en beheersing op de informatiebevelliging bij VWS Fase Plan vh managementsysteem in vergevorderd stadium Departementsbrede PDCA - deels ingericht Organisatie departement ingericht Planning ingericht Selectlecriteria kritieke systemen/i-rislco s ingericht Risicoanalyse systematiek - deels Ingericht Contractmanagement deels ingericht Fase Do vh managementsysteem aantoonbaarheld verder op de rails gezet Verbeterplannen deels ingericht Risicomanagement deels Ingericht Fase Check vh managementsysteem behoeft nog aandacht Verantwoordingsrapportages deels Ingericht Evaluatie en monitoring deels Ingericht Fase Act vh managementsysteem nog afhankelijk van de verdere optimalisatie van de fase Check Verantwoordingsrapportages deels ingericht 11 Ondertekening 12 Bijlage onderzoeksverantwoordlng Scope van het onderzoek Aanpak en uitvoering 13 Bijlage?4anagementreactie Fout! Bladwijzer niet gederinieerd. departementaal VERTROUWEWK

4 departementa& VERTR0UWEUJK Inleiding Aanleiding In september 2012 is de Baseline Informatiebeveiliging Rijksdienst Tactisch Normerikader (hierna BIR) vastgesteld door de Interdepartementale Commissie Bedrijfsvoering Rijk (ICBR). De ICBR heeft bepaald dat per 1 januari 2014 alle Rijksoverheidsorganisaties 1 aan de BIR moeten voldoen en hierop worden getoetst. Op voorstel van de Subcommissie Informatiebeveiliging (515) heeft de voorloper van het CIO beraad in 2013 vijf thema s benoemd: 1. Patchmanagement; 2. Beveiliging van externe koppeivlakken; 3. Beheer van medewerkers en toegang; 4. PDCA cyclus; 5. Logging en monitoring. De ADR heeft deze thema s In 2014 en 2015 onderzocht in de BIR-onderzoeken, In het do beraad van 20 april 2016 is besloten om deze thema s, voor zowel de ICV als voor de ADR onderzoeken, ook voor 2016 te hanteren. Aan de Auditdienst Rijk (ADR) Is gevraagd om inzicht te geven in de stand van zaken met betrekking tot: 1. de sturing op de informatlebeveiliging (departementsbrede PDCA-cyclus); 2 de Implementatie van de BIR op basis van twee kritleke systemen 2 en uitgaande van de vijf thema s. Daarnaast is de ADR gevraagd om een aanvullende controle 3 te doen op de vier aandachtsgebieden uit de onderzoeken van 2015 die het do beraad heeft aangewezen, te weten: Pentesten; lnkoopcontracten bij outsourcing van IT-diensten; Autorisaties (verwijderen vertrokken medewerkers); Logging en monitoring. Het onderzoek is in opdracht van het do beraad, met CIO Rijk als gedelegeerd opdrachtgever, In de periode augustus tot december 2016 uitgevoerd. In het Plan van aanpak Onderzoeken Informatiebeveiliging 2016 d.d. 7 juli 2016, met is beschreven hoe de ADR de BIR-onderzoeken uitvoert. Karakter van het onderzoek Het onderzoek heeft een inventariserend karakter en betreft geen assurance onderzoek. De ADR geeft inzicht In de stand van zaken en bevindingen per onderzoeksvraag. Er worden geen conclusies of oordelen gegeven. Deze opdracht is uitgevoerd In overeenstemming met de Internationale Standaarden voor de Beroepsultoefening van Internal Auditing en het kwaliteltbeheersl ngssysteem van de ADR. 1 De BIR 2012 geldt voor de bestuurdepartementen, taakorganisaties en agentschappen. zelfstandige bestuursorganen (ZBO s) nemen een bijzondere positie in. Zij zijn niet verplicht om de BIR 2012 toe te passen, maar via de subsidievoorwaarden kunnen ministeries hen wel deze verplichting opleggen. De BIR 2012 heeft daarmee hetzelfde bereik als het VIR 2007, De kritleke systemen zijn door de ADR In afstemming met de departementen bepaald. De aanvullende controle wordt uitgevoerd op één van de door de ADR in 2015 en 2016 onderzochte kritleke systemen. 4 van 14 1 BtR-onderzaeken 2016 departementaal VERTROUWELIJK

5 deparementaai VERTROUWEUJI( Reikwijdte van het onderzoek Dit rapport bevat de uitkomsten van deel 1 van de opdracht, de sturing op het informatlebeveillging (departementale controlcyclus). De norm voor het onderzoek Is afgeleid uit, en daarmee een deelverzameling van, de BIR maatregelen en Is afgestemd met de hoofdopdrachtgever (ClO beraad). De geselecteerde maatregelen zijn ingedeeld naar de vier elementen van de controlcyclus (plan, do, check en act). De controlcyclus beoogt het realiseren van betrouwbare Interne sturingsinformatle en externe verantwoordingsiriformatie. De geselecteerde normen ondersteunen dit controlproces, maar zijn op zichzelf geen concrete meetlat voor de Inrichting van het information security managementsysteem (ISMS). DGOO is wel bezig om de aanpak met normering voor 2017 meer in de richting van het beoordelen van het ISMS om te buigen. Verspreidlngskring rapportage De opdrachtgever, de minister van VWS, is eigenaar van dit rapport. Deze rapportage van bevindingen wordt uitgebracht aan de do van het ministerie van VWS. De definitieve departementaie rapportages worden gebruikt voor de samenvattende auditrapporten van de ADR. Een afschrift van de definitieve rapportage over de sturing gaat naar de CtO Rijk. De ADR Is de Interne auditdlenst van het Rijk. Dit rapport is primair bestemd voor de opdrachtgever met wie wij deze opdracht zijn overeengekomen. In de ministerraad is besloten dat het opdrachtgevende ministerie waarvoor de ADR een rapport heeft geschreven, het rapport binnen zes weken op de website van de rijksoverheid plaatst, tenzij daarvoor een uitzondering geldt. De minister van Financiën stuurt elk halfjaar een overzicht naar de Tweede Kamer met de titels van door de ADR uitgebrachte rapporten en plaatst dit overzicht op de website. Leeswijzer Hoofdstuk 1 van deze rapportage bevat een samenvatting van onze bevindingen van het onderzoek naar de sturing op de informatiebevelliging (deel 1 van de opdracht). De bijlage van dit document bevat de onderzoeksverantwoording waar op basis van het overkoepelende plan van aanpak specifieke keuzen en afspraken zijn gemaakt ten aanzien van de scope en diepgang van het onderzoek naar de sturing op de IB. 5 van 14 1 BIR-oncterzoeken 2016 departementaal VERTROUWELIJK

6 departementa& VERTROUWWJK Op weg naar een volwassen stu ring en beheersing op de informatiebeveiliging bij vws Dit hoofdstuk gaat in op de departementsbrede PDCA-cyclus (managementsysteem 4) voor informatiebeveiliging en het functioneren van een departementsbrede beveiligingsorgariisatie. Een goed functionerend managemeritsysteem voor informatlebeveiliglng uitgaande van risicobeheer vormt de basis om in control te kunnen zijn. Hierna volgen op deelaspecten van het managementsysteem samengevat de belangrijkste bevindingen. VWS heeft In 2016 de nodige stappen gezet in het inrichten van de PDCA op informatlebevelliging. Een van deze stappen hierbij Is het inrichten van het proces om de betrouwbare totstandkoming van de informatie In de ICV s van de organisatleonderdelen vast te stellen om zodoende aantoonbaar in control te zijn. In het Strategisch Beveiligingsberaad van 13 oktober jongstleden is door de psg bepaald dat alle organisatieonderdelen (inclusief zbo s) van VWS moeten aansluiten op de ICV-procedure en op verzoek van de CISO inzage in hun dossiers moeten verstrekken. Tevens wordt door de directie OBP (Organisatie, Bedrijfsvoering en Personeel) voor het beheer van de applicaties en BIR-maatregelen bij de directies van het kerndepartement een Informatiesysteem (APM 5) Ingericht. De functionaiiteit voor het informatiesysteem is bepaald, maar om APM als compliancetool efficiënt en betrouwbaar in te kunnen zetten zal de status en het gebruik ervan geformaliseerd moeten worden. De ADR adviseert om ten aanzien van APM: - de status te formaliseren; * de scope en de reikwijdte voor de inzet te bepalen; - het proces om de gegevens betrouwbaar en actueel vast te leggen te beschrijven en formeel vast te stellen. 11 Fase Plan vh managementsysteem in vergevorderd stadium Departementsbrede PDCA - deels ingericht Informatlebeveiiiging (IB) is In de P&C cyclus van VWS opgenomen. Hieraan liggen de documenten ten grondslag uit 2012/2014 (beleidsdocumenten). Deze documenten beschrijven de kaders IB en de opzet van de concernbrede IS planning en control cyclus (organisatie, sturing en naleving, taken en verantwoordelijkheden). De documenten uit 2012/20 14 zullen door het Bureau Integrale Veiligheid (BIV) in 2016 geactualiseerd worden in een Kaderdocument IB VWS (hiermee wordt het beleid van VWS in opzet BIR-proof) en een Statuut integrale beveiliging VWS. De planning is dat deze documenten uiterlijk eind 2016 definitief zijn vastgesteld. Daarnaast wordt gebruik gemaakt van het informatiestatuut van DGOO (onderwerpen komen terug in de aandachtspuntenbrlef (zie 4 Een managementsysteem Is een sluitend stelsel van processen waarmee volgens een eenduidige systematiek de Informatiebevelllging op basis ven rlsicobeheer (departernent)breed wordt çeborgd. 5 ARM staat voor Appilcatle Portfollo Management systeem 6 van 14 1 B!R-onderzoeken 2016 departementaal VERTROUWEWK

7 departementaa VR]ROUJELll< hierna) op basis waarvan de organisatieonderdelen opstellen). 6 hun jaarplan moeten De CIO VWS vindt dat minimaal In een centraal BIR-dossler (bij 31V) moet zitten: de ICV van elk organisatieonderdeel, een nota met belangrijkste risico s van de organisatie en de wijze waarop deze risico s zijn afgedekt (met welke maatregelen). Tijdens het onderzoek is geen centraal BIR dossier aangetroffen bij VWS. Bij VWS worden wel stappen gezet om hier naartoe te werken (zie de paragrafen hieronder). Voor de totstandkoming van het jaarplan wordt door directie concernsturing (BPZ) jaarlijks een aandachtspuntenbrief verstuurd aan de organisatieonderdelen organisatleonderdelen specifiek aandacht aan moet worden besteed in hun jaarpian. In de jaarplannen wordt aandacht besteed aan het onderwerp 13. Gedurende het jaar bewaakt BPZ middels kwartaalrapportages de uitvoering van het jaarplan. 31V ontvangt van concernstunng de aandachtspunten-brieven en de notitie met de explains van de organisaticonderdelen. Jaarlijks ontvangt de CISO organisatleonderdelen binnen VWS. Bij het kerndepartement ontvangt de ISO de Verantwoording en VooruItblik (bevat de stand van zaken van het beveiligingsplan en het verbeterplan) van de directies 6. Hierin staat beschreven waar door de 7 de in-controlverkiaringen (ICV s) van de Organisatie departement ingericht De verantwoordelijkheid voor lriformatiebeveiiiglng en de naleving van wet- en regelgeving ligt bij het lijnmanagement binnen VWS. De CISO en iso hebben regelmatig Informeel contact met de informatiebeveiligingsexperts van de organisatieonderdelen en de directies over de (operationele) dagelijkse gang van zaken en geven hen desgevraagd advies en ondersteuning. Tevens zijn er diverse gremia waar informatlebeveiliging een onderwerp is op de agenda: de Bestuursraad/Bestuursraad Bedrijfsvoering (BR/BRBV, besluitvormend), het Strategisch Beveiligingsberaad (SBB, voorbereiden besluitvorming in BR/8RBV), de Expertgroep informatiebeveiliging VWS (voorportaal voor SBB, uitwisselen good practices op uitvoerend / operationeel niveau). In het 5 wekelijkse overleg van de Expertgroep worden tevens de actuele en strategische zaken over informatiebevelliging binnen het concern be5proken. Voorzitter Expertgroep is de CISO. De ISO zit namens het kerndepartement in de Expertgroep Planning - ingericht Jaarlijks wordt door de orgariisatieonderdelen van VWS in de jaarplannen aandacht besteed aan het onderwerp 13. Waar specifiek aandacht aan moet worden besteed, is beschreven in de aandachtspuntenbrief die door concernsturing (BPZ) naar de organisatleonderdelen wordt verstuurd. Gedurende het jaar wordt middels kwartaalrapportages van de organisatleonderdelen de uitvoering van het jaarplan gemonitord door de directie concernsturing. 6 Onder de organisatleonderdelen wordt verstaan: de onderdelen dle behoren tot VWS toncem zijnde het kerndepartement, de inspecties, de agentschappen, de raden en planbureau. 7 CISO Is de concern information omcer, werkzaam bij 81V 8 Onder de directies wordt vestaan: OG Volksgezondheid, DG Curatieve Zorg, DG Langdurige Zorg, stafdlensten SG/pSG (kemdepartement VWS) 9 ISO Is de information security officer, werkzaam bij 81V 7 van 14 1 BIR-oriderzoeken 2016 departementaal VERTROUWELIJK

8 departementaal VRTR0UW:Ll J Voor het kerndepartement is een nota opgesteld waarin de Invulling van de P&C cyclus voor 18 met Ingang van 2016/2017 Is beschreven. Het jaar 2016 is een overgangsjaar: de oude werkwijze wordt gehandhaafd, waarbij al wel wordt geantlclpeerd op de nieuwe situatie. Dit document is in CIO raad en SBB besproken en vastgesteld. Oude situatie: Jaarlijks stelt Iedere directie een Verantwoording en Vooruitblik (VenV) op. De VenV en het Informatlebevelllgingsplan / verbeterplan zijn geïntegreerd in één document. Nieuwe situatie: Het Informatlebeveiligingsplan / verbeterplan en de VenV worden afzonderlijk opgesteld. De directie BIV doet jaarlijks een uitvraag bij de directies voor de VenV waarbij onderscheid wordt gemaakt in de aanlevering van een set basisgegevens, de 1nformatiebeveiligingsplannen en de verantwoording. De basisgegevens zijn: systemen/processen Inclusief classificatie en verantwoordelijkheden. Op basis hiervan kan worden bepaaid of de BIR-maatregelen voldoende zijn of dat aanvullende maatregelen noodzakelijk zijn. Deze werkwijze moet de dossiervorming en aantoonbaarheld verbeteren ten behoeve van de ICV. 1.1,4 Selectiecriteria kritieke systemen/ib-risico s ingericht In het voorjaar 2016 is door 81V besloten om vanwege uniformiteit de rijksbrede definitie en selectiecriterla van DGOO (BZK) te gebruiken bij definiëring van de kritleke processen/informatiesystemen en de belangrijke 18-risico s. In de praktijk vindt BIV deze definities abstract. 81V Is voornemens om een interne definitie te maken die de prioriteiten voor Interne applicaties in relatie tot het primaire proces goed inzichteiijk maakt Risicoanalyse systematiek - deels ingericht Concernbreed is er geen overzicht van de systemen waarbij de afweging kritisch/niet-kritisch/belangrijk is vastgelegd inclusief de rlsicoafweging. De verantwoordeiijkheid hiervoor ligt bij de organisatieonderdelen van VWS. In 2015 is door de directie OBP op basis van de ICV s vastgesteld dat er geen kritische systemen zijn op basis van de definitie DGOO en geen kritische risico s aanwezig zijn bij VWS. Er zijn geen verplichte standaarden voor de risicoanalyse systematiek. De organisatieonderdeien van VWS hebben de mogelijkheid om gebruik te maken van de BIR Quick scan (een tool uit ISMS/APM 1 die beschikbaar is voor alle proceselgenaren van de organisatieonderdelen binnen VWS). Maar proceseigenaren mogen zelf ook andere analyses uitvoeren. Sommige proceseigenaren doen andere risicoanalyses zoals A&K analyses, CRAMM, IRAM of Sprint. De methodiek moet passen bij de vraag of wens van de proceseigenaar. Elke methode heeft zijn voor- en nadelen. De risicoanaiyse is onderdeel van het ICV dossier. In een revlew door de CISO op het ICV proces wordt de risicoanalyse meegenomen. De methode van risicoanalyse is geen onderwerp van de review. De CISO beoordeelt of de analyse actueel is en het totstandkomlngproces adequaat is. Daarna volgt een marginale toets: Is de classificatie van de risico s navoigbaar tot stand gekomen. Bij het kerndepartement VWS is in de VenV per directie een overzicht van de processen en de systemen inclusief risicoanalyse (bijgewerkt) 10 ISMS staat voor tnrormatlon Securfty Management System. Deze toolkit Is gebouwd met behulp van APM MAVIM. APM staat voor Appilcatie Portfolio Management systeem. De toolklt ISMS heeft ten doel de organlsatieonderdelen te ondersteunen bij de beheersing op het gebied van Inrormatlebevelllglng. 8 van 14 1 BIR-onderzoeken 2016 departementaal vrtrouweuix

9 departernentaal VERTROUWELUK opgenomen. Voor de nieuwe applicaties wordt een risicoanalyse uitgevoerd Contractmanagement deels ingericht Het bijhouden van een overzicht met de onderkende ketens en het stelsel van afspraken over het beveiliglngsniveau Is de verantwoordelijkheid van de organisatieonderd&en binnen VWS. Bij het kerndepartement is geen overzicht met onderkende ketens en er zijn geen keteninformatiesystemen. Wel is sprake van belangrijke outsourcing van databewerking of dienstverlening zoals de 1Cr dienstverlening door SSC-ICT en de verwerking van persoonsgegevens bij P-direkt. Op dit moment zijn er geen concrete geldende afspraken tussen VWS en SSC-ICT als hogere eisen worden gesteld dan de BIR en over de verantwoording hierover door de externe partij. Gesprekken hierover tussen directie OBP en SSC-ICT zijn momenteel gaande. VWS onderzoekt in afstemming met ICTU en HIS op welke wijze de inkoopvoorwaarden richting markt moeten en kunnen worden versterkt. Hierbij wordt gebruik gemaakt van de handreikingen van het CII rondom Inkoopvoorwaarden en contractmanagement. Deze handreikingen gebruikt VWS als kader om invulling te geven aan het proces rond contractmanagement. Verder wordt door VWS samengewerkt met ICTU om bij grote inkoopovereenkomsten (conform het voorstei van het CIP/PIANO) een aparte beveiligingsovereenkomst op te stellen. 1.2 Fase Do vh managementsysteem aantoonbaarheid verder op de rails gezet Verbeterplannen deels ingericht Middels de concernbrede ICV inclusief de notitie met de explains wordt gerapporteerd aan de departementsleiding. De CISO geeft aan dat voor de concernbrede ICV de betrouwbaarheid van de onderbouwing wordt vastgesteld op basis van informele contacten (expertgroep, IB-experts organisatieonderdeien). Er zijn van deze informele contacten geen gespreksverslagen of notulen aangetroffen. Hierdoor zou een risico voor het ICV proces kunnen bestaan, namelijk het aantoonbaar In control zijn. In het SBB overleg van 13 oktoberjl. Is door de psg bepaald dat alle organisatieonderdeien (inclusief zbo s) van VWS moeten aansluiten op de ICV-procedure en op verzoek van de CISO inzage in hun ICV-dossiers moeten verstrekken (zie ook paragraaf 1.3.1). Deze maatregel is per direct en daarmee voor 2016 van kracht. De concernbrede ICV wordt opgesteld op basis van de ICV s inclusief de notitie met de explains per organisatieonderdeel. Bij het kerridepartement wordt op basis van de jaarlijkse V&V en de ICV mcl. de notitie met de explains gerapporteerd aan de departementsleiding over de verbeteringen. De ICV voor het kerndepartement komt tot stand door het consolideren van de V&V per directie Risicomanagement deels ingericht Voor BIV (CISO/ISO) is geen (automatisch) eenduidig overzicht en zichtbare vastiegging van het lijnmanagement beschikbaar van de risico s 9 van R-Qriderzoeken 2016 departementaal VERTROEWI(

10 departementaal VERTROUWELUK op maatregelnlveau op het gebied van 15. Daarnaast is VWS nog niet zo ver dat de BIR-maatregelen worden geëvalueerd. Om dit te verbeteren wordt onder andere door directie OBP een informatiesysteem ingericht voor het beheer van de applicaties en de BIR maatregelen. Zie hiervoor paragraaf Jaarlijks ontvangt de 51V, naast de ICV s, de notitie met de explains van de aangeschreven organlsatleonderdelen. Voor de explainprocedure maakt VWS gebruik van de procedure opgesteld door DGOO (goedgekeurd door ICCIO). De explains worden door de proceseigenaren vastgelegd op een standaardformuiier. 1.3 Fase Check vh managementsysteem behoeft nog aandacht Verantwoordingsrapportages deels ingericht De CISO ontvangt jaarlijks de ICV s van de organisatieonderdelen. Daarnaast ontvangt BIV van concernsturing de aandachtspuntenbrieven van VWS en de notitie met de explains van de aangeschreven organisatieonderdelen. In een interview geeft de CISO aan dat zodra hij meer Inzicht wil in het proces en d betrouwbare totstandkoming van de Informatie in de ICV s soms op weerstand stuit (bij zbo s). Tevens worden de voortgangsrapportages (naar aanleiding van de verbeterplannen) ten aanzien van de implementatie van de BIR-maatregeien door de organisatieonderdelen niet automatisch gedeeld. Informeel heeft de CISO wel goede contacten met de IB-experts van de organisatieonderdelen via de Expertgroep 15. Hierdoor heeft hij echter beperkt inzage in de werking van het lnformatiebeveiligingsbeieid op concern niveau en daarmee onvoldoende zekerheid over het (aantoonbaar) in control zijn. De CISO heeft in 2016, in overieg met de organisatieonderdeien van VWS, gezocht naar een formele wijze om de betrouwbaarheid van de ICV s te bewaken en vast te leggen in afspraken met deze organisatieonderdelen. Inmiddels Is in het SBB overleg van 13 oktoberji. bepaald door de p5g dat alle organlsatieonderdelen (inclusief zbo s) van VWS moeten aansluiten op de ICV-procedure en op verzoek van de CISO inzage in hun dossiers moeten verstrekken. Hiermee moeten ze voldoen aan de BIR, waarbij Is aangegeven dat de certificering voor ISO (In plaats van BIR) ook als onderbouwing voor de ICV gebruikt mag worden. Indien gebruik wordt gemaakt van certificering moet een organisatie wel aangeven waar de afwijking van de BIR optreedt. In de ICV kan worden aangegeven hoe de Organisatie met dle punten omgaat, c.q. welke alternatieve maatregel is ingevoerd. Tegelijkertijd zijn bij de directies van het kerndepartement in 2016 door de ISO de nodige stappen gezet door middel van de herinrichting van de P&C cyclus: het informatlebeveillgingsplan en de VenV worden afzonderlijk opgesteld en sluiten daarmee beter aan op de P&C momenten. De input voor beide documenten komt uit een basisset gegevens. Daarnaast Is voor het Inzicht in de applicaties en de BIR-maatregelen door de directie OBP een informatiesysteem (APM) ontwikkeld. De furictionaliteit is gericht op het registreren van de applicaties van VWS, het aangeven van diverse relaties.en het kunnen vastieggen van actuele statusgegevens over de beveiliging (m.n. BIR-maatregelen) per appilcatie. De applicaties in beheer bij de directie OBP zijn inmiddels geregistreerd. De registratie van de applicaties van de andere directies van het kerndepartement vindt momenteel plaats door het i-team. De directies hebben wel zelf de keus of 10 van 14 1 BIR-onderzoeken 2016 departementaal VRTROUWELUK

11 departementa& VERTROUWEUJK zij de informatie aanleveren of niet. Dit is niet formeel vastgelegd In een procedure/beleid. Na registratie van de applicaties gaat het 1-team per geregistreerde applicatie de actuele statusgegevens dle ze aangeleverd krijgt verwerken. Deze gegevens betreffen denormen/eisen, de uitkomst van de risicoanalyse Inclusief onderbouwing en de stand van zaken met betrekking tot de implementatie van de BIR-maatregelen (dit loopt door in 2017, het is niet bekend wanneer dit is afgerond), Een voorbeeld van een appllcatle die al op deze wijze is Ingevuld In APM Is Marjoicin. De functionaliteit en structuur voor het informatiesysteem is aangelegd maar de formele vulling, de controle van de kwaliteit en de monitoring van het proces is wel een randvoorwaarde om APM als betrouwbaar compliancetool (voor sturing en verantwoording) in te kunnenzetten. De ADR adviseert om voor het gebruik van APM vooraf: - goed de scope (de door VWS gedefinieerde kritische systemen (dit zijn de systemen waar men afhankelijk van Is)) en - de reikwijdte (de directies waarvan de kritische systemen worden vastgelegd) te bepalen; - de op basis daarvan alle geselecteerde systemen vast te leggen in APM en - het proces en de verantwoordelijkheden rond de Invoer van actuele gegevens te beschrijven en vast te stellen. 1.3,2 Evaluatie en monitoring - deels ingericht In 2015 is op basis van de ICV s vastgesteld dat er geen kritische systemen (op basis van de deflnltle DGOO) zijn en geen kritische risico s aanwezig zijn bij VWS. De betrouwbaarheid van de informatievoorziening kan bij het kerndepartement deels worden getoetst door de ISO op basis van de basisgegevens uit de Verantwoording en Vooruitblik (VenV). Concernbreed is VWS nog niet zo ver dat de BIR-maatregelen kunnen worden geëvalueerd. Zie hiervoor ook paragraaf Bij VWS zijn faciliteiten ingericht voor het uitvoeren van periodieke testen en evaluaties waarmee de goede werking van de geïmplementeerde maatregelen worden getoetst. Er zijn door VWS mantelcontracten afgesloten met daarin duidelijke eisen aan pentesten opgenomen. De contracten zijn beschikbaar bij de HIS. De organisatieonderdeien van VWS kunnen pentesten laten uitvoeren door een van deze manteipartijen. Alle kritische systemen zouden getest moeten worden. Het initiatief hiervoor ligt bij de eigenaar van het systeem. BIV heeft momenteel geen tijd/capaciteit om dit te monitoren. Bij het kerndepartement is in 2014 het systeem Marjolein gepentest. 1.4 Fase Act vh managementsysteem nog afhankelijk van de verdere optimalisatie van de fase Check Verantwoordingsrapportages - deels ingericht Voor een toelichting op periodieke rapportering aan de departementsleiding over verbeteringen op het gebied van IB zie paragraaf en van 14 1 BIR-onderzoeken 2016 departementaal VERTROUWEUJK

12 departmentaa VERTROUWELIJK Ondertekening Den Haag, 13 januari 2017 Auditdienst Rijk 12 van 14 1 BIR-onderzoeken 2016 departementaa VERTROUWEUJK

13 departementaal VERTROUWELUK Bijlage onderzoeksverantwoording 1.1. Scope van het onderzoek Het onderzoek naar de stu ring binnen VWS betreft de Inrichting van het stelsel en is beperkt tot de wijze waarop centraal de inrichting en beheersing van de dartementale informatiebevelliging wordt vormgegeven. De beheersing op decentraal niveau maakt geen onderdeel uit van dit onderzoek. Het ADR onderzoek richt zich voor de sturing op vaststelling van de volgende aspecten: de aanwezigheid van een stelsel van maatregelen en procedures waarmee de Informatlebevelllging wordt aangestuurd; een systeem voor stuurinformatle van alle relevante niveaus en de daadwerkelijke sturing op basis van deze Informatie; de wijze waarop de kritleke systemen, ketens en bijbehorende risico s voor 2016 In kaart zijn gebracht door de ministeries, inclusief de daarbij gehanteerde criteria; De wijze waarop, op basis van risicoanalyses, tot passende IB maatregelen is gekomen voor kritieke processen / systemen. Dit gaat verder dan alleen de BIR en betreft ook andere wet- en regelgeving op het gebied van Informatiebevelliging; de rapportages aan het management over het toezicht op de betrouwbaarheid van de informatievoorziening binnen VWS; de opvolging die VWS heeft gegeven aan nog uit te voeren activiteiten genoemd in de ICV 2015 en de activiteiten naar aanleiding van de bevindingen uit het BIR onderzoek van de ADR over 2015 (bijvoorbeeld In de vorm van verbeterplannen verankerd in jaarplannen); de voortgangsrapportages over de verbeterplannen; de onderbouwing (dossiervorming) bij de systemen voor het Wel of niet voldoen aan de BIR (volgens bijlage 1 van de ICV). 1.2 Aanpak en uitvoering Bij VWS zijn de volgende stappen gevolgd: startgesprek met de CIO van VWS (1 september 2016). Uitleg van de aanpak van het onderzoek, selectie van de te onderzoeken kritieke systemen en planning onderzoek; uitvoeren onderzoek (september t/m november 2016) aan de hand van het normenkader sturing; afstemmen van de detailbevindingen met de gecontroleerden (november 2016); opleveren van de concept rapportage aan de CIO van VWS (november 2016) en het bespreken daarvan; afgeven definitieve rapportage (december 2016), eventueel voorzien van een managementreactie. Het onderzoek is uitgevoerd door een combinatie van dociimentanalyse, interviews en het doen van (deel)waarnemingen. 13 van 14 1 BIR-onderzoeken 2016 departementa& VERTROUWELiJK

14 Auditdienst Rijk Postbus EE Den Haag