Jaarverslag 2014 & outlook 2015



Vergelijkbare documenten
Jaarverslag Amsterdam, 10 januari 2014 Ad Reuijl

Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development

Centrum Informatieveiligheid en Privacybescherming

De app wordt volwassen kansen en valkuilen. Opening en voorstelronde Overzicht CIP CIP en NORA CIP FG-enquête Ontwikkelingen app

Samen werken aan informatieveiligheid & Privacy. 9 november 2017 PvIB

4-kwartaals terugblik CIP. Datum Verslagperiode:

Voortschrijdend jaarplan CIP. Datum Planperiode:

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Professionalisering: CIP-tools en FG-enquête in vogelvlucht

Grip op Secure Software Development

Taskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector.

FS E. FORUM STANDAARDISATIE 13 december Advies. Agendapunt: 3E Betreft: Intake-advies voor Grip op SSD Aan:

MOBILE-IT SECURE BY DEVELOPMENT IN ALLE ASPECTEN

Zo krijg je software veilig: Grip op Secure Software development

III Stream IT Auditing. UWV / CIP / VU- IT auditing

Privacybeeld CIP-Netwerk en suggesties voor versterking Privacy Governance

Even bijpraten.. Jan Bartling en Leo Bakker

informatiecentrum tel. uw kenmerk bijlage(n) (070) Lbr. 14/086

Bedrijvenbijeenkomst informatiebeveiliging en privacy

Grip op Secure Software Development de rol van de tester

Gebundelde kennis; één wiel uitvinden

Meldplicht datalekken: het schiet niet erg op

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

Ministerie van BZK Kenmerk Uw kenmerk

BrandID Centrum Informatiebeveiliging en Privacybescherming (CIP)

AVG Routeplanner voor woningcorporaties

Belastingdienst MCC Visie op mobiel en interactie met burgers en bedrijven

Het CIP Cyber Security Platform: samenwerking in uitvoering

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

Opleidingsaanbod: testopleidingen.com

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november Anita van Nieuwenborg

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop

MEER UIT JE COMMUNITY. Versterk De Verbinding, Vergroot Je Impact

Eindrapport Stimulering beveiliging

In 2017 groeide het CIP netwerk in een gestaag tempo verder. De groei van het CIP-netwerk laat door de jaren heen een stabiel verloop zien:

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe & Surfibo

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

Gemeente Alphen aan den Rijn

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF>

Statistics. Form name enquete Form title Enterprise Architecture na 2012 Number of questions 24 Total number of submissions 88

Datalekken (en privacy!)

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

BABVI/U Lbr. 12/081

Sector- en keteninitiatieven Conform de CO2-prestatieladder 3.0

Verantwoordingsrichtlijn

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Elkaar vinden in het gegevenslandschap

Documentnummer: : Eindnotitie implementatie privacy

Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening?

CAK maakt online leerportal compleet met Springest

Checklist Beveiliging Persoonsgegevens

AVG en meer... geen privacy zonder informatieveiligheid. Theater -7 Powered by ActiZ. Woensdag 18 april 15:00

iiiiiiiiiiiiiiiiiiiniiiiiiiiii

Plan van Aanpak. <naam school> en Edutrainers samen op weg. Versie: EXPEDITIE

Tweede Kamer der Staten-Generaal

De impact en implementatie van de outsourcing op de bedrijfsvoering is als één van de 6 deelprojecten ondergebracht binnen het project outsourcing.

Handreiking Implementatie Specifiek Suwinetnormenkader

Contouren Launching Plan 1 e release eid Stelsel door middel van pilots (voorheen pilotplan ) 1

Sector- en keteninitiatieven

INFORMATIEVEILIGHEID een uitdaging van ons allemaal

Security Awareness

Jaarverslag 2012 Landelijk Platform Woonoverlast samen voor een betere buurt

Qsuite in een mobiele applicatie. Geschikt voor telefoon en tablet

Keurmerk Zeker-OnLine is HET keurmerk voor online administratieve diensten.

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Dataprotectie op school

Framework Secure Software Secure software in de strijd tegen cybercrime

Roadmap Institute for Positive Health. April 2016 Stichting IPH

Resultaten onderzoek. Ricoh Johan Kennis NEVI Erik van Assen. April 2015

ALERT project; Cyber security en de menselijke factor

BABVI/U Lbr. 13/057

Sector- en/of keteninitiatieven

Adoptie-instrumenten 1

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013

Samen werken aan privacy. Special AVG voor itour 24 april Pieter de Groot & Henk-Jan van der Molen

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

EEN VEILIGE EN MODERNE WERKPLEK VOOR DOCENTEN EN LEERLINGEN BIJ SVOAZ. Johan van Wijk Remko den Besten

Voorlichtingsbijeenkomst Veilig gebruik suwinet februari en maart 2014

Programma ibewustzijn sessie 4 november Maastricht

Uw online leerplatform. Slimmer leren

Branche organisaties: Hun mening over certificering van de Cloud Iniatieven voor normen

Grip op Contractmanagement IIR Congres 27 en 28 november 2013 Thematafel: privacy & security issues voor de contractmanager.

AVG en meer... geen privacy zonder informatieveiligheid. Theater -7 Powered by ActiZ. Dinsdag 17 april 15:00. Mandy Lagendijk; WZH en Douwe de Jong

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011

Testen. Presentatie. Open-i Software Services BV, Maarssen Datum : Versie : 1.2

Werkplan AllesToegankelijk 2011

Werksessie DLWO. 25 juni Nico Juist, Danny Greefhorst en Lianne van Elk

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Business case Digikoppeling

Stand van zaken eenmalige gegevensuitvraag werk en inkomen

Een beetje beveiligen kan niet Op weg naar veiliger gemeenten Jaarplan 2015 en toekomst IBD Consulterend Overleg 22 september 2014 Boudien Glashouwer

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

ENSIA voor Informatieveiligheid. Informatie voor Auditors

Leergang Deelnemeradministraties

Transcriptie:

Jaarverslag 2014 & outlook 2015 Amsterdam, 7 januari 2015 Ad Reuijl

1. INHOUD 1. Inhoud... 2 2. Highlights 2014... 3 3. Beschikbare producten pu. 31 december 2014... 4 4. Activiteiten i.k.v. Kennisdeling en - Ontwikkeling... 7 5. Activiteiten op het gebied van Samen- Werken.... 9 6. Ontwikkeling van het CIP- Netwerk... 10 7. Outlook 2015... 13 CIP Jaarverslag 2014 & outlook 2015 31-12-2014 pag 2

2. HIGHLIGHTS 2014 De meerjarenontwikkeling, die startte in 2012 met het vestigen van de eerste werkverbanden (domeingroepen, conferenties, etc.) en in 2013 werd uitgebreid met de oplevering van concrete producten en handreikingen (zoals voor Secure Software Development (SSD), e-learning, etc.) heeft in 2014 verdere versterking gekregen met een focus op implementatie. Nadrukkelijk zijn we nu ook bezig geweest met de volgende stap : de stap naar meer samen dóen. Voorbeelden hiervan zijn onze betrokkenheid bij Local Box, implementatietrajecten rond SSD en BIR bij meerdere overheidsbedrijven en het mobiliseren van de aanbodkant bij Kennispartners in de markt. Tegelijkertijd zien we een permanente groei van het netwerk, dat inmiddels ruim 850 mensen telt die bij 200+ organisaties werken en zijn er nieuwe werkvormen ontstaan, die passen bij de doefase : de zogenaamde Practitioners Communities. De domeingroepen voor Ketens, Normatiek, Awareness en Privacy zijn met regelmaat bijeen geweest om te werken aan kennisdeling en ontwikkeling, een bezigheid die op onderdelen ook geleid heeft tot nieuwe of verbeterde producten. Voor de Domeingroepen Ketens en Privacy zijn nieuwe trekkers aangetreden vanuit resp. SVB (Frank Katsburg) en DUO (Wim Molema). Het voorzitterschap van Domeingroep Awareness was enige tijd vacant. Hierin is inmiddels voorzien door de combinatie van Jan Renshof/Brenno de Winter. Voor het thema Identiteitsfraude is een nieuwe domeingroep ontstaan die getrokken wordt door Wouter Fellendans van het ministerie van BZK. De benutting van de kennispartners is dit jaar wat sterker vormgegeven. Dit leidt enerzijds tot nieuwe vormen van productcreatie (bijv. materiaal van opleidingsaanbod dat om niet als CIP-product beschikbaar mag worden gesteld) en anderzijds tot een stukje organisatie van de aanbodzijde (bijv. verwerking van SSD in het productaanbod van softwareleveranciers en consultancybedrijven). Het aantal voor het netwerk beschikbare producten is in 2014 flink toegenomen: zie het overzicht in hoofdstuk 3. Door het jaar heen hebben meerdere kennissessies plaatsgevonden met Kennispartners en enkele kennissessies van het Cyber Security Platform. CIP heeft in 2014 i.s.m. de Rijks-BVA ook het Rijks-ISAC opgezet, dat inmiddels in regulier vaarwater is gekomen en (evenals de reeds bestaande ISAC s) nu wordt gefaciliteerd door het NCSC. De twee conferenties in 2014 vonden plaats in Kasteel Vanenburg, te Putten. Uitwijk naar deze nieuwe locatie was nodig met het oog op de toenemende belangstelling. De conferenties werden door de resp. 190 en 210 deelnemers weer positief gewaardeerd. CIP Jaarverslag 2014 & outlook 2015 31-12-2014 pag 3

3. BESCHIKBARE PRODUCTEN PU. 31 DECEMBER 2014 Op dit moment zijn de volgende producten uit de CIP-samenwerking vrijgegeven voor algemeen gebruik (onder Creative Commons Naamsvermelding/Gelijk Delen). De links geven direct toegang tot de producten. Onderwerp Product Doel/omschrijving Secure Software Development (SSD) Grip op SSD: Het proces http://www.cip- overheid.nl/wp- content/uploads/2014/05/grip- op- SSD- Het- proces- v1-03.pdf Proces voor sturing op tot stand brengen en onderhoud van veilige software. Beveiliging in Inkoopcontracten Awareness: e- learning- modules Grip op SSD: Beveiligingseisen http://www.cip- overheid.nl/wp- content/uploads/2014/10/grip- op- SSD- Beveiligingseisen- v2_0.pdf ICT Security Training met SSD- Normen http://www.cip- overheid.nl/wp- content/uploads/2014/05/ict- Security- Training- met- SSD- normen.pdf Receptuur Veilige Software ontwikkeling http://www.cip- overheid.nl/wp- content/uploads/2014/06/receptuurveiligesoftwareontwi kkeling- lunchsessies- v07_1.pdf Grip op Beveiliging in Inkoopcontracten http://www.cip- overheid.nl/wp- content/uploads/2014/10/grip- op- Beveiligingsovereenkomsten- v1_0.pdf Bring Your own Device http://www.cip- overheid.nl/wp- content/uploads/2014/05/20140403_cip- BYOD.zip Veilig omgaan met Internet http://www.cip- overheid.nl/wp- content/uploads/2014/05/20140403_cip- Veilig- omgaan- met- internet.zip Social Engineering http://www.cip- overheid.nl/wp- content/uploads/2014/05/20140403_cip- Social- Engineering.zip Fishing http://www.cip- overheid.nl/wp- content/uploads/2014/05/20140403_cip- Phishing.zip Basisnormenkader als richtsnoer voor veilige software. Training voor bouwers en testers voor omgaan met SSD- Normen. Presentatie met uitleg van de methode Grip op SSD. Te gebruiken voor evangelisatie binnen bijv. de eigen organisatie. Methode en voorbeeld- normenkader voor komen tot beveiligings- afspraken met leveranciers. Korte module voor aanleren basisbewustzijn. Over Bring Your Own Device. Korte module voor aanleren basisbewustzijn. Over veilig omgaan met internet. Korte module voor aanleren basisbewustzijn. Over social engineering. Korte module voor aanleren basisbewustzijn. Over fishing. CIP Jaarverslag 2014 & outlook 2015 31-12-2014 pag 4

Onderwerp Product Doel/omschrijving Veilig omgaan met Bezoekers http://www.cip- overheid.nl/wp- content/uploads/2014/05/20140403_cip- Veilig- omgaan- met- bezoekers.zip Korte module voor aanleren basisbewustzijn. Over veilige omgang met bezoekers. Awareness: gebruiks instructies e- learning- modules Awareness: Campagneaanpak Awareness: Overig herbruikbaar materiaal Keten Governance Overheidsnormen http://www.cip- overheid.nl/wp- content/uploads/2014/05/20140403_cip- Overheidsnormen.zip Gebruiken via Pleio: https://leren.pleio.nl/ Instructies voor installatie op eigen omgeving http://www.cip- overheid.nl/wp- content/uploads/2014/05/20140515_install- instructies- e_learning_v2.docx Borging Awareness Informatieveiligheid http://www.cip- overheid.nl/wp- content/uploads/2014/05/borging- awareness- informatiebeveiliging_.pdf Nadere achtergrondinformatie http://www.cip- overheid.nl/wp- content/uploads/2014/05/achtergrondinformatie- bij- borging- awareness- informatiebeveiliging.pdf Publicatie Veranderen is geen kunst http://www.cip- overheid.nl/wp- content/uploads/2014/08/veranderen- is- geen- kunst- onderzoek.pdf Introductietraining Van veilig voelen naar Veilig zijn http://www.cip- overheid.nl/wp- content/uploads/2014/08/training- SogetiSecurityAwareness- 1_0.pdf Inventarisatie herbruikbaar materiaal https://cip.pleio.nl/file/group/8737852/all#13324662 e- Mail Authenticatie http://www.cip- overheid.nl/wp- content/uploads/2014/06/20140528_emailauthenticatie_d ef.pdf Keten Service Library http://www.cip- overheid.nl/wp- content/uploads/2014/05/ksl_v201403.pdf Korte module voor aanleren basisbewustzijn. Over normen in de overheid. Via de link kunnen de modules uitgevoerd worden: Kies cursussen, dan CIP en log in als gast. Met deze instructies installeert u de modules op eigen infrastructuur en kunt u ze inbedden in uw eigen leeromgeving. Tips voor organiseren van permanente aandacht voor informatieveiligheid. Nadere uitwerking bij Borging Awareness Informatieveiligheid. Enkele waarnemingen m.b.t. de zachte kant in de aanpak van verandering naar informatieveilig gedrag. Diapack voor cursusdoeleinden. Materiaal van een aantal organisaties. Toegang op www.cip.pleio.nl is hiervoor nodig. Een publicatie over het nut en de wenseljikheid om e- Mailauthenticatie in te zetten. versie 1 van een gesystematiseerde inventarisatie van praktijken rond keten- governance. CIP Jaarverslag 2014 & outlook 2015 31-12-2014 pag 5

Onderwerp Product Doel/omschrijving Responsible Disclosure Handreiking voor implmentatie http://www.cip- overheid.nl/wp- content/uploads/2014/04/handreiking- implementatie- Responsible- Disclosure- v099-1.pdf Handreiking die helpt bij de inrichting van dit proces in de organisatie. Privacy Cloud Normatiek Handreiking Meldplicht Datalekken http://www.cip- overheid.nl/wp- content/uploads/2014/09/201409xx_meldplicht_v01.pdf Testen met Persoonsgegevens http://www.cip- overheid.nl/wp- content/uploads/2014/04/testen- met- persoonsgegevens- v1_2- CIP- DEF4.pdf Publicaties over Privacy management http://www.cip- overheid.nl/downloads/privacy- management/ Aanpak PIA http://www.cip- overheid.nl/wp- content/uploads/2014/05/whitepaper- PIA.pdf PIA Norea http://www.cip- overheid.nl/wp- content/uploads/2014/05/norea- PIA- Introductie- Handreiking- en- Vragenlijst.pdf PIA Checklist http://www.cip- overheid.nl/wp- content/uploads/2014/05/checklist- PIA.docx Handreiking Beveiligingsbeleid Clouddiensten http://www.cip- overheid.nl/wp- content/uploads/2014/04/beveiligingsbeleid- clouddiensten- CIP- DEF- v2_3- excl- ARD.pdf De rol van de IT- Auditer http://www.cip- overheid.nl/wp- content/uploads/2014/08/clouddiensten- van- de- Rijksoverheid- en- de- rol- van- de- IT- auditor- 1.0.pdf SIVA, ISBN9789086596706 Auteur Wiekram Tewarie NCSC- Webrichtlijnen, versie 2 Overgedragen aan NCSC. Statusoverzicht en praktische adviezen bij de implementatie in de organisatie. Testen met echte persoonsgegevens is soms bijna onvermijdelijk. Hoe kan je hiermee omgaan? Van kennispartner PMP: over privacy aspecten rond de Decentralisaties. Van kennispartner Consideratie: PIA, hoe pak je het aan? NOREA- Uitwerking van de PIA- aanpak. Tool voor PIA checklist. Praktische richtlijnen voor het gebruik van Clouddiensten. Van ADR: Een verkenning van de auditmogelijkheden van clouddiensten bij de rijksoverheid (ingebracht document). Methodiek voor de ontwikkeling van auditreferentiekaders. Op SIVA gebaseerde uitwerking van de NCSC- webrichtlijnen CIP Jaarverslag 2014 & outlook 2015 31-12-2014 pag 6

4. ACTIVITEITEN I.K.V. KENNISDELING EN - ONTWIKKELING Met het doel kennisdeling en interactie over het vakgebied te stimuleren, zijn door het jaar heen tal van bijeenkomsten belegd, soms gericht op de gehele community, soms op doelgroepen daarbinnen. De belangrijkste worden hierna genoemd. Conferenties De conferenties, die plaatsvonden op 5 juni en 27 november, trokken resp. 190 en 210 mensen van ca. 110 organisaties. De conferenties hebben een opbouwende werking bij de versterking van de community. Naast de inhoud wordt door de deelnemers veel waarde gehecht aan het onderlinge netwerken. Overall waardering van beide conferenties lag op een 8. Domeingroepen De vier domeingroepen hebben door het jaar heen kennis gedeeld over de thema s Privacy, Awareness, Ketenproblematiek en Normatiek. Over de drie laatste thema s is ook uitwisseling geweest met de Taskforce BID. Een nieuwe domeingroep werd opgericht: Identiteitsfraude. Een tweetal sessies trokken een flink aantal mensen. Deze domeingroep wordt voorgezeten door Wouter Fellendans van het ministerie van BZK. Kennispartnersessies In Kennispartnersessies komen een of meerdere CIP-kennispartners aan het woord over specifieke thema s. Vaak ook met inschakeling van sprekers uit de overheid. Opkomst is zeer verschillend. De sessies over privacy trekken i.h.a. veel mensen (ca. 70 per sessie). Een drietal Privacysessies werd gehouden, in maart, april en oktober, met wisselende inbreng van kennispartners Privacy Management Partners, Considerati en KPN i.s.m. Nationale politie, Eenheid High Tech Crime, UWV en Gemeente Enschede. In oktober vond een bijeenkomst plaats met Ordina over Meetbaar Veilig Gedrag, iets dat in 2015 een vervolg krijgt naar een concrete aanpak. Daarnaast werd i.s.m. de Taskforce BID een sessie belegd in november over het beschikbare aanbod van ibewustzijn. Presentaties CIP maakt enthousiast gebruik van de mogelijkheden om als spreker het belang van informatieveiligheid onder de aandacht te brengen en ook richtingen voor oplossingen aan te reiken. De belangrijkste optredens bij andere organisaties waren: 15 jan: presentatie en aanbieding SSD op ibestuur-congres; CIP Jaarverslag 2014 & outlook 2015 31-12-2014 pag 7

28 jan: presentatie op ibestuursessie over de bijdrage van IB aan de business; 7 febr: presentatie van CIP aan Amsterdamse Young Professionals (YAIC); 19 febr: presentatie SSD in ICCIO/Subcommissie IB; 21 maart congres Saxion Hogescholen bij de Belastingdienst; 7 mei: Presentatie CIP bij BIR-Coordinatorenoverleg van het Rijk; 27 mei: presentatie SSD bij het Nederlands Genootschap voor Informatica (NGI); 3 juni: presentatie samen met SIG op NCSC-congres over SSD; 30 juni: presentatie in sessie RBB, over samenwerking en leeraanbod; 6 oktober: (betrokkenheid bij) kennisexpeditie naar Shell; 27 oktober (betrokkenheid bij) Bestuurlijk Diner Taskforce BID; 9 oktober congres ISACA/PvIB/Norea: presentatie SSD; 3 nov. CIO-Café: Goed Opdrachtgeverschap, CIP betrokken vanuit Grip op Beveiliging in Inkoopcontracten. CIP Cyber Security Platform (CSP) Het Cyber Security Platform kent een uitdrukkelijk publiekprivate samenstelling. De opkomst bij de sessies varieerde tussen de 30 en 35 mensen van zo n 20 tot 25 organisaties. De volgende sessies vonden plaats in 2014: januari: CSP-sessie over SOC; hierbij werd ook een werkgroep SOC gevormd die mogelijkheden voor verdergaande samenwerking onderzoekt; maart: CSP-sessie over Crisismanagement; juni: CSP-sessie met ISAC-deelnemerssegment als kick-off van het Rijks-ISAC. Rijks-ISAC CIP nam halverwege dit jaar het initiatief tot de vorming van het Rijks-ISAC, i.s.m. de Rijks-BVA. Dit is een overleg dat verder gefaciliteerd wordt door het NCSC en inmiddels in de reguliere overlegstructuur van het NCSC is opgenomen. I.s.m. NCSC werden de volgende vergaderingen belegd in 2014: In september: de eerste echte vergadering als ISAC (22 mensen uit 20 organisaties namen deel); In december de tweede vergadering van het ISAC. Frank Katsburg van SVB werd daarbij benoemd in de rol van voorzitter voor de duur van 2 jaar. Nu NCSC de facilitering op zich heeft genomen, is CIP teruggetreden als facilitator. CIP Jaarverslag 2014 & outlook 2015 31-12-2014 pag 8

5. ACTIVITEITEN OP HET GEBIED VAN SAMEN- WERKEN. Practitioners Communities In 2014 is een tweetal zg. Practioners Communities (PraCo s) in werking gegaan: een voor Secure Software Development (SSD) en een voor Keten Service Library (KSL). De PraCo s zijn gericht op organisaties die deze producten echt gebruiken of het voornemen hebben dat te doen. Doel is: leren van elkaars ervaringen, stimuleren en inspireren van elkaar tot implementatie, het stimuleren van het opnemen van het gedachtegoed in het aanbod van leveranciers en het evolueren van de producten. Nadat in januari op het ibestuurcongres de lancering van SSD en de aanbieding daarvan aan de Rijks-CIO plaatsvond, is in de loop van het voorjaar de PraCo opgericht. Aangesloten organisaties zijn: Overheid: ADR, AMC, Belastingdienst, Ministerie van BZK, V&J/DJI, VWS/CIBG, Rijkswaterstaat, SSC-ICT Haaglanden, SVB, UWV. Markt: Capgemini, CGI, DKTP, IBM, KBBa, Key2Control,Ordina, SIG, SNS Reaal, Sogeti, Valori, Cert2Connect, Open Novations, Owasp/Chapter leader Nederland. PraCo-bijeenkomsten werden belegd in maart, april, juni, september en november. Verschillende presentaties werden gehouden bij enkele participanten, Noordertest, e.a. Door het ondertekenen van een manifest kunnen partijen zich committeren aan het toepassen en uitdragen van SSD. De roep om een Engelse versie van SSD wordt steeds sterker. Marktpartijen willen het document ook in hun offshorevestigingen opleggen aan de ontwikkelaars. Daarnaast zou de verbreiding en bredere acceptatie van de methode gediend kunnen zijn met een neutrale ophanging als algemene standaard, die zich zou kunnen ontwikkelen naar een internationale standaard. In 2015 zullen we bezien welke stappen op deze gebieden te maken zijn. De PraCo KSL is eveneens meerdere keren bijeen geweest. Het accent in de meetings lag vooral op het delen van ervaringen met ketenproblematiek door Kennispartners. Aangezien de inventarisatie van governancepraktijken binnen de Keten Service Library nog niet compleet is, wordt ook bezien of er praktijken zijn die zich lenen voor opname in de library. Gezamenlijke normatiek T.b.v. het stimuleren van gezamenlijke normstelling zijn de volgende activiteiten ondernomen. Meerdere sessies werden belegd met de Audit Dienst Rijk over SIVA en de NCSCrichtlijnen, ter bevordering van het gebruik van SIVA in normenkaders. Verschillende thema s voor uitwerking met SIVA zijn ter hand genomen maar nog niet afgerond: CIP Jaarverslag 2014 & outlook 2015 31-12-2014 pag 9

o o o het beheer van de IT-infrastructuur van een gemeentelijk jeugdzorgproject, het beheer van medewerkers en toegang: authenticatie van zowel medewerkers als beheerders en uitbestede netwerkdiensten en hosting. Introductie van ITOMM (IT-Object Maturity model). Dit is een op SIVA gebaseerde toepassing van een organisatievolwassenheidsmodel, m.m.v. DPA/B-Able, die ook een eigen tool (de Securimeter) hierop heeft ingericht. Voorbereiding en Kick-off dagen BIR/ZBO, samen met de Taskforce BID. Op 19 mei werd een kick-off dag gehouden met SZW, UWV en SZW, waarbij een bestuursverklaring werd getekend. Veilig Delen: Local Box In juni vond een tweetal sessies plaats (inschrijven was mogelijk tijdens de voorjaarconferentie) om partijen te informeren over de ontwikkeling van local box. In september volgde een sessie Seminar Veilig Delen in sociëteit de Witte in samenwerking met ECP, waarbij veel belangstelling was voor Local Box. Een bruikbare betaversie heeft enige vertraging opgelopen. Deze wordt nu verwacht in januari 2015. 6. ONTWIKKELING VAN HET CIP- NETWERK Aantallen personen naar soort organisatie en functie In onderstaande grafiek is te zien in welke typen organisaties en functies de ruim 850 personen in het CIP-netwerk werken en in welke verdeling. NB. Aangezien vanuit UWV een relatief groot aantal mensen is aangehaakt, en daarmee de cijfers van de categorie ZBO zou vertekenen, is UWV in deze grafiek apart uitgesneden. CIP Jaarverslag 2014 & outlook 2015 31-12-2014 pag 10

Verdeling personen in het netwerk over Overheid, Semioverheid en Markt: Aantallen organisaties naar sector en soort Onderstaande grafiek geeft een beeld van de verdeling over sectoren van de ca 220 organisaties die zijn aangehaakt bij CIP. NB. De kolom kennispartners is relatief hoog. Dit komt omdat binnen deze categorie geen nadere indeling is gemaakt; alle marktpartijen die een convenant met CIP hebben, worden hier samengepakt. Hetzelfde geldt voor de categorie Relaties : marktpartijen zonder kennispartnerstatus. Het volgende schema laat duidelijker zien hoe de organisaties zijn verdeeld over Overheid, Semioverheid en Markt: CIP Jaarverslag 2014 & outlook 2015 31-12-2014 pag 11

Toename kleine ZBO s In het belang van brede aandacht voor informatieveiligheid binnen de gehele overheid, zijn in 2014 stappen gezet om ook kleinere ZBO s te interesseren voor de CIPsamenwerking. Dit heeft een aantal nieuwe participanten opgeleverd. De kleinere partijen zullen in de eerste plaats nut hebben van hetgeen grotere partijen bijdragen. Van de volgende kleinere ZBO s mochten we mensen verwelkomen in het netwerk: Autoriteit Consument en Markt Autoriteit Financiële Markten Huurcommissie Kansspelautoriteit Koninklijke Bibliotheek Luchtverkeersleiding Nederland Participatiefonds Raad voor Strafrechttoepassing en Jeugdbescherming Staatsbosbeheer Stichting Nederlands Fonds voor Podiumkunsten CIP Jaarverslag 2014 & outlook 2015 31-12-2014 pag 12

7. OUTLOOK 2015 Het jaar 2015 zal in het teken staan van het voortzetten van de portfolio van werkverbanden/kennisdelingssessies die zijn opgezet, het voorzetten en actueel houden van het productportfolio en het voorzetten en intensiveren van de in 2014 gestarte, meer op implementatie gerichte activiteiten. In het eerste kwartaal van 2015 zal de Taskforce BID worden afgebouwd. Een aantal interbestuurlijke verbanden zullen worden voortgezet. In samenwerking met het ministerie van BZK en enkele koepelorganisaties zal CIP hierin een belangrijke rol blijven spelen. We verwachten de komende tijd in overleg met de Taskforce BID meer zicht te ontwikkelen op de consequenties van het beëindigen van de taskforce voor de rol van CIP. Daarbij zal ook bepaald worden welke van de producten van de taskforce door CIP overgenomen worden in het productaanbod. De grote belangstelling waarin CIP zich mag verheugen en de toename van zowel het aantal producten als het aantal implementatiegerichte werkverbanden, ervaren we als een zeer positief teken van betrokkenheid bij de thematiek van informatieveiligheid bij een groot aantal overheidsorganisaties. CIP zit hiermee in het hart van zijn missie, die als volgt verwoord werd in het inrichtingsplan (2012): Het CIP helpt en ondersteunt de Participanten bij het zodanig veilig krijgen en houden van hun informatievoorziening dat Participanten elkaar kunnen vertrouwen op het gebied van de integriteit en beschikbaarheid van de onderlinge gegevensstromen in de ketens die zij vormen en burgers kunnen vertrouwen op de integriteit, de beschikbaarheid en de vertrouwelijkheid van de gegevens en diensten die zij via de aangeboden kanalen afnemen bij de Participanten. Het managen van enerzijds deze groei en anderzijds het verwezenlijken van de hiervoor genoemde ambities zal in 2015 extra creativiteit vergen. Met de huidige budgetten en inzet zitten we in dit jaar aan de grens van de mogelijkheden. De budgetten van de Founding Fathers blijven in 2015 gelijk aan die van 2014; eventuele groei zal alleen gerealiseerd kunnen worden door inzet van de andere deelnemers (participanten en kennispartners). De plannen voor 2015 zijn nadere uitgewerkt in het CIP-Jaarplan. Voor het jaarplan, plak deze URL in uw browser: https://cip.pleio.nl/file/view/29267182/cip-jaarplan-2015. CIP Jaarverslag 2014 & outlook 2015 31-12-2014 pag 13

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback