IT voor Controllers Mark Vermeer, CIO 1
Rotterdam getallen Rotterdam: 620.000 inwoners, 50% autochtoon 173 nationaliteiten 3,4 miljard 11.000 fte IT 100 mln 400+ IT staf 5 clusters, SSC en bestuursstaf 2
CIO CIO taken: kaderstelling en control IT Beleid Projectportfoliomanagement Control op IT-kosten Concernarchitectuur, inclusief basisregistraties Security Demand management 3
Grote veranderingen Van diensten naar dienstverlening Centralisatie van bedrijfsvoering Afschaffing deelgemeenten Gebiedsgericht werken 20% krimpen 2010-2014 3 Decentralisaties Momenteel: houtskoolschets voor verdere krimp 4
IT en Control 1. Waar wil ik naar toe? 2. Wat kost dat/ mag dat kosten? 3. Welke risico s loop ik? 1. Informatieveiligheid 2. Projecten 5
1. Waar wil ik naar toe? Informatieplanning Structureel vooruitkijken op Strategie concernniveau Business ICT Projecten 6
Doelstelling i-agenda Doelstellingen Inzicht verkrijgen op hoofdlijnen in de doelen van het concern. Inzichtelijk hebben hoe de huidige producten, processen en systemen met elkaar samenhangen (IST) Inzichtelijk maken hoe het landschap van producten, processen en systemen eruit moet zien om de doelen van het concern te kunnen realiseren Inzichtelijk maken welke verbetertrajecten er dan uitgevoerd moeten worden Prioriteren van deze verbetertrajecten Kernvragen Hoe ziet de gewenste bedrijfsinrichting en informatiehuishouding eruit? Welke stappen in bedrijfsinrichting & ICT moeten we zetten om dit te realiseren? Waarin gaan we investeren en waarin niet? 7
Business Informatieplanning Business Informatieplanning is een methode om fundamenteel en integraal de strategie en de daaruit voorkomende keuzen op het gebied van producten / diensten, bedrijfsprocessen en informatievoorzieningen voor een organisatie te bepalen en uit te werken. Business Informatieplanning overbrugt de kloof en zorgt voor samenhang tussen: Strategie Doelen van de gemeente en de benodigde business en ICT inrichting Strategie en verandering (veranderactiviteiten / -projecten) Doelen van Business Informatieplanning: Integraal de ondersteuning van de processen analyseren Beter afstemmen van de inrichting van de organisatie en daarmee de informatievoorziening op de strategie van de gemeente. Mogelijk maken van een beheerste en planmatige ontwikkeling van de inrichting van de organisatie en de informatievoorziening Bereiken van goede communicatie en consensus over doelen en inrichting Prestatieverbetering van de organisatie en projectdoelenstellingen Business Projecten ICT 8
Samenhangend raamwerk Inrichtingsaspecten Producten en Informatievoorziening diensten ICT Processen en infrastructuur organisatie 1) Relevante uitgangspunten 2) Praatplaten met daarop geprojecteerd de speerpunten 3) Uitgeschreven actiepunten die ook inzicht geven in de problemen, knelpunten en/of nieuwe ontwikkelingen De actiepunten zijn vervolgens geclusterd tot concrete projectvoorstellen (of voorgestelde uitbreidingen op lopende projecten). 9
Concern businessthema s Dienstverlening Ontwikkeling sociale domein (3D's) Gemeente als regisseur (incl. ketensamenwerking) Naleving, Toezicht en Handhaving Veilige stad Gebiedsgericht werken Efficiënte bedrijfsvoering (incl. krimp en huisvesting) 10
Programma, projecten Financiële verwerking (in/excasso/grootboek) Ondersteuning Concern Informatiedomeinen Management Informatie Samenwerken & delen Processturing Werkstroombeheersing DMS Kennismanagement Processturing & ondersteuning Archief Balie E-mail Telefonie Digitaal loket Post Contact informatie Zaak informatie Personen Adressen en gebouwen Kadaster Geometrie Belastingen Bouwen en wonen Leefomgeving en veiligheid Leven, reizen, papieren Milieu en afval Ondernemen Scholing en vorming Sport, recreatie, kunst en cultuur Social media Extern Product & service Bedrijven Authentiek Verkeer en wonen Werk en inkomen Zorg en welzijn Portalen Front-office Domein Basis Registraties Back-office domein (functionaliteit en gegevens) Applicatie-integratie 11
Ontwikkelpad 12
2. Wat kost dat/ mag dat kosten? Intracomptabel of extracomptabel? Benchmarking: Commerciële benchmarks (M&I, Berenschot, Gartner, ) Vensters op Bedrijfsvoering Kencijfers, bijv instandhouding/ vernieuwing 13
3. Welke risico s loop ik? A: Informatiebeveiliging 1. Wat is mijn meest waardevolle informatie? 2. Welke gebeurtenissen kunnen schade berokkenen aan deze informatie? 3. Hoe kan ik deze informatie beschermen tegen deze gebeurtenissen? 14
Risico s t.a.v Beschikbaarheid Het waarborgen dat geautoriseerde gebruikers op de juiste momenten toegang hebben tot informatie en aanverwante bedrijfsmiddelen Integriteit Het waarborgen van de juistheid, tijdigheid (actualiteit) en volledigheid van informatie en de verwerking ervan. Vertrouwelijkheid Het waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe zijn geautoriseerd. 15
Risico-analyse 16
Instrumentarium Baseline Informatiebeveiliging Gemeenten (BIG) a. Strategisch Normenkader (SNK), o.b.v. ISO 27001 b. Tactisch Normenkader (TNK), o.b.v. ISO 27002 c. Operationeel Normenkader (ONK), Bevat onder andere Dataclassificatie, Geheimhoudingsverklaring 17
General IT controls en application controls 18
General IT Controls 19
Application Controls 20
Organisatie van IB Monitor risico-afweging t.a.v. informatieveiligheid vanuit de tweede lijn van het 3-lines of defense-model. 21
3. Welke risico s loop ik? B: Projecten 1. Doen we de projecten goed? 2. Doen we de goede projecten? 22
Projectbesturing Kader (wettelijk) / ambitie Managen van de projecten portfolio De goede projecten doen! Wat wordt door wie opgeleverd? Managen van benefits Zorgen dat projecten datgene opleveren wat beoogd! Heeft het opgeleverd wat werd beoogd? Implementatie van projecten Projecten goed doen! Zal het datgene opleveren wat werd beoogd? 23 21-4-2015
Portfoliomanagement CIO bewaakt IT projecten ICT projecten met hoog risicoprofiel of > 150 k: centraal portfolioproces prioritering business case architectuurproces (inclusief security) 24
Doen we de projecten goed? 25
Doen we de goede projecten? 26
Dank voor uw aandacht. Zijn er nog vragen? 27