IB-Governance bij de Rijksdienst Complex en goed geregeld
Even voorstellen •Carl Adamse
Even voorstellen •Frank Heijligers
Bestaat de Rijksdienst? •
Ministeriële verantwoordelijkheid – Grondwet art. 44 lid 1 • Bij koninklijk besluit worden ministeries ingesteld. Zij staan onder leiding van een minister. – 11 afzonderlijke ministeries
•
BZK systeemverantwoordelijk – Bedrijfsvoering – CIO-stelsel – Rijks-CIO
Compacte Rijksdienst •Waarom?
Snel & transparant Flexibel & tegen lage kosten Efficiënt & effectief Mean & lean
AO
Betrouwbaar & integer Veilig & solide Professioneel & verantwoordelijk Zorgvuldig & eerlijk
VRD
Compacte Rijksdienst •Waarom?
Snel & transparant Flexibel & tegen lage kosten Efficiënt & effectief Mean & lean
AO
Betrouwbaar & integer Veilig & solide Professioneel & verantwoordelijk Zorgvuldig & eerlijk Compacte Rijksdienst
VRD
Samenwerking Clustering & Concentratie Bundeling & Focus Harmonisatie, standaardisatie & normering Hergebruik P&O Huisvesting ICT
Organisatie
Processen Inkoop Facilitair Management
Eén werkgever Rijk Shared Service P&O Concentratie rijkskantoren ICT infrastructuur Bundeling inkoop en vraag
Eén facilitair dienstverlener Eén ICT aanbieder Inrichten inkoopfunctie Eén ondersteuner internationaal
Compacte Rijksdienst Cluster Cluster Cluster Cluster Cluster Cluster
incasso-diensten backoffice subsidies inkomensoverdracht vastgoed rijksinspecties/toezicht niet-financiële markten
Coördinatiebesluit organisatie en bedrijfsvoering rijksdienst 2011 •
Binnenlandse Zaken en Koninkrijksrelaties kan na overleg met Onze Ministers kaders vaststellen ter bevordering van de eenheid, de kwaliteit of de efficiëntie van de bedrijfsvoering door de ministeries. Daarbij kan hij werkzaamheden aanwijzen die ten behoeve Onze Minister van
van alle of een daarbij aangegeven deel van de ministeries zullen worden uitgevoerd door een daarbij
aangegeven organisatieonderdeel van een der
ministeries. •
Onder
bedrijfsvoering worden de ondersteunende processen binnen de
ministeries verstaan op de terreinen van personeel en organisatie,
informatievoorziening en informatie- en communicatietechnologie, inkoop, huisvesting, facilitaire zaken en beveiliging.
Overlegstructuur Rijk Ministerraad
Raad voor Bestuur
ICBR
(Bedrijfsvoering Rijk)
ICFH (Faciliteiten en Huisvesting)
ICIA
(Inkopen en Aanbesteden)
ICOP
(Organisatie en Personeel)
ICCIO
(Informatisering)
CBIB
(Integrale Beveiliging)
ICCIO ICCIO
(Informatisering)
Generieke Informatievoorziening
Projectsturing en verantwoording Aanbodstructurering en sourcing
Architectuur en Standaarden
Markt
Informatiebeveiliging en privacy Personeel en Kwaliteit CBIB
(Integrale Beveiliging)
I-Strategie Rijksdienst •
Streefbeelden – Samenhangende i-infrastructuur – Platform voor tijd-, plaats en apparaatonafhankelijk werken – Grote en risicovolle projecten op orde
•
Thema’s – Aanbodstructurering – Sourcing – Personeel en Kwaliteit – Sturings- en verantwoordingsinstrumenten – Vertrouwen en beveiliging van informatie – I-instructuur voor de rijksambtenaar – Samenwerking met de markt
Visie informatiebeveiliging Rijk • verantwoordelijkheid van het lijnmanagement • risicomanagement • veilig faciliteren • onder- en overrubricering voorkomen • meer aandacht voor gegevensbeveiliging • verantwoord en bewust gedrag • overheidsbrede kaders en maatregelen. • kennis en expertise • integrale aanpak
Kaders van BZK voor de Rijksdienst (1) •
VIR 2007 (strategisch) – Verantwoordelijkheid lijnmanager – PDCA cyclus – Risicoafweging – Ministeriële verantwoordelijkheid
•
VIR-BI (strategisch / tactisch) – Bijzondere informatie • Staatsgeheimen • Departementaal vertrouwelijk – Tactische normen
Kaders van BZK voor de Rijksdienst (2) •
Baseline Informatiebeveiliging Rijksdienst (BIR) – Tactisch normenkader – Vervangt ongeveer 150 baselines van onderdelen van de Rijksdienst – Gebaseerd op Code voor informatiebeveiliging – Ongeveer 90 specifieke invullingen voor het Rijk – Rijksbreed geldend – Departementaal Vertrouwelijk – WBP risicoklasse 2
Goed geregeld? •
Rekenkamer rapport 2012 – Regelgeving prima, implementatie niet – PDCA cyclus sluit niet
•
KWAS – Heeft een ieder wel een goed beeld van eigen kroonjuwelen?
•
Gemanifesteerde incidenten – DigiNotar – Dorifel
•
Ovv rapport DigiNotar – Bewustzijn management – Implementeer ISO27001/-2
Bevindingen Compacte Rijksdienst 4 • • • • • • •
Laag informatie(beveiligings)bewustzijn Gebrek aan onderling vertrouwen Onduidelijke besturing Ketens onhelder ‘Integrale beveiliging’ nog vaag Onvolkomen I(B)-architectuur Te beschermen belangen onhelder
Prioriteiten •
Implementatie BIR
•
I-strategie – IB architectuur – Rijksinternetkoppeling – Digivaardigheid – IB governance
•
Aanbevelingen CRD4 – Bewustzijn management – Kennismanagement – Sturing en verantwoordelijkheden – Ketenmanagement – Architectuur en security by design
Vragen ?
?
? ?
? ?
?
? ?
? ?
?
?
? ?
?
?
? ?
?
?
?
?
?
?
? ? ?
?
?
?
? ?
?
?
?
? ?
?
? ?
?
?
?
?
?
?
?
?
?
?
?
?
? ?
?
?
? ?
