PROJECTOPZET (PID) Project: Informatiebeveiliging

Prince2 Management Product

Project Initiatie document

PROJECTOPZET (PID) Project: Informatiebeveiliging Opdrachtgever / Budgethouder: Bestuurlijk:

Ambtelijk:

WPM: Joop de Hoon WBL: WRO:

WPM: Gineke Anninga WBL: Bert Speetjens WRO: Peter Notten

Opdrachtnemer / Projectleider: Egbert Mans (WBL) Antoine Dirks (WRO) Detlef Reincke (WPM)

Aanleiding: De initiële aanleiding voor dit project was de nationale risicobeoordeling 2010. Hierin doet het Ministerie van Veiligheid en Justitie een dringend beroep op alle overheidsorganisaties en hulpverleningsdiensten om maatregelen te nemen m.b.t. een gedegen informatiebeveiliging. In 2012 heeft na een aantal incidenten op het gebied van cybercrime en informatieveiligheid de minister van BZK besloten dat informatieveiligheid overheidsbreed op een hoger niveau moet worden gebracht. Tot 2015 hebben decentrale overheden en het Rijk de tijd om te werken aan informatieveiligheid (onder de noemer “verplichtende zelfregulering”).

Project doelstelling: De organisatie kan op dit moment niet garanderen dat informatie volgens vooraf gestelde normen wordt gebruikt of bewaard. Om dit wel te kunnen garanderen zijn organisatorische, procedurele en technische maatregelen

Bestandsnaam:

projectopzet

Versie: Datum opgeslagen: ©:

1.0 12 maart 2014 WPM 2013

1/12 Bestandsnaam: Project:

PID Informatiebeveiliging Informatiebeveiliging



nodig die gebaseerd zijn op de Baseline Informatiebeveiliging Waterschappen (BIWA), een (organisatieafhankelijke) risicoanalyse, ISO 2700x-normen en de reeds geldende wettelijke verplichtingen.

Project resultaat: In dit project moeten een aantal kaders en randvoorwaarden worden ontwikkeld op het gebied van de informatiebeveiliging. Om deze duidelijke kaders te kunnen stellen is een visie op informatiebeveiliging noodzakelijk. Deze moeten worden vertaald in strategie en beleid en mond uit in een Informatiebeveiligingplan, die het mogelijk maakt een optimale bescherming van kritische informatie en informatievoorziening te waarborgen. Eindproducten zijn: •

Visie, beleid en strategie over informatieveiligheid

•

Informatiebeveiligingplan,

•

Continuïteitsplan informatiebeveiliging

•

Processen,, procedures en werkinstructies voor het toepassen van informatiebeveiliging

•

Rolbeschrijving t.b.v. informatiebeveiliging

•

Businesscase(s) voor noodzakelijke investeringen om de informatiebeveiliging te optimaliseren.

per fase Opstellen informatiebeveiligingsbeleid

Uitvoeren risicoanalyses

Bepalen maatregelen (volgens BIWA)

Bestandsnaam:

projectopzet


1.0 12 maart 2014 WPM 2013

Resultaat

Product

Het waterschap beschikt over een informatiebeveiligingsbeleid conform landelijke standaard, weten regelgeving. De processen van het waterschap zijn getoetst op risico’s volgens landelijke normen. De bestaande maatregelen om de risico’s te beperken worden gelegd naast de normen uit de BIWA.

Visie, beleid en strategie Informatiebeveiligingsbeleidsplan

Het waterschap beschikt over een actueel overzicht van nog te nemen maatregelen om aan de normen te voldoen.

Maatregelen t.b.v. het aanscherpen informatiebeveiliging

Risicomatrix (per proces) GAP-analyse





per fase Accepteren van restrisico’s of bijsturen (actieplan)

Borgen in de organisatie

Stap 0) Voorbereiding en leveranciersselectie 1) Opstellen informatiebeveiligingsbeleid 2) Uitvoeren risicoanalyses 3) Bepalen maatregelen (volgens BIWA) 4) Accepteren van restrisico’s of bijsturen (actieplan) 5) Borgen in de organisatie

Resultaat

Product

Het waterschap gaat bewust om met de risico’s rond informatieveiligheid en neemt passende maatregelen. De informatieveiligheid krijgt continue aandacht door borging in de organisatie en een jaarlijkse toetsing.

Rest risico matrix Activiteitenplan Continuïteitsplan informatiebeveiliging Communicatieplan RASCI-model Taken, bevoegdheden en Verantwoordelijkheden Audits Benchmark tussen waterschappen

Globale planning apr mei juni juli

aug

sept

okt

X

X

X

X

nov

dec

X

X

X X X

X X

X

X

X

De uitvoering is gebaseerd op via het landelijk project opgeleverde / op te leveren beleidstukken en het commitment het eindresultaat voor 1 januari 2015 op te leveren. De externe expertise en ondersteuning is hoofdzakelijk in de stappen 1 t/m 3 nodig. In de stappen 4 en 5 beperkt zich de inhuur op een stuk regievoering, advisering en klankborden.

Bestandsnaam:

projectopzet


1.0 12 maart 2014 WPM 2013





Activiteiten en interne resources per fase

Projectleider

Per Proces eigenaar

Projectteam

Externe begeleiding

1) Bewustwordingscampagne

8

36

2) Opstellen informatiebeveiligingsbeleid

32

64

-

32

3) Uitvoeren risicoanalyses

20

16

8

160

4) Bepalen maatregelen (volgens BIWA)

32

144

8

40

5) Accepteren van restrisico’s of bijsturen (actieplan)

32

72

4

16

6) Borgen in de organisatie

40

36

8

16

164

368

28

280

Totaal1 1

16

voor nader informatie opbouw uren zie bijlage 1

Activiteiten en externe resources

Uren:

Geld:

ste

Bewustwording, advies, risico analyse en 1 audit

€ 20.000 (per deelnemer)

Randvoorwaarden & kaders:

Beperkingen:

(Wat doen wij wel)

(Wat doen wij niet?)

Bewustwordingscampagne

Audits, hackpogingen enz.

Visie, beleid en strategie informatiebeveiliging

De processen belastingheffing en – inning blijven buiten de scope van dit project

Uitwerken organisatorische, procedurele en technische maatregelen met bestaande

Er wordt geen aansluiting gerealiseerd met informatiebeleid gemeentes, RWS en

Bestandsnaam:

projectopzet


1.0 12 maart 2014 WPM 2013





Randvoorwaarden & kaders:

Beperkingen:

(Wat doen wij wel)

(Wat doen wij niet?)

middelen

provincie

Businesscases aanvullende investeringen t.b.v. implementatie maatregelen

Geen maatregelen uitgevoerd die extra investeringen vergen; deze worden onafhankelijk van dit project als nieuw businesscase aan het betreffende management ter goedkeuring voorgelegd.

Risico’s:

Maatregelen:

Budgetvoorstel moet nog worden geaccordeerd door het Bestuur

Aanvraag extra budget

Beperkte capaciteit projectleider (1 dagdeel per week)

Goede taakverdeling tussen de 3 projectleiders en de externe inhuur.

Niet projectmatig werken van andere projecten: ad hoc verstoring van dit project

Afspraken over tijdslijn, inzet projectleden met andere projectleiders en lijnorganisatie

Relaties met andere projecten: WPM: •

Uitbesteding exploitatie en beheer ICT / TPOW

•

Platform zaakgericht werken

•

Project SAW@

•

Gegevens op orde

•

Project continuïteitsplan ICT & elektriciteit

•

Herinrichting i-functie

•

Project organisatieontwikkeling

Bestandsnaam:

projectopzet


1.0 12 maart 2014 WPM 2013





Kwaliteitsverwachtingen: Informatiebeveiliging moet WPM in staat stellen om vooral vitale en bedrijfskritische informatie veilig te stellen en te beschermen tegen cyberaanvallen, ongeautoriseerde mutatie van gegevens, ongeautoriseerde verwijdering van gegevens en diefstal van gegevens.

Organisatiegroep Stuurgroep

Projectmanager

Projectteam (kernteam)

Verantwoordelijkheden

Rollen

Eindresultaat project. Ter beschikking stellen van capaciteit en van middelen. Beslissen over voortgang van het project.

Opdrachtgever:

Vertegenwoordiger eindgebruikers:

Leden Gineke Anninga Peter Notten Bert Speetjes

N.n.t.b.

Vertegenwoordiger leverancier:

N.n.t.b.

Dagelijkse gang van zaken project. Beslissingen binnen de tolerantiegrenzen. Opleveren producten binnen tijd en budget en volgens de kwaliteitseisen. Rapportage aan de Stuurgroep.

Projectmanager:

N.n.t.b.

Opleveren producten volgens specificaties. Rapportage aan de

Projectmedewerkers:

Bestandsnaam:

projectopzet


1.0 12 maart 2014 WPM 2013

PL’s: Antoine Dirks Egbert Mans Detlef Reincke

WPM: Zie bijlage 1 WBL: WRO:





Organisatiegroep

Verantwoordelijkheden

Rollen

Leden

Projectmanager. Projectondersteuning

Technische en administratieve ondersteuning van de Projectmanager.

Planner:

Antoine Dirks Egbert Mans Detlef Reincke

Benodigde vaardigheden

Benodigde middelen

Projectmatig werken

Gezamenlijke projectomgeving (wordt geleverd door WRO?)

Informatiebeveiliging deskundige

Bestandsnaam:

projectopzet


1.0 12 maart 2014 WPM 2013





1

Bijlage 1:

Projectteam WPM

vanuit rol / functie


Detlef Reincke

Projectcoördinatie

8

32

20

32

32

40

164

Toon Basten

TMX Delfews / buitenlokaties

2

16

8

8

4

2

40

Tom Spee

FB Maximo / buitenlokaties

2

8

8

4

2

24

Ron Bartsch / medewerker OpenLine

ICT

2

8

8

4

2

24

Bestandsnaam:

projectopzet


1.0 12 maart 2014 WPM 2013








Subtotaal



Projectteam WPM


Bert Smeets

Calamiteitenorganisatie

2

8

8

4

2

24

Erik Voeten

FB DIV

2

8

8

4

2

24

Mattie Geraets

FB GIS

2

8

8

4

2

24

Hans Hoeijmakers

FB HR applicaties

2

8

8

4

2

24

Medewerker team financiën

FB FIN applicaties

2

8

8

4

2

24

Rick Pluijmaekers

FB SAW@ / VenH applicaties

2

8

8

4

2

24

Bestandsnaam:

projectopzet


1.0 12 maart 2014 WPM 2013









Subtotaal



Projectteam WPM


Medewerker team bestuursondersteuning Hennie Meijjer

bestuursgevoelige informatie

2

16

8

8

4

2

40

aanbestedings -informatie

2

16

8

8

4

2

40

Jos Geelen

privacygevoelige informatie

2

16

8

8

4

2

40

Medewerker waterkeringsbeheer

FB specifieke toepassingen

2

8

8

4

2

24

Bestandsnaam:

projectopzet


1.0 12 maart 2014 WPM 2013









Subtotaal



Projectteam WPM


Medewerker watersysteembeheer / planvorming Medewerker watersysteembeheer / uitvoering Medewerker watersysteembeheer / trend& toestandsanalyse Medewerker waterketen en kwaliteit


2

8

8

4

2

24


2

8

8

4

2

24


2

8

8

4

2

24


2

8

8

4

2

24

Bestandsnaam:

projectopzet


1.0 12 maart 2014 WPM 2013









Subtotaal



Projectteam WPM


Medewerker projecten dijkversterking


totaal:



2

36

Bestandsnaam:

projectopzet


1.0 12 maart 2014 WPM 2013

64




Subtotaal

8

8

4

2

24

144

144

72

36

496




PROJECTOPZET (PID) Project: Informatiebeveiliging

Recommend Documents