Jaarverslag 2013. Amsterdam, 10 januari 2014 Ad Reuijl

Vergelijkbare documenten
Jaarverslag 2014 & outlook 2015

Samen werken aan informatieveiligheid & Privacy. 9 november 2017 PvIB

De app wordt volwassen kansen en valkuilen. Opening en voorstelronde Overzicht CIP CIP en NORA CIP FG-enquête Ontwikkelingen app

Professionalisering: CIP-tools en FG-enquête in vogelvlucht

4-kwartaals terugblik CIP. Datum Verslagperiode:

FS E. FORUM STANDAARDISATIE 13 december Advies. Agendapunt: 3E Betreft: Intake-advies voor Grip op SSD Aan:

Voortschrijdend jaarplan CIP. Datum Planperiode:

BABVI/U Lbr. 13/057

BrandID Centrum Informatiebeveiliging en Privacybescherming (CIP)

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Centrum Informatieveiligheid en Privacybescherming

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

Jacques Herman 21 februari 2013

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Taskforce Informatiebeveiliging en Privacy (IBP) Een roadmap op basis van best practices in de MBO sector.

Handleiding uitvoering ICT-beveiligingsassessment

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

MOBILE-IT SECURE BY DEVELOPMENT IN ALLE ASPECTEN

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe Leguit

o n k Ö A fia* V/ \ ^ * f

Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Henk Wesseling

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

III Stream IT Auditing. UWV / CIP / VU- IT auditing

INFORMATIEVEILIGHEID een uitdaging van ons allemaal

BABVI/U Lbr. 12/015

ENSIA door gemeenten. 31 oktober 2017 Edith van Ruijven

Grip op Secure Software Development

CIP-post. Weerbaarheid,herstelvermogen en leervermogen. in dit nummer o.a. Peer-to-Peer-botnets Domeingroep Awareness Domeingroep Ketens

NORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe & Surfibo

BABVI/U Lbr. 12/081

Ministerie van BZK Kenmerk Uw kenmerk

Informatieveiligheid, de praktische aanpak

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Learn and Share bijeenkomst Informatieveiligheid, Rheden

Gemeente Delft. OnderwerpOnderwerp Bestuurlijke reactie rapport BDO Informatiebeveiliging

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

Tweede Kamer der Staten-Generaal

CIP-post. Naar een nieuwe manier van governance op ketens. in dit nummer o.a.

Privacybeeld CIP-Netwerk en suggesties voor versterking Privacy Governance

Het CIP Cyber Security Platform: samenwerking in uitvoering

Gebundelde kennis; één wiel uitvinden

INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening?

ons kenmerk BB/U

iiiiiiiiiiiiiiiiiiiniiiiiiiiii

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF>

Berry Kok. Navara Risk Advisory

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal

makkelijke en toch veilige toegang

H t ICT -Beveili iligings- assessment DigiD & Informatiebeveiliging

ECIB/U Lbr. 17/010

ENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017

LIO NOREA bijeenkomst 4 februari 2019

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

In 2017 groeide het CIP netwerk in een gestaag tempo verder. De groei van het CIP-netwerk laat door de jaren heen een stabiel verloop zien:

Stand van zaken activiteiten rechtmatige zorg Wmo/Jeugd

Ivo Opstelten Minister van Veiligheid en Justitie Postbus EH DEN HAAG

Datalekken (en privacy!)

Jaarplan NORA 2019 Doel: Gebruikersraad informeren over de activiteiten en doelen in Gevraagd:

Timeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy.

Aan welke eisen moet het beveiligingsplan voldoen?

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

Compliance and Control

i-l ;EP 20i Stuknummer: AI pagina 1 van 1 Inlichten instantie via * 'jaar DER

Voorlichtingsbijeenkomst Veilig gebruik suwinet februari en maart 2014

Bedrijvenbijeenkomst informatiebeveiliging en privacy

College Tour Informatieveiligheidbeleid. 11 oktober 2013 DEN HAAG

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november Anita van Nieuwenborg

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Format presentatie Kick-off

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

Dit betekent dat u op 25 mei 2018 wettelijk verplicht bent om ten minste aan de volgende zes AVGmaatregelen

ENSIA voor Informatieveiligheid. Informatie voor Auditors

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Zo krijg je software veilig: Grip op Secure Software development

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

ons kenmerk ECSD/U Lbr. 14/091

Rapportage 2018 Q4 / 2019 Q1 Informatiebeveiliging & Privacybescherming

IB-Governance bij de Rijksdienst. Complex en goed geregeld

Business case Digikoppeling

ENSIA en Assurance. Ervaringen 2017 als basis voor uitvoering 2018 Drs. Ing. Peter D. Verstege RE RA. 31 oktober 2018

Opleidingsaanbod: testopleidingen.com

Verantwoordingsrichtlijn

Security, standaarden en architectuur

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

Framework Secure Software Secure software in de strijd tegen cybercrime

Samen werken aan privacy. Special AVG voor itour 24 april Pieter de Groot & Henk-Jan van der Molen

I-FourC Technologies. Digitaal en mobiel werken in de juridische praktijk. 1 => 3 x 3

CYBER SECURITY MONITORING

Gemeente Alphen aan den Rijn

Meldplicht datalekken: het schiet niet erg op

Nieuwsbrief GIR juni/juli Informatiebeveiliging

Wat heb je nodig op 25 mei?

Aanmelding van een nieuwe standaard

Transcriptie:

Jaarverslag 2013 Amsterdam, 10 januari 2014 Ad Reuijl

1. Inhoud Jaarverslag 2013... 1 1. Inhoud... 2 2. Inleiding... 3 3. In 2013 opgeleverde en onderhanden producten... 3 4. Conferenties... 3 5. Overige door CIP georganiseerde bijeenkomsten... 4 6. Verplichtende zelfregulering... 5 7. CIP en de omgeving... 5 8. Communicatie platforms... 6 9. Jaarplanning... 6 10. Tot slot: enkele getallen... 6 Jaarverslag 2013 CIP 10-01-2014 pag 2

2. Inleiding Het vakgebied van de informatiebeveiliging mag zich de laatste twee a drie jaar verheugen in grote belangstelling. Er gaat geen dag voorbij zonder meldingen in het nieuws over inbraken van hackers, diefstal en misbruik van gegevens, etc. De snelle ontwikkeling die we met CIP doormaken, staat daar uiteraard niet los van. Veel organisaties beseffen dat de toename van genoemde dreigingen alleen het hoofd kan worden geboden met samenwerking en krachtenbundeling. CIP werd opgericht om die samenwerking concreet vorm te geven. In 2013 lag daarbij naast het organiseren van kennisdeling ook nadruk op het toewerken naar concreet bruikbare producten. Dit jaarverslag belicht de belangrijkste ontwikkelingen en resultaten van het afgelopen jaar. De links in de tekst verwijzen naar interessante producten en informatie, waarvan we overigens het gebruik van harte aanbevelen. 3. In 2013 opgeleverde en onderhanden producten Op dit moment zijn de volgende producten uit de CIP-samenwerking vrijgegeven voor algemeen gebruik: Grip op Secure Software Development; Borging Awareness Informatiebeveiliging; Responsible Disclosure: handreiking voor implementatie; Meldplicht Datalekken; Testen met Persoonsgegevens; Beveiligingsbeleid Clouddiensten; Privacy Impact Assessment bij de Belastingdienst. Deze documenten zijn te downloaden van de publiekelijk toegankelijke website van het CIP: http://www.cip-overheid.nl/downloads/. Onderhanden producten die in het eerste kwartaal van 2014 ter beschikking komen zijn: NCSC-normenkader (versie CIP/NCSC), een vijftal e-learning modules voor Security Awareness en een eerste opzet voor een Keten Service Library (een systematisering van praktijken voor werken met ketens een coproductie met de Taskforce BID). Informatie over onderhanden CIP-producten, wetenswaardigheden over actuele ontwikkelingen in het vakgebied, ontwikkelingen binnen de domeingroepen, etc. zijn te vinden op de (besloten) samenwerkingssite www.cip.pleio.nl, waarop elke overheidsmedewerker die wil meedoen, wordt toegelaten. 4. Conferenties CIP belegt elk jaar een tweetal conferenties. Op 6 juni vond de voorjaarsconferentie plaats. Het was een buitengewoon interactieve bijeenkomst, waarin ook gebruik werd gemaakt van stemkastjes. Opkomst ca. 150 mensen. Bij deze derde conferentie was zichtbaar dat een community aan het ontstaan is. De waardering was hoog. Jaarverslag 2013 CIP 10-01-2014 pag 3

De najaarsconferentie van 28 november trok eenzelfde aantal bezoekers. Ditmaal moest de inschrijving worden gesloten vanwege de beperking van de zaalruimte. De volgende conferentie (22-mei 2014) vindt dan ook plaats op een nieuwe locatie (kasteel Vanenburg, te Putten). Op deze locatie bestaat de mogelijk om zo nodig wat meer mensen te kunnen ontvangen. Het is tot nu toe gelukt om interessante programma s samen te stellen en topmensen uit zowel de overheid als het bedrijfsleven als sprekers te krijgen. 5. Overige door CIP georganiseerde bijeenkomsten Buiten de conferenties zijn de vier domeingroepen op reguliere basis bijeengeweest. Het merendeel van de genoemde producten is tot stand gekomen binnen de samenwerking van de domeingroepen. De belangrijkste overige bijeenkomsten in 2013 waren: In februari 2013 meerdere gesprekken tussen grootgebruikers DigiD en Logius. Daarbij konden goede afspraken worden gemaakt. Tijdens de DDoS-aanvallen zijn er binnen het CIP-netwerk snelle contacten gelegd tussen meerdere participanten. Hierdoor konden enkele aangevallen organisaties snel hun desbetreffende afweging maken. Enkele hebben gekozen om zich te beschermen. Andere organisaties hebben bewust gekozen dat niet te doen. Kennissessie met IBM n.a.v. de DDoS-problematiek (mei 2013). Op 19 juni overlegde CIP met een delegatie van NL ICT inzake Secure Software Development (SSD) om draagvlak te zoeken in de ICT-leverancierswereld. 30 augustus: Workshop met bestuurders over ketenrisico s. Een brede kring van bestuurders en directieleden van ca. 10 organisaties + Taskforce BID namen deel. De follow-up wordt ter hand genomen door de Domeingroep Ketens. CIP gaat samen met de Taskforce BID een Keten Service Library opzetten: een systematisering van praktijken voor werken met ketens (checklists, kaders en praktijkvoorbeelden, gericht op governance, de beheersing van afspraken, crisiscommunicatie, etc). Kennissessie over Veilig Mobiel Werken met Ordina (sept 2013). Op 26 september vond de kick-off plaats van het CIP Cyber Security Platform: een nieuwe subcommunity van technisch verantwoordelijken, gericht op onderlinge informatie-uitwisseling en onderlinge hulp bij cyberincidenten. Op 17 oktober organiseerde CIP opnieuw een uitwisseling van tips en ervaringen in het kader van DigiD-audits. Een en ander liep vooruit op de audits die eind 2013 zijn gehouden. Deze bijeenkomst heeft een aantal onderlinge leereffecten en tips opgeleverd, die kunnen bijdragen aan een effectiever en efficiënter auditproces dan het afgelopen jaar het geval was. De meeting werd bezocht door een negental organisaties. Gemeenten sloten ook aan door middel van de aanwezigheid van KING. Ook audit-beroepsgroep NOREA was aanwezig. Op verzoek van de vergadering bracht NOREA alsnog een nieuwe versie van de toelichting uit. Op 10 december volgde een tweede bijeenkomst van het Cyber Security platform, waarin de organisatie en de werking van het fenomeen Security Operations Center (SOC) centraal stond. Een document met 'lessons learnt' is te vinden op cip.pleio. Jaarverslag 2013 CIP 10-01-2014 pag 4

