PDCA cyclus IenM ingericht, aansluiting met de cycli van de onderdelen is aandachtspuntt

Vergelijkbare documenten
Aansturing informatîebeveîliging SZW komt op stoom

vws Op weg naar een volwassen sturing en beheersing op de informatiebeveiliging Onderzoek naar de sturing op de informatiebeveiliging bij definitief

BIR comply or explainprocedure

Auditrapport 2017 Agentschap Dienst Publiek en Communicatie. van het ministerie van Algemene Zaken (III) Auditdienst Rijk. Ministerie van Financiën

Colofon. Datum 31 maart Kenmerk Inlichtingen Auditdienst Rijk

Auliitdienst Rijk Ministerie van Financiën

Ervaringen met het NBA-LIO volwassenheidsmodel bij de Rijksbrede onderzoeken naar de sturing en beheersing van IB

CIOT-bevragingen Proces en rechtmatigheid

Even voorstellen. Ervaringen met het NBAvolwassenheidsmodel. Rijksbrede onderzoeken naar de sturing en beheersing van IB

Nota van bevindingen Inzake het onderzoek naar de totstandkoming van de rapportage grote 1Crprojecten 2014 van het ministerie van VWS

Samenvattend auditrapport

Audit Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) Beheeronderzoek 2013

Onderzoeksrapport. Definitieve Vaststelling vn de. Risicovereveningsbijdrage 2011 van. Zorginstituut Nederland

Onderzoeksrapport Onderbouwing eerste voortgangsrapportage jaarplan 2019 Belastingdienst. definitief

Auditdienst Rijk. Ministerie van Fincuicièn. Io,.Z.e. Raad van State. Afdeling IT-beheer. Postbus-ziju i EA Den Haag

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

Rapport van bevindingen Rapport bij Financieel Verslag Uitvoeringstaken 2015 van het Zorginstituut Nederland

Auditdienst Rijk Ministerie van Financiën [ OS. Logius T.a.v JE Den Haag

IB-Governance bij de Rijksdienst. Complex en goed geregeld

Auditdienst Rijk. Ministerie van Financiën. Auditrapport Agentschap Dienst Publiek en Communicatie

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal

Onderzoeksrapport Totstandkoming rapportage grote ICT-projecten 2017 van het ministerie van Defensie

Resultaten verantwoordingsonderzoek. Algemene Zaken (III)

Rapport van bevindingen

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

De Minister voor Wonen en Rijksdienst, Handelend in overeenstemming met het gevoelen van de ministerraad;

Gemeente Alphen aan den Rijn

INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop

INHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

Eindrapport. Vervolgonderzoek IT-aspecten TEM. Versie: Definitief 1.1 Documentnummer: Uitgebracht aan: Directeur 3W

Rapport van feitelijke bevindingen inzake uitvoering specifiek overeengekomen werkzaamheden uitvoeringskosten CAK bij CJIB 2018

Onderzoek specifiek overeengekomen werkzaamheden inzake kostprijsmodel CJIB 2015

Ministerie van Algemene Zaken (III)

(c2e. Auditdiensi. Rijk Ministerie van Financiën. Ministerie van. Binnenlandse. Turfmarkt 2511 DP Den Haag 14T. Datum 13 april 2015 Betreft Nota van

Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Privacy audt Wpg 2015 Politie. Auditdienst Rijk Ministerie van Financiën

Handleiding uitvoering ICT-beveiligingsassessment

Rapport van bevindingen Test Monitoringsysteem Rijksgebouw De Knoop in Utrecht 2017

Samenvatting uitkomsten reviewonderzoeken 2017 accountantscontroles zorg-zbo s en gesubsidieerde instellingen VWS

Werkzaamheden uitvoeringskosten

Aan de Voorzitter van de Tweede Kamer der Staten Generaal Postbus EA Den Haag

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Auditdienst Rijk Ministerie van Financiën. Onderzoeksrapport Met betrekking tot de door de ADR uitgevoerde review van de steekproef Wtcg 2014

Tweede Kamer der Staten-Generaal

Auditdienst Rijk Ministerie van Financiën

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe & Surfibo

Internal Audit Charter

ENSIA voor Informatieveiligheid. Informatie voor Auditors

Klaar voor de zorgplicht!? de Rijtuigenloods

Samenvattend auditrapport 2016 Ministerie van Algemene Zaken (iii)

DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014

Tweede Kamer der Staten-Generaal

Aantoonbaar in control op informatiebeveiliging

Zorgplicht Primaire Waterkeringen

Assurancerapport van de onafhankelijke IT-auditor

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG

Tweede Kamer der Staten-Generaal

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Verantwoordingsrichtlijn GeVS 2019 (versie )

Briefadvies NVWA. 21 januari 2019

Algemene Rekenkamer..,

Energiemanagement Actieplan

ENSIA ROL- EN TAAKBESCHRIJVING VAN GEMEENTELIJKE STAKEHOLDERS

Audkdienst Rijk j Ministerie van Finandën. Samenvattend auditrapport

BIR2017 FAQ s Baseline Informatiebeveiliging Rijksdienst

Informatiebeveiliging, noodzakelijk kwaad of nuttig? DNV Business Assurance. All rights reserved.

Inspiratiedag. Workshop 2: Interne controle in het Sociaal Domein. 15 september 2016

NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging

Toets uw eigen continuïteitsplan

Rijkswaterstaat in verandering...

Geachte leden van de rekeningencommissie,

WSO2 ebms adapter. Yenlo WSO2 ontbijtsessie. Ministerie van Infrastructuur en Milieu. 1 DEFINITIEF, 18 september 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

ACCORIS. Gemeente Houten ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 7 pagina's Rapportnummer: AAS

Wij hebben het inspectierapport over de zorgplicht op 20 juni 2018 in goede orde ontvangen.

Onderwerp en positionering van de beleidsdoorlichtingen In de beleidsdoorlichtingen van de ADR staan de volgende beleidsdoelstellingen centraal:

Auditdienst Rijk Ministerie van Financiën

1. Overzichtsdocument Normenkaders Rijkspas

Auditdienst Rijk Ministerie van Financiën

Voorschrift Informatiebeveilging Rijksdienst (VIR) Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Onderzoeksrapport Inzake de totstandkoming van de rapportage grote ICT-projecten 2017 van het

Rapport van bevindingen

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]

In hoeverre is het ICT-beleid bij de gemeenten Bergen op Zoom, Drimmelen, Halderberge en Moerdijk als doeltreffend en doelmatig aan te merken?

Rapport aan de minister over het onderzoek van het Financieel jaarverslag van bet Rijk over bet jaarzoi6,envan desaldibalans van bet Rijk per

Informatiebeveiliging voor gemeenten: een helder stappenplan

Kiezen voor WSO2. Yenlo WSO2 ontbijtsessie. M inisterie van Infrastructuur en Milieu

Tweede Kamer der Staten-Generaal

Datum 16 september 2013 Onderwerp V62008 Verslag inspectiebezoek Convenant Veilige toepassing van medische technologie in het ziekenhuis

RAPPORT AD/2005/ Inzake de negende voortgangsrapportage Structuur Uitvoering Werk en Inkomen. Auditdienst

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

Leren uit het buitenland Risicomanagement en interne audit bij de Nederlandse Rijksoverheid.

Overige Hoge Colleges van Staat en Kabinetten van de Gouverneurs (IIB)

Managementreactie op het Auditrapport 2017 ministerie van Veiligheid en Justitie (VI) van de Auditdienst Rijk Definitieve versie 20 april 2018

Control bij Rijkswaterstaat: voor 1 april 2013

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Transcriptie:

PDCA cyclus IenM ingericht, aansluiting met de cycli van de onderdelen is aandachtspuntt Onderzoek naar de sturing op de informatiebeveiliging bij Ministerie van Infrastructuur en Milieu Definitief

Colofon Titel Uitgebracht aan PDCA cyclus IenM ingericht, aansluiting met de cycli van de onderdelen is aandachtspunt CIO IenM Datum 22 december 2016 Kenmerk 2016-0000232377 Inlichtingen Auditdienst Rijk 070-342 7700

Inhoud Inleiding 4 1 PDCA cyclus IenM ingericht, aansluiting met de cycli van de onderdelen is aandachtspunt 6 1.1 Selectiecriteria van DGOO inzake kritieke processen/systemen en risico s aanwezig en door IenM aangescherpt 6 1.2 IenM beschikt over een jaarlijks bijgewerkt overzicht van kritieke processen/systemen, risico s en ketens 6 1.3 Verbeterplannen deels herkenbaar in Integrale Beveiligingsplannen per IenM onderdeel 6 1.4 Jaarlijkse rapportage van deel ICV s aan SG, diverse overleggen waar infobeveiliging aan de orde kan komen 7 1.5 Risicomanagement bij IenM ingevoerd 7 1.6 Er is aandacht voor IB-maatregelen bij (nieuwe) ontwikkelingen en inkoop 7 1.7 Evaluatie en monitoring op het niveau van de diverse IenM onderdelen, ISMStool wordt gevuld 8 Ondertekening 9 Bijlage1 onderzoeksverantwoording 10 1.1 Scope van het onderzoek 10 1.2 Aanpak en uitvoering 10 Bijlage2 managementreactie 11

Inleiding Aanleiding In september 2012 is de Baseline Informatiebeveiliging Rijksdienst Tactisch Normenkader (hierna BIR) vastgesteld door de Interdepartementale Commissie Bedrijfsvoering Rijk (ICBR). De ICBR heeft bepaald dat per 1 januari 2014 alle Rijksoverheidsorganisaties 1 aan de BIR moeten voldoen en hierop worden getoetst. Op voorstel van de Subcommissie Informatiebeveiliging (SIB) heeft de voorloper van het CIO beraad in 2013 vijf thema s benoemd: 1. Patchmanagement; 2. Beveiliging van externe koppelvlakken; 3. Beheer van medewerkers en toegang; 4. PDCA cyclus; 5. Logging en monitoring. De ADR heeft deze thema s in 2014 en 2015 onderzocht in de BIR-onderzoeken. In het CIO beraad van 20 april 2016 is besloten om deze thema s, voor zowel de ICV als voor de ADR onderzoeken, ook voor 2016 te hanteren. Aan de Auditdienst Rijk (ADR) is gevraagd om inzicht te geven in de stand van zaken met betrekking tot: 1. de sturing op de informatiebeveiliging (departementsbrede PDCA-cyclus); 2. de implementatie van de BIR op basis van twee kritieke systemen 2 en uitgaande van de vijf thema s. Daarnaast is de ADR gevraagd om een aanvullende controle 3 te doen op de vier aandachtsgebieden uit de onderzoeken van 2015 die het CIO beraad heeft aangewezen, te weten: Pentesten; lnkoopcontracten bij outsourcing van IT-diensten; Autorisaties (verwijderen vertrokken medewerkers); Logging en monitoring. Het onderzoek is in opdracht van het CIO beraad, met CIO Rijk als gedelegeerd opdrachtgever, in de periode augustus tot december 2016 uitgevoerd. In het Plan van aanpak Onderzoeken informatiebeveiliging 2016 d.d. 7 juli 2016, met kenmerk 20160000096687, is beschreven hoe de ADR de BIR-onderzoeken uitvoert. Karakter van het onderzoek Het onderzoek heeft een inventariserend karakter en betreft geen assurance onderzoek. De ADR geeft inzicht in de stand van zaken en bevindingen per onderzoeksvraag. Er worden geen conclusies of oordelen gegeven. Deze opdracht is uitgevoerd in overeenstemming met de Internationale Standaarden voor de Beroepsuitoefening van Internal Auditing en het kwaliteitbeheersingssysteem van de ADR. 1 2 3 De BIR 2012 geldt voor de bestuurdepartementen, taakorganisaties en agentschappen. zelfstandige bestuursorganen (ZBO s) nemen een bijzondere positie in. Zij zijn niet verplicht om de BIR 2012 toe te passen, maar via de subsidievoorwaarden kunnen ministeries hen wel deze verplichting opleggen. De BIR 2012 heeft daarmee hetzelfde bereik als het VIR 2007. De kritieke systemen zijn door de ADR in afstemming met de departementen bepaald. De aanvullende controle wordt uitgevoerd op één van de door de ADR in 2015 en 2016 onderzochte kritieke systemen. 4 van 12 BIR-onderzoeken 2016

Verspreidingskring rapportage Deze rapportage van bevindingen wordt uitgebracht aan de CIO van het ministerie van Infrastructuur en Milieu. De definitieve departementale rapportages worden gebruikt voor de samenvattende auditrapporten van de ADR. Een afschrift van de definitieve rapportage over de sturing gaat naar de CIO Rijk. Leeswijzer Hoofdstuk 1 van deze rapportage bevat een samenvatting van onze bevindingen van het onderzoek naar de sturing op de informatiebeveiliging (deel 1 van de opdracht). De bijlage van dit document bevat de onderzoeksverantwoording waar op basis van het overkoepelende plan van aanpak specifieke keuzen en afspraken zijn gemaakt ten aanzien van de scope en diepgang van het onderzoek naar de sturing op de IB. 5 van 12 BIR-onderzoeken 2016

1 PDCA cyclus IenM ingericht, aansluiting met de cycli van de onderdelen is aandachtspunt Dit hoofdstuk gaat in op de departementsbrede PDCA-cyclus (managementsysteem 4 ) voor informatiebeveiliging en het functioneren van een departementsbrede beveiligingsorganisatie. Een goed functionerend managementsysteem voor informatiebeveiliging uitgaande van risicobeheer vormt de basis om in control te kunnen zijn. Hierna volgen op deelaspecten van het managementsysteem samengevat de belangrijkste bevindingen. 1.1 Selectiecriteria van DGOO inzake kritieke processen/systemen en risico s aanwezig en door IenM aangescherpt IenM baseert zich op de DGOO selectiecriteria en alle IenM onderdelen moeten rapporteren als zij hiervan afwijken. De specifieke IenM selectiecriteria voor kritieke processen / informatiesystemen zijn stringenter dan de DGOO criteria en aanvullend vraagt IenM ook de hoge risico s in de bijlage van de ICV op te nemen. In 2015 hebben de IenM onderdelen minimaal de DGOO selectiecriteria gebruikt en de zeer hoge risico s gemeld, alsmede de risico s waarvan de onderdelen het van belang vonden daar melding van te maken. Op 22 september 2016 zijn alle IenM onderdelen en alle beleids DG s aangeschreven met een specifieke departementale toelichting op het ICVproces. Uiterlijk 31 januari 2017 rapporteren zij aan de CIO van IenM. 1.2 IenM beschikt over een jaarlijks bijgewerkt overzicht van kritieke processen/systemen, risico s en ketens IenM heeft een jaarlijks bijgewerkt overzicht met onderkende systemen en risico s. Het laatste overzicht is van januari 2016. De actualisering hiervan vindt plaats voor 31 januari 2017. IenM heeft een overzicht uit 2015 met onderkende ketens en risico s. Dit zullen niet alle ketens zijn binnen IenM. Eind 2016 wordt gewerkt aan een actualisatie en een verbetering van dit overzicht door de IenM onderdelen. De CIO-office ondersteunt hierbij door middel van specifieke toelichting en advies. 1.3 Verbeterplannen deels herkenbaar in Integrale Beveiligingsplannen per IenM onderdeel De IenM onderdelen zijn verantwoordelijk voor het opstellen van verbeterplannen en diverse verbeterplannen hebben we aangetroffen. In de Integrale Beveiligingsplannen wordt hier naar verwezen. De CIO office houdt vanuit haar systeemrol toezicht op het proces van de Integrale Beveiligingsplannen en de realisatie daarvan. Echter niet op het niveau van de onderliggende verbeterplannen. Hierop wordt binnen de IenM onderdelen toezicht gehouden. Dit maakt deel uit van de onderliggende PDCA cyclus van elk IenM onderdeel is en valt buiten de scope van dit onderzoek. 4 Een managementsysteem is een sluitend stelsel van processen waarmee volgens een eenduidige systematiek de informatiebeveiliging op basis van risicobeheer (departement)breed wordt geborgd. 6 van 12 BIR-onderzoeken 2016

De CIO office vraagt periodiek bij de IenM onderdelen naar de voortgangsrapportages van de Integrale Beveiligingsplannen. In mei en september zijn alle IenM onderdelen bevraagd. Als de verbeterplannen niet in de Integrale Beveiligingsplannen van de IenM onderdelen staan, dan heeft de CIO office hier geen zicht op. De aansluiting tussen de departementale en de cycli van de onderdelen is een aandachtspunt. 1.4 Jaarlijkse rapportage van deel ICV s aan SG, diverse overleggen waar info-beveiliging aan de orde kan komen De beveiligingsambtenaar van IenM spreekt minimaal één keer per maand de SG. Integrale beveiliging binnen IenM is hierbij een vast agendapunt. In de SG-DG gesprekken komt informatiebeveiliging desgewenst aan de orde, dus niet als vast agendapunt. Minimaal jaarlijks wordt in geaggregeerde vorm door de IenM onderdelen gerapporteerd over de voortgang van de verbeteringen op het gebied van informatiebeveiliging in de vorm van deel ICV s aan de SG. 1.5 Risicomanagement bij IenM ingevoerd Eind januari 2017 als de ICV s over 2016 zijn afgegeven, zal blijken of over alle kritieke systemen/verwerkingen risico afwegingen zijn gemaakt en of alle relevante maatregelen daadwerkelijk zijn genomen. Over 2015 was dit wel het geval. Of alle belangrijke (hoge en zeer hoge) risico s die de IenM onderdelen lopen doordat IB-maatregelen nog niet operationeel zijn bekend zijn, zal moeten blijken uit de in gang gezette ICV-procedure. Vanuit de centrale CIO-office is hier geen aparte controle op, maar wordt gesteund op de op te leveren deel ICV s van de verschillende IenM onderdelen, die eind januari 2017 beschikbaar komen. Of alle nog niet operationele IB-maatregelen onderdeel zijn van verbeterplannen, zal moeten blijken uit de ingang gezette ICV-procedure. Vanuit de centrale CIO-office is hier geen aparte controle op, maar wordt gesteund op de op te leveren deel ICV s van de verschillende IenM onderdelen, die eind januari 2017 beschikbaar komen. 1.6 Er is aandacht voor IB-maatregelen bij (nieuwe) ontwikkelingen en inkoop Er is een gelaagdheid in de organisatie van het proces van info-beveiliging bij IenM. Het contractmanagement ligt voor een groot deel bij RWS/CIV en FMC/DCI. In de contracten worden maatregelen voor informatiebeveiliging opgenomen. De centrale CIO-office heeft hier een rol in, als de CIO eigenaar is of indien van toepassing CIO-oordeel. Bij de belangrijkste IenM ICT inkooporganisatie (FMC/DCI en RWS) zijn er procedures die aandacht vragen voor informatiebeveiliging bij de ontwikkeling en inkoop van nieuwe informatiesystemen. Zowel bij DCI als RWS is er veel aandacht voor het borgen van de kennis op het gebied van informatiebeveiliging. 7 van 12 BIR-onderzoeken 2016

1.7 Evaluatie en monitoring op het niveau van de diverse IenM onderdelen, ISMS-tool wordt gevuld Op departementaal niveau is er geen inzicht in alle testen en evaluaties die bij de IenM onderdelen worden uitgevoerd. IenM heeft een ISMS-tool operationeel, maar deze tool is nog niet volledig ingericht. RWS is voornemens over 2016 haar ICV hiermee te ondersteunen. Via het koppelpunt van de PDCA cyclus van de IenM onderdelen met de overkoepelende PDCA cyclus worden eventuele bevindingen wel geëscaleerd (lijn BVC-er/BVA en DG/SG). Een voorbeeld hiervan is de ondersteuning die de BVA/centrale CIO office (en DCI) biedt bij de verbetering van de beveiligingsfunctie bij de ILT. 8 van 12 BIR-onderzoeken 2016

Ondertekening Den Haag, 16 januari 2017 9 van 12 BIR-onderzoeken 2016

Bijlage1 onderzoeksverantwoording 1.1 Scope van het onderzoek Scope van het onderzoek is departementsbrede PDCA-cyclus van het ministerie van Infrastructuur en Milieu en de aspecten van het managementsysteem zoals opgenomen in de opdracht en het toetskader deel 1. Het departement IenM bestaat uit de volgende onderdelen: - Beleidskern (BSK), bestaande uit DG Ruimte en Water, DG Bereikbaarheid en DG Milieu en Internationaal; - Inspectie Leefomgeving en Transport (ILT); - Rijkswaterstaat (RWS); - Koninklijk Nederlands Meteorologisch Instituut (KNMI); - Nederlandse Emissieautoriteit (NEa); - Planbureau voor de Leefomgeving (PBL); - Autoriteit voor Nucleaire Veiligheid en Straling (ANVS). Beperking van de opdracht is dat alleen naar de departementale PDCA s cyclus is gekeken en niet naar de onderliggende PDCA cyclus per IenM onderdeel. Wel is op het niveau van de onderzochte systemen de PDCA cyclus bekeken, namelijk die van het Landelijk Meetnet Water (LMW) bij RWS en die van HOLMES bij de ILT. Verder kon door de timing van het onderzoek de uitkomsten van de ICV uitvraag niet in het onderzoek betrokken worden. 1.2 Aanpak en uitvoering De volgende onderzoeksstappen zijn uitgevoerd: begin november 2016 - Opvragen documentatie 7 november 2016 - Interview met BVA, CIO-office 5 december 2016 - Hoor/wederhoor CIO-office 12 december 2016 - Hoor/wederhoor departementale opdrachtgever Het onderzoek is uitgevoerd door een combinatie van documentanalyse, interviews en het doen van (deel)waarnemingen. Met de volgende medewerkers van het CIO-office is gesproken, namelijk de CIO, de BVA en de senior adviseur Integrale Beveiliging. 10 van 12 BIR-onderzoeken 2016

Bijlage2 managementreactie IenM herkent de in de rapportage genoemde bevindingen ten aanzien van de sturing op informatiebeveiliging. Het verheugt ons dat onze inspanningen om te groeien en te verbeteren ook voor de ADR zichtbaar zijn. Wij weten dat we nog verdere stappen te zetten hebben en herkennen dan ook de boodschap dat de aansluiting met de cycli van de onderdelen een aandachtspunt is. Verbetering van die aansluiting is onderdeel van het voorgenomen groeipad dat is opgenomen in het jaarplan 2017 van FMC/BOI en start- en verantwoordingscyclus van FMC. 11 van 12 BIR-onderzoeken 2016

Auditdienst Rijk Postbus 20201 2500 EE Den Haag (070) 342 77 00

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback