IB-Governance bij de Rijksdienst - Ngi-NGN

IB-Governance bij de Rijksdienst Complex en goed geregeld

Even voorstellen •Carl Adamse

Even voorstellen •Frank Heijligers

Bestaat de Rijksdienst? •

Ministeriële verantwoordelijkheid – Grondwet art. 44 lid 1 • Bij koninklijk besluit worden ministeries ingesteld. Zij staan onder leiding van een minister. – 11 afzonderlijke ministeries

•

BZK systeemverantwoordelijk – Bedrijfsvoering – CIO-stelsel – Rijks-CIO

Compacte Rijksdienst •Waarom?

Snel & transparant Flexibel & tegen lage kosten Efficiënt & effectief Mean & lean

AO

Betrouwbaar & integer Veilig & solide Professioneel & verantwoordelijk Zorgvuldig & eerlijk

VRD

Compacte Rijksdienst •Waarom?

Snel & transparant Flexibel & tegen lage kosten Efficiënt & effectief Mean & lean

AO

Betrouwbaar & integer Veilig & solide Professioneel & verantwoordelijk Zorgvuldig & eerlijk Compacte Rijksdienst

VRD

Samenwerking Clustering & Concentratie Bundeling & Focus Harmonisatie, standaardisatie & normering Hergebruik P&O Huisvesting ICT

Organisatie

Processen Inkoop Facilitair Management

Eén werkgever Rijk Shared Service P&O Concentratie rijkskantoren ICT infrastructuur Bundeling inkoop en vraag

Eén facilitair dienstverlener Eén ICT aanbieder Inrichten inkoopfunctie Eén ondersteuner internationaal

Compacte Rijksdienst Cluster Cluster Cluster Cluster Cluster Cluster

incasso-diensten backoffice subsidies inkomensoverdracht vastgoed rijksinspecties/toezicht niet-financiële markten

Coördinatiebesluit organisatie en bedrijfsvoering rijksdienst 2011 •

Binnenlandse Zaken en Koninkrijksrelaties kan na overleg met Onze Ministers kaders vaststellen ter bevordering van de eenheid, de kwaliteit of de efficiëntie van de bedrijfsvoering door de ministeries. Daarbij kan hij werkzaamheden aanwijzen die ten behoeve Onze Minister van

van alle of een daarbij aangegeven deel van de ministeries zullen worden uitgevoerd door een daarbij

aangegeven organisatieonderdeel van een der

ministeries. •

Onder

bedrijfsvoering worden de ondersteunende processen binnen de

ministeries verstaan op de terreinen van personeel en organisatie,

informatievoorziening en informatie- en communicatietechnologie, inkoop, huisvesting, facilitaire zaken en beveiliging.

Overlegstructuur Rijk Ministerraad

Raad voor Bestuur

ICBR

(Bedrijfsvoering Rijk)

ICFH (Faciliteiten en Huisvesting)

ICIA

(Inkopen en Aanbesteden)

ICOP

(Organisatie en Personeel)

ICCIO

(Informatisering)

CBIB

(Integrale Beveiliging)

ICCIO ICCIO

(Informatisering)

Generieke Informatievoorziening

Projectsturing en verantwoording Aanbodstructurering en sourcing

Architectuur en Standaarden

Markt

Informatiebeveiliging en privacy Personeel en Kwaliteit CBIB

(Integrale Beveiliging)

I-Strategie Rijksdienst •

Streefbeelden – Samenhangende i-infrastructuur – Platform voor tijd-, plaats en apparaatonafhankelijk werken – Grote en risicovolle projecten op orde

•

Thema’s – Aanbodstructurering – Sourcing – Personeel en Kwaliteit – Sturings- en verantwoordingsinstrumenten – Vertrouwen en beveiliging van informatie – I-instructuur voor de rijksambtenaar – Samenwerking met de markt

Visie informatiebeveiliging Rijk • verantwoordelijkheid van het lijnmanagement • risicomanagement • veilig faciliteren • onder- en overrubricering voorkomen • meer aandacht voor gegevensbeveiliging • verantwoord en bewust gedrag • overheidsbrede kaders en maatregelen. • kennis en expertise • integrale aanpak

Kaders van BZK voor de Rijksdienst (1) •

VIR 2007 (strategisch) – Verantwoordelijkheid lijnmanager – PDCA cyclus – Risicoafweging – Ministeriële verantwoordelijkheid

•

VIR-BI (strategisch / tactisch) – Bijzondere informatie • Staatsgeheimen • Departementaal vertrouwelijk – Tactische normen

Kaders van BZK voor de Rijksdienst (2) •

Baseline Informatiebeveiliging Rijksdienst (BIR) – Tactisch normenkader – Vervangt ongeveer 150 baselines van onderdelen van de Rijksdienst – Gebaseerd op Code voor informatiebeveiliging – Ongeveer 90 specifieke invullingen voor het Rijk – Rijksbreed geldend – Departementaal Vertrouwelijk – WBP risicoklasse 2

Goed geregeld? •

Rekenkamer rapport 2012 – Regelgeving prima, implementatie niet – PDCA cyclus sluit niet

•

KWAS – Heeft een ieder wel een goed beeld van eigen kroonjuwelen?

•

Gemanifesteerde incidenten – DigiNotar – Dorifel

•

Ovv rapport DigiNotar – Bewustzijn management – Implementeer ISO27001/-2

Bevindingen Compacte Rijksdienst 4 • • • • • • •

Laag informatie(beveiligings)bewustzijn Gebrek aan onderling vertrouwen Onduidelijke besturing Ketens onhelder ‘Integrale beveiliging’ nog vaag Onvolkomen I(B)-architectuur Te beschermen belangen onhelder

Prioriteiten •

Implementatie BIR

•

I-strategie – IB architectuur – Rijksinternetkoppeling – Digivaardigheid – IB governance

•

Aanbevelingen CRD4 – Bewustzijn management – Kennismanagement – Sturing en verantwoordelijkheden – Ketenmanagement – Architectuur en security by design

Vragen ?

?

? ?

? ?

?

? ?

? ?

?

?

? ?

?

?

? ?

?

?

?

?

?

?

? ? ?

?

?

?

? ?

?

?

?

? ?

?

? ?

?

?

?

?

?

?

?

?

?

?

?

?

? ?

?

?

? ?