i-strategie Rijksoverheid De i-strategie Een overzicht

Transcriptie

1 i-strategie Rijksoverheid Met de Informatisering (i-)strategie voor het Rijk wil het kabinet de ICT van de rijksoverheid verbeteren. De i-strategie omvat maatregelen om de ICT-voorzieningen te bundelen, te komen tot één ICT-beveiligingsfunctie en de standaard ICT-werkplek rijksbreed in te voeren. De beheersing van grote ICT-projecten wordt verder versterkt, er komt meer aandacht voor het vergroten van ICT-kennis bij management en medewerkers en hergebruik gaat voor het zelf ontwikkelen van nieuwe voorzieningen of systemen. Minister Donner van Binnenlandse Zaken en Koninkrijksrelaties heeft de i-strategie aan de Tweede Kamer gezonden. Met de i-strategie wordt een eind gemaakt aan de verbrokkelde ICT-infrastructuur van het Rijk, die in de afgelopen decennia is gegroeid. Daarvoor in de plaats komt een samenhangende rijksbrede informatie-infrastructuur, die ook gebruik maakt van zogenaamde cloud-technologie. Met de marktpartijen wordt een convenant afgesloten om de samenwerking tussen overheid en marktpartijen te optimaliseren. De informatiseringstrategie is nauw verbonden met het uitvoeringsprogramma Compacte Rijksdienst, dat tot doel heeft de bedrijfsvoering van het Rijk goedkoper en efficiënter te maken. Bron: Persbericht ministerie van Binnenlandse Zaken 15 november 2011 De i-strategie Een overzicht In de i-strategie komen drie lijnen samen: de uitwerking en uitvoering van het onderdeel informatisering uit het uitvoeringsprogramma Compacte Rijksdienst, doorontwikkeling van bestaand beleid en de aanvullingen daarop. Eén streefbeeld met een drieledige ambitie Voor het ontwikkelen van de rijksbrede I-infrastructuur is het noodzakelijk een goed beeld te hebben van wat de Rijksoverheid de komende jaren nodig heeft. Het informatiehuis van het Rijk dient te worden ingericht als een samenhangend en betrouwbaar geheel van informatiesystemen dat vanuit heldere afspraken over ontwikkeling, beheer en besturing het primair proces ondersteunt. Het streefbeeld krijgt handen en voeten in de vorm van de volgende, drieledige ambitie: Een meer samenhangende I-infrastructuur Een platform voor tijd-, plaats- en apparaatonafhankelijk werken Beheersing van grote en risicovolle projecten Zeven thema s Voor de realisatie van het streefbeeld zijn zeven thema's gedefinieerd: 1. Aanbodstructurering 2. Sourcing 3. Sturings- en verantwoordingsinstrumenten 4. De I-infrastructuur voor de Rijksambtenaar 5. Personeel en kwaliteit 6. Vertrouwen en beveiliging van informatie 7. Samenwerking met de markt

2 Vijfentwintig maatregelen Vijfentwintig maatregelen - die momenteel verder worden uitgewerkt - geven nadere invulling aan de zeven thema s: Thema 1 Aanbodstructurering M01 Aanbodstructurering ICT-dienstverlening Thema 2 Sourcing M02 Inrichting sourcingbeleid Rijk Thema 3 Sturings- en verantwoordingsinstrumenten M03 Doorontwikkeling Enterprise-Architectuur Rijk (EAR) M04 Invoering Project Portfolio Management Rijk (PPM) M05 Uitbreiding jaarrapportagemodel Thema 4 I-infrastructuur voor de rijksambtenaar M06 Inrichting Gesloten Rijks-Cloud (GRC) M07 Inrichting Rijks-Application Store (RAS) M08 Ondersteuning apparaatonafhankelijk werken (Bring Your Own Device BYOD) M09 Invoering Identiteits- en Toegangsmanagement Rijk (IAM) M10 Inrichting van één informatiehuishouding (Digitale Werkomgeving Rijksdienst DWR) M11 Inrichting digitale archivering Rijk (DWR-Archief) M12 Consolidatie Datacenters Rijk (CDC) Thema 5 Personeel en kwaliteit M13 Kennisopbouw aanbestedingstrajecten M14 Inzet kwaliteitsraamwerk informatievoorziening M15 Uitvoering onderzoeksagenda Interdepartementale Commissie Chief Information Officers (ICCIO) M16 Opleiding van opdrachtgevers Thema 6 Vertrouwen en beveiliging van informatie M17 Verbetering IB-architectuur (informatiebeveiliging) M18 Ingebruikname Rijksinternetkoppeling M19 Stimulering digivaardigheid M20 Verbetering IB-governance M21 Toevoeging risicoprofielen aan de jaarrapportage M22 Invoering verplichte Privacy Impact Assessment (PIA) Thema 7 Samenwerking met de markt M23 Implementatie convenant met de ICT-markt M24 Stimulering van marktconsultatie M25 Inrichting strategisch leveranciersmanagement Rijk 2

3 De 7 Thema s Thema 1 Aanbodstructurering Een rode draad in de uitwerking van de i-strategie is de inrichting van generieke ICTvoorzieningen op basis van een aantal nieuwe inrichtingsprincipes. Conform het uitvoeringsprogramma Compacte Rijksdienst gaat de Rijksoverheid interne ICTdienstverleners van kerndepartementen en nauw verbonden uitvoeringsorganisaties clusteren. Een eerste stap daarin is de omvorming en uitbreiding van de Shared Service Organisatie ICT van het ministerie van Infrastructuur en Milieu (SSO-ICT) tot een organisatie die voor de meeste Haagse kerndepartementen het werkplekbeheer zal gaan verzorgen. Minder aanbieders De Rijksoverheid overweegt daarnaast de clustering van bepaalde lokale ICT-diensten als de bedrijfsprocessen die ze ondersteunen sterk op elkaar lijken. Door de vorming van generieke ICTdiensten zal het aantal interne ICT-dienstverleners de komende jaren verminderen van circa veertig naar minder dan tien. De nu nog departementaal georiënteerde ICT-diensten van deze veertig aanbieders worden vervangen door ongeveer twintig generieke diensten. Thema 2 Sourcing Sourcing is de besluitvorming over het zelf uitvoeren of aan de markt uitbesteden van ICTdiensten. Ter ondersteuning van deze besluitvorming heeft de Rijksoverheid nu een vast zogeheten Afwegingskader ontwikkeld om te bepalen wat er, onder welke voorwaarden, in eigen huis wordt gedaan en waar de markt in beeld komt. Daarin spelen kostenafwegingen een rol, maar ook risicoafwegingen en de wens om de huidige verbrokkeling van de I-infrastructuur stap voor stap te verminderen. Het Afwegingskader is vanaf 2012 in gebruik en wordt periodiek geëvalueerd en waar nodig verbeterd. Thema 3 Sturings- en verantwoordingsinstrumenten De departementale CIO s zijn samen met de CIO Rijk verantwoordelijk voor de kaderstelling op het gebied van ICT en de informatievoorziening van de Rijksoverheid. Gezamenlijk geven zij invulling aan het CIO-stelsel dat aan het einde van 2008 werd ingericht. Dat stelsel wordt periodiek getoetst door o.a. de Rijksauditdienst en wanneer nodig aangescherpt. In het kader van de i-strategie zijn geen nieuwe aanpassingen voorzien. Verantwoording ICT-projecten In de Jaarrapportage Bedrijfsvoering aan de Tweede Kamer en in het Rijks ICT-Dashboard vindt de verantwoording plaats over de grote en risicovolle ICT-projecten van de departementen en publiekrechtelijke zbo's. Deze rapportage en het dashboard worden zelf ook periodiek geëvalueerd en waar nodig aangepast. Zo zijn er uitbreidingen te verwachten op het gebied van informatiebeveiliging en in het bijzonder de privacy-impact van ICT-projecten (zie ook Thema 6). Enterprise architectuur De ontwikkeling van een nieuwe samenhangende I-infrastructuur verlangt een onderliggende architectuur. Ook architectuur is een sturingsinstrument, want op basis daarvan kunnen bouwplannen worden gericht en getoetst. De huidige Model Architectuur Rijksdienst (MARIJ) wordt daarvoor verder uitgewerkt tot een samenhangende enterprise-architectuur voor de Rijksoverheid. Thema 4 I-infrastructuur voor de rijksambtenaar In de verdere ontwikkeling zal DWR, de Digitale Werkomgeving van de Rijksoverheid, worden aangesloten op de cloudstrategie van de Rijksoverheid. Om zodoende sneller en beter te 3

4 kunnen inspelen op de veranderende behoeften bij gebruikers. App Store DWR krijgt een application store waarin de rijksambtenaar in de toekomst gerichter kan kiezen welke applicaties hij of zij wil gebruiken en op welk apparaat (kantoor- of telewerkcomputer, laptop, tablet of smartphone). Dit verbetert efficiency in het gebruik van die applicaties en vergroot tegelijkertijd de mogelijkheden om tijd-, plaats-, en apparaatonafhankelijk te kunnen werken en daar ook privéspullen bij in te zetten (bring your own device). Identiteit en toegang De inrichting van rijksbrede bedrijfsprocessen in het kader van het uitvoeringsprogramma Compacte Rijksdienst verlangt dat het beheer van identiteiten en toegang ook op rijksbrede leest wordt geschoeid. Dit geldt bijvoorbeeld voor het beheer van de Rijkspas. De eerder gekozen aanpak van centrale kaderstelling en departementale uitvoering is niet meer toereikend. Integratie en concentratie van toegangsdiensten is noodzakelijk geworden. Documenten rijksbreed toegankelijk In lijn met het streven om bij de kerndepartementen honderd procent digitaal documentbeheer in te voeren, wil de Rijksoverheid de interdepartementale samenwerking efficiënter maken. Zo is bijvoorbeeld de toegang tot documentatie nu nog vaak beperkt tot de grens van het departement. Het streven is om documenten in de toekomst juist zoveel mogelijk rijksbreed toegankelijk te maken. Dit vereist implementatie van nieuwe standaarden in informatiebeheer. De koppeling van documentmanagementsystemen in werkstromen maakt doorgeleiding van documenten over departementsgrenzen heen mogelijk. Voor digitale archivering wordt één rijksbrede generieke voorziening gerealiseerd. Gemeenschappelijke datacenters In het kader van het uitvoeringsprogramma Compacte Rijksdienst gaat het aantal datacenters van de ministeries terug van 64 naar vier tot vijf. De departementen brengen hun eigen datacenters onder in gemeenschappelijke datacenters. Thema 5 Personeel en kwaliteit ICT-expertise opbouwen en behouden zodat complexe projecten en uitbestedingen tot een goed einde gebracht kunnen worden. In oktober 2010 is het project I-Interim Rijk gestart; de inrichting van een rijksbrede pool voor ICTprofessionals binnen het rijk. I-Interim Rijk is opgezet om voor de Rijksoverheid cruciale expertise op te bouwen en te behouden. Dit draagt bij aan het terugdringen van externe inhuur op het gebied van sleutelposities, zoals project- en programmamanagement. I-Interim Rijk investeert nu ook in het opbouwen, vasthouden en uitwisselen van de specialistische kennis die nodig is voor complexe aanbestedingstrajecten op het gebied van ICT-producten, -diensten en -projecten. Kennis en competenties Ten behoeve van het interne en externe arbeidsmarktbeleid en personeelsplanning is in 2010 het Kwaliteitsraamwerk Informatievoorziening ontwikkeld, in lijn met de principes van het Functiegebouw Rijk en in aansluiting op het EU-programma e-skills. De vereiste kennis en competenties die in dit raamwerk zijn vastgelegd, hebben betrekking op alle functietypen en functieniveaus: ICTdienstverleners, tactisch en strategisch beheerders, en project- en programmamanagers die verantwoordelijk zijn voor projecten met een grote ICT-component. Het Kwaliteitsraamwerk wordt vanaf 2012 ingezet voor vraag/aanbod-matching en opleidingen. Opleidingsaanbod Ter ondersteuning van deze maatregelen zal in 2013 een compleet opleidingsaanbod beschikbaar zijn voor opdrachtgevers om het topmanagement te helpen versterken. In toenemende mate is ook specialistische kennis ten aanzien van aanbestedingen en Europese regelgeving nodig. Deze onderwerpen worden in het opleidingsportfolio opgenomen. Onderzoeksagenda Interdepartementaal wordt in samenwerking met de wetenschap een onderzoeksagenda ontwikkeld die nauw aansluit op de voor dit domein belangrijke maatschappelijke en technologische trends. 4

5 Thema 6 Vertrouwen en beveiliging van informatie Het kabinet hecht er aan dat de burger vertrouwen heeft in de wijze waarop de Rijksoverheid omgaat met de opslag en het gebruik van digitale gegevensbestanden. De Rijksoverheid is ervoor verantwoordelijk dat informatie die wordt gebruikt betrouwbaar is en dat van derden ontvangen gegevens zorgvuldig en rechtmatig worden gebruikt. Deze taak vereist een permanente investering in de weerbaarheid van de Rijksoverheid tegen opzettelijke en onopzettelijke inbreuken en vergroting van het herstelvermogen bij inbreuken. Informatiebeveiligingsconcept Onderdeel van de vergroting van de weerbaarheid is een solide informatiebeveiligingsconcept. Een belangrijke maatregel in die context is de verbetering van gegevensbeveiliging. Dit in aanvulling op reeds geïmplementeerde maatregelen voor apparaat- en netwerkbeveiliging. De aanvulling is nodig om beveiliging van tijd- plaats- en apparaatonafhankelijkheid beter te kunnen faciliteren. De netwerkbeveiliging zal verbeteren door het aantal internetkoppelingen van de Rijksoverheid terug te dringen. Dit vereenvoudigt het beheer en verbetert daarmee de beheersbaarheid van deze koppelingen met de buitenwereld. Risicobewustzijn De groeiende inzet van zelfgekozen apparatuur in combinatie met toegenomen communicatiemogelijkheden (social media) maken dat een ambtenaar anno 2011 zich meer dan ooit bewust moet zijn van de risico s van het gebruik van digitale middelen, en daar dus ook verstand van moet hebben. De Rijksoverheid zal haar ambtenaren hierin ondersteunen door te voorzien in adequate middelen en in heldere regels, adviezen en opleidingen. Harmonisatie van afspraken In een wereld met toenemende systeemintegratie en tegelijkertijd steeds grotere digitale onveiligheid heeft de borging van gemeenschappelijke afspraken over informatiebeveiliging met leveranciers versterking nodig. Hier is behoefte aan harmonisatie van afspraken met interne en externe partijen en verbeterd toezicht op de naleving daarvan. Zo zal de minister van Veiligheid en Justitie een meldplicht invoeren voor ICT-incidenten die zich voordoen bij organisaties die cruciale maatschappelijke functies vervullen. Een dergelijke vorm van transparantie zal het vertrouwen in de beveiliging van de Rijksoverheid vergroten. Herstelvermogen Voor een optimaal herstelvermogen bij inbreuken op de ICT-infrastructuur zullen aanvullende instrumenten worden ontwikkeld die de overheid de mogelijkheid geven doortastend in te grijpen. In het kader van het uitvoeringsprogramma Compacte Rijksdienst werkt de minister van Veiligheid en Justitie aan de ontwikkeling van één rijksbrede operationele ICT-beveiligingsfunctie. Bescherming van privacy Naar aanleiding van het rapport ioverheid van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) heeft de Rijksoverheid besloten om de bestaande maatregelen ten aanzien van de beheersing van grote ICT-projecten uit te breiden met maatregelen ter bescherming van privacy. De uitvoering van een Privacy Impact Assessment wordt bij grote of risicovolle ICT-projecten verplicht gesteld. Waar het wenselijk is zullen ook de jaarrapportage Bedrijfsvoering aan de Tweede Kamer en het Rijks ICT- Dashboard op dit punt worden uitgebreid. Thema 7 Samenwerking met de markt Een goede relatie en een goede samenwerking met het toeleverend bedrijfsleven is voor de Rijksoverheid essentieel om geslaagde ICT-projecten te realiseren en beoogde doelen te halen. Met vertegenwoordigers van de branche (zoals ICT~Office en het MKB) wordt een convenant opgesteld waarin wordt afgesproken hoe de samenwerking met de ICT-Markt de komende jaren wordt geoptimaliseerd en hoe die samenwerking gaat aansluiten bij de ontwikkelingen binnen de Rijksoverheid. Dit convenant bestrijkt een breed gebied: precompetitieve marktconsultatie, de aanbestedingspraktijk, kennisdeling, publiek-private samenwerking en ontwikkeling en het behoud van talent. 5

6 Bevorderen marktconsultatie De Rijksoverheid gaat het gebruik van marktconsultatie bevorderen. De ICT~Haalbaarheidstoets zal vaker worden ingezet, met name waar het grotere ICT-projecten betreft. De uit de ICT~Haalbaarheidstoetsen opgedane kennis wordt verspreid binnen de CIO-community en gedeeld met de leveranciers, om kennis te kunnen delen en borgen. Naast de ICT~Haalbaarheidstoets is een lichtere vorm van marktconsultatie ontwikkeld in de vorm van de ICT~Marktspiegel. Leveranciersmanagement Tenslotte is de inrichting van strategisch leveranciersmanagement een maatregel om als afnemer een sterkere positie te kunnen innemen ten opzichte van leveranciers, en om als concern beter in staat te zijn strategische, duurzame investeringsbeslissingen te nemen. 6

7 De vijfentwintig maatregelen De zeven thema s worden verder uitgewerkt in vijfentwintig maatregelen, die tezamen het Implementatieplan i-strategie Rijk vormen. In dit hoofdstuk krijgt u alvast een doorkijkje. M01 Aanbodstructurering ICT-dienstverlening De Rijksoverheid heeft behoefte aan een meer efficiënt ingericht stelsel van interne aanbieders om met kennisbundeling en schaalgrootte de kosten te verlagen en de effectiviteit te vergroten, ook richting de markt. Conform het uitvoeringsprogramma Compacte Rijksdienst gaat de Rijksoverheid interne ICTdienstverleners van kerndepartementen en nauw verbonden uitvoeringsorganisaties clusteren. Een eerste stap daarin is de omvorming en uitbreiding van de Shared Service Organisatie ICT van het ministerie van Infrastructuur en Milieu (SSO-ICT) tot een organisatie die voor de meeste Haagse kerndepartementen het werkplekbeheer zal gaan verzorgen. Bedrijfsprocessen De Rijksoverheid overweegt daarnaast de clustering van bepaalde lokale ICT-diensten als de bedrijfsprocessen die ze ondersteunen sterk op elkaar lijken. Reeds enige tijd loopt een traject ter invoering van honderd procent digitaal documentbeheer bij de kerndepartementen. Hier wordt de mogelijkheid bekeken om Doc-Direkt, de dienstverlener voor documentdiensten, uit te breiden met digitaal documentbeheer, zodat ook die voorziening op termijn generiek voor de hele Rijksoverheid is ingericht. Minder aanbieders, minder diensten Door de vorming van generieke ICT-diensten zal het aantal interne ICT-dienstverleners voor de diensten die het betreft de komende jaren verminderen van circa 40 naar minder dan 10. De nu nog departementaal georiënteerde ICT-diensten van deze 40 aanbieders worden vervangen door rond de 20 generieke diensten. Voorbeelden producten Beleidsnotitie Aanbodbundeling Beleidsplan Leveranciersmanagement Implementatieplan Eén werkplekbeheerorganisatie voor de kerndepartementen Strategisch contract- en leveranciersmanagement Aanbestedingskalender Stelsel van interne ICT-dienstverleners M02 Inrichting sourcingbeleid Rijk De Rijksoverheid wil een transparant besluitvormingsproces hanteren om te komen tot keuzes inzake sourcing. Het betreft hier zowel de keuzes voor internal delivery als voor outsourcing; helder is wat alleen, samen met enkele anderen of met zijn allen wordt gedaan, inclusief de rol van de markt daarbij. Sourcing is de besluitvorming over het zelf uitvoeren of aan de markt uitbesteden van ICT-diensten. Het Kabinet wil dat de Rijksoverheid zich meer concentreert op haar kernactiviteiten, ondersteund door een efficiënte en effectieve bedrijfsvoering. Het programma Compacte Rijksdienst heeft tot doel de Rijksoverheid kleiner en krachtiger te maken. Afwegingskader De vraag is wat de Rijksoverheid zelf behoort te doen en wat uitbesteed kan worden. Deze afweging moet volgens vaste beleidslijnen te gebeuren en niet aan willekeur te worden overgelaten. Dit geldt ook voor ICT. Ter ondersteuning van deze besluitvorming is een vast Afwegingskader ontwikkeld. Daarin spelen kostenafwegingen een rol, maar ook risicoafwegingen en de wens om de huidige verbrokkeling van de I-infrastructuur stap voor stap te verminderen. Leerervaringen Met de ingebruikname van zo'n kader ontstaat een nieuwe dynamiek die nieuwe leerervaringen zal 7

8 opleveren. Om het kader actueel te houden is het dan nodig om ervaringen uit de praktijk te verzamelen te vertalen naar best practices of nieuwe principes. Het Afwegingskader is vanaf 2012 in gebruik en wordt daarna periodiek geëvalueerd en waar nodig verbeterd. Sourcing-principes Sourcing-speerpunten Afwegingskader Sourcing Handboek Sourcing Afspraken over de besturing van het sourcing-proces M03 Doorontwikkeling Enterprise-Architectuur Rijk (EAR) De Rijksoverheid heeft behoefte aan een samenhangend IT- bestemmingsplan voor de toekomst om houvast te hebben bij de te maken keuzes onderweg. Maar de formulering van een dergelijk plan kost teveel tijd om tijdens de implementatie nog te kunnen borgen. De proactieve architectuurrol wordt daarvoor dominanter ingevuld en de te hanteren normen en standaarden worden expliciet gemaakt. De Rijksoverheid worstelt met de vraag hoe de business-, informatie- en technische architectuur beter kunnen worden geïntegreerd. Alleen een goed afgestemd geheel van processen, organisatie, applicaties en infrastructuur geeft de slagkracht die de Rijksoverheid nodig heeft. Vernieuwde architectuur Een vernieuwde enterprise-architectuur voor de Rijksoverheid moet zorgen voor die noodzakelijke afstemming. De architectuur moet daarnaast antwoorden kunnen bieden op vraagstukken als hoe de complexiteit van de ICT-dienstverlening beheersbaar te houden en de samenhang ervan te organiseren. Bovendien moet het een kader bieden voor het uitzetten van de lijnen voor de komende jaren. De architectuur zal moeten helpen bij het maken van strategische keuzes voor de informatievoorziening die beantwoorden aan de doelstellingen van het actieprogramma Compacte Rijksdienst (CRD). De architectuur zal voortborduren op de MARIJ die nu geldt als referentiearchitectuur voor de Rijksoverheid. Geactualiseerde architectuurkaders en instrumenten Architectuurvisualisaties van de EAR Bestuurlijke inbedding van de EAR in de bedrijfsvoering van de Rijksoverheid Standaardisatie als onderdeel van Compacte Rijksdienst. Visualisatie van het standaardisatieproces binnen de Rijksoverheid Verbeterde architectuurinstrumenten voor kaderselectie bij projectstart Doorontwikkeling en beheer van de architectuurkennisbank M04 Invoering projectportfoliomanagement Rijk (PPM) De Rijksoverheid stuurt de grote ICT-projecten meer dan in het verleden met eigen personeel aan en bewaakt voortgang en resultaat ook op centraal niveau, gebruikmakend van het Rijks ICT-dashoard, I-Interim Rijk en Gatewayreviews. De Rijksoverheid wil minder grote ICTprojecten opstarten, omdat scopereductie leidt tot evenredige verkorting van complexiteit en doorlooptijden. De kans op succesvolle afronding van kleinere projecten is groter. Grote ICT-projecten bij de Rijksoverheid hebben een negatief imago. Dit komt door overschrijdingen in tijd en geld en doordat ze bij oplevering onvoldoende de beoogde of verwachte resultaten opleveren. Maatregelen Het kabinet bezint zich op maatregelen om meer grip te krijgen op grote en hoog-risico-projecten. Een hulpmiddel daarin is Projectportfoliomanagement (PPM). Een andere belangrijke component in de beheersing van projecten is een adequate inrichting van het CIO-stelsel. Referentiemodellen De RAD is gevraagd om een of twee referentiemodellen op te stellen voor de inrichting van het CIO- 8

9 stelsel en het daarbij gehanteerd instrumentarium. Eén van de te beantwoorden vragen is: Hoe kan de werking van het CIO-stelsel het best worden gemonitord?. De resultaten van de RAD worden in 2012 verwacht en worden waar nodig vertaald te worden naar maatregelen. Implementatievoorstellen Ingerichte rijksbrede processen Referentiemodellen CIO-stelsel opgesteld door RAD, inclusief nulmeting. Rijksbreed overzicht van de invoering en inrichting van geldende PPM-kaders en gehanteerd instrumentarium M05 Uitbreiding jaarrapportagemodel De Rijksoverheid wil de ingezette lijn van centrale transparante monitoring van grote ICTprojecten verder doorzetten en waar mogelijk meer laten aansluiten op de politiek-bestuurlijke behoeften. In de jaarrapportage Bedrijfsvoering vindt de verantwoording plaats over de grote en hoog-risico ICTprojecten van de departementen en publiekrechtelijke zbo s. De gegevens in deze rapportage zijn afkomstig van het Rijks ICT-Dashboard. Eind 2011 is in de Tweede Kamer een motie aangenomen waarin om een uitbreiding van de informatie over deze projecten wordt gevraagd, onder andere op het gebied van informatiebeveiliging en in het bijzonder de privacy-impact van ICT-projecten. Het is de uitdaging om met zo beperkt mogelijke extra administratieve lasten toch zo informatief en begrijpelijk mogelijk te kunnen voorzien in die informatiebehoefte. Aanpassingen in het rapportagemodel Aanpassingen in het Rijks ICT-Dashboard M06 Inrichting Gesloten Rijks-Cloud (GRC) Rijksmedewerkers moeten plaats-, tijd- en apparaatonafhankelijk de noodzakelijke applicaties voor hun werk kunnen gebruiken, op veilige wijze, binnen een gesloten cloud. De Rijks-Cloud wordt een generieke basisvoorziening. De Rijksoverheid hanteert een cloud-strategie. Een breed gedeelde verwachting is dat de introductie van cloud-technologie in de organisatie efficiencyvoordelen gaat opleveren en gebruikers beter kan ondersteunen. Maar er zijn ook minder optimistische tegengeluiden te horen. Wat is dan een verstandige route voor de Rijksoverheid om deze strategie gestalte te geven? Praktijkervaring Deze uitgangssituatie vraagt om het opdoen van praktijkervaringen in de eigen organisatie. Vanwege geplande en nog te plannen investeringen op het gebied van hosting en informatiesystemen, is er op korte termijn behoefte om te beschikken over dergelijke praktijkervaring. Daartoe kunnen in een beperkte opzet werkende concept-oplossingen worden geïntroduceerd die in een Gesloten Rijks- Cloud (GRC) worden ondergebracht. De bevindingen bij deze introductie helpen dan te bepalen of en wat de meerwaarde is voor de Rijksoverheid. Leveringsmodel Belangrijk is de inrichting van de bijbehorende dienstverlening. De uitdaging zal zijn om bij de implementatie van de GRC binnen de beslotenheid van de Rijksoverheid een met internet vergelijkbaar leveringsmodel te ontwerpen en te implementeren, met bijbehorende schaalbare infrastructuur. De GRC moet het mogelijk maken om op flexibele wijze services aan te bieden. Het leveringsmodel dient op een veilige wijze tijd- plaats- en apparaatonafhankelijk werken te ondersteunen en daarmee aan te sluiten bij de ontwikkeling van Het Nieuwe Werken. Dit zijn zaken waar binnen de Rijksoverheid op dit moment nog vrijwel geen expertise aanwezig is, en dus ontwikkeld moet worden. Proef met schaalbaarheid infrastructuur met backoffice en virtualisatie 9

10 Proef met de RAS (zie M07) voor DWR-diensten Dienstenaanbieder die een flexibele schaalbare infrastructuur kan leveren Dienstenaanbieder die een RAS kan leveren die de hele life-cycle van diensten kan ondersteunen Technische omgeving die bij wijze van proef de beschikbaarstelling van diensten op basis van een cloud-model gaat verzorgen M07 Inrichting Rijks-Application Store (RAS) De Rijksoverheid streeft naar het zo optimaal mogelijk gebruik van mobiel inzetbare softwareapplicaties in de ambtelijke werkomgeving. Zo wordt de ambtenaar in staat gesteld op veilige wijze en conform licentiebepalingen bepaalde software-functionaliteit te installeren en te gebruiken, wanneer die functionaliteit ook echt nodig is. In zeer korte tijd zijn mensen gewend geraakt aan smartphones en tablets die op meer dan ooit gebruiksvriendelijke en efficiënte wijze toegang verschaffen tot informatie. De 'motor' achter het succes is de ontwikkeling van mobile application stores, een virtuele winkel waar je naar eigen wens en smaak laagdrempelig kleine 'stukjes' software-functionaliteit (apps) kunt downloaden. Deze 'lichtgewicht' apps bieden precies die functionaliteit die gebruikers op dat moment nodig hebben. Omslag in verwachtingen Deze ontwikkeling is van grote invloed op wat gebruikers nu gewend zijn en ook verwachten. In hun werkomgeving zijn nog de grote applicaties en systemen te vinden die ineens log, ouderwets, onnodig complex, duur en ontoegankelijk beginnen te ogen. Deze omslag in de verwachtingen van gebruikers legt de lat hoog voor wat betreft de gewenste verandering. Maar het biedt ook een uitgelezen kans om bedrijfsprocessen beter te ondersteunen en tegelijkertijd de exploitatiekosten te verlagen. Quick-wins Bij de Rijksoverheid moet de omslag naar dit model nog beginnen. De eerste uitdaging is daarom om toch op de kortst mogelijke termijn de aansluiting te vinden. Dit kan door snel een begin te maken met het aanbieden van een eerste selectie van relatief gemakkelijk te implementeren apps, waarvan het door hun gelijkenis met populaire apps op internet vrij zeker is dat ze zullen aanslaan: de quick-wins. Welke apps het eerst zullen ontwikkeld is nog onderwerp van onderzoek. Kandidaten zijn bijvoorbeeld apps die toegang geven tot DWR-adresgids, DWR-mail, DWR-agenda en DWR-Zoeken en mogelijk DWR-Handtekening (een nog te ontwikkelen waarmerkservice). Rijks App Store De Rijks Application Store (RAS) zal op termijn managed services, apps en toegang tot de informatiehuishouding van de Rijksoverheid gaan bieden. De RAS zal worden gevuld met bestaande DWR-diensten en daarnaast apps en diensten uit de publieke domein die binnen de gesloten Rijkscloud beschikbaar worden gesteld. De inrichting dient wel volgens de geldende beveiligingsnormen en op een beheerste wijze te gebeuren. Businesscase, mogelijk gesplitst per deelimplementatie Akkoord voor realisatie vervolgfasen Quick-win apps voor bijvoorbeeld DWR-mail, DWR-agenda, DWR-Zoeken, DWR-Handtekening, DWR-Sjablonen, Planon (aanmelden bezoekers en zalen reserveren), DWR-Communicator, DWR-Rijksadresgids Functionaliteit uit de markt overbrengen naar de GRC M08 Ondersteuning apparaatonafhankelijk werken (BYOD) De Rijksoverheid wil zo optimaal en -waar nodig- zo veilig mogelijk gebruik maken van de mogelijkheden die Het Nieuwe Werken biedt. De basisinfrastructuur van de I-aanbieders moet drastisch worden aangepast om de achterkant (infrastructuur) van de voorkant (Mobile device) te scheiden. Het is een nieuwe trend om de eigen smartphone of tablet te gebruiken. De Rijksoverheid wil medewerkers graag die mogelijkheid bieden. 10

11 Vraagstukken De uitdaging is managed diensten (services, apps) en toegang tot overheidsinformatie op overheidsen eigen apparaten beschikbaar te stellen. Welke beveiligingsmaatregelen moeten daarvoor getroffen worden? Hoe kan worden voorkomen dat de beveiligingsmaatregelen van de organisatie niet ingrijpen op de privésfeer van de gebruiker? Hoe is het mogelijk om toegang te geven tot de RAS, de appstore van het Rijk, terwijl op het apparaat ook andere appstores actief zijn? En in hoeverre wordt de medewerker tegemoet gekomen in de kosten? Kosten en baten De investeringen hiervoor zijn omvangrijk, de basisinfrastructuur van de ICT-aanbieders moet grootschalig worden aangepast. De benodigde investeringen voor deze faciliteit kunnen wellicht mede gefinancierd worden uit de besparingen die optreden in de aanschaf en onderhoud van de apparatuur. Bovendien gaan gebruikers die kunnen beschikken over goed werkende smartphones en tablets minder vaak achter vaste werkplekken zitten. Businesscases Vastgesteld beleid om apparaatonafhankelijk te kunnen werken Uitvoeringsbeleid Veilig Gebruik Mobiele Devices Beschikbaarheid van connectiviteit in alle Haagse Rijksgebouwen Standaard voor authenticatie en autorisatie voor managed services Vergoedingsregeling M09 Invoering identiteits- en toegangsmanagement Rijk (IAM) De Rijksoverheid streeft naar een situatie waarbij een rijksmedewerker éénmalig op een unieke wijze wordt geregistreerd. Vanuit die ene registratie toegang wordt toegang verleend tot alle informatiebronnen waarvoor hij of zij geautoriseerd is, inclusief de ondersteunende toepassingen. Het ICCIO heeft een Visie op Toegang vastgesteld: een medewerker in dienst van de Rijksoverheid (één werkgever), heeft binnen de Rijksoverheid een unieke digitale identiteit, één adres, één Rijkspas, één of meerdere (eigen) mobiele devices en steeds vaker een flexibele werkplek. Fysieke en logische toegang De Rijkspas geldt als standaard authenticatiemiddel voor zowel fysieke als logische toegang. Met de Rijkspas heeft een medewerker toegang tot elk relevant rijkskantoor, logt daarmee ook in (ook thuis of elders) om toegang te krijgen tot relevante bestanden, systemen en informatiediensten en kan daarmee een elektronische handtekening zetten. Ook komen er ook op andere terreinen steeds meer diensten en voorzieningen op rijksbrede schaal. Een rijksbreed identiteits- en toegangsmanagement (IAM)-stelsel is hier randvoorwaardelijk voor. Contrast Op dit moment is die visie nog in contrast met de werkelijkheid. Het beheer is voor dit doel te verbrokkeld: interdepartementaal actieve ambtenaren grossieren in rijkspassen, inlog-accounts en e- mailadressen. De vraag is wat de meest effectieve aanpak is om een zeer gecompliceerde uitgangssituatie om te buigen naar de gewenste situatie. Randvoorwaardelijke documenten zoals Hoofdlijnennotitie, Doelarchitectuur, Business Case en Programma Start Architectuur Het Rijks Identificatie Nummer, een uniek identificerend nummer voor alle bij de Rijksoverheid werkende personen Een beheervoorziening voor de identiteiten van alle bij één of meer rijksoverheden werkende personen ( identity service provider - ISP) Een HRM-voorziening die dient als gezaghebbende bron voor de voor IAM relevante set HRMgegevens Een beheervoorziening voor die gegevens van alle bij één of meer. rijksoverheden werkende personen die nodig zijn om toegangsrechten te verlenen Een rijksbrede Public Key Infrastructure De aansluiting van alle ministeries op de rijksbrede IAM-voorzieningen, waaronder de Rijkspas, 11

12 plateaus 1 tot en met 3 De ontsluiting van alle rijksbrede informatiesystemen via de rijksbrede IAM-voorzieningen DWR-Mail: één generieke M10 Inrichting van één informatiehuishouding (DWR) De Rijksoverheid wil een situatie voor haar medewerkers creëren waarbij het vinden van informatie de plaats in neemt van het zoeken. Hiervoor is het noodzakelijk dat er grote aanpassingen worden gedaan in de informatiehuishouding en dat het aantal gebruikte document management-applicaties zoveel mogelijk wordt teruggebracht. Met de ontwikkeling van DWR, de Digitale Werkomgeving Rijksdienst zijn belangrijke stappen gezet in de vorming van een gemeenschappelijke informatiehuishouding. Het DWR-Portaal (Rijksportaal), het P-Direkt Portaal, de DWR-Rijksadresgids, DWR-Zoeken en DWR-SWF (samenwerkfunctionaliteit) zijn belangrijke middelen om toegang te krijgen tot de informatiehuishouding van de Rijksoverheid. Toegang Maar het werk is nog niet gedaan. Nog teveel informatiesystemen zijn opgesloten in lokale 'silo's' en dus niet toegankelijk voor anderen binnen de Rijksoverheid. Het belangrijkste voorbeeld zijn de documentmanagement systemen. Maar ook een generiek systeem als DWR-Zoeken heeft nog niet de toegang tot alle documentcollecties die de Rijksoverheid kent. In De uitdaging is dat in 2015 iedere rijksambtenaar voor zijn werkzaamheden bij alle binnen de Rijksoverheid beschikbare relevante informatie moet kunnen. Dat betekent dat medewerkers in 2015 de beschikking hebben over: Eén generieke functionaliteit voor documentmanagement, DWR Docs, op basis van een beperkt aantal technische platforms Eén generieke functionaliteit voor het zoeken van digitale documenten in alle documentcollecties; er is één dienstverlener voor document managementdiensten, Doc-Direkt 2.0 in ontwikkeling (SSO-ECM) Eén generieke functionaliteit voor het ondersteunen van de stukkenstroom naar de Ministerraad, en de Eerste en Tweede Kamer: DWR Stukkenstroom Eén generieke functionaliteit voor het aanmaken van documenten op basis van rijksbreed inzetbare documentsjablonen, conform rijksbrede kenmerken als de rijkshuisstijl In 2015 is voor burgers en bedrijven duidelijk wat zij kunnen verwachten op het terrein van openbaarheid van overheidsinformatie, ongeacht of deze informatie onder de WOB of onder een Archiefwettelijk regime valt. Conform bestaande afspraken Bovenstaande ambities vloeien voort uit bestaande afspraken: het kabinet heeft eerder de ambitie geformuleerd om voor 2015 digitaal documentbeheer te implementeren. Conform Uitvoeringsprogramma Compacte Rijksdienst project 7 wordt de IT-dienstverlening hierbij ondergebracht bij de ICT-werkplekdienstverlener. En in het kader van hergebruik wordt dit digitaal documentbeheer niet langer door elf, maar slechts door drie implementaties van een documentmanagementsysteem ondersteund. Deze implementaties zullen functioneel identiek zijn en worden aangesloten op het Nationaal Archief (M11). Herpositionering DWR-Zoeken Opleveringen DWR-Docs: één functioneel ontwerp, drie technisch ontwerpen, realisatie drie technische varianten, bundeling technisch beheer bij één aanbieder van DWRwerkplekdiensten, bundeling functioneel beheer bij Doc-Direkt 2.0 in ontwikkeling (SSO-ECM) Oplevering DWR-Stukkenstroom: geharmoniseerde workflow Oplevering DWR-Sjablonen: generieke functionaliteit voor het aanmaken, beheren en gebruiken van sjablonen, onder meer voor gebruik in DWR-Docs Oplevering DWR-Samenwerkfunctionaliteit Extern Oplevering DWR Samenwerkfunctionaliteit ekabinet 12

13 M11 Inrichting digitale archivering Rijk (DWR-Archief) De Rijksoverheid wil de digitale duurzaamheid ook technisch ondersteunen door de dynamisch, semi-statisch en statische opslag als één proces te benaderen. Daardoor wordt ook de overdracht naar het Nationaal Archief een meer logische en beheerste stap. Een logische consequentie van het kabinetsvoornemen dat alle departementen in 2015 digitaal documentbeheer hebben ingericht, is dat documenten en records vanaf 2015 alleen nog digitaal door het Nationaal Archief worden opgenomen. Dit stopt de groei van papieren informatiestromen en maakt een einde aan de hybride situatie waarin papieren en digitale informatie naast elkaar bestaan. DWR-Archief Als digitale opslagvoorziening richt het Nationaal Archief de dienst DWR-Archief in, als de generieke oplossing voor alle kerndepartementen. DWR-Archief draagt bij aan betere informatie uitwisseling tussen rijksambtenaren en grotere transparantie van de overheid voor de burger. Afspraken Om de aansluiting op departementen vorm te wordt om DWR-Archief aangesloten op lokale ECMsystemen. Vanwege de complexiteit van die systemen is een goede onderliggende architectuur onontbeerlijk, met daarin goede afspraken over het koppelvlak en over gedeelde en te vertalen metagegevens in de aangesloten systemen. Ook zijn er nadere afspraken nodig over wie het zorgdragerschap heeft over de opgeslagen informatie, de geldende digitale selectie- en waarderingsmethodiek en de plaatsing van de scheidslijn tussen semi-statisch en statische informatie. Toegang Om informatie op te kunnen zoeken zal DWR-Archief moeten worden aangesloten op DWR-Zoeken. Voor een goed bruikbare toegang zal de technische infrastructuur van de Rijksoverheid geschikt moeten worden gemaakt om DWR-archief vanaf alle werklocaties te kunnen benaderen en gebruiken. DWR-Archief zal waar mogelijk op basis van hergebruik van bestaande systemen en kennis worden ingericht. Ook moet de geboden functionaliteit aansluiten op de ontwikkeling naar één generieke dienstenaanbieder. Projectstartarchitectuur (PSA) Functioneel ontwerp Eén rijksbrede generieke functionaliteit voor digitale archivering voor de kerndepartementen en de Hoge Colleges van Staat M12 Consolidatie datacenters Rijk (CDC) De Rijksoverheid wil het aantal datacenters binnen haar domein terugbrengen van tientallen naar vier of vijf, zodat dat meerdere rijksorganisaties aangesloten zijn op één van die datacenters en de datacenters onderling logisch geclusterd zijn om als back-upvoorziening te dienen bij calamiteiten. Voor het uitvoeren van de opdracht is het programma Consolidatie Datacenters (PCDC) ingericht. Dit programma is onderdeel van project 4 van uitvoeringsprogramma Compacte Rijksdienst (één ICTinfrastructuur). Het programma werkt met een plateaugerichte aanpak, waarbij gezamenlijke housing als eerste plateau wordt gerealiseerd. In 2014 is de datacentervoorziening gereed en zijn de eerste departementen gemigreerd. De volledige migratie zal uiterlijk 2020 zijn afgerond. Uiteindelijk nemen alle organisaties die onder CRD-4 vallen de datacenterdiensten af bij de datacentervoorziening Rijk. Met Defensie en Voorziening tot samenwerking Politie Nederland (vtspn) wordt de samenwerking gezocht. Geactualiseerde businesscase 2011 stond in het teken van het actualiseren van de businesscase, strategievorming en voorbereiding op de realisatiefase met de daarbij behorende besluitvorming. In de ICBR van oktober 2011 is de businesscase als zakelijke rechtvaardiging voor de realisatiefase goedgekeurd. Daarmee is eerste 13

14 strategiefase afgerond. Realisatiefase Vanaf 1 januari 2012 start de realisatiefase van het programma. In de realisatiefase worden de vier datacenterlocaties gerealiseerd. Vier afzonderlijke organisaties worden verantwoordelijk voor de uitvoering van de realisatie van de vier datacenterlocaties onder centrale regie van het programma. Het programma focust zich hierbij op de ontwikkeling van kaders (waaronder inrichting governance voor beheer, generieke producten en diensten e.d.), sturing op realisatie conform deze kaders en het borgen van de samenhang. : Vier of vijf ingerichte datacenterlocaties die onderling verbonden zijn Producten- en dienstencatalogus Kostprijsmodel Ingerichte beheerorganisatie met governance-structuur M13 Kennisopbouw aanbestedingstrajecten De Rijksoverheid streeft naar stroomlijning en kwalitatieve verbetering van de rijksinkoop. Dit vereist een aantal samenhangende maatregelen voor de opbouw, bundeling en borging van de benodigde kennis en ervaring. In het kader van de in de Nota Compacte Rijksdienst aangekondigde stroomlijning van de rijksinkoop, worden bij de aanschaf van ICT-producten 6 categorieën onderscheiden: vaste verbindingen (met name data), mobiele verbindingen (met name spraak), datacenterhardware, werkplekhardware, standaardsoftware en softwarepakketten. Opleidingsaanbod De opbouw en borging van de benodigde specialistische kennis, vraagt naast beschrijving in het Kwaliteitsraamwerk IV bundeling van inkoop en aanbestedingskennis (CRD-5) en Strategisch Leveranciersmanagement ook om een compleet en continu opleidingsaanbod. Een compleet opleidingsaanbod gericht op complexe aanbestedingstrajecten met een ICTcomponent Bundeling van de schaarse kennis en expertise ten behoeve van de hierboven genoemde categorieën Een aanpak per categorie, voor de onderscheiden inkoopcategorieën Voorstellen tot het saneren/versterken van het bestaande interne rijks-opleidingsaanbod M14 Inzet kwaliteitsraamwerk informatievoorziening De Rijksoverheid streeft naar standaardisering van de huidige diversiteit in ICT-functies om daarmee zowel verwerving, opleiding, organisatie en het loongebouw van het interne personeel binnen de Rijksoverheid te uniformeren. Het aantrekken van externe resources kan daarmee langs hetzelfde raamwerk verlopen waardoor de passendheid van extern aan te trekken personeel wordt verhoogd. Parallel aan de ontwikkeling van het Functiegebouw Rijk is in 2010 een Kwaliteitsraamwerk Informatievoorziening ontwikkeld. Dit Kwaliteitsraamwerk sluit inhoudelijk ook aan op het Europees e- Competence Framework (EU-programma e-skills). Kennis en competenties Het kwaliteitsraamwerk wordt niet alleen gebruikt binnen de Rijksoverheid, maar ook bij afspraken met marktpartijen over voor opdrachten vereiste kennis en competenties. De vereiste kennis en competenties die in het raamwerk zijn vastgelegd hebben betrekking op alle functietypen en niveaus: ICT-dienstverleners, tactisch en strategisch beheerders en project- en programmamanagers die verantwoordelijk zijn voor projecten met een grote ICT-component. De koppeling die in 2011 is gelegd tussen het Kwaliteitsraamwerk IV en de Digitale Leerkaart Rijk 14

15 (EC-LO) levert inzicht voor medewerker en leidinggevende in de beschikbare opleidingen. Ten behoeve van het sourcingbeleid geeft het Kwaliteitsraamwerk IV aan welke kwaliteit we van eigen medewerkers, inbesteedde diensten en bij uitbesteding aan de markt vragen. Uitbreiding van het Kwaliteitraamwerk IV met resultaatgebieden gericht op ICT en Aanbesteding Evaluatie en bijstelling van het Kwaliteitsraamwerk IV v1.0 Masterplan Personeelsplanning ICT-Bedrijven Rijk Opleidingsportfolio Informatievoorziening M15 Uitvoering onderzoeksagenda ICCIO De Rijksoverheid wil de samenhang en samenwerking met ontwikkelingen in de wetenschap doorlopend gebruiken om zijn eigen koers en stappen op ICT-gebied te ijken. Interdepartementaal wordt in samenwerking met de wetenschap een onderzoeksagenda ontwikkeld die nauw aansluit op de voor dit domein belangrijke maatschappelijke en technologische trends. Wetenschappelijke onderbouwing Ter vergroting van de wetenschappelijke inbedding en onderbouwing van de CIO-rol bij de Rijksoverheid biedt de Onderzoeksagenda ICCIO inzicht in relevante maatschappelijke en technologische ontwikkelingen. Op basis hiervan wordt de verbinding met de Wetenschap uitgebreid. Inventarisatie van kennisvragen op basis van huidige en toekomstige behoefte Een onderzoeksagenda Onderzoeksresultaten Uitbreiding van het in 2009 gestarte netwerk van wetenschappelijke partners en benutting van de resultaten van de ingestelde leerstoel aan de universiteit van Tilburg M16 Opleiding van opdrachtgevers Sturing en beheersing van grote ICT-projecten is afhankelijk van de toegepaste governance op die projecten. De rol van de beleidsmatig opdrachtgever moet versterkt worden. Sturing en opdrachtgeverschap ten aanzien van projecten met een grote ICT-component zal worden versterkt. De kwaliteit binnen de IV-kolom bij de Rijksoverheid moet daartoe verder uitgebouwd en bestendigd moeten worden. Maar ook zal een juiste rol- en taakafbakening met de lijnverantwoordelijken in het primaire proces ingericht moeten worden. Daarmee wordt ook het topmanagement gefaciliteerd. Aanvulling en sanering van het bestaande opleidingsaanbod Opdrachtverstrekking tot het opzetten en verzorgen van aanvullende rijksinterne opleidingen door de Rijksacademie voor Financiën, Economie en Bedrijfsvoering (RAFEB) Een compleet opleidingsaanbod voor opdrachtgevers M17 Verbetering Informatiebeveiligings-architectuur De Rijksoverheid constateert dat enerzijds Het Nieuwe Werken en anderzijds de grote veranderingen binnen de eigen infrastructuur leiden tot een noodzakelijke analyse en wellicht extra maatregelen om de informatiebeveiliging up-to-date te houden. De Interdepartementale Commissie Chief Information Officers (ICCIO) heeft in het voorjaar 2001 de Visie Informatiebeveiliging voor de Rijksdienst vastgesteld. Een logische vervolgstap is de uitwerking van de bijbehorende technische informatiebeveiligingsarchitectuur voor de Rijksoverheid. Relatie en eisen Deze architectuur zal de relatie tussen de verschillende niveaus van vertrouwelijkheid, 15

16 netwerkbeveiliging en gegevensbeveiliging beschrijven. Hogere eisen aan identificatie en autorisatie van gebruikers zijn nodig om de gegevenstoegang te beperken tot diegenen die toegang móeten hebben. Dit is ook noodzakelijk om plaats-, tijd- en apparaatonafhankelijk werken goed te faciliteren. Rijksbrede principes en IB-uitgangspunten ten behoeve van een rijksbrede informatiebeveiligingsarchitectuur Een informatiebeveiligingsarchitectuur met daarin de relatie tussen de verschillende vertrouwelijkheidsniveau s en gegevensbeveiliging M18 Ingebruikname Rijksinternetkoppeling De Rijksoverheid constateert dat enkele generieke voorzieningen nog niet door alle departementen en andere participanten worden gebruikt. Door verplichte afname en afstoting van niet-generieke voorzieningen kunnen kosten worden bespaard. Enkele jaren geleden is de Rijksinternetkoppeling ingericht als dienst bij SSO-ICT. Nog niet alle departementen en uitvoeringsorganisaties zijn overgestapt op deze dienst. Sommige departementen die dat wel hebben gedaan, gebruiken daarnaast ook nog hun eigen koppelingen. Met als consequentie dat er dubbele kosten gemaakt worden bij inkoop en exploitatie. Bovendien moet de beperkt beschikbare beveiligingscapaciteit binnen de Rijksoverheid over al deze koppelingen worden verdeeld. Tot slot zijn er nu veel ingangen tussen de I-infrastructuur van het Rijk en de buitenwereld, die elk onder een ander beveiligingsbeleid vallen. De zwakste schakel bepaalt het beveiligingsniveau van het totaal. Uit oogpunt van kosten en beveiliging is dit een ongewenste situatie. Verbetering van de kwaliteit van de internetkoppelingen met aanzienlijke verbetering van de bescherming tegen ongewenste activiteiten van buitenaf (intrusion detection), kostenbesparing op de ministeries en uitnutting van de dienst waarvoor alle ministeries nu al betalen via de DWR-tarifering Terugdringing tot maximaal 5 internetkoppelingen bij de Rijksoverheid M19 Stimulering digivaardigheid De toegenomen communicatiemogelijkheden door Social Media en de mogelijkheid plaats-, tijd- en apparaatonafhankelijk te werken met eventueel zelfgekozen middelen (bring your own device) brengen extra de informatiebeveiligingsrisico s met zich mee. Dat vraagt meer bewustzijn, kennis en vaardigheden bij rijksambtenaren. De menselijke factor speelt daarbij een belangrijke rol. Beveiligingsincidenten kunnen het gevolg zijn van onwetendheid of onachtzaamheid. Het is daarom noodzakelijk dat een rijksambtenaar zich bewust is van de nieuwe beveiligingsrisico s. Om de informatiebeveiliging op orde te kunnen houden - vooral ook bij de inzet van eigen middelen - is een zwaarder beroep nodig op de kennis, vaardigheden en eigen verantwoordelijkheid van de rijksambtenaar. Er is een investering nodig om de deskundigheid van die ambtenaar op voldoende niveau te krijgen om deze risico s tot een acceptabel niveau kunnen terugdringen. Pakket Minimum vereisten Digivaardigheid Curriculum Digivaardigheid Toets Digivaardigheid M20 Verbetering IB-governance De veranderende dreigingen vanaf het internet en elders vanuit de buitenwereld en de grote veranderingen binnen Rijksoverheid zelf maken het noodzakelijk de beveiligingsfuncties bestuurlijk te toetsen op hun taakgeschiktheid. In het uitvoeringsprogramma Compacte Rijksdienst (CRD) is reeds verwoord dat de huidige inrichting daarvoor te onsamenhangend is 16

17 en dat de vorming van een generieke ICT-beveiligingsfunctie is een belangrijk speerpunt om aan die verbrokkeling een einde te maken. Project 4c van het programma CRD heeft als opdracht om één ICT beveiligingsfunctie in te richten voor de Rijksoverheid die uitvoering geeft aan het geharmoniseerde ICT-beveiligingsbeleid. Daarbinnen zijn verscheidene beveiligingsniveaus mogelijk (inclusief de eisen van de NATO). Het project eindigt begin 2012 met de voorstellen voor de ICT beveiligingsfunctie. In 2012 wordt in een vervolgproject de ICT-beveiligingsfunctie daadwerkelijk ingericht. Belegging taken Bij de Rijksoverheid is een clustering van generieke ICT-beheertaken gaande. De daaraan gekoppelde ICT-beveiligingstaken zijn op dit moment nog verspreid bij de ministeries aanwezig en zullen in de eindsituatie bij een centrale ICT-beheerorganisaties worden uitgevoerd. Ook liggen er ICT-beveiligingstaken bij de gebruikersorganisaties: functioneel beheer en gebruikersgedrag. Daarnaast zullen er vele ICT-organisaties bij de ministeries blijven voor de niet-generieke ICT. Voor calamiteitenmanagement geldt een extra dimensie, waarbij de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) een rol speelt bij incident response. Eén ingerichte ICT beveiligingsfunctie voor de rijksdienst gecombineerd met een adequate ICT beveiligingsorganisatie Herzien Voorschrift Informatiebeveiliging Rijksdienst (VIR) 2007 Herzien beveiligingsvoorschrift 2005 M21 Toevoeging risicoprofielen aan de jaarrapportage De Rijksoverheid constateert met het Kabinet dat het WRR-rapport aanleiding geeft om voorafgaand aan grote ICT-projecten expliciet ook aandacht te vestigen op het risico van impliciete privacygevolgen en neemt daartoe maatregelen. Naar aanleiding van het rapport ioverheid van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) heeft het kabinet besloten om, zoals verwoord in de kabinetsreactie op het WRR-rapport (26643, nr. 211), de bestaande maatregelen ten aanzien van de beheersing van grote ICT-projecten uit te breiden met maatregelen ter bescherming van privacy. Een centrale rol daarbij spelen de CIO's van de ministeries. Risicoprofielen Voor de bepaling van de risicoprofielen van grote en risicovolle ICT-projecten is het volgende afgesproken: de opdrachtgever en de departementale CIO betrekken bij het opstellen van het risicoprofiel voor het project de informatie uit het projectplan. Dit risicoprofiel is medebepalend voor de vraag of over het project gerapporteerd zal worden aan de Kamer door de Jaarrapportage bedrijfsvoering en het Rijks ICT-Dashboard. Wanneer het opstellen van het risicoprofiel leidt tot de constatering dat sprake is van een project met een hoog risico, wordt het project in deze rapportage en in het dashboard opgenomen. Voorbeeld van product Nieuw risicoformulier met daarin de vraag over de privacyaspecten M22 Invoering verplichte privacy impact assessment (PIA) Naar aanleiding van het WRR-rapport ioverheid heeft het kabinet besloten om de bestaande maatregelen ten aanzien van de beheersing van grote ICT-projecten uit te breiden met maatregelen ter bescherming van privacy. De CIO's van de ministeries spelen daarbij een centrale rol. De eisen zoals die nu gelden ten aanzien van de inhoud van projectplannen voor grote ICT-projecten, worden aangevuld met de eis om in het projectplan informatie op te nemen of er bij het project sprake is van het opnemen van privacygevoelige gegevens en koppelingen of verrijking daarvan. 17

18 Privacy Impact Assessment Daarbij zal in het projectplan beargumenteerd worden aangegeven of voor het project een privacyeffect beoordeling (Privacy Impact Assessment) of toepassing van een soortgelijk instrument geboden is. Uitvoering van privacy-effect-beoordelingen wordt verantwoord in het ICT-Dashboard bij de externe kwaliteitstoetsen. Oordeel CIO De departementale CIO betrekt, zoals gebruikelijk, alle informatie vanuit het projectplan bij het oordeel dat hij geeft bij de start van een project, of tussentijds tijdens de uitvoering. Wanneer dit oordeel betrekking heeft op het opnemen van privacygevoelige gegevens en koppelingen of verrijking daarvan, laat de departementale CIO adviseren door de functionaris gegevensbescherming, die bij elk ministerie is aangesteld en toezicht houdt op de toepassing en naleving van de Wet bescherming persoonsgegevens. Zorgvuldigheid De opdrachtgevers van ICT-projecten zijn verplicht om wijzigingen in een systeem in het gebruik van privacygevoelige gegevens en koppelingen of verrijking daarvan, te melden aan de departementale CIO. Deze kan op basis daarvan besluiten of een nieuw oordeel opportuun is. Met deze uitbreiding van de eisen ten aanzien van de beheersing van ICT-projecten wordt het zorgvuldig gebruik van privacygevoelige gegevens bevorderd, de betrokkenheid van de departementale CIO vergroot en de informatievoorziening aan de Kamer gewaarborgd. Voorbeeld van product Herzien Handboek Portfoliomanagement Rijk voor projecten met een grote ICT-component M23 Implementatie convenant met de ICT-markt De Rijksoverheid streeft naar een doorlopende interactie met de ICT-markt om de innovatieve kracht van die markt zo optimaal mogelijk in te zetten, onder behoud van een open marktmechanisme. Nadere afspraken om nieuwe instrumenten ter bevordering van dit doel zullen nodig zijn. Verbetering van de relatie en samenwerking met de ICT-markt is essentieel om geslaagde ICTprojecten te realiseren en de daarmee beoogde doelen te halen. Een convenant is de strategische basis ter verbetering van precompetitieve marktconsultatie, aanbestedingen, kennisdeling, publiekprivate samenwerking en talentbehoud en -ontwikkeling. Uitwerking convenant Brancheorganisatie ICT~Office is de aangewezen partner om een convenant met de ICT-markt uit te werken om zo de samenwerking voor de komende jaren te maximaliseren en goed te laten aansluiten bij de ontwikkelingen binnen de Rijksoverheid. Na de uitwerking is er een reeks aan ondersteunende activiteiten nodig om de afspraken in het convenant in de praktijk goed te implementeren. Leveranciersstrategie Rijk Convenant waarin de Rijksoverheid en ICT~Office afspraken vastleggen over precompetitieve marktconsultatie, de verbetering van aanbestedingen, kennisdeling, en ontwikkeling van modellen voor publiek private samenwerking Inrichting van de precompetitieve dialoog voor een aantal concrete projecten uit de compacte rijksdienst Ronde tafels, een strategische dialoog met principal consultants van grote ICT-bedrijven voor de kennisdeling tussen overheid en ICT-bedrijfsleven over I-projecten die deel uitmaken van het uitvoeringsprogramma Compacte Rijksdienst Een Tenderboard voor strategische afweging en beoordeling ten aanzien van betrekken en omgang met de markt bij aanbestedingen en de voorgenomen aanbestedingsstrategie Uitwerking publiek-private samenwerkingsvarianten M24 Stimulering van marktconsultatie Marktconsultatie in de vorm van de ICT~haalbaarheidstoets heeft haar waarde bewezen. Het 18

19 kabinet zal dit instrument vaker inzetten, met name voor grote en hoog-risicoprojecten. De met de toets opgedane ervaring wordt interdepartementaal gedeeld. De inzet van de ICT~marktspiegel zal worden beproefd. De maatregel zal ertoe leiden dat bij de aanvang van elk project, de inzet van enige vorm van marktconsultatie bewust zal worden overwogen. De inzet van marktconsultatie zal bij elk groot ICT-project worden gerapporteerd. Verbreding inzet van marktconsultatie Gedocumenteerde ervaringen M25 Inrichting strategisch leveranciersmanagement Rijk De Rijksoverheid streeft naar een zo optimaal mogelijke mix tussen zelf doen aan de ene kant en passend en afgewogen laten aan de markt aan de andere kant; strategische, meer centrale sturing op die marktprestaties voor generieke dienstverlening is noodzakelijk en zal worden geëffectueerd in combinatie met contractmangement. De meeste ministeries opereren afzonderlijk van elkaar ten opzichte van het ICT-bedrijfsleven. Om als afnemer een betere positie te kunnen innemen en om als concern beter in staat te zijn strategische, duurzame investeringsbeslissingen te nemen, werkt de Rijksoverheid aan de inrichting van strategisch leveranciersmanagement. Gestructureerd overleg Strategisch leveranciersmanagement is het gestructureerd overleg met voor de Rijksoverheid belangrijke leveranciers over de lopende contracten. Het richt zich op de verhouding met individuele leveranciers waarmee veel van de ministeries een betekenisvolle zakelijke relatie hebben; direct of indirect via een wederverkoper. Overzicht en nadere concretisering van interdepartementale afspraken ten aanzien van strategisch leveranciersmanagement Stapsgewijze effectuering van de afspraken, te beginnen met de belangrijkste leveranciers en afgestemd op het Programma Compacte Rijksdienst 19