6. Verplichtende zelfregulering Op het punt van de ontwikkeling van zelfregulering in de uitvoeringslaag van de uitvoering heeft het denken zich in 2013 verder ontwikkeld. Het voorstel om voor ZBO s het VIR (Voorschrift Informatiebeveiliging Rijk) en de BIR (Baseline Informatiebeveiliging Rijk) te gaan hanteren als basis, waarop het proces van verplichtende zelfregulering gefundeerd kan worden, is door CIP uitgewerkt en voorgelegd aan de bestuurders. Een eerste besluit daarover wordt verwacht op 6 februari in het BOCU, waarna volgende stappen nodig zijn in het besluitvormingsproces. Met invoering van zelfregulering dwingen de ZBO s zichzelf tot het inrichten van processen die leiden tot grotere beheersing. Dat zal ook leiden tot enerzijds een groei van responsible behavior door de organisaties heen en anderzijds tot meer focus op het voorkomen van problemen. Het adopteren van (en het toetsen op) een gezamenlijke basisnorm zal systematiserend werken en tot grotere beheersing van de informatieveiligheid leiden, breed in de overheid. Het voldoen aan de norm zal overigens tijd gaan kosten, ook bij de organisaties die reeds een jaarlijkse audit- en verantwoordingspraktijk op basis van een normenkader kennen. 7. CIP en de omgeving In 2013 is een aantal relaties opgebouwd, voortgezet en/of geïntensiveerd met verwante organisaties binnen de overheid en binnen het vakgebied. De belangrijkste zijn: Taskforce BID. De samenwerking is op een aantal dossiers redelijk intensief. Vanaf januari 2015 verwachten we als CIP een rol te gaan spelen bij de inhoudelijke verankering van de Taskforce-resultaten. NCSC. De samenwerking ontwikkelt zich langs de lijn van de CIP-ontwikkeling Cyber Security Platform. Daarbij vindt CIP nu aansluiting met het Nationaal Expertise Netwerk van het NCSC. KING/Informatie Beveiligings Dienst. Regelmatig onderhouden we contacten. CIP is daarnaast lid van de Raad van Advies van KING/IBD. Programma Digivaardig/Digiveilig van ministerie van EZ/ECP. CIP was lid van het onderdeel DigiVeilig. Als gevolg van een herziening van het programma is dit in september beëindigd. Verdere betrokkenheid is er geweest bij een aantal congressen, waarbij CIP als kenniscentrum inbreng had, bijvoorbeeld het denkproces over de Nationale Cyber Security strategie, versie II. Spreekbeurten en tracks van CIP in 2013: April: Presentatie CIP in een overleg met bestuur CBP. 11/9: PvIB-bijeenkomst. 9/10: NOREA/ISACA/PvIB-congres. 5/11: Veilige Slimme, veilige en dienstbare gegevensknooppunten (ICTU/STOUT). 26/11: Congres van International Institute for Research, gericht op overheid. 9/12: Flevum CIO-diner, over ketenrisico s. Jaarverslag 2013 CIP 10-01-2014 pag 5

8. Communicatie platforms Naast de als eerste genoemde werkvormen, waarin face-to-face communcatie plaatsvindt, maken we ook gebruik van het internet: een openbare site en een besloten samenwerkingsomgeving. Daarnaast brengen we op de conferentiedata de CIP-Post uit. De openbare site, www.cip- overheid.nl, is in het najaar vernieuwd en wordt nu ook gebruikt als basis voor de publicatie van producten die gereed zijn. www.cip- pleio.nl is de besloten samenwerkingssite. Hierop wordt op permanente basis beheer gevoerd door CIP. Deze site bevat ook allerlei achtergrondinformatie en halffabrikaten. In 2013 rolden een tweetal uitgebreide nieuwsbrieven van de pers: CIP-post 6-6- 2013 en 28-11-2013. 9. Jaarplanning De Jaarplancyclus werd in gang gezet met het eerste jaarplan (2013). In 2013 lag daarbij veel focus op het tot stand brengen van concrete producten. Accordering van het plan volgde in het eerste Bestuurlijk Overleg Compacte Rijksdienst (BOCU van 19 maart). Dit overleg bestaat uit bestuurders van de Belastingdienst, DUO, SVB en UWV en werd opgericht om de initiatieven te besturen, die zijn ontstaan uit het programma Compacte Rijksdienst. Het jaarplan 2014 werd opgeleverd en bekrachtigd door het BOCU van 30 oktober 2013. In het plan is een aantal belangrijke onderwerpen opgenomen, die werden aangedragen door de genoemde vier organisaties. Het jaarplan is te vinden voor leden van cip.pleio met de volgende links: https://cip.pleio.nl/file/view/23925022/jaarplan- cip- 2014- overzicht (overzicht jaarplan); https://cip.pleio.nl/file/view/23924932/jaarplan- cip- 2014 (beschrijving jaarplan). 10. Tot slot: enkele getallen Om een indruk te geven van de omvang van het netwerk en de spreiding over verschillende organisaties, besluiten we hier met een aantal kengetallen over de stand van zaken per 31-december 2013. # Personen in CIP-netwerk 481 # Afkomstig uit overheidsorganisaties 55 (incl. 10 gemeenten en 4 provincies) # Afkomstig uit kennispartners 40 Waarvan: # Professionals 260 # Management 116 # Bestuur/directie 105 # toegang op cip.pleio 148 (m.n. profess. en management overheid) # Meedoen/meekijken Dom.grpn 94 (vooral professionals overheid) # Leesgroep 46 (vooral professionals overheid) # CSP 57 (overheid/kennispartner: 37/20) Jaarverslag 2013 CIP 10-01-2014 pag 6

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback