RVB07-0042
Gemeente (l Bergen op Zoom
Onderwerp Nummer voorstel Datum voorstel Programmanaam en nummer
Quick scan digitaal loket door Rekenkamercommissie SM/07/04 Sector : Middelen 26 april 2007 Afdeling : ICT
Voorstel: 1. De aanbevelingen in het rapport over te nemen zoals verwoord in de opgenomen brief in het Rekenkamer rapport. 2. Het College opdracht geven om uitvoering te geven aan de aanbevelingen. 3. Het College opdracht geven via de Beleidscyclus (concembericht en Jaarrekening) te rapporteren over de voortgang van de totstandkoming van het digitaal loket.
Type voorstel:
D
Kaderstellend Controlerend Rest
Zijn in het voorstel één of meer van de volgende aspecten van toepassing? Ja
Nee
Zijn doelen en/of effecten beschreven
H
O
Financiële consequenties
O
Inspraak
O
Samenvatting:
Bijlagen: De bijlage, het rekenkamerrapport Digitaal loket gemeente Bergen op Zoom is reeds in uw bezit De volgende bijlage(n) is / zijn ter inzage gelegd: 1. Presentatie van de Quick Scan van het HEC
Bergen op Zoom
Datum raadsvergadering
: 26 april 2007
Nummer
: SM/07/04
Onderwerp
: Quick scan digitaal loket door Rekenkamer
Aan de gemeenteraad,
Voorstel 1. De aanbevelingen in het rapport overnemen. 2. Het College opdracht geven om uitvoering te geven aan de aanbevelingen. 3. Het College opdracht geven via de Beleidscyclus (concembericht en Jaarrekening) te rapporteren over de voortgang van de totstandkoming van het digitaal loket.
Aanleiding Vorig jaar is door de Rekenkamer een Quick Scan Digitaal loket uitgevoerd binnen onze gemeente. Verder is eind 2006 een EDP Audit uitgevoerd naar de beveiliging van een aantal informatiesystemen binnen onze gemeente. Dit was een onderzoek op grond van artikel 213a Gemeentewet. Normaliter wordt u over de uitkomsten van een dergelijk onderzoek geïnformeerd bij behandeling van de jaarrekening van het betreffende jaar in combinatie met de bevindingen van de externe accountant. De conclusies van de eindrapporten van deze onderzoeken raken elkaar. Uit beide rapporten komt naar voren dat de aandacht voor ICT als onderdeel van de bedrijfsvoering, onvoldoende is. Het gaat daarbij om: > Sturing ICT door DT, MT en College; > Professionalisering afdeling ICT; > Professionalisering van de vakafdelingen. Wij hebben de verbeteraanpak naar aanleiding van beide rapporten gekoppeld en u wordt nu hierover en over de uitkomsten van beide rapporten geïnformeerd. Conclusies en aanbevelingen De conclusies uit de rapportage van de Rekenkamer zijn: 1. De vakafdelingen bepalen zelf de inhoud van het beleid en het tempo van de uitvoering van het ICT-beleid; 2. Management geeft lagere prioriteit aan digitale dienstverlening, dan het college. Naar aanleiding van deze conclusies komt de Rekenkamer tot de volgende 2 aanbevelingen: 1. Draag zorg voor een duidelijke coördinatie en aansturing van de afdelingen door de directie. 2. Bepaal het ambitieniveau ten aanzien van digitale dienstverlening
Bergen op Zoom
Het College was verontrust door bovenstaande conclusies en heeft meteen gereageerd. De aanbevelingen in het rapport hebben we overgenomen, zoals verwoord is in de in het rekenkamerrapport opgenomen brief. Wat is er al gebeurd > Digitaal loket De implementatie van digitale dienstverlening is afgelopen najaar gestart. De aanpak hierbij is dat we beginnen met digitale dienstverlening bij Publiekszaken en dit stap voor stap verbreden naar een digitaal loket voor de gehele gemeente Bergen op Zoom. Het College wil zo de doelstelling 65% digitale dienstverlening in 2010 bereiken. De aansturing en coördinatie van de invoering vindt plaats vanuit het directieteam. Het ambitieniveau van digitale dienstverlening is in het najaar van 2006 door ons vastgesteld in de Visie Dienstverlening en het Kwaliteitshandvest Dienstverlening. > Sturing ICT en professionalisering vakafdelingen Naar aanleiding van het 213a onderzoek heeft Het Expertisecentrum (HEG), een onafhankelijke stichting voor overheidsinformatisering, zich verdiept in de problematiek van de interne ICT beveiliging en de sturing en ontwikkeling van ICT in onze organisatie. In overleg met onze eigen ICT specialisten is een brede verbeteraanpak geformuleerd. Deze sluit aan bij de ontwikkelingsstrategie voor de totale ambtelijke organisatie. Om de sturing en coördinatie van de totale organisatie te verbeteren is een leiderschapstraject ingezet waarbij de leidinggevenden getraind zijn op houding en gedrag ten aanzien van verschillende aspecten van de bedrijfsvoering. Op deze manier zijn leidinggevenden van vakafdelingen er toe aangezet om na te denken hoe ze onder andere ICT in kunnen zetten als bedrijfsmiddel voor een efficiënter proces en een meer klantgerichte dienstverlening voor de levering van hun producten. > Professionalisering afdeling ICT Naast de professionalisering van de vakafdelingen is de afgelopen maanden ook gewerkt aan de professionalisering van de afdeling ICT. Het gaat dan om: o Het inrichten van werkprocessen volgens ITIL (Information Technology Infrastructure Library), dit is een methodiek voor beheer en exploitatie van de ICT dienstverlening waarmee we tot kwaliteitsborging willen komen. o Invoering projectmatig werken volgens Prince2 (PRojects IN Controlles Environments), dit is een gestandaardiseerde methode voor het managen van (lCT-)projecten. o Vraaggericht werken (ICT bezoekt klant, klant (be)zoekt ICT) o Verbetering overleg en communicatie Wat gaan we nog meer doen De verbeteraanpak n.a.v. beide rapporten bestaat uit drie onderdelen. 1. Informatiebeveiliging Een aantal maatregelen worden voorgesteld, die getroffen moeten worden om ICT systemen te beveiligen tegen ongeoorloofde interne toegang en gebruik. Een aantal eenvoudige maatregelen konden meteen worden genomen, o.a. in samenhang met de vervanging van alle PC's. De overige aanbevelingen worden inmiddels uitgevoerd en in de komende maanden afgerond. 2.
Sturing ICT
Gemeente r Eergen op Zoom
Wij zullen een informatiemanagement plan opstellen, waarin het ambitieniveau geformuleerd wordt, prioriteiten gesteld worden en verbinding gelegd wordt tussen ICT-ontwikkeling en de totale organisatie-ontwikkeling. In de jaarcyclus rapportages zal u meer inzicht gegeven worden in de voortgang van de ICT-ontwikkeling. 3. Professionalisering ICT De ICT afdeling en de vakafdelingen met werkprocessen met veel ICT-toepassingen, moeten zich verder professionaliseren. Het beschrijven en bewaken van werkprocessen (AO/IC) zal bij zowel ICT- als vakafdelingen de nodige aandacht moeten krijgen.
Een ontwerpbesluit bieden wij u hierbij ter vaststelling aan.
Het college van burgemeester en wethouders van Bergen op Zoom, De burgemeester,
Haasnoot.
Drs. |w.M. Poli/nart. anL/x
>,
?._
Gemeente f} Bergen op Zoom
De raad van de gemeente Bergen op Zoom; gezien het voorstel van het college van 20 maart 2007, nr. SM/07/04;
BESLUIT: 1. De aanbevelingen in het rapport over te nemen zoals verwoord in de opgenomen brief in het Rekenkamer rapport. 2. Het College opdracht geven om uitvoering te geven aan de aanbevelingen. 3. Het College opdracht geven via de Beleidscyclus (concembericht en Jaarrekening) te rapporteren over de voortgang van de totstandkoming van het digitaal loket.
Aldus vastgesteld in de openbare vergadering van De griffier,
F.P. de Vos
De voorzitter,
Presentatie Quick Scan Gemeente Bergen op Zoom
Bert Aalbers & Chris Wauters Het Expertise Centrum 10 januari 2007-definitive versie
Opdracht Aanleiding: auditrapport Mazars Opdracht: 1. Plan informatiebeveiliging 2. Analyse ICT-sturing
Werkwijze -
Documentstudie Interviews met 14 functionarissen
Bevindingen project beveiliging Nut en noodzaak staan binnen Bergen op Zoom niet ter discussie (belang) Samenhang met professionalisering ICTafdeling (incl. strakke procedures) Relatie met interne beheersing en AO/IC vakafdelingen (achterstallig onderhoud) Beveiliging hoort periodiek op de DTagenda terug te komen
Overzicht problemen Decade en GWS4al
Legenda:
1. Audittrail Decade Open Acties lopen 2. iti Gereed 3. Fictieve relaties Decade 4. Aanpassen betaalbestand Decade & GWS4all Fiatteringmechanisme GWS4all 6. 11 proef bankrek. via MRE (GWS4all) 7. Wachtwoorden GWS4all niet versleuteld ^flrf
Overzicht problemen General IT controls
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14
15. 16. 17. 18.
Legenda: Incident management Change management Configuration management Autorisatiemanagement Patch beleid en management Beheerprocedures en beheerdocumentatie ICT-beleid Technische sturing en toezicht op beheerders Opleidingsbeleid beheerders Actueel beveiligingsplan (bewustzijn, P&C-cyclus) Logging op systeemniveau AIX omgeving (syslog) Remote beheer services AIX omgeving Accounts, wachtwoorden AIX omgeving Updates AiX omgeving Oracle listener service Accounts, wachtwoorden en updates Oracle Backup en recovery procedures Uitwijkplan en noodstroomvoorziening
20. Fysieke toegangscontrole Noot: de problemen 1 t/m 3 en 6 t/m 9 zijn geen specifieke beveiligingsitems, maar algemene en IT-beheersmaatregelen
Open Acties lopen Gereed
Plan van Aanpak beveiliging (1)
Plateau 1: (realisatie 1 mrt 2007) Urgente problemen oplossen technische infrastructuur en applicaties Plateau 2: (realisatie 1 mei 2007) Opstellen Beleid organisatie en procedures
DT: opdrachtgever Hoofd ICT: gedelegeerd opdrachtgever Uitvoering: projectleider IB
Plateau 3 (realisatie 1 juli 2007)
Plan van Aanpak beveiliging (2) Plateau 1: "dweilen" - Inventariseren kritische applicaties - Oplossen problemen GWS4all en Decade - Vergelijkbare problemen kritische applicaties oplossen
Plateau 2: "in de steigers zetten" - Procedures opstellen - Organisatie opstellen - Informatiebeveiliging baseline opstellen
Plateau 3: "effectueren" - Procedures en beveiligingsorganisatie effectueren - Beveiliging inbedden in P&C-cyclus - Bewustzijn campagne - communicatie!
Aanbevelingen project beveiliging Kort lopende fases (gedefinieerde mijlpalen) Betrek "business" nadrukkelijk in projectorganisatie DT sturen op concrete resultaten (output) 2 wekelijks rapportage hoofd ICT aan DT over stand van zaken (op basis van mijlpalen) Houdt rekening met het risico dat interesse van de organisatie afneemt (blijven communiceren) Issuelijst Mazars als "afvinklijst" gebruiken Organiseer technische sturing en toezicht op beveiliging Beveiligingsopleiding beheerders Benoem een informatiebeveiligingsfunctionaris die periodiek aan DT of controller rapporteert Bepaal geëigende momenten voor organisatiebrede communicatie
Informatiebeveiligingsfunctionaris Is een rol en hoeft geen functie te zijn Wel rol die substantieel tijd kost Taak: opstellen beleid, sturing en coördinatie op (informatie)beveiliging Positie: Bij concerncontroller (met technische contactpersoon bij afdeling ICT) Let op scheiding implementatie en toezicht (auditafdeling) Aanpak op basis van organisatiebrede risicoanalyse. 10
Bevindingen ICT-sturing Algemeen: - ICT is (nog) teveel een zaak van de afdeling ICT c.q. de sector Middelen (aanbodgericht) - De ingezette centralisatie van het beheer (functioneel, applicatie en technisch) bevestigt onbedoeld dit beeld - ICT lijkt daarmee 'weggedelegeerd'
Eerste algemene conclusie: - Het spel van vraag (vanuit de vakafdelingen) en aanbod (vanuit ICT) moet op de wagen 12
Referentiemodel ICT-sturing BoZ Directieteam
Strategisch
Directie Team: informatieplanning, vraagbundeüng en prioriteiten
Aanbod Tactisch
Operationeel
13
Tikafdelingen
Vraag
ICT-functies / rollen BoZ (2) Bevindingen ICT-sturing - Er vindt geen informatieplanning, prioritering of vraagbundeling plaats door/via het DT: - geen beknopt informatieplan 2007-2010 - wél een Investeringslijst' - ICT-strategie en beleid blijven "hangen": - geen integraal informatiemanagement - ICT-planning loopt niet volwaardig mee in reguliere P&Oeyclus vanuit de vakafdelingen 14
ICT-functies / rollen BoZ (3) Bevindingen relatie business-IT - De vraagarticulatie vanuit de vakafdelingen moet nog groeien, informatiemanagement en functioneel beheer door vakafdelingen zwak ontwikkeld (vraagkant) - Annex: de eigenaarsrol m.b.t. de operationele systemen vanuit de aanbodkant ingevuld (vóór u i.p.v. door u)) - Integratie eigen werkprocessen en ICT is volgende stap - Vakafdelingen moeten veelal zelf nog een professionalisering-slag doormaken: - AO/IC van de vakafdelingen nog niet op orde - Nauwelijks formele afspraken tussen business en ICT 15
ICT-functies / rollen BoZ (4) Overige bevindingen (tactisch/operationeel) - Er is binnen ICT geen duidelijke rol belegd voor architectuur, beveiligings- of informatieplanning - Taken van functioneel/applicatiebeheer/technisch beheer lopen door elkaar - Er vindt geen technische sturing of toezicht plaats op applicatiebeheer en technisch beheer. - ICT-processen bij afdeling ICT zijn onvoldoende gestandaardiseerd (bijv. d.m,v. ITIL) - Men werkt nog niet projectmatig (bijv. met Prince2)
16
Conclusies en aanbevelingen HEC onderkent 3 speerpunten: DT: ambitie, sturing en handhaving
Speerpunt 2: Sturing ICT
17
Speerpunt 1 Project beveiliging Zie deel 1 van deze presentatie
18
Speerpunt 2: Sturing ICT (1) DT: informatieplanning, prioritering en vraagbundeling op ICT - vanuit de werkprocessen en beleid - vanuit de omgevingsvraag (e-dienstverlening) "Business takes the lead" - Sectoren c.q. vakafdelingen zijn opdrachtgever (vraag) en ICT is opdrachtnemer (aanbod) ICT en e-dienstverlening is strategisch onderwerp voor DT (dicht erop zitten) - IT per se means nothing, but touches everything
19
s
Speerpunt 2: Sturing ICT (2) Wijs binnen het DT een portefeuillehouder informatiemanagement aan - Niet 'automatisch' de directeur Middelen - Ondersteund door hoofd ICT c.q, adviseurs - Met periodieke rapportages Her-ijk de rollen en functies volgens het referentiemodel - Wie doet wat op strategisch, operationeel en tactisch niveau - Benoem taken en verantwoordelijkheden - Reorganiseer niet formeel, maar benoem de rollen en functies 20
Speerpunt 2: Sturing ICT (3) Organiseer het spel van vraag en aanbod - Informatieplanning inbedden in de P&C-cyclus, inhoudelijk vanuit de business - Informatieplanning laten vertalen in ICT-inspanning in termen van kosten/capaciteit/baten e.d. - Besluitvorming door het DT Stel een eenvoudig, praktisch informatieplan op: - Wat zijn de doelstellingen vanuit het College / DT - Wat komt er van buiten op ons af? - Welke prioriteiten zijn van belang? - Hoe ziet het actieprogramma er dan uit? Programma-aanpak, DT opdrachtgever 21
Speerpunt 3: Professionalisering (1) Aanpak - Plan maken voor de ICT-afdeling (in gang gezet) - Programmamanager hoofd afdeling ICT - Rapportage aan directeur Middelen Organisatorisch / onderwerpen - Scherpere scheiding technisch-, applicatie- en functioneel beheer - Doorontwikkelen dienstverleningsovereenkomsten met de business / vakafdelingen - ICT-afdeling procesmatig werken (o,a. incidentbeheer, wijzigingsbeheer, configuratiebeheer, etc.) - Organisatiebreed: projectmatig werken volgens één model 22
\;?i
Speerpunt 3: Professionalisering (2) Opleidingen - Certificering ITIL - Opleiding beveiliging - Projectmanagementmethode Prince-2 - Houding en gedrag: van aanbod- naar vraaggestuurd (klantgericht) Competentie-ontwikkeling - Onderdeel van algemeen HRM-beleid
23
Professionalisering (3): ook de sectoren aan zet Tot slot: professionalisering ICT geldt niet alleen voor de ICT-afdeling. Voor de sectoren c.q. vakafdelingen zijn de volgende onderwerpen geïnventariseerd: - Eisen formuleren voor het gewenste beveiligingsniveau - Het onderwerp beveiliging systematisch agenderen - Eigenaarsrol van systemen inrichten: - Eisen formuleren voor gewenst functioneel- en applicatie beheer (en vertalen in DVO's) - Randvoorwaarde: op orde brengen van de AO/IC 24
Professionalisering (4): ook de sectoren aan zet (vervolg)
Vervolg onderwerpen: - Beleidskeuzes maken ten aanzien van ICT (informatieplanning) - Informatievoorziening i.c. ICT opnemen in de reguliere P&C-cyclus - Voldoende functionele kennis (o.a, beveiliging) van eigen systemen (opleidingen volgen).
25
SU":
Presentatie Quick Scan Gemeente Bergen op Zoom
Bert Aalbers & Chris Wauters Het Expertise Centrum 10 januari 2007 - definitive versie Het Expertise Centrum Van de Spiegelstraat 12 2518 ET's-Gravenhage T 070 351 49 97 F 070 351 52 82 www.hec n l
[email protected]
Opdracht Aanleiding: auditrapport Mazars Opdracht: 1. Plan informatiebeveiliging 2. Analyse ICT-sturing
Werkwijze -
Documentstudie Interviews met 14 functionarissen
V ' "" ™' ""• -' '¥>''">''•% ' ', ' *
Deel 1: Informatiebeveiliging
Bevindingen project beveiliging Nut en noodzaak staan binnen Bergen op Zoom niet ter discussie (belang) Samenhang met professionalisering ICTafdeling (incl. strakke procedures) Relatie met interne beheersing en AO/IC vakafdelingen (achterstallig onderhoud) Beveiliging hoort periodiek op de DTagenda terug te komen
m Overzicht problemen Decade en GWS4all Legenda:
1. Audittrail Decade
Open Acties lopen
2. Autorisaties Decade & GWS4a!l Gereed 3. Fictieve relaties Decade 4. Aanpassen betaalbestand Decade & GWS4all
6. 11 proef bankrek. via MRE (GWS4all) 7. Wachtwoorden GWS4all niet versleuteld
aK'
Overzicht problemen General IT controls
1. 2. 3. 4. 5. 6. 7 8. 9.
10. 11.
12. 13. 14.
15. 16. 17. 18.
Incident management Change management Configuration management Autorisatiemanagement Patch beleid en management Beheerprocedures en beheerdocumentatie ICT-beleid Technische sturing en toezicht op beheerders Opleidingsbeleid beheerders Actueel beveiligingsplan (bewustzijn, P&C-cyclus) Logging op systeemniveau AfX omgeving (syslog) Remote beheer services AIX omgeving Accounts, wachtwoorden AIX omgeving Updates AIX omgeving Oracle listener service Accounts, wachtwoorden en updates Oracle Backup en recovery procedures Uitwijkplan en noodstroomvoorziening
20. Fysieke toegangscontrole Noot: de problemen 1 t/m 3 en 6 t/m 9 zijn geen specifieke beveiligingsitems, maar a/gemene en IT-beheersmaatregelen
Legenda: Open Acties lopen Gereed
Plan van Aanpak beveiliging (1)
Plateau 1: (realisatie 1 mrt 2007) Urgente problemen oplossen technische infrastructuur en applicaties Plateau 2: (realisatie 1 mei 2007) Opstellen Beleid organisatie en procedures
DT: opdrachtgever Hoofd ICT: gedelegeerd opdrachtgever Uitvoering: projectleider IB
Plateau 3 (realisatie 1 juli 2007)
Plan van Aanpak beveiliging (2) Plateau 1: "dweilen" - Inventariseren kritische applicaties - Oplossen problemen GWS4all en Decade - Vergelijkbare problemen kritische applicaties oplossen
Plateau 2: "in de steigers zetten" - Procedures opstellen - Organisatie opstellen - Informatiebeveiliging baseline opstellen
Plateau 3: "effectueren" - Procedures en beveiligingsorganisatie effectueren - Beveiliging inbedden in P&C-cyclus - Bewustzijn campagne - communicatie!
l Aanbevelingen project beveiliging Kort lopende fases (gedefinieerde mijlpalen) Betrek "business" nadrukkelijk in projectorganisatie DT sturen op concrete resultaten (output) 2 wekelijks rapportage hoofd ICT aan DT over stand van zaken (op basis van mijlpalen) Houdt rekening met het risico dat interesse van de organisatie afneemt (blijven communiceren) Issuelijst Mazars als "afvinklijst" gebruiken Organiseer technische sturing en toezicht op beveiliging Beveiligingsopleiding beheerders Benoem een informatiebeveiligingsfunctionaris die periodiek aan DT of controller rapporteert Bepaal geëigende momenten voor organisatiebrede communicatie
Informatiebeveiligingsfunctionaris Is een rol en hoeft geen functie te zijn Wel rol die substantieel tijd kost Taak: opstellen beleid, sturing en coördinatie op (informatie)beveiliging Positie: Bij concerncontroller (met technische contactpersoon bij afdeling ICT) Let op scheiding implementatie en toezicht (auditafdeling) Aanpak op basis van organisatiebrede risicoanalyse. 10
Deel 2: ICT-sturing
11
Bevindingen ICT-sturing Algemeen: - ICT is (nog) teveel een zaak van de afdeling ICT c.q. de sector Middelen (aanbodgericht) - De ingezette centralisatie van het beheer (functioneel, applicatie en technisch) bevestigt onbedoeld dit beeld - ICT lijkt daarmee 'weggedelegeerd'
Eerste algemene conclusie: - Het spel van vraag (vanuit de vakafdelingen) en aanbod (vanuit ICT) moet op de wagen 12
Referentiemodel ICT-sturing BoZ Directieteam
Strategisch
Directie Team: informatieplanning, vraagbundeling en prioriteiten
Aanbod Tactisch
Operationeel 13
^kafdelingen
Vraag
ICT-functies / rollen BoZ (2) Bevindingen ICT-sturing - Er vindt geen informatieplanning, prioritering of vraagbundeling plaats door/via het DT: - geen beknopt informatieplan 2007-2010 - wél een Investeringslijst' - ICT-strategie en beleid blijven "hangen": - geen integraal informatiemanagement - ICT-planning loopt niet volwaardig mee in reguliere P&Ocyclus vanuit de vakafdelingen 14
ICT-functies / rollen BoZ (3) Bevindingen relatie business-IT - De vraagarticuiatie vanuit de vakafdelingen moet nog groeien, informatiemanagement en functioneel beheer door vakafdelingen zwak ontwikkeld (vraagkant) - Annex: de eigenaarsrol m.b.t. de operationele systemen vanuit de aanbodkant ingevuld (vóór u i.p.v. door u)) - Integratie eigen werkprocessen en ICT is volgende stap - Vakafdelingen moeten veelal zelf nog een professionalisering-slag doormaken: - AO/IC van de vakafdelingen nog niet op orde - Nauwelijks formele afspraken tussen business en ICT 15
ICT-functies / rollen BoZ (4) Overige bevindingen (tactisch/operationeel) - Er is binnen ICT geen duidelijke rol belegd voor architectuur, beveiligings- of informatieplanning - Taken van functioneel/applicatiebeheer/technisch beheer lopen door elkaar - Er vindt geen technische sturing of toezicht plaats op applicatiebeheer en technisch beheer. - ICT-processen bij afdeling ICT zijn onvoldoende gestandaardiseerd (bijv, d,m.v. ITIL) - Men werkt nog niet projectmatig (bijv. met Prince2)
16
Conclusies en aanbevelingen HEG onderkent 3 speerpunten: DT: ambitie, sturing en handhaving
Speerpunt 2: Sturing ICT
17
Speerpunt 1 Project beveiliging Zie deel 1 van deze presentatie
Speerpunt 2: Sturing ICT (1) DT: informatieplanning, prioritering en vraagbundeling op ICT - vanuit de werkprocessen en beleid - vanuit de omgevingsvraag (e-dienstverlening) "Business takes the lead" - Sectoren c.q. vakafdelingen zijn opdrachtgever (vraag) en ICT is opdrachtnemer (aanbod) ICT en e-dienstverlening is strategisch onderwerp voor DT (dicht erop zitten) - IT per se means nothing, but touches everything
19
Speerpunt 2: Sturing ICT (2) Wijs binnen het DT een portefeuillehouder informatiemanagement aan - Niet 'automatisch' de directeur Middelen - Ondersteund door hoofd ICT c.q. adviseurs - Met periodieke rapportages Her-ijk de rollen en functies volgens het referentiemodel - Wie doet wat op strategisch, operationeel en tactisch niveau - Benoem taken en verantwoordelijkheden - Reorganiseer niet formeel, maar benoem de rollen en functies 20
Speerpunt 2: Sturing ICT (3) Organiseer het spel van vraag en aanbod - Informatieplanning inbedden in de P£C-cyclus, inhoudelijk vanuit de business - Informatieplanning laten vertalen in ICT-inspanning in termen van kosten/capaciteit/baten e.d, - Besluitvorming door het DT Stel een eenvoudig, praktisch informatieplan op: - Wat zijn de doelstellingen vanuit het College / DT - Wat komt er van buiten op ons af? - Welke prioriteiten zijn van belang? - Hoe ziet het actieprogramma er dan uit? Programma-aanpak, DT opdrachtgever 21
Speerpunt 3: Professionalisering (1) Aanpak - Plan maken voor de ICT-afdeling (in gang gezet) - Programmamanager hoofd afdeling ICT - Rapportage aan directeur Middelen Organisatorisch / onderwerpen - Scherpere scheiding technisch-, applicatie- en functioneel beheer - Doorontwikkelen dienstverleningsovereenkomsten met de business / vakafdelingen - ICT-afdeling procesmatig werken (o,a. incidentbeheer, wijzigingsbeheer, configuratiebeheer, etc.) - Organisatiebreed: projectmatig werken volgens één model 22
_
Speerpunt 3: Professionalisering (2)
23
>
Opleidingen - Certificering ITIL - Opleiding beveiliging - Projectmanagementmethode Prince-2 - Houding en gedrag: van aanbod- naar vraaggestuurd (klantgericht)
>
Competentie-ontwikkeling - Onderdeel van algemeen HRM-beleid
Professionalisering (3): ook de sectoren aan zet Tot slot: professionalisering ICT geldt niet alleen voor de ICT-afdeling. Voor de sectoren c.q. vakafdelingen zijn de volgende onderwerpen geïnventariseerd: - Eisen formuleren voor het gewenste beveiligingsniveau - Het onderwerp beveiliging systematisch agenderen - Eigenaarsrol van systemen inrichten: - Eisen formuleren voor gewenst functioneel- en applicatie beheer (en vertalen in DVO's) - Randvoorwaarde: op orde brengen van de AO/IC 24
/ '
*
'
Professionalisering (4): ook de sectoren aan zet (vervolg)
Vervolg onderwerpen: - Beleidskeuzes maken ten aanzien van ICT (informatieplanning) - Informatievoorziening i.c. ICT opnemen in de reguliere P&C-cyclus - Voldoende functionele kennis (o.a. beveiliging) van eigen systemen (opleidingen volgen).
25