Aansturing informatîebeveîliging SZW komt op stoom

Transcriptie

1 Auditdienst Rijk Ministerie van Financiën Aansturing informatîebeveîliging SZW komt op stoom Onderzoek naar de sturing op de înformatiebeveiligïng bij Ministerie van Sociale Zaken en Werkgelegenheid

2 Colofon Titel Uitgebracht aan Aansturing informatiebeveiliging SZW komt op stoom do SZW, Datum 8 maart 2017 Kenmerk Inlichtingen Auditdïenst Rijk

3 Inhoud Inleîding 4 1. Aansturing informatiebeveiliging SZW komt op stoom Organisatie en sturing van de informatiebeveiliging zijn ingericht Uitvoering informatiebeveiligingsbeleid kan beter Inzicht in de controleactiviteiten informatiebeveiliging kan beter Evaluatie en actualisering informatiebeveiligingsbeleid Ondertekening 12 Managementreactie do SZW 13 Bijlage onderzoeksverantwoording Scope van het onderzoek Aanpak en uitvoering 14

4 De BIR 2012 geldt voor de bestuurdepartementen, taakorganisaties en agentschappen. zelfstandige bestuursorganen (ZBO s) nemen een bijzondere positie in. Zij zijn niet verplicht om de BIR 2012 toe te passen, maar via de subsidievoorwaarden kunnen ministeries hen wei deze verplichting opleggen. De BIR 2012 heeft daarmee hetzelfde bereik als het VIR De keuze voor deze kritieke systemen is door de ADR in afstemming met de departementen bepaald. De aanvullende controle wordt uitgevoerd op één van de door de ADR in 2015 en 2016 onderzochte kritieke systemen. 4 van 16 l Aansturng ntormatlebevelllglng SZW komt op stoom Inleiding Aanleiding In september 2012 is de Baseline Informatiebeveiliging Rijksdienst Tactisch Normenkader (hierna BÏR) vastgesteld door de Interdepartementale Commissie Bedrijfsvoering Rijk (ICBR). De ICBR heeft bepaald dat per 1 januari 2014 alle Rijksoverheidsorganisatïes1 aan de BIR moeten voldoen en hierop worden getoetst. Op voorstel van de Subcommissie Informatiebeveiliging (SIB) heeft de voorloper van het CIO beraad in 2013 vijf thema s benoemd: 1. Patchmanagement; 2. Beveiliging van externe koppeivlakken; 3. Beheer van medewerkers en toegang; 4. PDCA cyclus; 5. Logging en monitoring. De ADR heeft deze thema s in 2014 en 2015 onderzocht in de BIR-onderzoeken. In het do beraad van 20 april 2016 is besloten om deze thema s, voor zowel de ICV als voor de ADR onderzoeken, ook voor 2016 te hanteren. Aan de Auditdienst Rijk fadr) is gevraagd om inzicht te geven in de stand van zaken met betrekking tot: 1. de sturing op de informatiebeveiliging (departementsbrede PDCA-cyclus); 2. de implementatie van de BIR op basis van twee kritieke systemen2 en uitgaande van de vijf thema s. Daarnaast is de ADR gevraagd om een aanvullende controle3te doen op de vier aandachtsgebieden uit de onderzoeken van 2015 die het do beraad heeft aangewezen, te weten: D Pentesten; o lnkoopcontracten bij outsourcing van IT-diensten; [1 Autorisaties (verwijderen vertrokken medewerkers); O Logging en monitoring. Het onderzoek is in opdracht van het CIO beraad, met CIO Rijk als gedelegeerd opdrachtgever, in de periode augustus tot december 2016 uitgevoerd. In het Plan van aanpak Onderzoeken informatiebeveiliging 2016 d.d. 7 juli 2016, met kenmerk , staat hoe de ADR de BIR-onderzoeken uitvoert. Karakter van het onderzoek Het onderzoek heeft een inventariserend karakter en betreft geen assurance onderzoek. De ADR geeft inzicht in de stand van zaken en bevindingen per onderzoeksvraag. Er worden geen cönclusies of oordelen gegeven.

5 Deze opdracht is uitgevoerd in overeenstemming met de Internationale Standaarden voor de Beroepsuitoefening van Internal Auditing en het kwaliteitbeheersingssysteem van de ADR. Verspreidïngskring rapportage Deze rapportage van bevindingen wordt uitgebracht aan de do van het Ministerie van Sociale Zaken en Werkgelegenheid. De definitieve departementale rapportages worden gebruikt voor de samenvattende auditrappoften van de ADR. Een afschrift van de definitieve rapportage over de sturing gaat naar de CIO Rijk. Openbaarheid De ADR is de interne auditdienst van het Rijk. Het rapport over dit onderzoek is primair bestemd voor de opdrachtgever met wie wij deze opdracht zijn overeengekomen. In de ministerraad is besloten dat het opdrachtgevende ministerie waarvoor de ADR een rapport heeft geschreven, het rapport binnen zes weken op de website van de rijksoverheid plaatst, tenzij daarvoor een uitzondering geldt. De minister van Financiën stuurt elk halfjaar een overzicht naar de Tweede Kamer met de titels van door de ADR uitgebrachte rapporten en plaatst dit overzicht op de website. Besloten is om alle departementale rappoftages over de Sturing van de Informatiebeveiliging (deel 1 van de opdracht) in beginsel niet te rubriceren op departementaal vertrouwelijk, tenzij uit de gerapporteerde bevindingen blijkt dat dit gevoelige/vertrouwelijke informatie bevat die Dep V (of hoger) vereist. Dit is een afweging die door het betreffende departement en opdrachtgever wordt gemaakt. Leeswijzer Hoofdstuk 1 van deze rapportage geeft een samenvatting van onze bevindingen over de sturing op de informatiebeveiliging (deel 1 van de opdracht). De bijlage van dit document bevat de onderzoeksverantwoording waar op basis van het overkoepelende plan van aanpak specifieke keuzen en afspraken zijn gemaakt ten aanzien van de scope en de diepgang van het onderzoek naar de sturing op de informatiebeveiliging. 5 van 16 1 Aansturing Informatiebevelliging SZW komt op stoom

6 volgens planning april 2017 de directie Bedrijfsvoering - CIO per Office. De sturing van de informatiebeveiliging is verbeterd door: - Periodieke rapportage van de Functionaris Gegevensbescherming onderdeel destijds de voortgang van de verbeteringen in de over tevens waarnemend BVA - sturing op de informatiebeveiliging (via het Spoorboekje ) aan het MT SZW en het Audit Committee van SZW; uitvraag van de Zelfevaluaties en BIR-formulieren van de directies van - Tijdige SZW; Een managementsysteem Is een sluitend stelsel van processen waarmee volgens een eenduidlge systematiek de informatiebevejilging op basis van risicobeheer fdepartement)breed wordt geborgd. Voor informatiebeveiliging wordt ook wei gesproken over een Information Security Management System (ISMS). 6 van 16 l Aanstuting informatiebeveiiiglng SZW komt op stoom 1. Aansturing înformatiebeveiligïng SZW komt op stoom Dit hoofdstuk gaat in op de depaftementsbrede PDCA-cyclus (managementsysteem4) voor informatiebeveiliging en het functioneren van een departementsbrede beveiligingsorganisatie. Een goed functionerend managementsysteem voor informatiebeveiliging uitgaande van risicobeheer vormt de basis om in control te kunnen zijn. Hierna volgen op deelaspecten van het managementsysteem samengevat de belangrijkste bevindingen. 1.1 Organïsatie en sturing van de informatiebeveiligïng zijn ingericht Algemeen Het ministerie heeft in 2016 de aandacht voor informatiebeveiliging in de PDCA cyclus geïntensiveerd. De aansturing van het proces is verbeterd (betere planning, versterkte begeleiding van de onderdelen) en het proces van de uitvraag van de zelfevaluaties en BIR controlelijsten is daarmee efficiënter verlopen. Qua tijdigheid verloopt het proces van ICV nu volgens schema. Deelaspect 1 Organisatie en Sturing Informatiebeveiliging verbeterd Op basis van zijn toezichtrapportage voor de In Control Verklaring (ICV) van SZW 2015 en de bevindingen van de ADR/SZW in de BIR-rapportage 2015 heeft de waarnemend beveiligingsambtenaar (BVA) van het Bureau Veiligheid, Inte griteit en Crisismanagement (VIC) van SZW in de eerste maanden van 2016 een verbeteringsplan opgesteld. Hoewel dit verbeteringsplan, gericht op de sturing op de informatiebeveiliging, niet formeel door het MI SZW is vastgesteld, blijkt een groot aantal maatregelen uit dit plan uitgevoerd met als resultaat: aantoonbare verbeteringen eind 2016 in de informatiebeveiligingsorganisatie en de sturing op de PDCA-cyclus Informatiebeveiliging van het departement. Organisatorische verbetering zien we terug bij: aanstelling van een Chief Information Security Officer (CISO) en een (interim-) Beveiligingsambtenaar (BVA) per 1 november 2016 en de herinrich ting van het periodiek overleg met IB-coördinatoren en van bilateraal overleg met DG-kolommen en directies; 2016 zijn er binnen elke kolom 3 tot 7 IB-coördinatoren werkzaam. - De - In Daarnaast kent elke kolom (behalve de SG-kolom) 1 tot 4 informatiemanagers waarbij soms de functie van IB-coördinator en Informatiemanager door één medewerker wordt uitgevoerd. Niet duidelijk is of binnen iedere kolom/directie een MT-lid de rol van portefeuillehouder informatiebeveiliging vervult. De wijziging van de organisatorische plaatsing van Bureau VIC binnen de psg kolom. In 2016 valt VIC onder de directie Bestuursondersteuning, dit wordt

7 - Tijdige analyse van de Zelfevaluaties en BIR-formulieren door de CISO en de BVA; - Nadere intormatieuitvraag (verbeterpunten, borging en in control) bij de directies door de CISO en BVA in december 2016 ter onderbouwing van de In Control Verklaring SZW Deelaspect 2 Wijziging in de uitvraag verantwoordingsdocumentatie Bureau VIC heeft er in 2016 voor gekozen om de uitvraag aan de organisatieonderdelen zo efficiënt mogelijk vorm te geven. Dit heeft VIC gedaan door onder meet de betrokken formulieren zo veel als mogelijk vooraf in te vullen met reeds bekende gegevens (conform methodiek Inkomstenbelasting) en een splitsing aan te brengen in de uitvraag van de BIR-normering naar de verantwoordelijke organisatie-onderdelen. Zo is voor de BIR-formulieren in tegenstelling tot in 2016 door SZW is gekozen voor: (1) een afzonderlijke BIR-formulier BV Techniek voor de BIR-maatregelen die betrekking hebben op informatiebeveiligingsactiviteiten die bij SSC-ICT (of andere externe ICr-dienstverleners) worden uitgevoerd. Deze BIR-maatregelen zijn in de uitvraag richting de directies niet opgenomen, maar bij de verantwoor delijke (centrale) directies Bedrijfsvoering (BV) en Bestuursondersteuning (BO) uitgevraagd. (2) het achterwege laten van een specificatie van de BIR-uitvraag naar applicatie/informatiesysteem. De BtR-formulieren zijn ingevuld op directie- en/of DG-niveau. Door deze wijzigingen in de uitvraag van de BIR-compliancy is het niet altijd inzichtelijk wat er met de maatregelen is gebeurd die in 2015 nog niet aan de BIR-vereisten voldeden (de zogenaamde Gaps ). Om aan dit bezwaar tegemoet te komen hebben de CISO en BVA van SZW in december 2016 nog een nadere uitvraag bij de DG-kolommen en directies van SZW neergelegd: Wat zijn, op basis van de gaps uit de BIR fit/gap analyse, de onderkende restrisico s (de gaps ) bij een dienstonderdeel? Welke van deze zijn in een jaarplan of verbeterplan opgenomen en wat is de status van de realisatie? Wat is besloten ten aanzien van de overige gaps en wat is daarbij de afweging geweest? De directie Bedrijfsvoering, het Agentschap SZW en de Inspectie SZW geven aan de BIR-gaps in beeld te hebben en acties gepland te hebben in jaar- en controleplannen. DG Werk en directie Communicatie geven aan geen verbeterpunten te hebben. DG SZI geeft aan BIR compliant te zijn met uitzondering van de RCN Unit SZW. De RijksSchoonmaakOrganisatie (RSO) is nieuw binnen SZW en heeft besloten haar personeelsveftrouwelijke proces in 2017 apart te laten auditen op informattebeveiliging. Deelaspect 3 Selectiecriteria bedrijfskritische systemen nog in ontwikkeling De selectiecriteria waarmee de kritieke processen/informatiesystemen zijn gedefinieerd voor de In Control Verklaring 2015, zijn de criteria die in oktober 2015 in het SIB zijn vastgesteld. In de Zelfevaluaties 2016 (onderdeel IIIA) wordt gevraagd naar de vijf meest kritische informatiesystemen voor de directie met een duiding van 1 tot 3 (kritisch, hoog kritisch, zeer kritisch). Deze indeling is niet conform de criteria van het SIB Nadere analyse wijst uit dat de selectie bedrijfskritische applicaties op BIR-beveiligingsniveau en de selectie van (kritisch) strategisch applicaties van vitaal belang op Boven-BIR-niveau nog niet eenduidig is te maken. 7 van 16 1 Aansturing nformatiebevelllglng SZW komt op stoom

8 2016 sterk verbeterd. Er is daardoor beter inzicht in de BIR-compliancy van de getroffen maatregelen (de zogenaamde Fits en Gaps ). De nadere uitvraag door de CISO en BVA in december 2016 heeft de onderbouwing van de BIR Compliancy nog iets verder aangescherpt. Deelaspect 3 Werking en effectiviteit van maatregelen niet inzichtelijk De onderbouwingen zijn weliswaar verbeterd maar nog niet alle Gaps uit 2015 zijn van een concrete verbeteractie voorzien of in 2016 in een Fit omgezet. De benodigde verbeteringen op het gebied van informatiebeveiliging zijn meestal niet (op BIR-maatregelniveau) uitgewerkt in concrete verbeterplannen die in het 8 van 16 1 Aansturing InformatlebeveHiging szw komt op stoom Deetaspect 4 Actualisering risicoanalyses niet altijd op tijd De PDCA cyclus voor het proces van informatiebeveiliging is uitgewerkt in het document Informatiebeveiligingsbeleid (IS-beleid) SZW. In de Plan-fase van de cyclus worden risico s afgewogen en maatregelen benoemd. Voor bedrijfskritische systemen dient aantoonbaar elke drie jaar (of bij majeure wijzigingen) een risicoanalyse te worden uitgevoerd. Vanuit de zelfevaluaties van de directies is ons niet gebleken dat de risicoanalyses minimaal elke drie jaar worden uitgevoerd. In het 18-beleid SZW is een procedure opgenomen voor een risicoanalyse bij aanschaf/ontwikkeling van nieuwe informatiesystemen. Wij hebben niet onderzocht welke KPTs de organisatie voor contractmanagement op het gebied van 18 heeft afgesproken en of hier periodiek over wordt gerapporteerd. 1.2 Uitvoering informatïebeveiligingsbeleid kan beter Volgens het 18-beleid SZW worden in de Do fase van de PDCA-cyclus risico s tegengegaan. De maatregelen die vanuit de BIR (na risicoanalyse of incidenten) zijn geselecteerd, dienen te worden gedocumenteerd en de werking van de maatregelen moet aantoonbaar zijn. Tenminste eenmaal per jaar rappofteert de coördinator informatiebeveiliging over uitgevoerde maatregelen aan zijn/haar directeur. Deelaspect 1 Overzicht van kritieke processen, ketens en applicaties niet op actualiteit beoordeeld Wij hebben geconstateerd dat de selectiecriteria voor de kritieke processen/ informatiesystemen, DGOO/SIB-definitie oktober 2015, bij SZW in 2016 niet consequent zijn gehanteerd. In de Zelfevaluaties wordt in 2016, in afwijking van de DGOO-defÏnitie, gevraagd naar een duiding van kritische informatiesystemen/ -processen naar de classificering kritisch tot zeer kritisch. Dit heeft tot verwarring bij de directies geleid. De jaarlijkse actualisering van het overzicht met onderkende kritieke processen, applicaties en de risico s is daardoor bemoeilijkt. SZW hanteert op dit moment een lijst van bedrijfskritische (informatie) systemen, bron daarvoor is de registratie in het applicatie portfolio management (APM). Op deze lijst staan 47 systemen. Deze lijst is voor SZW leidend en zal in 2017 in het verantwoordingsproces worden meegenomen. Voor wat betreft kritieke (informatie)systemen kan, na toepassing van de DGOO definitie en criteria, inclusief de aanscherping door CIO Beraad en ICBR, geconcludeerd worden dat SZW geen kritieke (informatie)systemen heeft. Er is geen actueel overzicht met onderkende ketens, met de wijze waarop de governance daarvan is geregeld, en met het belang en de risico s voor de organisatie. De CISO heeft voor de ICV van SZW atsnog een inventariserende vraag (9eervraag ) uitgezet bij de directies voor de kritieke ketens. Deelaspect 2 Onderbouwing EIR-compliancy verbeterd De toelichtingen in de door de directies aangeleverde BIR-formulieren en Zelfevaluaties ter onderbouwing van de inrichting van de BIR-maatregelen zijn in

9 organisatiejaarplan zijn opgenomen en gedurende het jaar op voortgang worden bewaakt. Op basis van de Zelfevaluaties van de DG-kolommen en directies zouden wij ervan uit mogen gaan dat de IS-coördinator minstens een maal per jaar aan zijn/haar directeur rapporteert over de werking en effectiviteit van de informatiebeveïligingsmaatregelen. Wij hebben geen concrete documentatie ontvangen waaruit blijkt dat de IS-coördinatoren jaarlijks aan hun DG/directeur rapporteren over de effectiviteit van de BIR-maatregelen. Het IB-beleid SZW stelt dat de directeur BV externe ICT dienstverleners van generieke informatiesystemen aanstuurt, mede op het terrein van informatiebeveiliging. Tevens test hij de effectiviteit van hun getroffen maatregelen voor de generieke informatiesystemen en informeert de psg en de 1 BVA (CISO) hier over. Wij hebben geen informatie ontvangen over de wijze waarop de directeur BV de externe ICT dienstverleners van generieke informatiesystemen aanstuurt op het aspect informatiebeveiliging en over de wijze waarop de directeur BV de effectiviteit van de door de ICT dienstverleners getroffen maatregelen test. Ook de controlelijst BV Techniek geeft slechts inzicht in de opzet van de BIR maatregelen (bv. DVA s, DAP s), maar niet in de wijze van verantwoording over de uitvoering van de informatiebeveiliging door SSC-ICT geduiende het jaar 2016 (bestaan en werking). SSC-ICT stelt dat hun ICV voldoende inzicht biedt in de mate waarin zij de BIR maatregelen garanderen en controleren. Deelaspect 4 Explainprocedure SZW wordt niet nageleefd Het informatiebeveiligingsbeleid van SZW geeft aan: SZW streeft naar compliancy met de BIR en verantwoordt eventuele afwijkingen via de interdepartementale explainprocedure omdat deze van invloed kunnen zijn op de continuïteit van de informatievoorziening van de overige departementen volgens het 15-beleid SZW. Risicoafwegingen die leiden tot afwijkingen van de BIR worden via het Regulier Overleg Bedrijfsvoering (ROB) voorgelegd aan de psg, die vervolgens besluit welke afwijkingen worden toegestaan en welke afwijkingen interdepartmentaal moeten worden goedgekeurd na gezamenlijk advies van de CISO, de Functionaris Gegevensbescherming en adviseurs van de directie Bedrijfsvoering (BV/IFM) en de directie FEZ. Een aantal directies geeft in 2016 aan niet op alle punten aan de BIR te (kunnen) voldoen. We hebben niet kunnen vaststellen dat de voorgeschreven explain procedure in 2016 is gevolgd. Deelaspect 5 In 2017 meet duidelijkheid over de BIR-compliancy van RCN SZW en RSO. De RCN-unit SZW heeft begin 2016 een verbeterplan opgesteld en periodiek over de voortgang van de BIR-implementatie gerapporteerd. Helaas voldoet de RCN unit in 2016 nog niet volledig aan de BIR maar wordt BIR-compliancy voorzien in de loop van Voor het nieuwe organisatieonderdeel van SZW, de RijksSchoonmaakOrganisatie (RSO) wordt in 2017 bekeken of er sprake is van een bedrijfskritisch informatiesysteem en zo ja, dan zal daarvoor een risicoanalyse worden uitgevoerd. 1.3 Inzicht in de controleactiviteiten informatiebeveiliging kan beter Volgens het IS-beleid SZW wordt er in de Check-fase van de PDCA-cyclus onderzoek verricht: minstens eenmaal per jaar wordt in opdracht van de directeur onderzocht of de werking van de getroffen informatiebeveiligingsmaatregelen nog is zoals bedoeld en of er voortgang is in de uitvoering van verbeterplannen. Het dienstonderdeel moet zorgen dat de informatiebeveiliging up-to-date is. Indien het dienstonderdeel eigenaar is van een informatiesysteem dienen contracten met 9 van 16 1 Aansturing Informatlebevelhging SZW komt op stoom -.-

10 in de Organisatie van de informatiebeveiliging is het 16-beleid SZW (entooibox) op een aantal punten niet meer actueel. Na evaluatie kan het informatie beveiligingsbeleid in 2017 worden geactualiseerd en aangepast aan de nieuwe organisatiei n richting. 10 van 16 Aansturing Informatiebevelilging SZW komt op stoom een informatiebeveiligingsparagraaf/service Level Agreements (SLA s) te worden bewaakt. Verder kan het dienstonderdeel een onafhankelijke instantie (bijvoorbeeld de Auditdienst Rijk) verzoeken om een audit uit te voeren. De coördinator informa tiebeveiliging en privacy ziet erop toe dat deze check plaatsvindt. Bevindingen worden aan het management gerapporteerd; hieruit kunnen verbeteringen voortvloeien, die tot actualisering van de maatregelen en/of het beveiligingsproces kunnen leiden. De CISO fi-bva) moet erop toezien dat deze onderzoeken plaatsvinden en kan de lijnmanager adviseren naar aanleiding van de uitkomsten. Deelaspect 1 Nog beperkt inzicht in operationele 1E-activiteiten en -rapportages De Zelfevaluaties van de directies geven weinig inzicht geven in de controleactiviteiten van de IB-coördinatoren en de bevindingen die zij aan de directeuren rapporteren. Ook ontbreken concrete verbeterplannen en voortgangsberichten. Uit de nadere informatieuitvraag van de CISO en BVA in december 2016 is meer informatie beschikbaar gekomen over de borging van het proces van informatiebeveiliging (cq risicomanagement) bij de dienstonderdelen. Hoewel een aantal dienstonderdelen aangeeft gedurende het jaar (planmatige) activiteiten uit te voeren, geeft de informatie nog slechts beperkt inzicht in de concreet uitgevoerde activiteiten. Deelaspect 2 Beperkte vraag naar IB-audits Conform het IB-beleid SZW kan het dienstonderdeel een onafhankelijke instantie (bijvoorbeeld de Auditdienst Rijk) verzoeken om een audit uit te voeren. Wij stellen vast dat van deze mogelijkheid voor vraaggestuurde, gerichte IB-audits slechts beperkt gebruik wordt gemaakt. 1.4 Evaluatie en actualisering informatiebeveiligingsbeleid 2017 Volgens het IB-beleid gaat het in de Act-fase van de PDCA-cyclus om verbeteren en actualiseren. Beleid, betrouwbaarheidseisen en maatregelen worden op centraal niveau (door een onafhankelijke deskundige) één keer in de drie jaar geëvalueerd om vast te stellen of deze leiden tot de gewenste mate van beveiliging. De evaluatie kan aanleiding geven tot het bijstellen van het 16 beleid, de betrouwbaarheidseisen en/of de maatregelen en worden nauwlettend in de gaten gehouden, worden periodiek, of naar aanleiding van incidenten, rappoftages uit de bedrijfsprocessen, audits of interne onderzoeken, herzien en eventueel aangepast. Indien er verbetertrajecten (bijvoorbeeld voor de BIR) openstaan, moeten deze tijdig worden uitgevoerd. Deelaspect 1 1E-beleid drie jaar oud in 2017: evalueren en aanpassen Het 16-beleid SZW schrijft voor dat beleid, betrouwbaarheidseisen en maatre gelen één keer in de 3 jaar op centraal niveau (door een onafhankelijke deskun dige) worden geëvalueerd om vast te stellen of deze leiden tot de gewenste mate van beveiliging. Het 16-beleid SZW dateert van juni Door o.a. wijzigingen

11 Deelaspect 2 Informatiebeveiliging opnemen in de P&C-cyclus van SZW In 2016 is door VIC aan het MT SZW en het Audit Corn mittee van SZW gerappor teerd over de voortgang van het IB-verbeteringsplan. Om de directies structureel te laten rapporteren over hun risicoanalyses, de voortgang van verbeterplannen en de adequate werking van de getroffen JE-maatregelen is ons voorstel om het onderwerp informatiebeveiliging op te nemen in de reguliere planning- en controlcyclus van het departement. 11 van 16 1 Aansturing lntormauebeveihgng SZW komt op stoom

12 2 Ondertekening Den Haag, 8 maart 2017 Auditdienst Rijk 12 van 16 1 Aansturing Informatiebevelliging SZW komt op stoom

13 aan. uw conceptrappoft met belangstelling gelezen en onderstaand treft u mijn reactie dat U in opdracht van de CIO Rijk in de periode augustus 2016 tot en met januari U heeft mij het conceptrapport aangeboden van het BIR-onderzoek SZW 2016 Beste 2017 heeft uitgevoerd. U stelt mij in de gelegenheid daarop te reageren. Ik heb 13 var 16 l Aansturêng IriformatlebeveBlgfrig szw komt op stoom Met vriendelijke groet, sturingsrapport (1) openbaar kan zijn en dat de systeemrapporten (2+3) Departementaal Vertrouwelijk blijven in verband met herleidbare kwetsbaarheden. Ten aanzien van uw vraag betreffende de rubricering ben ik van mening dat het echter de belasting voor de dienstonderdelen onredelijk te verhogen. Er zal dan gemaakt en met de ADR worden gedeeld. Deze bevindingen herken ik en de departementale voornemens ten aanzien van de in 2017 te realiseren verbeteringen zijn daarmee in lijn. Dat gezegd ook een passende balans worden gezocht tussen baten op het gebied van zinvol, nuttig en haalbaar is. De afweging zal door SZW aan de voorkant worden in de reguliere planning- en control cyclus, ook daar zal worden bezien wat risicobeheersing en de administratieve lasten die daarmee samenhangen. Een vergelijkbare afweging is tevens van toepassing op het vraagstuk van integratie hebbende zij opgemerkt dat SZW streeft naar efficiëntie en effectiviteit zonder reguliere planning- en control cyclus van het ministerie. krijgen van de werking en effectiviteit van deze maatregelen. Ook stelt u dat het inzicht in de controleactiviteiten van de dienstonderdelen voor verbetering de keuzes cq. maatregelen die daaruit voortvloeien, en het periodiek inzichtelijk onderstreept u het belang van een navolgbare vastiegging van risicoanalyses en vatbaar is en dat het raadzaam is de aandacht hiervoor te integreren in de en de onderbouwing van de inrichting van BIR maatregelen. In die context nog verbeteringen kan realiseren ten aanzien van de uitvoering van het 16 beleid In dat beeld kan ik mij vinden. U merkt daarnaast op dat het ministerie in 2017 van de jaarlijkse In Control Verklaring ficv). uitvraag van de zelfevaluaties en BIR controlelijsten is daardoor efficiënter verlopen. Dit geldt ook voor het proces van voorbereiding en (tijdige) oplevering PDCA-cyclus. De aansturing van het proces is verbeterd en het proces van gerealiseerd, door de informatiebeveiligings-organisatie te versterken en de aandacht voor informatiebeveiliging te intensiveren, dit laatste onder meer in de U merkt op dat het ministerie in 2016 aantoonbare verbeteringen heeft Managementreactie do SZW

14 Bijlage onderzoeksverantwoordïng ii Scope van het onderzoek Het BIR-onderzoek SZW 2016 is op 7 juli gestart met een gesprek tussen het ADR-cluster SZW en het bureau BO/VIC. De waarnemend beveiligingsambtenaar (BVA) tevens functionaris gegevensbescherming (EG) van bureau BO/VIC is door de Chief Information officer (CIO) van SZW aangewezen als gedelegeerd opdrachtgever en contactpersoon voor de BIR-onderzoeken bij SZW. In augustus tot en met oktober heeft ADR/SZW zich voornamelijk gericht op het onderzoek naar de BIR-compliancy van twee bedrijfskritische applicaties van SZW: Digidoc2 van de directie Bedrijfsvoering (BV) en Exact van het Agentschap SZW (AG SZW). Deze deelonderzoeken vormen deel 2 en deel 3 van het BIR onderzoek De scope van deel 1 van het BIR-onderzoek naar de Sturing van de Informatiebeveiliging is de departementsbrede PDCA-cyclus5 en de aspecten van het managementsysteem zoals opgenomen in de opdracht en het toetskader deel 1 van het BIR-onderzoek. Deze documenten zijn op 1 september 2016 door BO/VIC aan de IB-coördinatoren van SZW ter beschikking gesteld. Voor het onderdeel Sturing is onderzocht op welke wijze SZW invulling geeft aan het departementale informatiebeveiligingsbeleid (IB-beleid) en aan de verbeter acties om in 2016 aan de BIR compliancy te kunnen voldoen. In het onderzoek is zoveel mogelijk gebruik gemaakt van de documentatie in het BIR-dossier dat BO/VIC heeft ingericht ter onderbouwing van de In Control Verklaring (ICV) SZW Dit dossier bevat naast de Zelfevaluaties en de BIR formulieren van de directies de (concept-)toezichtrapportage van de BVA. Eind december 2016 is door BO/VIC en de do SZW aan ADR/SZW uitstel van de BIR-rapportage gevraagd om bij de directies nog aanvullende informatie te kunnen uitvragen ter onderbouwing van de In Control Verklaring BIR SZW Deze aanvullende informatie is op 24 januari 2017 aan het onderzoeksteam van ADR/SZW opgeleverd. De aanvullende informatie is, voor zover er sprake is van ander inzicht of nuancering, verwerkt in het definitieve rapport van bevindingen Aanpak en uitvoering Op 1 november heeft bureau BO/VIC de Zelfevaluaties en BIR-formulieren van de directies ontvangen als basis voor het toezichtrapport van de BVA en voor de ICV 2016 van SZW. In november/december heeft ADR/SZW het onderzoek uitgevoerd naar de Sturing van de informatiebeveiliging, het onderzoek naar de Exact-applicatie van het Agentschap SZW (AG SZW) en, de random controle op de hoofdbevindingen van het BIR-onderzoek 2015 (pentesten, externe dienstverleners, autorisaties en logging & monitoring). Voor het onderdeel Sturing van de informatiebeveiliging is de PDCA-cyclus op departementaal niveau onderzocht. Daarnaast is voor 2 van de 4 kolommen, te weten de psg- (quick scan) en de IG-kolom (meet diepgaand), onderzocht welke 5 De SZW-ZBO s UWV en SVB zijn niet betrokken in het BIR-onderzoek SZW Het onderzoek beperkt zkh tot het kerndepaftement. 14 van 16 t Aansturing Lnformatlebeveltlglng SZW komt op stoom

15 onderbouwing er is voor de invulling van de Zelfevaluaties en de BIR-formutieren door de directies. De bevindingen voor het onderdeel Sturing van de informatiebeveiliging zijn op 5 december op hoofdlijnen besproken met de CISO en de interim-eva van BO/VIC. Op 14 december is op een eerste concept van het rapport Sturing en het onderliggende Teammate-dossier een onafhankelijke kwaliteitsbeoordeling (OKB) uitgevoerd door een clustermanager van de ADR. Het eerste conceptrappoft is op 12 december besproken met de CISO en interim BVA van SZW. Hun opmerkingen zijn verwerkt in de tweede versie van het conceptrapport. Op 30 januari 2017 is op het tweede concept van het rapport een OKB uitgevoerd door de eerder genoemde clustermanager van de ADR. De tweede conceptversie van het rapport is dezelfde dag voor akkoord aangeboden aan de do, CISO en BVA van SZW. De definitieve conceptrapportage is op 1 februari 2017 aangeboden aan de do van SZW voor een managementreactie. De managementreactie is op 22 februari 2017 ontvangen en toegevoegd aan de definitieve rapportage. i * van 16 1 Aansturing InformaUebevelliglng SZW komt op stoom

16 Auditdienst Rijk Postbus EE Den Haag (070)